2. データへのアクセスと共有のポリシーが未定義

データ・アクセスや共有ポリシーが明確に定義され、厳格に運用されていなければ、誰がどのデータにアクセスしているのか、そのアクセスは許可されているのか、データセキュリティポリシーに反する方法で共有されているのかが把握できません。これらのポリシーは、クラウドに保存されたデータにも適用されなければなりません。つまり、従来のように組織のネットワーク内のすべてのユーザーを自動的に信頼するのではなく、「ゼロ・トラスト」アプローチ、つまり暗黙の信頼に頼らないアプローチを採用する必要がある。そうでなければ、貴重な情報が盗まれたり破損したりするリスクだけでなく、データ保護法に違反し、罰金や風評被害のリスクを負うことにもなりかねません。

4. クラウドの設定ミス

クラウドプロバイダーはいずれも、その環境をセキュアにするためのわかりやすいコントロールを用意しています。しかし、マルチクラウドのセットアップで、複数のアカウントと異なるプロバイダーのクラウドで複数のワークロードを実行している場合、すべてがクラウドのセキュリティ態勢に沿っているかどうかを完全に可視化し、すべての設定を手作業で最新に保つことは現実的ではありません。そのため、クラウドの設定ミスが頻発していることは容易に想像できます。その結果、数え切れないほどの組織が、知らず知らずのうちに攻撃者にドアや窓を大きく開けていることになっています。

6. ゼロデイ攻撃と脆弱性

基本的なアンチウイルスソフトは、主に既知の脅威を検出するように設計されていますが、ゼロデイ脅威をキャッチするためには、より高度でヒューリスティックなリアルタイム・アンチマルウェアスキャナーが必要です。このようなマルウェアはサイバー犯罪アンダーグラウンド市場で盛んに販売されているため、サイバー犯罪者はハッキングの天才でなくても手に入れることができます。そのため、もし利用しているアンチウイルス製品が既知の脅威だけを探しているのであれば、あなたのシステムは攻撃に対して大きく門戸を開いていることになります。

おそらく最も重要なことは、変化の激しい現在、セキュリティ管理は俊敏でなければならないということです。多くの組織がクラウドに移行することで、絶えず成長し、変化し続ける脅威ランドスケープにおいて、常に最善の防御策を講じることができます。

7. 規制要件の遵守

クラウドの複雑さとセキュリティ責任に関する混乱により、多くの組織が、EUのGDPR、カリフォルニア州の消費者プライバシー法（CCPA）、ペイメントカード業界のPCI-DSSなど、地域や業界固有の規制で規定されたレベルのクラウドとデータの安全確保を知らず知らずのうちに怠っている。コンプライアンス違反による情報漏洩が発生した場合、企業の評判だけでなく、多額の罰金を科されるリスクもあります。

8. 標的型攻撃

デジタルトランスフォーメーションを進める組織が増えるにつれ、ビジネスに不可欠なサービスやデータがクラウドにさらされる機会も増えています。ランサムウェアの展開、貴重な顧客データの窃取、DDos 攻撃など、組織の防御を突破するサイバー犯罪者にとって、その潜在的な価値はますます大きくなっています。その結果、高度で標的を絞った多段階攻撃が急速に増加されています。これらの攻撃は巧妙で、ステルス性が高く、被害者を麻痺させる可能性を秘めていますが、手遅れになる前に標的型攻撃を発見する能力を持つ組織は現在ほとんどありません。

9. スキルギャップ

外部の専門家の助けがなければ、複数のクラウドサービスにわたって効果的に自社を保護するために必要なクラウドセキュリティスキルをすべて備えている組織はほとんどありません。それだけでなく、そのような人材を雇用することも難しいことが現実です。(ISC)²の最新のサイバーセキュリティ人材調査によると、労働力の規模はまだ65%も不足しています。

10. サイバーセキュリティに対する意識の欠如

クラウド攻撃の大半は、依然として極めて場当たり的でなものです。その多くは、スパムメール、テキストメッセージ、電話で始まり、ユーザーを誘惑して、感染したリンクや添付ファイルをクリックさせたり、機密性の高い個人情報を盗みとる、いわゆる「フィッシング攻撃」です。効果的なサイバーセキュリティ意識向上トレーニングを受ければ、このような粗雑な手口は簡単に見破り、回避することができます。しかし、残念なことに、フィッシングの餌食になることを防ぐために十分な意識向上トレーニングに投資している組織はほとんどありません。