Top Cloud Security Challenges in 2025

重要なポイント - クラウドセキュリティの主要課題

• クラウドの複雑さはセキュリティ戦略を上回っています。マルチクラウド、ハイブリッド、 SaaS導入により、一貫性のない保護と隠れた脆弱性を備えた断片化された環境が生み出されています。
• 誤った構成は依然として最大の脅威です。パブリック バケット、許可された IAM ロール、暗号化されていないデータは、攻撃者にとって依然として脅威となります。
• API のリスク面は拡大しています。認証が不十分で権限が過剰な安全でないクラウド API が、特に GenAI 統合において大規模に悪用されています。
• AI は脅威であると同時に解決策でもあります。攻撃者はフィッシング、回避、構成ミスのスキャンに AI を使用しますが、防御側はリアルタイムの検出と対応に AI を活用する必要があります。
• 監視ツールのパフォーマンスが不十分– 現在のツールで検出されるクラウドの脅威は 35% のみで、残りはユーザー、監査、または外部の関係者によってフラグが付けられます。
• アラート疲れによりセキュリティ チームが機能不全に陥る– ほとんどの組織はサイロ化されたツールによる誤検知に圧倒され、優先順位付けが不十分になり、対応が遅くなります。
• 検出と対応が遅すぎる– 1 時間以内に解決されるインシデントはわずか 6% で、ほとんどのインシデントは封じ込めに 24 時間以上かかり、攻撃が拡大する原因となっています。
• IAM の脆弱性が侵害を助長– 過剰な権限を与えられたアカウント、MFA の欠如、横方向の移動に対する可視性の低さにより、攻撃者はアクセスを悪用し、権限を昇格することができます。
• シャドー IT と可視性の低さがリスクを増大させます。追跡されていない資産とプロバイダー間で一貫性のないポリシーの適用により、セキュリティ チームに大きな盲点が生じます。
• コンプライアンスは容易になるどころか、ますます困難になっています。新しい規制、AI 使用ルール、マルチクラウド データ レジデンシー法によって、継続的なガバナンスが交渉の余地のない優先事項になっています。

統合プラットフォームはクラウド セキュリティの未来です。予防第一のAIを活用したソリューションにツールを統合することが、リスクの軽減、検出の改善、保護の拡張の鍵となります。

2025年に注目すべきクラウドセキュリティの11の課題

以下に、2025 年に認識すべきクラウド セキュリティの主な課題を示します。 これらの課題を理解し、その影響を軽減する方法を理解することは、ますます高度化する脅威から複雑で断片化された環境を保護できる強力なクラウド セキュリティ戦略を開発する鍵となります。

#1. クラウドの設定ミス

クラウドの構成ミスは主要なクラウド セキュリティ リスクの 1 つであり、攻撃者に機密リソースへのアクセスを簡単に悪用されてしまいます。 複雑なクラウド デプロイメントが、それぞれ独自の設定を持つさまざまなサービス プロバイダーに依存しているため、クラウドの構成ミスによるセキュリティ ギャップをこれまで以上に見逃しやすくなっています。

過度に許可された IAM ロール、パブリック ストレージ バケット、無効な暗号化、その他のクラウドの誤った構成など、クラウド サービスのセットアップと管理における間違いは、最大の課題の 1 つです。

#2. APIセキュリティ

API は、さまざまなサービス、アプリケーション、プラットフォーム間の通信を可能にする、最新のクラウド環境における重要なコネクタです。ハイブリッドおよびマルチクラウド環境が複雑になるにつれて、その使用は増加するばかりです。

これにより、安全でないクラウド API が発生する可能性も高まり、開発チームが機能とセキュリティ制御を適切にテストせずにソフトウェアを誤って導入する可能性も高まります。

安全でないクラウド API の例は次のとおりです。

• 不十分な認証方法
• 過剰な権限
• 検証されていない入力

これらはすべて、機密データを公開したり、不正なアクションを許可したり、API 機能を悪用したり、サービスを中断したりする可能性があります。さらに、安全でないクラウド API が 1 つでも多くのシステムとやり取りし、大規模なデータ侵害につながる可能性があります。

一般的に、現在のアプリケーション層のセキュリティ制御は時代遅れであり、API 脅威の検出が不十分になっています。 

チェック・ポイント クラウド セキュリティ レポートのデータによると、組織の 61% が依然として、主要な防御策としてシグネチャ ベースの脅威検出を備えた Web アプリケーション ファイアウォール (WAF) に依存しています。 現代の脅威の回避的な性質を考えると、より洗練された攻撃ベクトルを捕捉するには、AI と ML の動作分析を導入することが必須です。

#3. AI導入のリスク

GenAI ツールとクラウド オペレーションの迅速な統合により、刺激的な新しい機会が生まれます。しかし、AI 駆動型システムでは、膨大なデータセットへのアクセスが必要になることが多く、データセキュリティとコンプライアンスの課題が生じます。

たとえば、レポートによると、2024 年には AI 駆動型ツールへのアクセスによる API セキュリティの脆弱性が驚異的な 1205% 増加しました。AI 搭載 API の半分以上 (57%) は外部からのアクセスが可能で、89% は適切な認証手段を実装していません。

新しい AI テクノロジーにより、企業は業務を変革できますが、セキュリティ上の影響を適切に考慮せずにこれらのツールを導入している企業が非常に多くあります。

#4. AIによる脅威

組織内での AI ツールの使用によって新たなリスクが生じるのと同様に、サイバー犯罪者による AI の使用も新たな脅威をもたらしています。チェック・ポイントの 2025 年クラウド セキュリティ レポートでは次のことがわかりました。

• 68%の組織がAIをセキュリティ上の優先事項として挙げている
• 自動回避やマルウェアなどのAIによる脅威に対抗する能力に自信があると答えたのはわずか25％だった。

AI により、サイバー犯罪グループはクラウド環境に対する攻撃を拡大および自動化できるようになり、攻撃の高度化と量の増加が加速します。たとえば、クラウドの誤った構成や安全でない API をスキャンして、弱点を迅速に特定します。

あるいは、AI を使用して、より説得力のあるソーシャル エンジニアリング攻撃や、受信者ごとにパーソナライズされたフィッシング メッセージを作成することもできます。

＃5。脅威を特定できない検出ツール

脅威の検出に使用される多くのクラウド セキュリティ ソリューションは、必要なパフォーマンスとカバレッジを提供できません。 チェック・ポイントの 2025 年クラウドセキュリティ レポートのデータでは、次のことがわかりました。

• セキュリティ監視ツールを使って検出されたインシデントはわずか35%でした
• 残りは従業員、監査、第三者によって特定された。

これは、組織がクラウド監視ツールからより高い投資収益率を得て、セキュリティ インシデントの影響を最小限に抑えるリアルタイムの脅威検出機能を確実に利用する必要があることを示しています。これには以下が含まれます:

• クラウド監視のベストプラクティスに従ったツール
• 断片化されたクラウド環境全体に可視性を提供
• 高度な分析に基づく検出メカニズム

#6. Alert Fatigue

クラウド セキュリティ ツールに関するもう 1 つの問題は、ツールが生成する誤検知の数であり、これがアラート疲れとセキュリティ チームの労力の無駄につながります。 組織が使用するツールの数は、長年にわたって大幅に増加しています。

• 組織の71%が、システムを監視するために10以上のクラウドセキュリティツールを活用しています。
• 16%の組織が50以上のツールを保有

これらのツールを組み合わせると、かなりの数のアラートが生成されます。調査によると、組織の 45% で 1 日に 500 件を超えるアラートが発生しています。確認すべきアラートが多すぎるため、セキュリティ チームは圧倒され、何を優先すべきか分からなくなってしまいます。これにより、対応時間が短縮され、インシデント対応の実践が不十分になることがよくあります。

#7. 応答時間が遅い

過去 1 年間にクラウド セキュリティ インシデントを経験した組織の 65% のうち、1 時間以内にインシデントを検出した組織はわずか 9%、1 時間以内に問題を解決した組織はわずか 6% でした。 脅威の修復に 62% が 24 時間以上かかりました。

これは、脅威の検出とインシデント対応における重大な失敗を示しており、侵入者が長期間にわたって検知されないままクラウド環境へのアクセスを取得し、さらに拡大することを可能にしています。

多くの組織では、クラウド固有の脅威に対処するための適切な脅威検出ツールと明確に定義された対応プレイブックが不足しています。影響を受ける資産の特定、関係者への通知、または乗っ取られたクラウド アカウントの封じ込めが遅れると、軽微な侵入が本格的なクラウド データ侵害に発展する可能性があります。

#8. クラウドのアイデンティティとアクセスの悪用

クラウド サービスと SaaS により、ユーザーはデータとアプリケーションにさらにアクセスしやすくなります。

これにより、ユーザー ID を証明し、クラウド環境全体でアクセスを管理する方法に大きな焦点が当てられます。脆弱なIAM は2025 年においても引き続きクラウド セキュリティの最大の課題の 1 つであり、過剰な権限を持つアカウント、貧弱なパスワード衛生状態、多要素認証(MFA) の欠如、その他の問題によりクラウド データ侵害のリスクが増大します。

もう 1 つの問題は、侵入者が不正アクセスした場合に、侵害されたアカウントを封じ込め、横方向の移動を制限することです。データによれば、ラテラルクラウドトラフィックを適切に可視化している組織はわずか 17% です。

このセキュリティギャップにより、境界を突破した攻撃者はクラウド環境内を検知されずに移動できるようになります。

#9. 断片化された環境における可視性

組織がマルチクラウドおよびハイブリッド戦略を採用するにつれて、包括的な可視性を維持することがますます難しくなります。各プロバイダーは独自の監視およびログ記録ツールを提供しています。ネットワーク全体を監視する統合セキュリティ プラットフォームがなければ、クラウドの誤った構成やセキュリティ ポリシー違反を隠すサイロが作成される可能性があります。

この断片化されたビューは、クラウド監視のベストプラクティスを妨げ、脅威の検出を遅らせます。

＃10。シャドウクラウドアセット

未承認または忘れられたクラウド リソースは、重大なシャドウ ITクラウド セキュリティ リスクを引き起こします。 シャドー IT とは、社内のセキュリティ チームによって検証および管理されていないクラウド サービスの使用を指します。

これらのシャドウ資産では、頻繁に構成ミスが発生したり、堅牢な IAM クラウド セキュリティ ポリシーが欠如したり、可視性やコンプライアンスの監視が不十分になったりします。 攻撃者は、システムへのエントリ ポイントとして悪用したり、保護されていない機密データを公開したりするために、シャドー IT を積極的に探しています。

＃11。クラウドコンプライアンスとデータガバナンス

データのプライバシーとセキュリティに関する規制要件は世界的に拡大しており、マルチクラウドのコンプライアンスは変化する目標となっています。

組織はデータを保護するだけでなく、さまざまな規則を持つ管轄区域全体でデータを保護し続けていることを証明する必要があります。クラウド環境で適切なデータ ガバナンスを維持できないと、罰金や評判の失墜を招き、ビジネスの損失につながる可能性があります。

クラウド コンプライアンスの課題は次のとおりです。

• データの所在地の追跡
• 暗号化の強制
• パブリック、プライベート、ハイブリッドクラウドにわたるアクセス監査

組織には、コンプライアンスが継続的かつ検証可能であることを保証するための強力なガバナンス フレームワークが必要です。

将来のクラウドセキュリティのトレンド

残念ながら、クラウド セキュリティの世界は決して静止することがなく、次に何が起こるかを常に知る必要があります。 将来のクラウド セキュリティのトレンドを理解することは、今後の課題とそれに対抗するためのベスト プラクティスを特定するのに役立ちます。 注目すべき傾向は次のとおりです。

• 量子コンピューティングの潜在的な脅威と、将来を見据えたクラウド データ セキュリティのための強化された暗号化標準の必要性。
• サイバーセキュリティ全体でメッシュ アーキテクチャを使用し、分散型クラウド環境を保護するために分散型アプローチを採用します。
• データのプライバシーを維持しながらAI ツールを活用するためのコンプライアンス フレームワーク。

クラウド セキュリティ ポスチャー管理（CSPM）次世代テクノロジーを活用し、時間の経過とともに改善および適応するツール。