IaaS、PaaS、SaaSは、ITのアジリティを向上し、コスト面でも大きなメリットをもたらしますが、特にIaaSやPaaSを利用する場合、組織がその環境のセキュリティを確保することは容易ではありません。多くの企業が複数のハイブリッドクラウドを管理^※4していることもあり、複雑さに拍車をかけています。設定ミスも多く発生しており、2021年におけるクラウドセキュリティのインシデントの最も多い原因^※5となっています。サイバー犯罪者は定期的にシステムの構成ミスをスキャン^※6して、侵入口を探しています。

多くの従業員が自宅で使用しているシステムは、十分に保護されていないことが懸念されています。従業員は、会社から支給されたノートパソコンにパッチを適用しなかったり、個人で所有しているデバイスを最新の状態で維持せずに、セキュリティを疎かにしたりしている場合もあります。2021に公開されたレポート^※7では、ITリーダーの45%が、プリンターのセキュリティが侵害され、さらなる攻撃に悪用されたことがあると報告しています。従業員の自宅の作業環境は、サイバー犯罪者にとって企業ネットワークを侵害するための魅力的な攻撃経路として悪用されるケースが増加しています^※8。そして、ハイブリッドワークが普及する中で、モバイルワーカーが公共のWi-Fiホットスポットや共有コンピュータを経由して企業のネットワークに接続するようになり、さらに脅威が高まっています。

リモートワークで使用されるデバイスが攻撃対象になることも多くありますが、デバイスの所有者も同様に標的となっています。マイクロソフトによると^※980%のセキュリティプロフェッショナルが、リモートワークへの移行が始まってから、セキュリティの脅威が増加した回答しています。また、これらの回答者の62%は、さまざまな脅威の中でフィッシング攻撃が最も増えたと述べています。在宅で勤務する従業員は、オフィスで勤務する従業員よりも注意力が散漫になり、リスクの高い行動をしてしまうことも多いことから、ソーシャルエンジニアリングの格好の標的になっています。フィッシングは、ランサムウェア、データ漏洩、またその他のセキュリティ侵害の起点になる恐れがあります。3分の1以上（35%）の企業が、従業員がセキュリティ対策を回避したり、無効化したりしていると回答しています。

リモートワークを行う従業員数が激増したことで、社外から社内のリソースにアクセスするための仮想プライベートネットワークやリモートデスクトッププロトコル（RDP）^※10などのツールの利用も急増しました。これらのツールを利用するときの課題は、パッチが適用されない、あるいは正しく設定されないことが多いことです。多要素認証によって保護が強化されているケースは少なく、多くのRDP アカウントは、簡単に予測される認証情報や漏洩した認証情報で保護されています。このため、攻撃者は正規のユーザーになりすまし、簡単に企業ネットワークにアクセスできるようになっています。RDP はランサムウェア攻撃で悪用される経路のトップ3に入っており、試行された攻撃回数^※11は、過去最高の45億件に達しています。⁽¹

サプライチェーンとは、パートナーやサプライヤーの物理的なエコシステムやデジタルエコシステムのいずれかを意味します。物理的な環境では、ネットワークにアクセスできる従業員や契約社員が騙されてパスワードを教えたり、泥棒にマシンを盗まれたりするリスクが後を絶ちません。ソフトウェアサプライチェーンでは、サイバー犯罪者が、ソフトウェアの開発、デプロイ、アップデートに使用されるメカニズムやツールがマルウェアによって汚染されることがあり、さらに大きな脅威となるケースがあります。IT管理ソフトウェアプロバイダであるKaseyaのセキュリティがランサムウェアグループ「REvil」によって侵害^※13され、Kaseyaのアクセス権限が悪用され、悪意のあるソフトウェアアップデートがMSP クライアントに配信される大規模なインシデントも発生しています。この攻撃では、1000社を超えるKaseyaの顧客が影響を受けました。もう一つの懸念はオープンソースのコードです。オープンソースのコードは、価値実現までの時間を短縮するためにDevOps チームによって広く使用されていますが、複雑なソフトウェアの依存関係があり管理が困難であり、新たなリスクをもたらす恐れがあります。5分の2以上（41%）の組織が、使用しているオープンソースソフトウェアのセキュリティに信頼を置いておらず、オープンソースの使用に関するセキュリティポリシーを確立している組織はわずか49%であることが報告^※14されています。