アタックサーフェスの拡大で高まるDevSecOpsの重要性
今回は「アタックサーフェスの拡大で高まるDevSecOpsの重要性」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
Cisco Systems傘下のAppDynamicsの調査レポート「The shift to a security approach for the full application stack」(「アプリケーションスタック全体に対するセキュリティアプローチの変化」)によると、組織の技術者らは、アタックサーフェスの拡大に伴う課題の増加に直面しており、ソフトウェアスタック全体に影響を及ぼす多層型のサイバー攻撃に対して脆弱であると感じている。そして新型コロナウイルス感染症(COVID-19)のパンデミックの中、技術者の92%が性急にイノベーションを目指すとともに、絶えず変化する顧客のニーズに応えるようとする結果、アプリケーションのセキュリティがしわ寄せを受けていると認めている。
同レポートの調査は、オーストラリアやインド、日本、ドイツ、英国、米国を含む13の市場で活動する、売上高が5億ドル(約660億円)以上の企業(ただしコロンビアは売上高が1億ドル(約130億円)以上の企業)の技術者1150人を対象に実施されたものだ。
それによると、回答者の78%は、自社のソフトウェアスタック全体に影響を与えるような多段階型のセキュリティ攻撃が発生した場合、自社業務が影響を受けるという脆弱な状態が向こう12カ月は続くと考えているという。そして89%は、2年前に比べるとアタックサーフェスが拡大しており、46%はこれによって既により多くの課題に直面していると回答している。
また、アタックサーフェスが拡大した主な原因として、59%はIoTやコネクテッドデバイスの利用増加を、56%はクラウド採用の加速を、51%は急速なデジタル変革の展開を挙げている。
そして大多数となる88%は、ソフトウェアのライフサイクル全体を通じたかたちで、モダンアプリケーションをセキュアにするために実行できることがまだあると認めている。しかし、81%はソフトウェアセキュリティにまつわるスキルとリソースの不十分さが組織の課題だと述べ、78%がアプリケーション開発チームとセキュリティチームの間でビジョンが共有されていない結果、向こう12カ月はソフトウェアセキュリティに関する課題に直面するとしている。
回答者らは、2023年に遭遇するであろう、ソフトウェアのセキュリティに関するさまざまな課題を指摘した。こういった課題の中には、アタックサーフェスや脆弱性の可視化、機密データの特定と保護、深刻度と業務上のコンテキストを勘案した上での脅威の優先順位付けが含まれている。
AppDynamicsのバイスプレジデント兼最高マーケティング責任者(CMO)であるEric Schou氏は同社ブログに「マルチクラウド環境が広く普及し、ローコード/ノーコードプラットフォームが利用可能になったことで、開発者はリリースのペースを加速させ、今までよりも多くのプラットフォームをまたがるよりダイナミックなアプリケーションを構築できるようになった。とは言うものの、さまざまなプラットフォームとオンプレミスのデータベースが混在する環境でアプリケーションコンポーネントが動作するようになった結果、可視性のギャップがあらわになるとともに、セキュリティまわりのリスクが劇的に増大している」と記している。