クラウドのセキュリティ確保は自動化にポイント–Datadog報告書

今回は「クラウドのセキュリティ確保は自動化にポイント–Datadog報告書」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Datadog Japanは6月4日、DevSecOpsに関するレポート「State of DevSecOps 2024」を発表した。クラウドのアプリケーションやインフラのセキュリティ状況などを分析したもので、レポートではセキュリティ強化のポイントも指摘している。

 このレポートは、2024年2~4月に同社が収集したクラウドのアプリケーションやインフラに関するデータを独自に分析している。同日のメディア向けに説明したシニアデベロッパーアドボケイトの萩野たいじ氏は、「コードを安全かつ迅速に配布することの難しさや脆弱(ぜいじゃく)性の侵害リスクなどが顕在化し、DevSecOpsの採用が期待されている。インフラストラクチャーアズコード(IaC)による自動化やクラウド環境の安全性などを独自に評価した」と述べた。

 同社の分析によると、クラウド環境で利用される言語の中でセキュリティリスクが最も高いのはJavaだった。これは、Javaで開発されるアプリケーションが多いことが背景にあり、脆弱性を内包したサードパーティーのライブラリーなどを含んでいるためだとする。「脆弱性や高リスクの問題を抱えている言語は平均47%だったが、Javaでは90%に上る」(萩野氏)

 Javaに影響をもたらすサードパーティーの脆弱性では、63%が間接的な依存関係で、37%が直接的な依存関係にあった。脆弱性の多くは、リモートからのコード実行につながるなどのクリティカルなものという。萩野氏は、依存関係の状態などを頻繁に確認する必要があると指摘した。

 また、サイバー攻撃者は、スキャナーを使って攻撃を実行するために脆弱性を抱えたシステムを自動的に探索する行為を大規模に繰り返しているとする。実際に悪用につながりかねない脆弱性が見つかってしまう割合は0.0065%で、大半は実質的に無害であり管理者側には“ノイズ”程度というものだそうだが、管理者はウェブアプリケーションファイアウォール(WAF)などを活用して、こうしたリスクの低減に努めることが望ましいという。

 インフラ側では、コンテナーのイメージのサイズが小さいほどクリティカルや高リスクの脆弱性を内包する危険性が低く、100MB未満では平均して10件以下、500MB以上では80件近くあった。これは、コンテナーがコンパクトであるほど、それに含まれるサードパーティーのライブラリーなどが少ないからになる。

 IaCツールの利用状況は、Amazon Web Services(AWS)での上位は「Terraform」や「CloudFormation」、Google CloudではIaCツールの未利用が最多だったが、利用している中ではTerraformと「Google Deployment Manager」が大半を占めていた。なお、Microsoftの「Azure」についてはログなどからツールデータを把握するのが難しいとして、レポートでは分析を行っていない。

 萩野氏は、IaCツールについて継続的なインテグレーション/デリバリー(CI/CD)のパイプラインに基づき設定などの多くの作業を自動化できるメリットがある説く。しかし、同社のレポートからはIaCの活用がまだそれほど進んでいない状況が判明し、セキュリティ強化の観点からもIaCの活用が望ましいとしている。

 また、AWSユーザーかつ「GitHub Actions」を使用している組織での認証の状況では、「OpenID Connect」(OIDC)のみの利用が37%、アイデンティティーおよびアクセス管理(IAM)のみの利用が42%、両方の利用が21%だった。萩野氏は、「認証情報の利用は短い時間であることが望ましいが、実際には63%がIAMを利用しており、認証情報を長く使用している実態がある」と指摘する。

 これらの結果から同社は、アプリケーションの実装方法だけでなく運用環境でのデプロイや実行でも安全を確保することや、最新のDevOpsのベストプラクティスを採用してセキュリティの強化を推進すること、セキュリティリスクの可視化はもとより正しいコンテキストと優先順位でもって的確に対応することが必要だとアドバイスする。

 クラウド環境のセキュリティを向上するための自動化にも改善の余地があり、セキュリティ部門と開発部門が密接に連携してDevSecOpsの適用を拡大する必要性が高まっているとしている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
SpaceXの衛星ネットサービス「Starlink」、予約受付を開始
IT関連
2021-02-16 06:38
“相互通信無し”で人やドローンとぶつからないドローン 回避の仕組みは :Innovative Tech
トップニュース
2021-03-12 20:55
NVIDIA、暗号通貨マイニング専用プロセッサ「CMP」 「RTX 3060」のマイニング効率には制限
製品動向
2021-02-20 21:56
Google Cloud、インテルと共同開発したASIC「Infrastructure Processing Unit(IPU)」採用を発表。FPGAベースのSoCでサーバ本体の処理をオフロード
Google Cloud
2022-10-17 04:05
観客1万人がマスクを着ければ新規感染者は1桁? スパコン「富岳」で五輪観戦をシミュレーション
ネットトピック
2021-07-07 19:06
学費出世払い方式のプログラミングスクール「Microverse」、世界188カ国の生徒が参加
EdTech
2021-07-04 12:33
HPE、ラスベガスのSphereで初の基調講演–写真で見る、AI時代のITインフラ
IT関連
2024-06-26 10:22
GoogleのFitbit買収が完了 日本の公取委も承認
企業・業界動向
2021-01-17 21:14
弁護士ドットコム、AI搭載型の「企業法務向け書籍検索サービス」を提供開始
IT関連
2023-12-17 17:46
広帯域で柔軟なクラウド接続を閉域網で実現–IIJが新たな接続サービス
IT関連
2022-06-17 22:07
SFチックな工場向け無人搬送ロボ 東大発AIベンチャーが開発
企業・業界動向
2021-06-17 02:04
業務の自動化が進むAI時代に人は創造的な仕事へシフトしていけるのか
IT関連
2024-06-14 19:13
凸版印刷、ファンマーケティングを一括支援–ロイヤルティー向上と売上基盤構築へ
IT関連
2022-01-28 16:30
IT担当者の「燃え尽き」や「アラート疲れ」、AIによってどう防ぐか
IT関連
2024-04-23 08:23