クラウドネイティブ時代にアプリケーションを安全に保つために自動化が重要な理由

過去 1 年間で、長年にわたり実装されてきたテクノロジー ロードマップの実現が加速し、デジタル変革を加速する企業がますます増えています。調査会社マッキンゼーは、企業は現在、事業運営を調整する必要がある重大な局面に達していると述べた。マイクロサービス、コンテナ、Kubernetes に基づくマルチクラウド環境とクラウドネイティブ アーキテクチャの使用は、デジタル トランスフォーメーションの中核です。これらのアプローチは、DevOps チームがデジタルの俊敏性を高め、市場投入までの時間を短縮するのに役立つことは間違いありませんが、新たなアプリケーション セキュリティの課題も生み出し、深刻なリスクももたらします。

クラウド プラットフォームは、企業が DevOps ベースのデジタル変革計画を構築するための基盤です。クラウド コンピューティング環境により、コスト効率と IT の柔軟性が向上し、企業は変化する市場の需要に迅速に対応できるようになります。業界全体でより迅速なイノベーションの需要が高まるにつれ、企業はクラウドネイティブ アーキテクチャへの投資を増やしています。調査会社ガートナーは、2022年までに世界中の企業の4分の3がコンテナ化されたアプリケーションを本番環境で実行するようになると予測しており、これは2020年の30%未満から増加することになる。

コンテナとマイクロサービスは、アプリケーションの機能を、迅速に構築、テスト、展開できる、より管理しやすい部分に分割し、チームのイノベーションを加速します。クラウドネイティブ アーキテクチャは、企業に異なるプラットフォーム間でワークロードを移動する柔軟性も提供し、環境が常にニーズに適合していることを保証します。しかし、よりダイナミックなクラウドネイティブ時代には、新たな課題が伴います。 DevOps チームには、追加の複雑さの層を管理し、コードの脆弱性が露呈する前にそれを特定するために必要なツールやリソースがない可能性があります。

オープンソース ライブラリが広く使用されていることを考えると、これは特に大きな課題となります。これらのライブラリは、DevOps チームがすべてのコード行をゼロから記述する必要性をなくし、市場投入までの時間を短縮するのに役立ちます。しかし、それらには無数の脆弱性も含まれており、常に特定して排除する必要があります。変化だけが唯一の不変である動的なクラウドネイティブ環境では、これを実現するのは容易ではありません。

従来のツールは盲点を生む

研究機関による調査では他の問題も発見された。たとえば、調査では、最高情報セキュリティ責任者 (CISO) の 89% が、マイクロサービス、コンテナ、Kubernetes、マルチクラウド環境によって、従来のアプリケーション セキュリティ ソリューションでは検出できない盲点が生じていることを認めています。これらの従来のツールは、静的なインフラストラクチャとモノリシックなアプリケーションを特徴とする、異なる時代向けに設計されました。このような環境では、毎月のスキャンでほとんどの脆弱性を悪用される前に特定できます。現在、コンテナの寿命は時間や日数で測定されます。これらのツールは変化のペースに追いつくことができません。また、通常はコンテナ化されたアプリケーションの内部を見ることはできず、コード内の欠陥を見つけることもできません。その結果、2017 年の Equifax 侵害につながった Apache Struts ライブラリの欠陥など、十分に文書化された脆弱性であっても、数か月、あるいは数年にわたって検出を逃れる可能性があります。

同時に、最高情報セキュリティ責任者 (CISO) の 85% が、DevOps チームとアプリケーション チームが脆弱性管理に対してより直接的な責任を負うことを望んでいると述べています。それは何も悪いことではありません。実際、DevSecOps と「シフトレフト」セキュリティがリスクを軽減するための最良かつ最も費用対効果の高い方法であると多くの人が考えています。しかし、既存のツールやプロセスでは、手動スキャンを実行する時間がなく、セキュリティ責任を負うために必要なスキルが不足していることが多く、重大な脆弱性を迅速に検出する能力がないため、これらのチームには役立ちません。一部の DevOps チームでは、セキュリティ制御を完全に回避している一方、セキュリティ制御を実行すると市場投入までの時間が遅くなることを懸念して、セキュリティ チームとの連携を拒否するチームもあります。

その結果、実稼働環境に脆弱性がますます多く侵入することになります。調査では、最高情報セキュリティ責任者 (CISO) の 71% が、実稼働前にコードに脆弱性がないことを確信できていないと回答しました。

従来の方法はもはや機能しない

この調査では、従来のセキュリティ アプローチと手動による評価は、動的なクラウド ネイティブ環境ではもはや適切ではないという結果が強調されています。コンテナが数秒で実行され、マイクロサービス間の依存関係がクラウド プラットフォーム間の境界を越えて絶えず変化する場合には、リアルタイムの分析が重要です。従来の脆弱性スキャナーは、静的な特定時点のビューのみを提供し、潜在的なリスクと実際の露出を区別できないことがよくあります。その結果、アプリケーション セキュリティ チームと DevOps チームは毎月何千もの脆弱性アラートを受信することになり、その多くは誤検知です。

当然のことながら、最高情報セキュリティ責任者 (CISO) の 4 分の 3 (74%) は、このような脆弱性スキャン ツールは効果がないと考えています。これらの従来のツールは、コンテナ化された環境の急速な変化に対応できないだけでなく、ソフトウェア配信ライフサイクルの 1 つの段階のみに焦点を当てることで、DevSecOps への移行を遅らせます。コンテキストが不足していると、チームが適切なパッチを見つけて適用することが難しくなり、コードが展開されると、セキュリティ チームは脆弱性を迅速に見つけることができず、リスクを最小限に抑えることができません。大量の誤検知とアラートに加え、従来のツールによって提供されるコンテキストの欠如が組み合わさると、時間の大幅な浪費とアプリケーションのセキュリティ リスクの増大につながります。

自動化は将来の開発トレンドです

これらの課題を克服し、チーム メンバーの負担を軽減するには、企業はアプリケーションの脆弱性を自動的に識別できる必要があります。これは、DevOps チームによる構成や追加作業なしで実行時にテストを自動化できれば可能になります。

脆弱性データとランタイム環境に関する知識 (関連するコードがインターネットに公開されているかどうかなど) を組み合わせることで、DevSecOps チームは、問題の原因、性質、影響をリアルタイムで理解するために必要なすべてのコンテキストを取得できます。そうすることで、チームはリスクを効果的に軽減し、ビジネスのスピードに合わせてイノベーションを加速することができます。実際、最高情報セキュリティ責任者 (CISO) の 4 分の 3 以上 (77%) は、セキュリティを最新のクラウドネイティブ アプリケーション環境に追いつかせる唯一の方法は、手動による展開、構成、管理をこのより自動化されたアプローチに置き換えることだと述べています。これは、今日のクラウドネイティブの世界で企業が直面する脅威から企業を保護するために重要であるだけでなく、パンデミック後の時代にイノベーション主導の成長を推進することも可能になります。