クラウドネイティブアプリケーションを保護する方法

クラウド コンピューティングは、展開の流動性と自動化の向上という点で、非常に大きな機能をもたらします。クラウド テクノロジーの導入により、この分野でのアプリケーション開発専用に構築されたクラウド ネイティブ ツールが使用されるようになります。ただし、クラウドネイティブ ツールには、構成ミス、既知の脆弱性、漏洩した秘密情報などの微妙なセキュリティ問題が伴います。その結果、Snyk の最近のレポートによると、83% の組織がセキュリティをクラウド ネイティブ戦略にとって非常に重要であると考えています。

[[412187]]

Snyk のクラウド ネイティブ アプリケーション セキュリティ レポートでは、何百人もの IT プロフェッショナルを対象に、クラウド ネイティブ セキュリティに関する懸念について調査しました。以下では、レポートから最も重要な点を抜粋し、クラウドネイティブ アプリケーション セキュリティの最も一般的な問題領域を特定し、デプロイメントの自動化とアプリケーション セキュリティのより高いレベルとの間に相関関係があるかどうかを確認します。

クラウドネイティブへの移行

チームは、ソフトウェア主導のアーキテクチャとコードとしてのインフラストラクチャ (IaC) を使用して DevOps を強化するために、クラウド ネイティブ テクノロジーに注目しています。この新しいクラウドネイティブ パラダイムでは、運用ワークロードの 58% がコンテナーとしてデプロイされ、21% がサーバーレスになり、50% がデプロイ プロセスで何らかの形式の IaC を使用しています。

組織はさまざまな理由からクラウドネイティブ テクノロジーに注目しています。まず、コンテナ化されたソフトウェアは速度が向上します。調査によると、68% の組織が展開速度を上げるためにコンテナに移行しました。これに続いて、管理の容易さ（67%）とコストの削減（43%）が続きました。クラウドネイティブ ツールを導入するにはセキュリティも必須です。回答者の 36% は、実稼働アプリケーションをコンテナに移行する主な理由としてセキュリティを挙げています。

クラウドネイティブセキュリティの主な問題

コンテナ、Kubernetes、サーバーレス、IaC などのクラウドネイティブ テクノロジーは開発の高速化を可能にしますが、独自のセキュリティ上の懸念ももたらします。レポートによると、クラウド ネイティブ環境で最も一般的なインシデントの種類は、構成ミスと既知の未修正の脆弱性でした。実際、45% の組織が誤った構成によるインシデントを経験しており、続いて 38% の組織が既知の未修正の脆弱性によるインシデントを経験しています。

その他の一般的なクラウドネイティブ セキュリティ インシデントには、秘密の漏洩、監査の失敗、マルウェアなどがあります。興味深いことに、この調査では、クラウド ネイティブの導入率が高い組織では、内部者によるデータ侵害がより一般的であることも判明しました。報告書によると、クラウド コンピューティングを導入した組織の 38% が内部者によるデータ侵害を経験しているのに対し、クラウド導入が少ない組織ではその数は半分の 17% に減少しています。 API キーなどのシークレットは、特にクラウド ネイティブ ツールがより多くの依存関係を強制するため、慎重に管理する必要があります。 「このような成果物を効果的に管理することが、クラウド以前の集中化された時代との重要な差別化要因です。

自動セキュリティテスト

エンドツーエンドのデプロイメント自動化は有望ですが、ほとんどの開発チームにとってはまだ成熟の初期段階にあります。組織の 95% が何らかのデプロイメント自動化を使用していますが、完全に自動化されたデプロイメント パイプラインを備えている組織は約 3 分の 1 にすぎません。

自動化のレベルを高めた組織では、セキュリティ テストのレベルも高くなる傾向があります。レポートによると、高度に自動化されたパイプラインでは、開発ライフサイクル全体を通じてセキュリティ テストを使用する可能性が 2 倍高いことがわかりました。インシデントは多くの場合、誤った構成や既知の脆弱性によって引き起こされるため、自動スキャンは、運用コードを既知の脆弱性のデータベースと比較することで、多くのクラウドネイティブの問題を特定するのに役立ちます。

では、セキュリティ テストはいつ行われるのでしょうか?通常、これは CI/CD パイプラインで発生します。 60% 以上の組織が CI システムでセキュリティ テストを実行しています。これは、開発プロセスの早い段階でソース コード リポジトリやローカル IDE および CLI ツールをテストすることとは対照的です。テストの頻度に関しては、実装の範囲が広くなります。高度な展開自動化を備えたグループでは、70% が毎日またはより頻繁にセキュリティをテストしています。自動化されたセキュリティ テストはうまく機能しているようで、完全に自動化されたチームの 72% が 1 週間以内に重大な脆弱性を発見して修正しています。

このレポートでは、セキュリティ テストの所有権に関しても興味深い断絶が明らかになっています。セキュリティ エンジニアのうち、開発者がクラウド ネイティブ環境とアプリケーションのセキュリティに責任があると考えているのはごく一部 (10% 未満) ですが、開発者の 36% はセキュリティに責任があると答えています。これらの数字は、安全保障上の責任が開発へと向かっていることを示しているのかもしれない。あるいは、フルサイクル開発がより現実的になるにつれて態度が変化していることを浮き彫りにする可能性があります。いずれにせよ、難しい会話を避けるために、チームは役割を明確にする必要があります。

クラウドネイティブセキュリティ

クラウドネイティブ戦略への移行に伴い、誤った構成などの新たな問題に対処するために、セキュリティ標準も強化されています。アプリケーションに対する脅威の増大に対抗するために、自動化の強化がセキュリティの変革に役立っており、このレポートやその他のレポートは、完全に自動化されたデプロイメント パイプラインとセキュリティ テスト体制の強化との相関関係を明確に示しています。

クラウド ネイティブ ツールを導入した結果、組織の 58% で、クラウド ネイティブ ツールを導入して以来、セキュリティに関する懸念が高まっています。これには、内部向けと外部向けの両方のすべてのインフラストラクチャにわたってゼロトラスト アプローチを採用することが含まれます。レポートによると、組織の 58% が構成エラーについてますます懸念しており、52% が安全でない API についてますます懸念しており、43% が既知の未修正の脆弱性についてますます懸念しており、41% が機密漏洩について懸念していることが示されています。これらのベンチマークが、あなたの組織が他の組織とどのように比較されるかを理解するのに役立ちます。

Snyk のクラウド ネイティブ アプリケーション セキュリティの現状レポートでは、600 人の開発、セキュリティ、運用の専門家にクラウド ネイティブの導入とセキュリティの実践について質問しました。