[調査] クラウドネイティブ企業はセキュリティ維持に苦戦

セキュリティ企業Snykは5月初旬、クラウドネイティブ技術への移行によって生じるセキュリティ問題を懸念している企業が約60％あり、あまり懸念していない企業の4倍に上るという調査レポートを発表した。 Snyk は、「クラウド ネイティブ アプリケーション セキュリティの現状」レポートで、これらの企業の懸念は個人的な経験に基づいている可能性があると指摘しました。企業の 56% 以上が、構成ミスやパッチ未適用の脆弱性が原因でセキュリティ インシデントに遭遇したと述べています。

[[399824]]

Snykの創設者兼社長であるガイ・ポジャーニー氏は、これら2種類の事件は、これらの企業がクラウドに移行した後にセキュリティを緩めたことを意味するものではないと述べた。彼らは実際に、より多くのセキュリティ問題を検出し、ほとんどの場合、迅速に軽減しています。

「環境がより複雑で混沌としているため、セキュリティ インシデントは増加していますが、これらの企業は、これらが重点を置くべき領域であることを正しく認識しているため、彼らの懸念は実際の脅威と非常に一致しています。それは、私がセキュリティ衛生と呼んでいるもの、つまりドアをロックダウンすることに関するものです。」

COVID-19パンデミックの期間中、リモートアクセス可能なインフラストラクチャを拡張する必要性から、企業はデジタル変革を加速させ、多くの企業が過去1年間で初期の計画段階からクラウドインフラストラクチャの立ち上げへと移行しました。

これらの企業は、リモートからアクセスできるオンプレミスのアプリケーションやシステムを使用する代わりに、クラウドネイティブのアプリケーションとインフラストラクチャに直接移行しています。クラウド ネイティブ テクノロジーは、コンテナー、マイクロサービス、API などのクラウドベースのインフラストラクチャを使用してビジネスのスケーラビリティと俊敏性を向上させ、データと変革の鍵となります。

Snyk のレポートによると、クラウド導入率が高い企業は、ビジネスおよび開発プロセスの多くをまだクラウドに移行していない企業よりも、特定の種類のセキュリティ インシデントを経験する可能性が高いことが示されています。クラウドの導入率が高い企業が経験する可能性が高いセキュリティ インシデントの種類は次のとおりです。

• 構成ミス（50%）、既知の未修正の脆弱性（45%）、監査の失敗（21%）、秘密の侵害（18%）。
• クラウドの導入率が低い企業では、マルウェアに遭遇した可能性（14%）が高く、セキュリティ インシデントをまったく検出していない可能性（21%）も高くなっています。

「クラウドネイティブ技術の導入により、企業のアプリケーションセット全体のセキュリティ体制が間違いなく変化するだろう」とSnykはレポートで述べている。 「すべての新興エコシステムと同様に、コアとなるセキュリティ原則は同じままですが、ベストプラクティスはまだ決定されておらず、チームは不慣れな環境を進むにつれて、新たなセキュリティ上の懸念を抱くようになっています。」

企業だけでなく、攻撃者もクラウド テクノロジーに注目しています。クラウド アプリケーション サービス プロバイダーの Netskope の最近のレポートによると、ストレージ、クラウド メール サービス、ソフトウェア ダウンロード サービスなどのクラウド アプリケーションからのマルウェアは 2021 年第 1 四半期に 3 分の 1 近く増加し、その四半期のマルウェア ダウンロード全体の 62% を占めました。これは、昨年の同時期と比較してマルウェアのダウンロードが 48% 増加したことを意味します。

Web からダウンロードされたマルウェアのほとんどは実行可能ファイルでしたが、クラウド アプリからダウンロードされたマルウェアはより多様で、実行可能ファイルとアーカイブがそれぞれ全体の約 4 分の 1 を占め、Office ドキュメントが約 16% を占めました。

Netskope のレポートでは、「クラウド アプリケーションは、サイバー犯罪者がマルウェアを配信するための一般的なチャネルになっている。これは、クラウド アプリケーションの普及の結果である。被害者がどこへ行っても、サイバー犯罪者はそれに従うのだ」と述べられている。

Snyk は、クラウドネイティブ技術の採用が増えるほど安全性が低下するとは結論付けていません。むしろ、クラウドネイティブ技術を多く採用する企業は可視性が向上するため、セキュリティ インシデントに対する認識が高まっていると結論付けています。開発パイプラインを完全に自動化している企業は全体の 3 分の 1 にすぎませんが、クラウド ネイティブ企業の 42% は完全な自動化に向けて進んでいます。

「レポートのデータは、クラウド導入率の高いチームは確かに自動化が進んでおり、重大な問題をはるかに短時間で発見して修正する可能性が高いことを示唆している」とポジャーニー氏は述べた。 「彼らの懸念は、従業員に権限を与え、独立したチームで作業するという新たな現実を中心に展開しています。その場合、エラーの可能性は高くなりますが、応答時間は依然としてはるかに速くなります。」

ポジャーニー氏は、興味深い発見は、開発者はセキュリティの責任を引き受けることに積極的である一方、セキュリティチームはその責任を放棄する用意があることだと述べた。開発者の 36% がセキュリティの責任を負っていると主張していますが、セキュリティの責任を IT セキュリティ チームに負わせているのはわずか 13% です。しかし、セキュリティ担当者のうち、セキュリティを開発者に委任しているのはわずか 10% で、31% は依然としてセキュリティ チームに責任を割り当てています。

調査の回答者の両グループの大多数 (開発者の 31%、セキュリティ スタッフの 33%) は、セキュリティは DevOps チームまたは DevSecOps チームの責任であると考えています。

ポドジャルニー氏は、重要なのは誰がこれらの問題を解決する準備ができているかだと述べた。

「開発者はセキュリティを気にしていないと考える懐疑論者は常にいますが、データによると、開発者はセキュリティの責任を負いたいという気持ちが強いことが示されています。企業にはスキャン技術がありますが、それを実行するのは開発者であり、セキュリティチームはそれを手放す必要があります。」