一味違うクラウドネイティブ セキュリティ情勢レポート

Aug 16, 2024
1 minutes
... views

This post is also available in: English (英語) 简体中文 (簡体中国語) 繁體中文 (繁体中国語) 한국어 (韓国語)

筆者のように、何種類もの「〇〇情勢」レポートを追い続けることに疲弊気味の方もおられるでしょう。サイバーセキュリティ分野だけでも、SBOMやオープン ソースなど多種多様な情勢レポートが公開されています。弊社の「2024年版クラウドネイティブ セキュリティ情勢レポート」もその1つです。

それでも各レポートには、調査対象のエコシステムの動向に関する興味深い調査結果や考察が豊富に含まれます。その点は弊社のレポートも同じです。クラウド投資が多くの企業で急増しており、場合によっては年間1,000万ドル超をクラウド サービスに投じる例もあります。そうした企業に属する方であれば、少なくとも本レポートによって自社だけの問題ではないと安心できるはずです。

まずは、信憑性についてご説明します。面白味はありませんが、必要なことです。

「2024年版クラウドネイティブ セキュリティ情勢レポート」には、10ヶ国2,800名超の回答者から得た調査データが含まれます。事業規模は中小企業から大企業まで様々です。調査対象者には開発部門、IT部門、セキュリティ部門の幹部と実務者がバランスよく含まれます。ありふれた記述が続くと読者の皆様も退屈してしまうと思いますので、それでは本題に入りましょう。

AIに対する愛憎

何らかの形でコーディングを行う方なら、次のようなプロンプトを既に試しているはずです。

“私はTerraformプロジェクトに関与しており、次の要件に従ってAWS EC2インスタンスをプロビジョニングする必要があります: 種類を‘t2.micro’、リージョンを‘us-east-1’とし、‘Name’タグに‘MyInstance’を、‘Environment’タグに‘Development’を値として指定すること。このリソースを定義するTerraformコード スニペットを出力してください。”

(The New Stackの素晴らしい記事から引用)

動くかもしれない何かを出力するには非常に効果的なプロンプトですが、それで終わりではありません。コード生成能力は開発者にとってロケット燃料のようなもので、開発者を正しく行動させるための動機付けのあり方に直接影響を及ぼします。競争力のある新機能の市場投入時間が結果を左右するように、時間は重要な因子だからです。

市場に存在する各種コパイロットなどのAI支援アプリケーション開発(およびAI支援アプリケーション セキュリティ)を100%の回答者が導入する一方で、AI生成コードに関するセキュリティ リスクを多くの回答者が懸念していることは驚きではありません。AI、特にパブリックLLMは「ゴミを入れればゴミが出てくる」機械です。安全なコードのサンプルはパブリック ドメインでは滅多に見つかりません。開発者がAIに依存することで、本来よりも多くの危険なデフォルト設定を不注意でコードに取り込むことを業界は強く懸念しています。

リスクが認識されているにもかかわらず、AI支援ツールの導入率が100%に達した事実は、さらに高速化するイノベーションとセキュリティのバランスを(追加で)監視する必要性を示唆するものです。

AIとの関わりはこれで終わりではありません。昨年のクラウドネイティブ エコシステムに対する攻撃の増加を受け、調査に回答したセキュリティ専門家の約半数が、AIを用いたサプライ チェーン攻撃の増加を懸念しています。従来の検出手法を回避する攻撃の出現を予期する回答者もほぼ同数でした。

AIはイノベーションの原動力でも潜在的な攻撃ベクトルでもあります。この認知的不協和を理解する企業は、強固なセキュリティ対策を施した上でAIの利点を追求するバランスの必要性を強調しています。

企業データの所在

AIの支援を受けているか否かは未解明ですが、データ侵害は増加傾向にあり、著しく増加したとの回答は60%を超えます。加えて、長期間検出されない可能性がある持続的標的型攻撃(APT)やステルス型攻撃の増加を45%の組織が報告しています。対策には予防的な監視と高度な検出・レスポンス機能に加えて、クラウド環境の強固なデータ セキュリティ手段が欠かせません。

データは重要資産です。DoS攻撃(ランサムウェアを含む)は依然として重大な脅威ですが、攻撃活動の多くはクラウドネイティブの城壁の中に保管されたデータを狙います。

防御側はこれまで以上に高い壁を築き、扉にドラゴンを配置し、衛兵を2倍にし、城全体の監視を洗練させていますが、実のところ、財宝の所在を知らないことが少なくありません。

信じがたい数字かもしれませんが、現在でも50%の組織がクラウド環境の機密データの特定と分類を手動レビューに頼っています。管理対象サービスの既知データ以外にも、クラウドの視界外に未管理データ ソリューションやシャドー データが存在することを考えれば、現代的なソリューションの必要性は明白です。PII (個人を識別可能な情報)をキャッシュする単純なコンテナ化データベースがKubernetesクラスタに隠れている場合、検出と分類が必要になりますが、こうした「知らないことを知らない」資産を検出してセキュリティを確保するには自動化に頼るしかありません。

「知らないことを知っている」の一例が、困難を前提とした社内ソリューションへのAI導入です。この活動により、モデルとサービスの訓練と提供に用いるデータへのアクセス制限など、データ セキュリティの新たな課題が生じます。加えて、デプロイしたAI支援アプリのインベントリの構築と監視も必要になります。

これは顧客データ/資産に限った話ではありません。シークレット管理に苦戦する組織は38%のみですが、この1年でシークレットの問題が増加した回答者は43%で前者を上回ります。

ツールで解決

CISOシリーズ「スーパー サイバーセキュリティ フライデー」は筆者が心からおすすめする、視聴者参加型のイベントです。サイバーセキュリティの専門家を相手に興味深いインタビューを行うもので、特に「バッド アイデア」のコーナーでは、テーマ課題に対する最悪の解決策をリスナーから募集します。見出しの「ツールで解決」は、このコーナーに対する皮肉を含んだ回答です。

調査対象組織が使用するクラウド セキュリティ ツールは平均16個に達しますが、90%の回答者は使用するポイント ツールの無秩序な増加がセキュリティの死角を生むと答えました。この状況に陥ると、リスクに優先順位を付けて攻撃によるセキュリティの有効性低下を防ぐことが難しくなります。

ですが、皮肉はこれだけではありません。攻撃が成功する可能性が最も高い脆弱性と設定ミスを自動で特定し、「その上」、早急な是正手順を提示するソリューションが必要との意見に、調査対象のセキュリティ専門家のほぼ全員が同意したのです。ひょっとすると、回答者にはCNAPPが必要かもしれません。

脅威について話そう。SecOpsとDevOpsの今後について話そう。

DevSecOpsはいつ実現するでしょうか? 筆者は2037年12月に100ドルの新札を賭けます。未だにDevOpsの80%超がセキュリティを阻害要因と見なしているように、SecOpsとDevOpsに関しては「連携が相乗効果を生む」ストーリーはまだ始まっていません。現実問題として、セキュリティ部門の役割は門番です。阻害要因になることが求められる必要悪です。阻害の問題はどちらかと言えば開発環境へのセキュリティ統合手法に起因しますが、開発部門の考え方が理想ほど合理的でないことも原因の一部を占めます。

対立する両部門で共感が不足しています。セキュリティ チームの90%超が、開発部門はとにかく安全なコードを生産すべきだと考えています。それで問題が解決するでしょうか。現実には、成功の鍵は両者の間にあります。AIがDevSecOpsの実現に大きく貢献するか、あるいは開発スピードの大幅な向上を通じて問題を悪化させるかは興味深い問いです。

今後の見通し

本レポートは、クラウドネイティブ セキュリティの複雑さに対処する組織のセキュリティ体制強化に貢献する、有益な助言を提供します:

  • クラウド移行プロジェクトの初期段階からセキュリティを優先し、総合的な戦略の中に組み込むことで、脆弱性、データ侵害、コンプライアンス違反によるペナルティを防止します。
  • クラウド サービス市場が複雑かつ多様であることを念頭に、ツールとベンダーを徹底的に調査し、自社のニーズ、予算、戦略目標に最適な選択肢を見極めます。
  • 開発部門とセキュリティ部門の連携を促進し、優先事項のすり合わせとプロセスの合理化を進めることで、対立を緩和し効率的で安全なアプリケーション開発を実現します。
  • クラウドネイティブ アプリケーションに含まれるリソースとデータの無秩序な増加は重大な課題です。手作業から脱却し現代化を進めることが、組織規模に関係なく重要な取組みです。
  • クラウドによるデジタル環境の再構築が続く中で、セキュリティ戦略に従って警戒と予防を維持することが組織には求められます。サイバー防御を強化しながらイノベーションを導入することで、クラウドネイティブ時代の複雑性に対処しつつ成長と変革の潜在能力を最大限引き出せます。

次のステップ

2024年版クラウドネイティブ セキュリティ情勢レポート」は、ありふれた「情勢レポート」ではありません。ダウンロードして詳細をお確かめください。

Subscribe to Cloud Native Security Blogs!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.