クラウドネイティブ・テクノロジーの複雑さと安全性

2023年8月4日 – 本社を米国に置き、グローバル市場調査とアドバイザリーを提供するフロスト・アンド・サリバン・ジャパン株式会社（東京都港区／以下、フロスト＆サリバン）は、「クラウドネイティブ・テクノロジーの複雑さと安全性（The Complexity and Insecurity of Cloud-native Technologies）」に関する調査レポートを発表いたしました。

企業がバックエンド・インフラや顧客向けアプリケーションを構築、運用、管理する方法を、クラウドネイティブ・テクノロジーが一変させました。しかし、その複雑さと脆弱性により、新たなセキュリティ脅威も生じています。

Infrastructure as Code（IaC）、サーバーレス・コンピューティングまたは Function as a Service（FaaS）、コンテナ、その他の継続的インテグレーションまたは継続的デプロイメント（CI/CD）ツールが、アプリケーション開発とクラウド・デプロイメントに使用されています。しかし、これらの技術はそれぞれ、ハッカーがクラウドシステムに侵入するために悪用する攻撃の手段となる可能性を持っています。

オープンソース・ソフトウェアを使用するメリットとして、ソースコードへのアクセス、コスト削減、柔軟性、カスタマイズ性、コミュニティ・サポート、最先端技術の利用可能性などが挙げられます。しかし依然として、アプリケーションの成果物はホスト・セキュリティやコード・インジェクション、認証情報の窃盗、コンテナ・イメージの脆弱性などのセキュリティ問題に対して脆弱であり、ビジネスを危険にさらす可能性があります。

現代のアプリケーション開発プロセスにおける、組織の最大の懸念事項のひとつは、秘密情報や認証情報の漏洩です。GitHub、SourceForge、Bitbucket、GitLabのようなパブリックリポジトリの利用が急増する中、コードリポジトリは秘密漏洩の最も重要な原因のひとつとなっており、ヒューマンエラーや設定ミスがアプリケーション開発プロセスにおける最も重大な脆弱性要因となっています。

組織は、クラウドネイティブ・アプリケーションのライフサイクル全体を通じて、クラウドインフラ、ワークロード、オープンソース・ソフトウェア、成果物、CI/CDパイプラインのすべてのリスクを最小限に抑えるために、セキュリティのシフトレフトに焦点を当ててセキュリティ保護を強化する必要があります。HubSpotとSegmentは、マーケティング、セールス、カスタマーサービス、オペレーション、コンテンツ管理、顧客データ管理プラットフォームなど、さまざまなビジネス機能ツールを提供するソフトウェアをメインで扱う企業です。両社は多くの顧客とそのデータを扱っており、ウェブアプリケーションと特権アクセスを持つユーザーアカウントセキュリティのシフトレフトに重点を置く必要があります。Gong、ZoomInfo、　Salsifyといった、最新のビジネスアプリケーションと他のビジネスソリューションとのAPI統合を提供する企業にとって、DevOpsワークフローにおける認証情報と機密情報の保護は非常に重要です。

CI/CDパイプラインのセキュリティから始まるセキュリティのシフトレフト

セキュリティのシフトレフトは、セキュアなソフトウェア開発ライフサイクルの不可欠な要素となっており、セキュリティ対策をできるだけ早い段階で開発プロセスに統合することを重視しています。CI/CDパイプラインのセキュリティもまた、　　DevOpsプロセスの重要な一部となっており、コードが開発され、リポジトリにコミットされると、アプリケーションのビルド、テスト、デプロイメントを自動化する。しかし、CI/CDパイプラインは、組織に深刻な影響をもたらす多くのセキュリティリスクに直面している。これには、安全でないコード、秘密情報や資格情報の暴露、　CI/CDパイプラインツールのセキュリティの誤設定、特権アクセス制御の欠如、オープンソース・ソフトウェアのセキュリティ（サプライチェーンセキュリティ）などが含まれます。

つまり、CI/CDパイプラインにセキュリティを組み込むことは不可欠であり、組織はDevSecOpsの概念と文化を受け入れる必要があるということです。CI/CDパイプラインのセキュリティのための主な技術には、ソース構成分析（SCA）、アプリケーションコードの脆弱性スキャニングのためのソースコードスキャニングによるセキュリティテスト（SAST）、機能テスト、アクセス制御、秘密管理、コンテナイメージの脆弱性スキャニングのためのレジストリスキャニング、ランタイムセキュリティのための動的アプリケーションセキュリティテスト（DAST）が含まれます。

オープン・ソース・ソフトウェアを利用することで、ソース・コードへのアクセス、コスト削減、柔軟性、カスタマイズ性、コミュニティによるサポート、最先端技術へのアクセスなど、多くのメリットを享受することができます。チェック・ポイントの CloudGuard は、すべての CI/CD ツールと統合することで、ビルド時の機密保護プロセスを自動化し、サプライ・チェーンのギャップを発見・監視して、CI/CD プロセス全体のリスク管理をサポートします。
まとめ：

● CI/CDパイプラインのセキュリティは、DevOpsプロセスの重要な一部であり、ソフトウェア　
　　開発ライフサイクルの各段階でセキュリティを組み込む必要があります。
● チェック・ポイント・テクノロジーズが提供するCloudGuardは、企業が抱えるコードから
　　クラウドに至るまでのセキュリティ問題に対処するための総合的なソリューションであり、
　　開発者に焦点を当てたエンドツーエンドのセキュリティを CI/CDパイプラインに提供することが
　　できます。
● 企業は、DevSecOpsプラクティスとテクノロジーを導入することで、セキュリティを向上させ
　　ながらコストを大幅に削減し、市場投入までの時間を短縮することができます。

英語原文：The Complexity and Insecurity of Cloud-native Technologies

本リリースの全文は、フロスト＆サリバンHPからもご覧いただけます。https://bit.ly/3DIbMIM

フロスト＆サリバンは、60年以上に渡り、フォーチュン1,000社、行政機関、投資家に向け、持続可能な成長戦略の策定をご支援してきました。経済情勢の変化に即応すると共に、破壊的技術を見出し、新たなビジネスモデルを立案することで、将来の成功へと導く革新的な成長機会を創り出します。

設立：2014年1月
沿革：2009年3月 日本支社「フロスト＆サリバン インターナショナル」設立
2014年1月 日本法人「フロスト＆サリバン ジャパン株式会社」設立
代表者：山村浩（代表取締役）
所在地：〒107-6123　東京都港区赤坂5丁目2番20号　赤坂パークビル23階
URL: https://frost.co.jp/

フロスト・アンド・サリバン株式会社PR事務局（SivanS株式会社内）
担当：浦
Email: marketing.jp@frost.com