8割もの企業で、過去1年以内に深刻なセキュリティインシデントが発生
Snyk、クラウドセキュリティの現状レポートを発表
~クラウドセキュリティへの投資拡大がアプリケーション開発を加速、その一方でリスクの増大もあきらかに~
デベロッパーファーストのセキュリティプラットフォームを提供するSnyk株式会社は、クラウドセキュリティの現状レポート(State of Cloud Security Report)を公開した。本レポートでは、クラウド導入が急速に進むことでクラウドネイティブのアプリケーション開発手法が浸透し、より複雑になったクラウドセキュリティのリスクや課題に対して、セキュリティの専門家やクラウドセキュリティの技術者がどのように取り組んでいるかが明らかにされている。
同時に、この調査では、インシデント予防策の強化、効率改善、チーム間連携によりアプリケーションのデプロイが全般的に加速するなど、クラウドセキュリティへの投資増から得られるメリットが明らかになっている。
主な調査結果
・5分の4(80%)の企業が過去1年間に少なくとも1件の深刻なクラウドセキュリティインシデント(データ侵害、データ漏洩、環境への侵入など)を経験
・クラウドネイティブのサービスの複雑さが増しており、セキュリティ対策をより複雑にしていると41%が回答
・クラウドセキュリティ改善の結果、導入がより迅速におこなえるようになったと半数近く(49%)の企業が回答
Snyk、ヴァイスプレジデント 兼 チーフアーキテクト、ジョシュ・ステラ(Josh Stella)のコメント
「今回の新たな調査は、クラウドセキュリティの集団的なリスクは世界共通であり、古いやり方やレガシーツールの使用を増やすとリスクがさらに増すだけ、という警鐘を業界に鳴らすものです。しかしながら、悪い状況ばかりではありません。クラウドセキュリティをシフトレフトし、DevSecOpsの協力体制を導入することで、グローバルな企業がより安全に現在のペースでイノベーションを継続できるというデータも示されているからです」。
80%が深刻なクラウドセキュリティインシデントを経験、現在最も影響を受けているのはスタートアップと公共部門
あらゆるな事業規模や業種を代表するクラウド利用者が、過去12か月間に重大なクラウドセキュリティイベントの影響を受けたと回答している。
中でも一番影響を受けているのが、スタートアップ(89%)と公共部門(88%)。他方で、エンタープライズ企業は善処しており(おそらく投資額が大きいため)、中小企業が優れた結果を示した(クラウドの利用規模が小さく、インフラがそれほど複雑でないためと思われる)。
把握された事案の中で最も重大なものとしては、データ侵害やデータ漏洩、システムへの侵入が挙げられる。これらはすべて、世界規模の企業に間違いなく大きな費用負担を課すもの。具体的には、監査不合格やコンプライアンス違反により生じる罰金のほか、顧客のクラウド予算で実行されるクリプトマイニングやシステム停止による生産性の損失など、これら以外にもざまざまな問題を生む。
回答者はまた、こうした普遍的なリスクが近いうちにより増加するだろうと指摘している。こうした点について、以下のような事実もある。
・4分の1(25%)の回答者が、クラウドデータ侵害に遭遇しながら気付けなかったことについて懸念があると回答
・セキュリティの専門家と開発者の過半数(58%)が、今後1年でクラウドデータ侵害のリスクが増すと回答
クラウドネイティブアプローチ:41%がトレードオフとして、複雑性が追加されることを挙げている
クラウドネイティブなアプリケーション開発を行うことで開発が加速され、開発者の生産性が上がるのは間違いない。しかし同時に、全体の攻撃対象が広がり、セキュリティの責任範囲が曖昧になったため、新たな課題や複雑さも生まれている。
結局のところ、今日のクラウドセキュリティの欠陥の多くは、チームを横断する効果的な協力体制やチームトレーニングの欠如に起因している。それぞれのチームが異なるツールやポリシーの枠組みを使用していると、チームを超えた作業の調整や、それに伴う一貫した実行が難しくなることがある。
また、誤検出する非効率的なツールはしばしば、セキュリティチーム内でのアラート疲労につながり、優先的に対応すべき重要な問題を特定する際にヒューマンエラーを引き起こす一因となる。
・77%の企業が、トレーニングや協力体制の不足が重大な課題だと回答
・45%の企業が、非効率なクラウドセキュリティが原因でエンジニアリングリソースが不足していると回答
クラウドセキュリティの強化で戦略的なビジネス成果を実現:結果的に迅速なデプロイを半数が実感
組織でクラウドセキュリティが向上すると、インシデント防止に留まらない効果が得られる。
新たなアプリケーション構築のためにクラウドを完全導入すると、結果的にレガシー環境向けに設計された従来のセキュリティの手法・技術に頼れなくなる。クラウドネイティブ開発の現実や多数の社内利害関係者を踏まえると、こうしたパラダイムシフトに対応できる企業は、チームの協力促進によるメリットを受けるだけでなく、デベロッパー生産性の向上と安全なイノベーションの加速を実現している。
こうした点について、以下のような事実がある。
・Infrastructure as Code(IaC)のセキュリティによりクラウドの設定ミスが70%(中央値)削減できている
・クラウドセキュリティが向上した場合、現存のリソースでセキュリティチームができることが増えると半数近く(48%)が回答
・セキュリティ向上によってチーム間の協力体制が改善したと44%が回答
レポートについて
本レポートは、様々な種類の組織・業種でクラウドエンジニアリングやセキュリティを実践し、また指導的立場にある400人以上を調査した結果に基づいている。調査はPropeller Insightsが2022年第2四半期に実施。
ウェブサイト: https://snyk.io/jp
資料請求:https://go.snyk.io/jp-shiryoseikyu.html