Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

クラウドセキュリティ: SANS DevSecOps 調査の 5 つの重要ポイント

「SANS 2022 DevSecOps 調査」からの 5 つの重要なポイント

最近の SANS Institute のレポートによると、DevSecOps チームはツール、プロセス、技術の改善を行っているものの、企業ではますますハイブリッド化およびマルチクラウド化が進んでいることから、IT 環境の保護が一層難しくなっています。この記事では、「SANS 2022 DevSecOps 調査」の主要事項をご紹介いたします。

企業は、DevSecOps (開発、運用、セキュリティの各部門とツールとプロセスの調整) の成熟度を高め続けています。しかし、より新しく複雑な問題が発生し続けていることから、セキュリティ体勢の改善は容易にはなっていません。

これが、世界中の 431 人のセキュリティリーダーと実践者に調査を行った SANS Institute の「 SANS 2022 DevSecOps 調査」結果が示す重要なポイントです。

本稿では、DevSecOps の傾向を深く掘り下げ、 DevSecOps に適切に取り組むための具体的な推奨事項を提供するレポートから 5 つの重要事項を取り上げます。また、Tenable がどのように役立つかについての詳しい情報も説明いたします。

SANS レポートが着目している DevSecOps における問題の多くは、企業の IT 環境がますますハイブリッド化、マルチクラウド化して、アプリケーションが仮想マシン、コンテナ、サーバーレス機能を使用して、オンプレミスおよび複数のクラウド プラットフォームで「これまで以上に」ホストされている状況に起因します。

Tenable がスポンサーとなっている 20 ページのレポートには、「このような環境はセキュリティ上の課題になります。さまざまなクラウドサービスプロバイダー間に固有の違いがあり、オンプレミスホスティングの要求も大きく異なるためです」と記述されています。

DevSecOps 戦略を強化するための 5 つの重要ポイント

SANS DevSecOps survey - 5 つの重要ポイント 出典: 2022 年 9 月「SANS 2022 DevSecOps 調査」 SANS Institute

  1. 回答者に対して、DevSecOps の成功に寄与する主な要因についてリストを挙げてもらうと、次のようになりました。
    • 経営陣の賛同
    • 開発、セキュリティ、オペレーション間のコミュニケーションの改善
    • ビルド / テスト / デプロイ ワークフローの自動化
    • 自動セキュリティテストの統合
    • 開発者の賛同
  2. DevSecOps チームは、VM、コンテナ、サーバーレスが混在する大規模なマルチクラウド環境を保護するのに役立つクラウドセキュリティ態勢管理 (CSPM) ソフトウェアを十分に活用していません。そして、このレポートでは、企業が CSPM 製品の使用と導入の拡大を検討すべきであると提案しています。
  3. CSPM とポリシーのコード化は、企業がコンプライアンスポリシーの適用をさらに自動化し、大規模に実行するのに役立ちます。そして、ポリシーの 100% が自動的に適用されると答えた回答者の割合は、2021 年の 5.1% から今年は 18.4% と大幅に増えています。
  4. DevSecOps チームがより迅速かつ頻繁にソフトウェアを本番環境にリリースする場合 (1 日 1 回、または、24 時間体制でも)、セキュリティテストが組み込まれた CI/CD (継続的インテグレーション / 継続的デプロイ) パイプラインを介してすべてのコードのデリバリが完了できるようにする必要があります。
  5. ビルドおよびリリースサイクル中にセキュリティテストを行うことが全般的に増加しています。しかし唯一の例外として、統合開発環境 (IDE) でのセキュリティプラグインの使用は、昨年よりも減少しています。

SANS DevSecOps survey - 5 つの重要ポイント

出典:2022 年 9 月「SANS 2022 DevSecOps 調査」 SANS Institute

Tenable は、これらの情報をどのように活用できるのか

Tenable は、Tenable Cloud Security といった「サービスとしてのソフトウェア (SaaS)」と専門知識をお客様に提供しています。Tenable Cloud Security は、統合されたクラウド セキュリティ態勢・脆弱性管理ソリューションです。お客様のセキュリティ対策の状況を問わず、SANS の調査で判明した問題の多くに対応することができます。

  1. 経営陣の賛同を集め、DevSecOps におけるコラボレーションを促進するために、Tenable Cloud Security には、エグゼクティブと DevSecOps 実践者向けに必要かつ的を絞った情報が記載されている、統合された役割ベースのダッシュボードが用意されています。1 つの画面から、それぞれの役割に基づいた、セキュリティに関するより適切な意思決定が行えます。たとえば、包括的な Cyber Exposure Score を使用すると、エグゼクティブやクラウドセキュリティアーキテクトは、業界の同業他社と比較して企業の全体的なクラウドセキュリティ態勢を評価し、投資判断の根拠付けを行うことができます。
  2. プロバイダーが混在するクラウド環境の保護に必要な労力軽減のために Tenable Cloud Security が活用できます。インターネットセキュリティセンター (CIS) のベンチマークなどの一般的なベストプラクティスの即時適用だけでなく、クラウドプロバイダーや、仮想マシン、インフラのコード化 (IaC) を用いたクラウドネイティブアーキテクチャ、コンテナ、Kubernetes など、テクノロジー全体への一貫した形での導入が可能になります。また、独自のポリシーのコード化を定義して、固有の要件を満たすこともできます。
  3. Tenable Cloud Security では、コンプライアンス要件の大規模な施行を実現するため、すべてのランタイム環境 (開発、テスト、ステージング、本番環境) で、PCI DSS (支払いカード業界のデータセキュリティ標準)、医療保険の携行性と責任に関する法律 (HIPAA)、一般データ保護規則 (GDPR) などの重要な規制フレームワークのコンプライアンステストが可能です。また、コンプライアンスレポートの自動的な提供、ドリフト検出、ランタイム設定がコンプライアンスから逸脱した場合にアラートを発することもできます。
  4. セキュリティ テストが CICD パイプライン内で確実に適用されるように、Tenable Cloud Security は一般的な CICD ツールと統合できます。また、Tenable Research が保有する 1,500 のポリシー72,000 の脆弱性の広範囲なナレッジベースを適用して、IaC の設定ミスとイメージ内にある脆弱性の特定、重大な違反のあるデプロイを通知または防止する自動ガードレールを提供することも可能です。
  5. ビルドとリリースのワークフロー全体の自動化を促進するために、Tenable Cloud Security には DevSecOps チーム向けにテストオプションが追加されています。たとえば、開発者によるデスクトップでのコードテスト、ソースコード管理リポジトリの統合とテストが含まれ、さらに、ポリシーに準拠したコードを含む自動プルリクエストの作成も可能です。このような自動プルリクエストは、開発者がクリックするだけで承認でき、またセキュリティチームも自動修復用に設定できます。

もっと詳しく

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

Tenable.cs Cloud Security トライアルには Tenable.io Vulnerability Management、Tenable Lumin、Tenable.io Web Application Scanning も含まれています。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

キャンペーン価格が 2 月 28 日まで延長されました。
複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加