Tenable ブログ
ブログ通知を受信するクラウドセキュリティ: SANS DevSecOps 調査の 5 つの重要ポイント
最近の SANS Institute のレポートによると、DevSecOps チームはツール、プロセス、技術の改善を行っているものの、企業ではますますハイブリッド化およびマルチクラウド化が進んでいることから、IT 環境の保護が一層難しくなっています。この記事では、「SANS 2022 DevSecOps 調査」の主要事項をご紹介いたします。
企業は、DevSecOps (開発、運用、セキュリティの各部門とツールとプロセスの調整) の成熟度を高め続けています。しかし、より新しく複雑な問題が発生し続けていることから、セキュリティ体勢の改善は容易にはなっていません。
この記事では、世界中の 431 人のセキュリティリーダーと実践者に調査を行った SANS Institute の「SANS 2022 DevSecOps 調査」から重要なポイントをご紹介します。
本稿では、DevSecOps の傾向を深く掘り下げ、 DevSecOps に適切に取り組むための具体的な推奨事項を提供するレポートから 5 つの重要事項を取り上げます。また、Tenable がどのように役立つかについての詳しい情報も説明いたします。
SANS レポートが着目している DevSecOps における問題の多くは、企業の IT 環境がますますハイブリッド化、マルチクラウド化して、アプリケーションが仮想マシン、コンテナ、サーバーレス機能を使用して、オンプレミスおよび複数のクラウド プラットフォームで「これまで以上に」ホストされている状況に起因します。
Tenable がスポンサーとなっている 20 ページのレポートには、「このような環境はセキュリティ上の課題になります。さまざまなクラウドサービスプロバイダー間に固有の違いがあり、オンプレミスホスティングの要求も大きく異なるためです」と記述されています。
DevSecOps 戦略を強化するための 5 つの重要ポイント
出典: 2022 年 9 月「SANS 2022 DevSecOps 調査」 SANS Institute
- 回答者に対して、DevSecOps の成功に寄与する主な要因についてリストを挙げてもらうと、次のようになりました。
- 経営陣の賛同
- 開発、セキュリティ、オペレーション間のコミュニケーションの改善
- ビルド / テスト / デプロイ ワークフローの自動化
- 自動セキュリティテストの統合
- 開発者の賛同
- DevSecOps チームは、VM、コンテナ、サーバーレスが混在する大規模なマルチクラウド環境を保護するのに役立つクラウドセキュリティ態勢管理 (CSPM) ソフトウェアを十分に活用していません。そして、このレポートでは、企業が CSPM 製品の使用と導入の拡大を検討すべきであると提案しています。
- CSPM とポリシーのコード化は、企業がコンプライアンスポリシーの適用をさらに自動化し、大規模に実行するのに役立ちます。そして、ポリシーの 100% が自動的に適用されると答えた回答者の割合は、2021 年の 5.1% から今年は 18.4% と大幅に増えています。
- DevSecOps チームがより迅速かつ頻繁にソフトウェアを本番環境にリリースする場合 (1 日 1 回、または、24 時間体制でも)、セキュリティテストが組み込まれた CI/CD (継続的インテグレーション / 継続的デプロイ) パイプラインを介してすべてのコードのデリバリが完了できるようにする必要があります。
- ビルドおよびリリースサイクル中にセキュリティテストを行うことが全般的に増加しています。しかし唯一の例外として、統合開発環境 (IDE) でのセキュリティプラグインの使用は、昨年よりも減少しています。
出典:2022 年 9 月「SANS 2022 DevSecOps 調査」 SANS Institute
Tenable は、これらの情報をどのように活用できるのか
Tenable は、Tenable Cloud Security といった「サービスとしてのソフトウェア (SaaS)」と専門知識をお客様に提供しています。Tenable Cloud Security は、統合されたクラウド セキュリティ態勢・脆弱性管理ソリューションです。お客様のセキュリティ対策の状況を問わず、SANS の調査で判明した問題の多くに対応することができます。
- 経営陣の賛同を集め、DevSecOps におけるコラボレーションを促進するために、Tenable Cloud Security には、エグゼクティブと DevSecOps 実践者向けに必要かつ的を絞った情報が記載されている、統合された役割ベースのダッシュボードが用意されています。1 つの画面から、それぞれの役割に基づいた、セキュリティに関するより適切な意思決定が行えます。たとえば、包括的な Cyber Exposure Score を使用すると、エグゼクティブやクラウドセキュリティアーキテクトは、業界の同業他社と比較して企業の全体的なクラウドセキュリティ態勢を評価し、投資判断の根拠付けを行うことができます。
- プロバイダーが混在するクラウド環境の保護に必要な労力軽減のために Tenable Cloud Security が活用できます。インターネットセキュリティセンター (CIS) のベンチマークなどの一般的なベストプラクティスの即時適用だけでなく、クラウドプロバイダーや、仮想マシン、インフラのコード化 (IaC) を用いたクラウドネイティブアーキテクチャ、コンテナ、Kubernetes など、テクノロジー全体への一貫した形での導入が可能になります。また、独自のポリシーのコード化を定義して、固有の要件を満たすこともできます。
- Tenable Cloud Security では、コンプライアンス要件の大規模な施行を実現するため、すべてのランタイム環境 (開発、テスト、ステージング、本番環境) で、PCI DSS (支払いカード業界のデータセキュリティ標準)、医療保険の携行性と責任に関する法律 (HIPAA)、一般データ保護規則 (GDPR) などの重要な規制フレームワークのコンプライアンステストが可能です。また、コンプライアンスレポートの自動的な提供、ドリフト検出、ランタイム設定がコンプライアンスから逸脱した場合にアラートを発することもできます。
- セキュリティ テストが CICD パイプライン内で確実に適用されるように、Tenable Cloud Security は一般的な CICD ツールと統合できます。また、Tenable Research が保有する 1,500 のポリシーと 72,000 の脆弱性の広範囲なナレッジベースを適用して、IaC の設定ミスとイメージ内にある脆弱性の特定、重大な違反のあるデプロイを通知または防止する自動ガードレールを提供することも可能です。
- ビルドとリリースのワークフロー全体の自動化を促進するために、Tenable Cloud Security には DevSecOps チーム向けにテストオプションが追加されています。たとえば、開発者によるデスクトップでのコードテスト、ソースコード管理リポジトリの統合とテストが含まれ、さらに、ポリシーに準拠したコードを含む自動プルリクエストの作成も可能です。このような自動プルリクエストは、開発者がクリックするだけで承認でき、またセキュリティチームも自動修復用に設定できます。
もっと詳しく
- Tenable Cloud Security ソリューションのページはこちら: https://www.tenable.com/solutions/cloud-security-posture-management
- SANS Institute 発行「SANS 2022 DevSecOps 調査」
- Tenable のウェビナー、クラウドセキュリティは共有と協力がポイントもご覧ください。
関連記事
- Cloud
- DevOps