Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

クラウドセキュリティ: SANS DevSecOps 調査の 5 つの重要ポイント

「SANS 2022 DevSecOps 調査」からの 5 つの重要なポイント

最近の SANS Institute のレポートによると、DevSecOps チームはツール、プロセス、技術の改善を行っているものの、企業ではますますハイブリッド化およびマルチクラウド化が進んでいることから、IT 環境の保護が一層難しくなっています。この記事では、「SANS 2022 DevSecOps 調査」の主要事項をご紹介いたします。

企業は、DevSecOps (開発、運用、セキュリティの各部門とツールとプロセスの調整) の成熟度を高め続けています。しかし、より新しく複雑な問題が発生し続けていることから、セキュリティ体勢の改善は容易にはなっていません。

この記事では、世界中の 431 人のセキュリティリーダーと実践者に調査を行った SANS Institute の「SANS 2022 DevSecOps 調査」から重要なポイントをご紹介します。

本稿では、DevSecOps の傾向を深く掘り下げ、 DevSecOps に適切に取り組むための具体的な推奨事項を提供するレポートから 5 つの重要事項を取り上げます。また、Tenable がどのように役立つかについての詳しい情報も説明いたします。

SANS レポートが着目している DevSecOps における問題の多くは、企業の IT 環境がますますハイブリッド化、マルチクラウド化して、アプリケーションが仮想マシン、コンテナ、サーバーレス機能を使用して、オンプレミスおよび複数のクラウド プラットフォームで「これまで以上に」ホストされている状況に起因します。

Tenable がスポンサーとなっている 20 ページのレポートには、「このような環境はセキュリティ上の課題になります。さまざまなクラウドサービスプロバイダー間に固有の違いがあり、オンプレミスホスティングの要求も大きく異なるためです」と記述されています。

DevSecOps 戦略を強化するための 5 つの重要ポイント

SANS DevSecOps survey - 5 つの重要ポイント 出典: 2022 年 9 月「SANS 2022 DevSecOps 調査」 SANS Institute

  1. 回答者に対して、DevSecOps の成功に寄与する主な要因についてリストを挙げてもらうと、次のようになりました。
    • 経営陣の賛同
    • 開発、セキュリティ、オペレーション間のコミュニケーションの改善
    • ビルド / テスト / デプロイ ワークフローの自動化
    • 自動セキュリティテストの統合
    • 開発者の賛同
  2. DevSecOps チームは、VM、コンテナ、サーバーレスが混在する大規模なマルチクラウド環境を保護するのに役立つクラウドセキュリティ態勢管理 (CSPM) ソフトウェアを十分に活用していません。そして、このレポートでは、企業が CSPM 製品の使用と導入の拡大を検討すべきであると提案しています。
  3. CSPM とポリシーのコード化は、企業がコンプライアンスポリシーの適用をさらに自動化し、大規模に実行するのに役立ちます。そして、ポリシーの 100% が自動的に適用されると答えた回答者の割合は、2021 年の 5.1% から今年は 18.4% と大幅に増えています。
  4. DevSecOps チームがより迅速かつ頻繁にソフトウェアを本番環境にリリースする場合 (1 日 1 回、または、24 時間体制でも)、セキュリティテストが組み込まれた CI/CD (継続的インテグレーション / 継続的デプロイ) パイプラインを介してすべてのコードのデリバリが完了できるようにする必要があります。
  5. ビルドおよびリリースサイクル中にセキュリティテストを行うことが全般的に増加しています。しかし唯一の例外として、統合開発環境 (IDE) でのセキュリティプラグインの使用は、昨年よりも減少しています。

SANS DevSecOps survey - 5 つの重要ポイント

出典:2022 年 9 月「SANS 2022 DevSecOps 調査」 SANS Institute

Tenable は、これらの情報をどのように活用できるのか

Tenable は、Tenable Cloud Security といった「サービスとしてのソフトウェア (SaaS)」と専門知識をお客様に提供しています。Tenable Cloud Security は、統合されたクラウド セキュリティ態勢・脆弱性管理ソリューションです。お客様のセキュリティ対策の状況を問わず、SANS の調査で判明した問題の多くに対応することができます。

  1. 経営陣の賛同を集め、DevSecOps におけるコラボレーションを促進するために、Tenable Cloud Security には、エグゼクティブと DevSecOps 実践者向けに必要かつ的を絞った情報が記載されている、統合された役割ベースのダッシュボードが用意されています。1 つの画面から、それぞれの役割に基づいた、セキュリティに関するより適切な意思決定が行えます。たとえば、包括的な Cyber Exposure Score を使用すると、エグゼクティブやクラウドセキュリティアーキテクトは、業界の同業他社と比較して企業の全体的なクラウドセキュリティ態勢を評価し、投資判断の根拠付けを行うことができます。
  2. プロバイダーが混在するクラウド環境の保護に必要な労力軽減のために Tenable Cloud Security が活用できます。インターネットセキュリティセンター (CIS) のベンチマークなどの一般的なベストプラクティスの即時適用だけでなく、クラウドプロバイダーや、仮想マシン、インフラのコード化 (IaC) を用いたクラウドネイティブアーキテクチャ、コンテナ、Kubernetes など、テクノロジー全体への一貫した形での導入が可能になります。また、独自のポリシーのコード化を定義して、固有の要件を満たすこともできます。
  3. Tenable Cloud Security では、コンプライアンス要件の大規模な施行を実現するため、すべてのランタイム環境 (開発、テスト、ステージング、本番環境) で、PCI DSS (支払いカード業界のデータセキュリティ標準)、医療保険の携行性と責任に関する法律 (HIPAA)、一般データ保護規則 (GDPR) などの重要な規制フレームワークのコンプライアンステストが可能です。また、コンプライアンスレポートの自動的な提供、ドリフト検出、ランタイム設定がコンプライアンスから逸脱した場合にアラートを発することもできます。
  4. セキュリティ テストが CICD パイプライン内で確実に適用されるように、Tenable Cloud Security は一般的な CICD ツールと統合できます。また、Tenable Research が保有する 1,500 のポリシー72,000 の脆弱性の広範囲なナレッジベースを適用して、IaC の設定ミスとイメージ内にある脆弱性の特定、重大な違反のあるデプロイを通知または防止する自動ガードレールを提供することも可能です。
  5. ビルドとリリースのワークフロー全体の自動化を促進するために、Tenable Cloud Security には DevSecOps チーム向けにテストオプションが追加されています。たとえば、開発者によるデスクトップでのコードテスト、ソースコード管理リポジトリの統合とテストが含まれ、さらに、ポリシーに準拠したコードを含む自動プルリクエストの作成も可能です。このような自動プルリクエストは、開発者がクリックするだけで承認でき、またセキュリティチームも自動修復用に設定できます。

もっと詳しく

関連記事

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加