本文の内容は、2024年1月31日にCRYSTAL MORINが投稿したブログ(https://sysdig.com/blog/sysdig-2024-cloud-native-security-and-usage-report/)を元に日本語に翻訳・再構成した内容となっております。
Sysdigの2024年度クラウドネイティブセキュリティおよび利用状況レポートに記載しているトレンドをご紹介します。
Sysdigの第7回クラウドネイティブセキュリティおよび利用状況レポートは、お客様がどのようにクラウドネイティブなアプリケーションや環境を開発、利用、セキュリティ保護しているかを明らかにしています。何百万ものコンテナと何千ものアカウントのデータを分析し、最も適切な情報を公開しています。セキュリティ担当者や 企業のリーダーの方達に、このレポートからトレンドを把握し、クラウドセキュリティ戦略にお役立ていただければ幸いです。今年のトレンドは、クラウドユーザーの強み、セキュリティポスチャー改善における最大の機会、AIの採用率などの理解につながります。詳細については、こちらのページからレポート全文をダウンロードしてご覧ください。
セキュリティのベストプラクティスに従うか、それともスピードと利便性を追い求めるか? クラウドの優先順位を確認するためにも読み進めてください。
アイデンティティの軽視: 行動への呼びかけ
アイデンティティ(ID)管理は、最も見過ごされているクラウド攻撃リスクとなっています。付与された権限のわずか2%しか使用されておらず、前年比で減少しています。ノンヒューマン・アプリケーションやツール、サービスには、初期導入時に何千もの権限が付与され、それが無効にされたりデプロビジョニングされたりすることないままになっています。このような過剰なパーミッションは、単に不要な過度のリスクを生み出します。重大な影響を及ぼす有名なセキュリティインシデントの大半は、IDと権限の管理の不備に関連しています。それでも、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)ユーザーのうち、クラウドインフラの権限管理(CIEM)機能を優先して毎週使用しているのはわずか20%です。
今でもシフトレフトは目標のままであり、現実となっていない
実行時に使用されている重大で深刻度の高い脆弱性を優先的に修復することを1年間続けた結果、これらの脆弱性の存在は50%近く減少しました。しかし、シフトレフトアプローチの目標が、ランタイムにデプロイする前のパイプラインで脆弱性をスキャン・特定し、修復することである一方、CI/CD(継続的インテグレーションと継続的デリバリー)のビルドパイプラインスキャンよりも、ランタイムスキャンの方がスキャニングポリシーに失敗する割合が高いことを発見しました。もし組織がシフトレフトの概念に忠実に従っているのであれば、スキャニングポリシーの失敗はデリバリーの前に、あるいは、攻撃者にとって悪用可能な状態になる前に発見されるはずなので、私たちはこの結果は反転すると予想しています。
成熟に向けて前進する脅威検知
Sysdigのお客様の大半は、TDR(脅威検知と対応)のインサイトを毎週活用しています。これに伴い、カスタムの振る舞い脅威検知の開発とテストに対する理解と熟達の傾向が見られます。今年のレポートでは、IoC(indicator of compromise:侵害指標)を使用して特定された攻撃はわずか35%であり、残りの65%は振る舞いベースの検知で特定されています。今年最も多く検出されたのは、初期アクセスと実行のMITRE ATT&CK 戦術に分類されるもので、これは昨年見られたものよりも攻撃のライフサイクルの早い段階で現れることが多く、防御回避や特権昇格が挙げられます。
コンテナの短い寿命は攻撃から救えない
ここ数年、コンテナの寿命が縮まっており、コンテナの70%は、その寿命が5分未満になっています。しかし、Sysdig の脅威リサーチチーム(TRT)は、2023年度グローバル脅威レポートの中で、クラウド攻撃はわずか10 分で完了すると述べています。自動化を利用すれば、攻撃者は脆弱なコンテナから侵入し、寿命が尽きる前に横方向に移動することができます。脆弱なワークロードを実行することは、それがどんなに短期間であっても、攻撃のリスクにさらされることになります。
AI採用のパラドックス
今年の調査結果の多くは、企業がより安全な手法よりも利便性とスピードを選択していることを示していますが、企業におけるAIの利用については、そのような傾向は見られませんでした。AIのフレームワークやパッケージを導入している企業は31%に上りますが、そのうち生成AIは15%に過ぎません。簡単に言えば、現在私たちが目にするAIパッケージのほとんどは、データの相関と分析に使用されています。
まとめ
私たちが収集・分析した実際の顧客データから、クラウドセキュリティの状況は、成功例もあれば苦戦例もあり、進化していることがわかります。セキュリティのベストプラクティスを省略することで、企業はより少ない障壁で業務を行うことができるかもしれませんが、それは同時に、攻撃のリスクをはるかに高めることにもなります。例えば、ID管理の欠如が行き過ぎた結果、多くの有名な重大攻撃が発生しています。しかし、ランタイムセキュリティとTDR(脅威検知と対応)の優先順位付けは、脆弱性を減らし、検知の取り組みを進めています。短命なワークロードは、自動化を利用する攻撃者にはかないません。そして最後に、企業はクラウド環境にAIを組み込む準備ができていません。
更なる詳細についてはSysdigによる 2024年度クラウドネイティブセキュリティおよび利用状況レポートの全データと分析を今すぐダウンロードしてご覧ください。過去のレポート(英語原文)もこちらからご覧いただけます。
日本語版の2023年度クラウドネイティブセキュリティおよび利用状況レポートはこちら