Sysdig 2023 Cloud-Native Security and Usage Report

Sysdig2023年度クラウドネイティブ
セキュリティおよび利用状況レポート

今すぐダウンロード

第６回

Sysdig2023年度クラウドネイティブセキュリティおよび利用状況レポート

このレポートでは、クラウドとコンテナのセキュリティとその利用状況について、お客様の環境における実際のデータとそのデータからのインサイトを紹介します。世界中の幅広い業種から企業データを調査しました。

数十億のコンテナから得たデータを元に作成!

今年は、ソフトウェアサプライチェーンリスクや過剰なパーミッションについて掘り下げ、Kubernetesのコストデータを取り上げています。また、過去のレポートに基づく傾向だけでなく、新たな利用パターンも明らかにしました。このレポートをダウンロードして、より多くのインサイトをご確認ください。

データを深く見てみよう

コンテナ利用

重要な調査結果:
Kubernetesのコスト
リソースの利用状況
コンテナの寿命

クラウドネイティブセキュリティ

重要な調査結果:
ユーザー権限
脆弱性のあるイメージ
脅威検知

コンテナの利用状況

Kubernetesにどれだけのお金を浪費しているのでしょうか？いくつのクラスターを運用していますか？1つのクラスタが使用する容量はどれくらいですか？

私たちは、組織がコンテナと Kubernetes を使って何をしているか、あらゆる視点で詳細に目を向けました。ここでは、レポートに掲載されているコンテナ利用状況に関する多くの詳細の中から、3つを紹介します。
矢印（図中右上＞）をクリックするとプレビューが表示されます。

Kubernetesの支出額

$1,000万

無駄使い

1000ノード以上稼働しているお客様は、平均で年間1000万円以上のコスト削減が可能です。

詳細

CPUリソースは、クラウドインスタンスで最もコストのかかる部分です。150前後のKubernetesノードを持つ組織は、CPUリソースが十分に利用されていないために、年間最大98万ドルも必要以上に費やしている可能性があります。1,000ノード以上の大規模な組織では、年間最大1,080万ドルの無駄な出費を削減することができます。

使われていないリソース

69%

使われていない
CPUリソース

KubernetesクラスタのCPUコアは、平均して69%が未使用でした。

詳細

CPU の上限が設定されているクラスタのうち、平均 69% の CPU コアが未使用であることがわかりました。クラスタの使用率を把握しなければ、組織は過剰な割り当てに無駄なコストを費やしている可能性があります。Kubernetesのコストを最適化するために、組織は積極的な利用率とコスト監視を行う必要があります。

コンテナの寿命

72%

のコンテナの寿命は 5分以内

コンテナの寿命はますます短くなり、72％が5分未満となっています。

詳細

コンテナの刹那的な寿命という性質は、必要に応じて変化するように設計されているという点で、この技術が独自に持つ利点の1つです。同時に、多くの監視ツールやセキュリティ・ツールは、存在しないエンティティ上についてはレポートできないため、監視やセキュリティ、そしてコンプライアンス上、考慮しなければならない課題があります。

コスト最適化と信頼性向上のためのベストプラクティス

要求を適正化し、効率性を重視

「Sysdigによる2023年クラウドネイティブ
セキュリティ＆利用状況レポート」
はこちら

今すぐダウンロード

クラウドのコスト超過を自動的に特定できる堅牢なコスト監視ツールを利用しましょう。これにより利用過剰支出を回避し、組織全体の意識の向上につなげます。

利用率に応じたコストを検討し、パフォーマンスに影響を与えないよう適切なサイズに変更できるようにします。

コンテナは寿命が非常に短く、企業は、ワークロードのパフォーマンスとリソースの使用率に影響を与えるクラッシュループバックオフなどのエラーの解決に細心の注意を払う必要があります。

クラウドネイティブ・セキュリティ

いくつのイメージが脆弱性がある状態で稼働していますか？付与された権限のうち、未使用のものはいくつありますか？セキュリティ上の脅威を検知するために、どのようなことをしていますか？

脆弱性のあるイメージ

87%

のイメージにクリティカル
または高い脆弱性
がある

組織は、本番環境での脆弱性の優先順位付けと修正に苦慮している

詳細

本番環境で稼働しているイメージの87%に深刻度の高い、またはクリティカルな脆弱性が含まれており、昨年報告した75%からさらに増加し、イメージの脆弱性の71%に修正が適用されていない、という衝撃的な結果が出ています。この1年間、注目を集めた脆弱性やエクスプロイト、政府組織によるサイバーセキュリティに関する指導の強化により、多くのセキュリティチームがアプリケーション・セキュリティ・テストへの注力を高めてきました。しかし、このリスクへの対処が実際に進んでいることを示す証拠はほとんどありません。

ユーザーへのパーミッション

90%

のアカウントで
過剰なパーミッション

管理者権限を持たないユーザーに付与されたパーミッションの利用率は90日間でわずか10%でした。

詳細

設定ミスは依然としてセキュリティインシデントの最大の要因であり、組織における最大の懸念事項であるべきです。DevOpsチームは、機能が期待通りに動作するように、必要以上のパーミッションを付与する傾向があり、セキュリティは後回しにされてしまいます。最小権限を徹底することで、攻撃の機会を減らすことができます。

脅威検知

企業は積極的にセキュリティのテストと評価を行っています

パッチが適用されていない脆弱性や過剰なパーミッション付与により、継続的な脅威検知と監視の必要性が高まっています。

MITRE ATT&CK® フレームワークに対してFalcoルールを分析したところ、権限昇格と防御回避のラベルが付いたルールが最も頻繁にトリガーされることがわかりました。これにより、ほとんどのイベントが、悪意のある攻撃ではなく、セキュリティ防御を導入するためにプロアクティブな脅威分析を使っているお客様に起因していると判断しました。

当社のお客様の検知アラートは、防御回避や権限昇格の手口に対する防御に重点を置いていることを示していますが、お粗末なセキュリティ慣行がアラートを増加させていることも確認されています。

本当に重要なことに集中するためのベストプラクティス

付与されたパーミッションを削減し、実行時の脆弱性に優先順位をつける。

Sysdig2023年度クラウドネイティブセキュリティおよび利用状況レポート

今すぐダウンロード

無限にある脆弱性リストに優先順位をつけることで、サプライチェーンのリスクを最小化し、時間を節約することができます。実行時に使用される脆弱性をリストの先頭に置き、イメージの肥大化にも対処します。

パーミッションの管理に力を入れる。必要なパーミッションのみを付与し、使用されていないパーミッションとユーザーを削除することで、攻撃者による初期アクセス、認証情報へのアクセス、権限昇格の選択肢を減らすことができます。

権限昇格、防御回避、および永続化の戦術は、お客様が優先すべき事項です。急速に進化する脅威の動向に対応するため、脅威インテリジェンスと誤検知アラートを引き起こす可能性のあるお客様自身の行動に基づいて、検知ルールを定期的に調整することをお勧めします。