%201.svg){kind=logo}
'-- コンテナイメージの87%に高リスクの脆弱性があることが判明 --
大規模なクラウド導入において1000万ドル以上の無駄な出費に加えてソフトウェアのサプライチェーンでの大きなリスクを発見
2/1/2023 - 米国カリフォルニア州サンフランシスコ発 -- コンテナとクラウドの統合セキュリティリーダーであるSysdig Inc. (シスディグ)は、本日「2023年度版クラウドネイティブセキュリティおよび利用状況レポート」の調査結果を発表しました。本年度は2つのテーマに焦点を当て、クラウドとコンテナ環境における最大の未対応のセキュリティ問題は、「サプライチェーンリスク」と「ゼロトラストアーキテクチャの準備」であることを明らかにしました。また、キャパシティの過剰割り当てによる数千万ドルのクラウド費用の無駄も明らかにされています。<このプレスリリースは2/1/2023に米国で発表されたリリースの抄訳です>第6回目となる本レポートでは、実データに基づき、あらゆる規模や業種のグローバル企業がクラウドとコンテナ環境をどのように利用し、セキュリティを確保しているかを明らかにしています。データセットは、昨年1年間にSysdigの顧客が運用した数十億個のコンテナ、数千のクラウドアカウント、数十万個のアプリケーションを網羅しています。
【レポートのハイライト】
コンテナイメージの87%に重大で深刻度の高い脆弱性が存在:最新の設計とオープンソースイメージの共有という性質上、セキュリティチームは数多くのコンテナ脆弱性に直面しています。現実には、チームはすべてを修正することはできず、脆弱性の優先順位付けと作業負荷の軽減のための適切なパラメータを見つけることに苦労しています。また、このレポートでは、修正プログラムが提供されている重大で深刻度の高い脆弱性のうち、実行時にロードされるパッケージの脆弱性はわずか15%であることも明らかにされています。実際に使用されている脆弱なパッケージに対してフィルタリングを行うことで、真のリスクを示す修正可能な脆弱性のごく一部に労力を集中させることができるのです。85%あった脆弱性の数を15%に減らすことで、サイバーセキュリティチームはより実行しやすい数字を得ることができます。付与されたクラウド権限の90%が使用されていない:ゼロトラストアーキテクチャの原則では、組織は過度に寛容なアクセスを付与することを避けるべきである、と強調しています。しかし、このレポートのデータによると、付与されたアクセス権のうち90%が使用されていないことが分かっています。攻撃者が特権的なアクセスや過剰な権限を持つアイデンティティからクレデンシャルを侵害した場合、認証情報を盗む機会が多く残されていることになるのです。59%のコンテナにはCPUの上限が定義されておらず、要求されたCPUリソースの69%が未使用:Kubernetes環境の利用情報がないため、開発者はクラウドリソースの過不足に気づかないままです。あらゆる規模の組織が40%の過剰支出をしている可能性があり、大規模なデプロイメントでは、環境を最適化することで、クラウドの使用料を平均1,000万ドル節約することができます。72%のコンテナは寿命が5分未満:コンテナがなくなった後にトラブルシューティングの情報を収集することはほぼ不可能です。今年は、前年と比較してコンテナの寿命が 28% 短くなりました。この減少は、組織がコンテナ・オーケストレーションの利用を成熟させたことを意味し、クラウドの刹那的な性質に対応できるセキュリティの必要性を強調しています。「昨年のレポートを振り返ると、コンテナの採用は成熟し続けており、それはコンテナの寿命が短くなっていることからも明らかです。しかし、クラウド環境では、設定ミスや脆弱性が引き続き問題になっており、サプライチェーンがセキュリティ問題の顕在化を増幅させています。」Sysdig のサイバーセキュリティ戦略ディレクターである Michael Isbitski 氏は語ります。また、「ユーザーやサービスを問わず、権限管理もぜひとも厳格化してもらいたい分野です」と述べています。「今年のレポートは大きな成長を示しており、2024年のレポートまでにチームでの採用を推奨するベストプラクティスの概要も示しています。例えば、実際のリスクを理解するために使用中に脅威にさらされていないかを調べたり、本当に影響のある脆弱性の修復に優先順位をつけたりすることです。」
参考資料
- Sysdig 2023年度版クラウドネイティブセキュリティおよび利用状況レポート(全文)
- ブログ:Sysdig 2023年度版クラウドネイティブセキュリティおよび利用状況レポート
- 過去レポート(英語版で2019年から2022年まで)
Sysdig delivers cloud security the right way with open innovation, agentic AI, and the uncompromising truth of runtime. In a world of black boxes and blind spots, Sysdig helps security and development teams prevent, detect, and respond to threats in the moment.
AI is only as powerful as the signals it receives, and Sysdig Sage™ — the first agentic AI analyst for cloud security — is fueled by the deepest runtime intelligence in the industry. It doesn’t just observe. It reasons and acts with the context, speed, and precision that modern teams need to build and defend innovation in real time. Founded by the creators of Falco and Wireshark, Sysdig is trusted by more than 60% of the Fortune 500 and is built for those who refuse to compromise on security.