%201.svg){kind=logo}
'-- コンテナイメージの87%に高リスクの脆弱性があることが判明 --
大規模なクラウド導入において1000万ドル以上の無駄な出費に加えてソフトウェアのサプライチェーンでの大きなリスクを発見
2/1/2023 - 米国カリフォルニア州サンフランシスコ発 -- コンテナとクラウドの統合セキュリティリーダーであるSysdig Inc. (シスディグ)は、本日「2023年度版クラウドネイティブセキュリティおよび利用状況レポート」の調査結果を発表しました。本年度は2つのテーマに焦点を当て、クラウドとコンテナ環境における最大の未対応のセキュリティ問題は、「サプライチェーンリスク」と「ゼロトラストアーキテクチャの準備」であることを明らかにしました。また、キャパシティの過剰割り当てによる数千万ドルのクラウド費用の無駄も明らかにされています。<このプレスリリースは2/1/2023に米国で発表されたリリースの抄訳です>第6回目となる本レポートでは、実データに基づき、あらゆる規模や業種のグローバル企業がクラウドとコンテナ環境をどのように利用し、セキュリティを確保しているかを明らかにしています。データセットは、昨年1年間にSysdigの顧客が運用した数十億個のコンテナ、数千のクラウドアカウント、数十万個のアプリケーションを網羅しています。
【レポートのハイライト】
コンテナイメージの87%に重大で深刻度の高い脆弱性が存在:最新の設計とオープンソースイメージの共有という性質上、セキュリティチームは数多くのコンテナ脆弱性に直面しています。現実には、チームはすべてを修正することはできず、脆弱性の優先順位付けと作業負荷の軽減のための適切なパラメータを見つけることに苦労しています。また、このレポートでは、修正プログラムが提供されている重大で深刻度の高い脆弱性のうち、実行時にロードされるパッケージの脆弱性はわずか15%であることも明らかにされています。実際に使用されている脆弱なパッケージに対してフィルタリングを行うことで、真のリスクを示す修正可能な脆弱性のごく一部に労力を集中させることができるのです。85%あった脆弱性の数を15%に減らすことで、サイバーセキュリティチームはより実行しやすい数字を得ることができます。付与されたクラウド権限の90%が使用されていない:ゼロトラストアーキテクチャの原則では、組織は過度に寛容なアクセスを付与することを避けるべきである、と強調しています。しかし、このレポートのデータによると、付与されたアクセス権のうち90%が使用されていないことが分かっています。攻撃者が特権的なアクセスや過剰な権限を持つアイデンティティからクレデンシャルを侵害した場合、認証情報を盗む機会が多く残されていることになるのです。59%のコンテナにはCPUの上限が定義されておらず、要求されたCPUリソースの69%が未使用:Kubernetes環境の利用情報がないため、開発者はクラウドリソースの過不足に気づかないままです。あらゆる規模の組織が40%の過剰支出をしている可能性があり、大規模なデプロイメントでは、環境を最適化することで、クラウドの使用料を平均1,000万ドル節約することができます。72%のコンテナは寿命が5分未満:コンテナがなくなった後にトラブルシューティングの情報を収集することはほぼ不可能です。今年は、前年と比較してコンテナの寿命が 28% 短くなりました。この減少は、組織がコンテナ・オーケストレーションの利用を成熟させたことを意味し、クラウドの刹那的な性質に対応できるセキュリティの必要性を強調しています。「昨年のレポートを振り返ると、コンテナの採用は成熟し続けており、それはコンテナの寿命が短くなっていることからも明らかです。しかし、クラウド環境では、設定ミスや脆弱性が引き続き問題になっており、サプライチェーンがセキュリティ問題の顕在化を増幅させています。」Sysdig のサイバーセキュリティ戦略ディレクターである Michael Isbitski 氏は語ります。また、「ユーザーやサービスを問わず、権限管理もぜひとも厳格化してもらいたい分野です」と述べています。「今年のレポートは大きな成長を示しており、2024年のレポートまでにチームでの採用を推奨するベストプラクティスの概要も示しています。例えば、実際のリスクを理解するために使用中に脅威にさらされていないかを調べたり、本当に影響のある脆弱性の修復に優先順位をつけたりすることです。」
参考資料
- Sysdig 2023年度版クラウドネイティブセキュリティおよび利用状況レポート(全文)
- ブログ:Sysdig 2023年度版クラウドネイティブセキュリティおよび利用状況レポート
- 過去レポート(英語版で2019年から2022年まで)
Sysdigは、オープンなイノベーション、エージェンティックAI、そしてランタイムが示す妥協なき“真実”を核に、「クラウドセキュリティを正しいやり方で」実現します。ブラックボックスや死角が増える時代において、セキュリティ/開発チームが脅威を“その瞬間”に予防・検知し、迅速に対応できるよう支援します。
AIの価値は、入力されるシグナルの深さと信頼性で決まります。クラウドセキュリティ向けとして初のエージェンティックAIアナリスト「Sysdig Sage™」は、業界最深レベルのランタイム・インテリジェンスを基盤に、単なる可視化にとどまらず、必要な文脈を理解して推論し、行動につなげます。FalcoとWiresharkの開発者が設立したSysdigは、Fortune 500企業の60%以上に採用され、セキュリティに妥協しない組織のために設計されています。米国カリフォルニア州に本社を置き、日本ではヤフージャパン、NTTドコモ、スクウェア・エニックス、みんなの銀行/ゼロバンク・デザインファクトリーをはじめ有数の企業に採用されています。 日本法人はSysdig Japan合同会社