Sysdigが2024年版クラウドネイティブセキュリティおよび利用状況レポートの調査結果を発表

企業がクラウドセキュリティのベストプラクティスよりも利便性とスピードを優先していることを明らかにシフト・レフト採用の遅れ、ID管理リスクの急増、企業全体におけるAI導入の慎重さを示す報告書

＜このプレスリリースは1/31/2024に米国で発表されたリリースの抄訳です＞2/1/2024 - 米国カリフォルニア州サンフランシスコ発 –ランタイム・インサイトの力を活用したクラウド・セキュリティのリーダーであるSysdigは本日、「2024年度版 クラウドネイティブ セキュリティおよび 利用状況レポート」の調査結果を発表しました。第7回目となる本レポートでは、実世界での調査データを元に、アプリケーション開発の迅速化を追求するあまり、予防的なセキュリティよりも利便性を優先するという危うい実情について詳述しています。本レポートは、有名企業における大規模なインフラ侵害や、最近更新されたSECのサイバーセキュリティおよび情報開示規則を受けて作成されました。

「2024年度版 クラウドネイティブ セキュリティおよび 利用状況レポート」は、数百万個のコンテナと数千のクラウドアカウント、ユーザー、ロールの分析から導き出されたもので、世界中のあらゆる規模、業種の企業がクラウドとコンテナ化環境をどのように利用し、セキュリティを確保しているかを調査しています。本レポートの主な内容をご紹介します。

レポートの主な内容

• 69%の企業がクラウド環境にAIを組み込んでいませんでした： 31%の企業がAIフレームワークやパッケージを統合していますが、大規模言語モデル（LLM）のような生成型AIツールに使用されているのは、これらの統合の中でも、わずか15%にすぎません。今年のレポートで述べられているリスクの受容を考慮すると、企業はセキュリティのベストプラクティスを無視しているにもかかわらず、彼らの企業環境でAIを導入することに関しては慎重です。
• ランタイムスキャンの 91％が失敗： シフトレフト・セキュリティでは、組織は開発フェーズの早い段階で頻繁にスキャンを行い、失敗したビルドを認識し、コードを修正して、再デプロイします。その目的は、攻撃者にとって悪用可能な状態になる配信前に発見することです。しかし、ランタイムスキャンの91％が失敗していることから、チームは予防よりも脅威の検知に頼っているようです。
• 付与された権限のわずか2%しか使用されていません： 特に、過度な権限付与による ID を悪用した 2023 年の有名な攻撃を考慮すると、ID 管理（人間とマシンの両方）は、最も見過ごされているクラウド攻撃のリスクであり、企業がセキュリティ体制を改善する機会となっています。昨年のレポートで、Sysdigは90%の権限が使用されていないことを確認（つまり10%しか使用されていない）しましたが、この傾向が年々悪化していることを示しています。
• コンテナの寿命が短くなっても攻撃者は止まりません： クラウド環境は均質であり、攻撃者は発見と偵察のために自動化を利用しているため、クラウド環境とそのラテラルムーブメントの機会をほぼ瞬時に理解することができます。脆弱なワークロードを稼動させることは、それがどんなに短期間であっても、組織を攻撃のリスクにさらすことになります。

Sysdig社サイバーセキュリティ・ストラテジスト, Crystal Morin（クリスタル・モリン）のコメント

「攻撃者は自動化を活用して、発見できるあらゆる弱点を突いています。今年のレポートは、多くの企業がより包括的なセキュリティを犠牲にして、より迅速なイノベーションを追求していることを示しています。」

Sysdig社サイバーセキュリティ・ストラテジーオフィサー, Anna Belak（アナ・べラク）のコメント「AIのような新技術のセキュリティに対する不安には驚きはありませんが、特にマシン・アイデンティティの過剰なパーミッションが大量に設定されてしまっていることに落胆しています。これは、シートベルトを着用せずに定期的に信号無視をしながら、飛行機事故を心配しているようなものです。」

参考資料：

• 2024年度クラウドネイティブセキュリティおよび利用状況レポート（日本語）のダウンロード
• ブログ記事：2024年クラウドネイティブセキュリティレポートより： ベストプラクティスか？それとも利便性とスピードか？
• 2024年2月8日（木）ウェビナーでレポート内容を日本語で解説！クラウドネイティブ環境の運用とセキュリティ侵害からの保護方法を学ぶ　
• 2023年度クラウドネイティブセキュリティおよび利用状況レポート（日本語）
• 全ての英語原文でのレポートはこちら