@Press
2023.08.042023年8月4日 – 本社を米国に置き、グローバル市場調査とアドバイザリーを提供するフロスト・アンド・サリバン・ジャパン株式会社(東京都港区/以下、フロスト&サリバン)は、「クラウドネイティブ・テクノロジーの複雑さと安全性(The Complexity and Insecurity of Cloud-native Technologies)」に関する調査レポートを発表いたしました。
企業がバックエンド・インフラや顧客向けアプリケーションを構築、運用、管理する方法を、クラウドネイティブ・テクノロジーが一変させました。しかし、その複雑さと脆弱性により、新たなセキュリティ脅威も生じています。
Infrastructure as Code(IaC)、サーバーレス・コンピューティングまたは Function as a Service(FaaS)、コンテナ、その他の継続的インテグレーションまたは継続的デプロイメント(CI/CD)ツールが、アプリケーション開発とクラウド・デプロイメントに使用されています。しかし、これらの技術はそれぞれ、ハッカーがクラウドシステムに侵入するために悪用する攻撃の手段となる可能性を持っています。
オープンソース・ソフトウェアを使用するメリットとして、ソースコードへのアクセス、コスト削減、柔軟性、カスタマイズ性、コミュニティ・サポート、最先端技術の利用可能性などが挙げられます。しかし依然として、アプリケーションの成果物はホスト・セキュリティやコード・インジェクション、認証情報の窃盗、コンテナ・イメージの脆弱性などのセキュリティ問題に対して脆弱であり、ビジネスを危険にさらす可能性があります。
現代のアプリケーション開発プロセスにおける、組織の最大の懸念事項のひとつは、秘密情報や認証情報の漏洩です。GitHub、SourceForge、Bitbucket、GitLabのようなパブリックリポジトリの利用が急増する中、コードリポジトリは秘密漏洩の最も重要な原因のひとつとなっており、ヒューマンエラーや設定ミスがアプリケーション開発プロセスにおける最も重大な脆弱性要因となっています。
組織は、クラウドネイティブ・アプリケーションのライフサイクル全体を通じて、クラウドインフラ、ワークロード、オープンソース・ソフトウェア、成果物、CI/CDパイプラインのすべてのリスクを最小限に抑えるために、セキュリティのシフトレフトに焦点を当ててセキュリティ保護を強化する必要があります。HubSpotとSegmentは、マーケティング、セールス、カスタマーサービス、オペレーション、コンテンツ管理、顧客データ管理プラットフォームなど、さまざまなビジネス機能ツールを提供するソフトウェアをメインで扱う企業です。両社は多くの顧客とそのデータを扱っており、ウェブアプリケーションと特権アクセスを持つユーザーアカウントセキュリティのシフトレフトに重点を置く必要があります。Gong、ZoomInfo、 Salsifyといった、最新のビジネスアプリケーションと他のビジネスソリューションとのAPI統合を提供する企業にとって、DevOpsワークフローにおける認証情報と機密情報の保護は非常に重要です。
CI/CDパイプラインのセキュリティから始まるセキュリティのシフトレフト
セキュリティのシフトレフトは、セキュアなソフトウェア開発ライフサイクルの不可欠な要素となっており、セキュリティ対策をできるだけ早い段階で開発プロセスに統合することを重視しています。CI/CDパイプラインのセキュリティもまた、 DevOpsプロセスの重要な一部となっており、コードが開発され、リポジトリにコミットされると、アプリケーションのビルド、テスト、デプロイメントを自動化する。しかし、CI/CDパイプラインは、組織に深刻な影響をもたらす多くのセキュリティリスクに直面している。これには、安全でないコード、秘密情報や資格情報の暴露、 CI/CDパイプラインツールのセキュリティの誤設定、特権アクセス制御の欠如、オープンソース・ソフトウェアのセキュリティ(サプライチェーンセキュリティ)などが含まれます。
つまり、CI/CDパイプラインにセキュリティを組み込むことは不可欠であり、組織はDevSecOpsの概念と文化を受け入れる必要があるということです。CI/CDパイプラインのセキュリティのための主な技術には、ソース構成分析(SCA)、アプリケーションコードの脆弱性スキャニングのためのソースコードスキャニングによるセキュリティテスト(SAST)、機能テスト、アクセス制御、秘密管理、コンテナイメージの脆弱性スキャニングのためのレジストリスキャニング、ランタイムセキュリティのための動的アプリケーションセキュリティテスト(DAST)が含まれます。
オープン・ソース・ソフトウェアを利用することで、ソース・コードへのアクセス、コスト削減、柔軟性、カスタマイズ性、コミュニティによるサポート、最先端技術へのアクセスなど、多くのメリットを享受することができます。チェック・ポイントの CloudGuard は、すべての CI/CD ツールと統合することで、ビルド時の機密保護プロセスを自動化し、サプライ・チェーンのギャップを発見・監視して、CI/CD プロセス全体のリスク管理をサポートします。
まとめ:
● CI/CDパイプラインのセキュリティは、DevOpsプロセスの重要な一部であり、ソフトウェア
開発ライフサイクルの各段階でセキュリティを組み込む必要があります。
● チェック・ポイント・テクノロジーズが提供するCloudGuardは、企業が抱えるコードから
クラウドに至るまでのセキュリティ問題に対処するための総合的なソリューションであり、
開発者に焦点を当てたエンドツーエンドのセキュリティを CI/CDパイプラインに提供することが
できます。
● 企業は、DevSecOpsプラクティスとテクノロジーを導入することで、セキュリティを向上させ
ながらコストを大幅に削減し、市場投入までの時間を短縮することができます。
英語原文:The Complexity and Insecurity of Cloud-native Technologies
The Complexity and Insecurity of Cloud-native Technologies : https://www.frost.com/frost-perspectives/the-complexity-and-insecurity-of-cloud-native-technologies/
本リリースの全文は、フロスト&サリバンHPからもご覧いただけます。https://bit.ly/3DIbMIM
:
フロスト&サリバンは、60年以上に渡り、フォーチュン1,000社、行政機関、投資家に向け、持続可能な成長戦略の策定をご支援してきました。経済情勢の変化に即応すると共に、破壊的技術を見出し、新たなビジネスモデルを立案することで、将来の成功へと導く革新的な成長機会を創り出します。
設立:2014年1月
沿革:2009年3月 日本支社「フロスト&サリバン インターナショナル」設立
2014年1月 日本法人「フロスト&サリバン ジャパン株式会社」設立
代表者:山村浩(代表取締役)
所在地:〒107-6123 東京都港区赤坂5丁目2番20号 赤坂パークビル23階
URL: https://frost.co.jp/
フロスト・アンド・サリバン株式会社PR事務局(SivanS株式会社内)
担当:浦
Email: marketing.jp@frost.com
災害大国日本の「女性のほんの少しの意識から、全国の意識を変えたい」 日本防災女子株式会社と美術学校の生徒による女性防災セット99販売開始!
度重なる震災や豪雨災害の備えとして、創形美術学校(東京都豊島区)と都内の中小企業向けにBCP関連事業を営む日本防災女子株式会社(東京都豊島区、代表取締役:堀口 富美子)が共同でデザインした防災グッズ収納袋に入った、女性目線で備える防災グッズの販売を2022年7月25日(月)に開始します。 女性防災3点セット 地
@Press
#ライフスタイル
大人の女性に向けた工夫がいっぱい!「クツワの機能手帳」2023年度版を発売
学童文具・生活雑貨メーカーのクツワ株式会社(大阪府東大阪市)が長年展開する、大人の女性に向けた工夫がいっぱいの2023年度手帳を8月下旬より発売します。 大人の女性に大人気の「クツワ手帳」 忙しい毎日を過ごす大人の女性は、ライフスタイルも様々です。 1人でも多くの女性に、ぴったりと感じてもらえるよう、
@Press
#ライフスタイル
大人向けのキャラクターマスク「miffyトーンアップマスク 30枚入りBOXマスク」を2022年7月上旬に発売!
日本マスク(R)のブランドで、マスクを企画・製造・販売している横井定株式会社(所在地:愛知県名古屋市、代表取締役:横井 昭)は、大人向けのキャラクターマスク。「miffyトーンアップマスク 30枚入りBOXマスク」を2022年7月上旬より販売を開始いたします。 外箱全体 カラーマスク×ミッフィーデザインが特徴のこち
@Press
#ライフスタイル
アロマ調香デザイナー 齋藤智子さん直伝! 香りの楽しみ方&おすすめアロマアイテム Qoo10で人気の「ディフューザー」販売ランキングも発表
インターネット総合ショッピングモール「Qoo10」を運営するeBay Japan合同会社(本社:東京都港区、代表取締役:グ ジャヒョン)は、環境の変化が多いこの時期に、アロマ調香デザイナーの齋藤智子さんにお話を伺い、Qoo10で購入可能なおすすめのアロマアイテムや初心者でも始めやすいお部屋での香りの取り入れ方を紹介しま
valuepress
#ライフスタイル
結婚・出産・転勤帯同などでキャリア断絶した女性の再就職加速には「リターンシップ」実施環境整備が急務
株式会社ノヴィータ(所在地:東京都港区、代表取締役社長:三好 怜子、以下 ノヴィータ、 https://www.novitanet.com/ )は、職歴にブランクがある女性人材を採用する「企業側」、採用される「個人(職歴にブランクがある女性)側」それぞれに調査を実施。調査の結果をもとに、リターンシッププログラムを活用したマッチング支
@Press
#ライフスタイル
「Google Scholar」のトップページに書かれていることわざは……?
投稿プラットフォーム『LOVEIT(ラブイット)』に6月29日から「推し活レポ」や「推しの布教」を投稿できる新機能が登場! ~自分の推し活スタイルに合わせた記事を簡単に作成~
@Press
8月4日は一粒万倍日と天赦日が重なる大開運日!縁起のいい日がわかる『吉日カレンダー8月版』をziredが無料ダウンロード配布開始!
@Press
ライフ300店舗目となる「セントラルスクエアららぽーと門真店」がついにオープン!~対面販売やオリジナル商品が充実でお買い物の楽しさをお届け~
@Press
6月2日に注目!縁起のいい日がわかる『吉日カレンダー6月版』をziredが無料ダウンロード配布開始!
@Press
東京工芸大学元学長 故・若尾真一郎の展覧会が開催 - WAKAO WORLD -
@Press
