Sysdigが「2023年度版クラウドネイティブセキュリティおよび利用状況レポート」を発表 -- コンテナイメージの87%に高リスクの脆弱性があることが判明 --
大規模なクラウド導入において1000万ドル以上の無駄な出費に加えてソフトウェアのサプライチェーンでの大きなリスクを発見
2/1/2023 - 米国カリフォルニア州サンフランシスコ発 -- コンテナとクラウドの統合セキュリティリーダーであるSysdig Inc. (シスディグ)は、本日「2023年度版クラウドネイティブセキュリティおよび利用状況レポート」の調査結果を発表しました。本年度は2つのテーマに焦点を当て、クラウドとコンテナ環境における最大の未対応のセキュリティ問題は、「サプライチェーンリスク」と「ゼロトラストアーキテクチャの準備」であることを明らかにしました。また、キャパシティの過剰割り当てによる数千万ドルのクラウド費用の無駄も明らかにされています。
<このプレスリリースは2/1/2023に米国で発表されたリリースの抄訳です>
第6回目となる本レポートでは、実データに基づき、あらゆる規模や業種のグローバル企業がクラウドとコンテナ環境をどのように利用し、セキュリティを確保しているかを明らかにしています。データセットは、昨年1年間にSysdigの顧客が運用した数十億個のコンテナ、数千のクラウドアカウント、数十万個のアプリケーションを網羅しています。
【レポートのハイライト】
コンテナイメージの87%に重大で深刻度の高い脆弱性が存在:最新の設計とオープンソースイメージの共有という性質上、セキュリティチームは数多くのコンテナ脆弱性に直面しています。現実には、チームはすべてを修正することはできず、脆弱性の優先順位付けと作業負荷の軽減のための適切なパラメータを見つけることに苦労しています。
また、このレポートでは、修正プログラムが提供されている重大で深刻度の高い脆弱性のうち、実行時にロードされるパッケージの脆弱性はわずか15%であることも明らかにされています。実際に使用されている脆弱なパッケージに対してフィルタリングを行うことで、真のリスクを示す修正可能な脆弱性のごく一部に労力を集中させることができるのです。85%あった脆弱性の数を15%に減らすことで、サイバーセキュリティチームはより実行しやすい数字を得ることができます。
付与されたクラウド権限の90%が使用されていない:ゼロトラストアーキテクチャの原則では、組織は過度に寛容なアクセスを付与することを避けるべきである、と強調しています。しかし、このレポートのデータによると、付与されたアクセス権のうち90%が使用されていないことが分かっています。攻撃者が特権的なアクセスや過剰な権限を持つアイデンティティからクレデンシャルを侵害した場合、認証情報を盗む機会が多く残されていることになるのです。
59%のコンテナにはCPUの上限が定義されておらず、要求されたCPUリソースの69%が未使用:Kubernetes環境の利用情報がないため、開発者はクラウドリソースの過不足に気づかないままです。あらゆる規模の組織が40%の過剰支出をしている可能性があり、大規模なデプロイメントでは、環境を最適化することで、クラウドの使用料を平均1,000万ドル節約することができます。
72%のコンテナは寿命が5分未満:コンテナがなくなった後にトラブルシューティングの情報を収集することはほぼ不可能です。今年は、前年と比較してコンテナの寿命が 28% 短くなりました。この減少は、組織がコンテナ・オーケストレーションの利用を成熟させたことを意味し、クラウドの刹那的な性質に対応できるセキュリティの必要性を強調しています。
「昨年のレポートを振り返ると、コンテナの採用は成熟し続けており、それはコンテナの寿命が短くなっていることからも明らかです。しかし、クラウド環境では、設定ミスや脆弱性が引き続き問題になっており、サプライチェーンがセキュリティ問題の顕在化を増幅させています。」Sysdig のサイバーセキュリティ戦略ディレクターである Michael Isbitski 氏は語ります。また、「ユーザーやサービスを問わず、権限管理もぜひとも厳格化してもらいたい分野です」と述べています。「今年のレポートは大きな成長を示しており、2024年のレポートまでにチームでの採用を推奨するベストプラクティスの概要も示しています。例えば、実際のリスクを理解するために使用中に脅威にさらされていないかを調べたり、本当に影響のある脆弱性の修復に優先順位をつけたりすることです。」
参考資料
Sysdigについて
Sysdigは、クラウドとコンテナのセキュリティ標準を推進しています。Falcoとsysdig-ossをオープンソースの標準規格かつSysdigプラットフォームの主な構成要素として作成したことで、クラウドネイティブ環境におけるランタイム脅威検知と対応の先駆者となっています。Sysdigのプラットフォームで、ソフトウェアの脆弱性発見と優先順位付け、脅威の検出と対応、クラウドサービスの設定ミス検知(CSPM)、過剰な権限チェック(CIEM)、コンプライアンス管理まで対応可能となります。コンテナやKubernetesからクラウドサービスまで、お客様は開発ソースから実行までリスクを視覚化させることで、セキュリティリスクの死角や当て推量、ブラックボックス等を無くすことが可能です。米国カリフォルニア州に本社を置き、2013年の設立以降、世界中の最も革新的な大企業がSysdigを採用しており、日本ではヤフージャパン、メルカリ、NTTデータをはじめ有数の企業に採用されています。 日本法人はSysdig Japan合同会社(ウェブサイト:https://sysdig.jp/)
第6回目となる本レポートでは、実データに基づき、あらゆる規模や業種のグローバル企業がクラウドとコンテナ環境をどのように利用し、セキュリティを確保しているかを明らかにしています。データセットは、昨年1年間にSysdigの顧客が運用した数十億個のコンテナ、数千のクラウドアカウント、数十万個のアプリケーションを網羅しています。
【レポートのハイライト】
コンテナイメージの87%に重大で深刻度の高い脆弱性が存在:最新の設計とオープンソースイメージの共有という性質上、セキュリティチームは数多くのコンテナ脆弱性に直面しています。現実には、チームはすべてを修正することはできず、脆弱性の優先順位付けと作業負荷の軽減のための適切なパラメータを見つけることに苦労しています。
また、このレポートでは、修正プログラムが提供されている重大で深刻度の高い脆弱性のうち、実行時にロードされるパッケージの脆弱性はわずか15%であることも明らかにされています。実際に使用されている脆弱なパッケージに対してフィルタリングを行うことで、真のリスクを示す修正可能な脆弱性のごく一部に労力を集中させることができるのです。85%あった脆弱性の数を15%に減らすことで、サイバーセキュリティチームはより実行しやすい数字を得ることができます。
付与されたクラウド権限の90%が使用されていない:ゼロトラストアーキテクチャの原則では、組織は過度に寛容なアクセスを付与することを避けるべきである、と強調しています。しかし、このレポートのデータによると、付与されたアクセス権のうち90%が使用されていないことが分かっています。攻撃者が特権的なアクセスや過剰な権限を持つアイデンティティからクレデンシャルを侵害した場合、認証情報を盗む機会が多く残されていることになるのです。
59%のコンテナにはCPUの上限が定義されておらず、要求されたCPUリソースの69%が未使用:Kubernetes環境の利用情報がないため、開発者はクラウドリソースの過不足に気づかないままです。あらゆる規模の組織が40%の過剰支出をしている可能性があり、大規模なデプロイメントでは、環境を最適化することで、クラウドの使用料を平均1,000万ドル節約することができます。
72%のコンテナは寿命が5分未満:コンテナがなくなった後にトラブルシューティングの情報を収集することはほぼ不可能です。今年は、前年と比較してコンテナの寿命が 28% 短くなりました。この減少は、組織がコンテナ・オーケストレーションの利用を成熟させたことを意味し、クラウドの刹那的な性質に対応できるセキュリティの必要性を強調しています。
「昨年のレポートを振り返ると、コンテナの採用は成熟し続けており、それはコンテナの寿命が短くなっていることからも明らかです。しかし、クラウド環境では、設定ミスや脆弱性が引き続き問題になっており、サプライチェーンがセキュリティ問題の顕在化を増幅させています。」Sysdig のサイバーセキュリティ戦略ディレクターである Michael Isbitski 氏は語ります。また、「ユーザーやサービスを問わず、権限管理もぜひとも厳格化してもらいたい分野です」と述べています。「今年のレポートは大きな成長を示しており、2024年のレポートまでにチームでの採用を推奨するベストプラクティスの概要も示しています。例えば、実際のリスクを理解するために使用中に脅威にさらされていないかを調べたり、本当に影響のある脆弱性の修復に優先順位をつけたりすることです。」
参考資料
- Sysdig 2023年度版クラウドネイティブセキュリティおよび利用状況レポート(全文)*フォームへの記入要 URL: https://sysdig.jp/resources/reports/jp-2023-cloud-native-security-and-usage-report/
- ブログ:Sysdig 2023年度版クラウドネイティブセキュリティおよび利用状況レポート URL: https://sysdig.jp/blog/2023-cloud-native-security-usage-report/
- 過去レポート(英語版で2019年から2022年まで)URL: https://dig.sysdig.com/l/pf-cloud-native-security-usage-reports-all/
Sysdigについて
Sysdigは、クラウドとコンテナのセキュリティ標準を推進しています。Falcoとsysdig-ossをオープンソースの標準規格かつSysdigプラットフォームの主な構成要素として作成したことで、クラウドネイティブ環境におけるランタイム脅威検知と対応の先駆者となっています。Sysdigのプラットフォームで、ソフトウェアの脆弱性発見と優先順位付け、脅威の検出と対応、クラウドサービスの設定ミス検知(CSPM)、過剰な権限チェック(CIEM)、コンプライアンス管理まで対応可能となります。コンテナやKubernetesからクラウドサービスまで、お客様は開発ソースから実行までリスクを視覚化させることで、セキュリティリスクの死角や当て推量、ブラックボックス等を無くすことが可能です。米国カリフォルニア州に本社を置き、2013年の設立以降、世界中の最も革新的な大企業がSysdigを採用しており、日本ではヤフージャパン、メルカリ、NTTデータをはじめ有数の企業に採用されています。 日本法人はSysdig Japan合同会社(ウェブサイト:https://sysdig.jp/)
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像