DatadogのDevSecOps の現状2024レポートで、多くの組織がクラウド展開のセキュリティ確保のために自動化を十分に導入していないことが判明

ニューヨーク - クラウド時代のモニタリングおよびセキュリティのSaaSプラットフォームを提供するDatadog ( https://www.datadoghq.com/ja/ ), Inc. (NASDAQ: DDOG) は本日、新しいレポート「State of DevSecOps 2024 ( https://dtdg.co/pr-devsecops2024 ) 」を発表しました。本レポートによると、クラウド展開のセキュリティ確保に関して、驚くほど多くの企業が自動化を採用していないことが明らかになりました。

AWSを活用している企業の少なくとも38％が、14日以内に本番環境でAWSコンソールを使ってワークロードのデプロイや、機密性の高いアクションを手動で完了しており、自動化ではなく手動でのクリック操作に頼っていることを意味しています。

Infrastructure as Code（IaC）の採用も、クラウドプロバイダーによって異なっています。IaCは、クラウドの本番環境を保護する上で重要なプラクティスと考えられており、これは本番環境に対する人間の操作の権限を制限し、すべての変更がピアレビューされ、プロセスの早い段階で問題が特定できるようにするためです。レポートによると、AWSでは71％以上の企業が、Terraform、CloudFormation、Pulumiなど、少なくとも1つの一般的なIaCテクノロジーによってIaCを利用しています。一方Google Cloudにおける利用率は、55％と低い結果となりました。

DatadogのHead of Security Advocacyを務めるアンドリュー・クルーグは、次のように述べています。「DevSecOpsの現状に関するこれらの調査結果は、セキュリティ向上にむけた自動化の導入に関して、まだ改善の余地があることを示しています。最新のDevOpsプラクティスは、強力なセキュリティ対策と密接に連携しており、実際、セキュリティは企業全体のオペレーショナルエクセレンスの推進に役立っています。セキュリティは可視化から始まりますが、アプリケーションの安全確保は、実務者がどのセキュリティシグナルが重要で、どれが無関係かを理解するのに十分なコンテキストと優先順位付けを与えられて初めて現実的なものになります。」

レポートの主な調査結果は以下の通りです。

• 自動セキュリティスキャナからの攻撃は、攻撃の試行回数としては最も多いものの、これらの攻撃の大部分は無害であり、防御側にとってはノイズにしかなりません。このようなスキャナーから特定された数千万件の悪意のあるリクエストのうち、脆弱性のトリガーに成功したのはわずか0.0065%でした。

• データ漏えいの最も一般的な原因 ( https://securitylabs.datadoghq.com/articles/public-cloud-breaches-2022-mccarthy-hopkins/ ) の一つである長期間のクレデンシャルに、CI/CDパイプラインで依存し続けている企業がかなり多く見受けられます。63%がGitHub Actionsパイプラインの認証に、少なくとも一度は長期保存型のクレデンシャルを使用しています。

• Javaアプリケーションは、サードパーティの脆弱性による影響を最も受けています。Javaのサービスの90%が、サードパーティのライブラリによってもたらされた1つ以上の重大または深刻度の高い脆弱性の影響を受けているのに対し、他のプログラミング言語の平均は47%です。

Datadogは本レポートにおいて、何万ものアプリケーションとコンテナイメージ、そして何千ものクラウド環境を分析し、今日のアプリケーションのセキュリティ体制を評価するとともに、DevSecOpsの中核をなすベストプラクティスの採用を評価しました。

「State of DevSecOps 2024」(日本語版) は現在公開中です。全文はこちらをご覧ください：

https://www.datadoghq.com/ja/state-of-devsecops/

Datadogがどのようにクラウド環境のセキュリティを支援しているかについては、こちらをご覧ください：

https://www.datadoghq.com/ja/product/cloud-security-management/

Datadogについて

Datadogは、クラウドアプリケーション向けのオブザーバビリティおよびセキュリティプラットフォームを提供しています。Datadogの SaaSプラットフォームは、インフラストラクチャーのモニタリング、アプリケーションパフォーマンスモニタリング、ログ管理、リアルユーザーモニタリング、その他多くの機能を統合および自動化し、お客様のテクノロジースタック全体に統合されたリアルタイムのオブザーバビリティとセキュリティを提供します。Datadogは、あらゆる規模の企業、幅広い業界で使用され、デジタルトランスフォーメーションとクラウド移行を可能にし、開発、運用、セキュリティ、ビジネスチーム間のコラボレーションを促進し、アプリケーションの市場投入までの時間と問題解決までの時間を短縮し、ユーザーの行動を理解し、主要なビジネス指標をトラッキングします。

 

将来の見通しに関する記述

本プレスリリースには、新製品および新機能の利点に関する記述を含め、米国1933年証券法（Securities Act of 1933）第27A条および米国1934年証券取引所法（Securities Exchange Act of 1934）第21E条に規定される「将来予想に関する記述」が含まれています。これらの将来予想に関する記述は、当社の製品および機能の強化、またそれらによってもたらされる利益に関する記述が含まれますが、これらに限定するものではありません。実際の結果は、将来見通しに関する記述とは大きく異なる可能性があり、「リスクファクター」の見出しの下に詳述されているリスクをはじめ、2024年3月31日に米国証券取引委員会に提出したForm 10-Qの四半期報告書を含む米国証券取引委員会への提出書類および報告書、ならびに当社による今後の提出書類および報告書に記載されている、当社が制御できない様々な仮定、不確実性、リスクおよび要因の影響を受けます。法律で義務付けられている場合を除き、当社は、新しい情報、将来の事象、期待の変化などに応じて、本リリースに含まれる将来の見通しに関する記述を更新する義務または責務を負いません。