Datadog 、「2024年クラウドセキュリティの現状」レポートを発表、すべての主要クラウドにおいて長期間変更が加えられていない認証情報の取り扱いに改善の余地ありとの見解を示す

ニューヨーク -- オブザーバビリティとセキュリティの統合プラットフォームを提供するDatadog, Inc. (NASDAQ: DDOG)は本日、新しいレポート「2024年クラウドセキュリティの現状」を発表しました。本レポートでは、すべてのクラウドプロバイダーにおいて、認証情報を長期にわたって変更しないことが依然として組織にとって大きなリスクとなっていることが分かりました。

認証情報を長期にわたって変更しないことにより、ソースコード、コンテナイメージ、ビルドログ、アプリケーションアーティファクトから情報が漏洩するケースが頻繁に発生しており、セキュリティ上の大きなリスクとなっています。 過去の調査によると、クラウドセキュリティ侵害の最も一般的な原因がこれらのケースであることが判明しています。

こうしたリスクは十分に報告されていますが、Datadogのレポートによると、半数近くの組織（46%）が依然として管理されていない有効期限の長い認証情報のユーザーを使用していることが明らかになりました。

本レポートによると、長期間変更されていない認証情報は、すべての主要なクラウドで蔓延しているだけでなく、古いものや現在使用されていないものも数多く存在します。Google Cloudサービスアカウントの62%、AWS IAMユーザーの60%、Microsoft Entra IDアプリケーションの46%が、1年以上前のアクセスキーを使用しています。

DatadogのHead of Security AdvocacyであるAndrew Krugは次のように述べています。

「2024年クラウドセキュリティの現状」の調査結果は、長期間変更されていない認証情報を安全に管理できると期待するのは非現実的であることを示唆しています。長期間変更されていない認証情報が大きなリスクであることに加え、本レポートでは、クラウドセキュリティのインシデントのほとんどが、不正に取得されたクレデンシャルによって引き起こされていることが分かりました。企業は自分たちを守るために、最新の認証メカニズムでアイデンティティを保護し、有効期限の短い認証情報を活用し、攻撃者がよく使用するAPIの変更を積極的に監視するといった対策が求められます。」

「2024年クラウドセキュリティの現状」レポートのその他の主な調査結果は以下のとおりです。

• クラウド環境のガードレールの採用が増加しています。S3バケットの79%がアカウント全体またはバケット固有のS3パブリックアクセスブロック機能で保護されています。これは、クラウドプロバイダーがガードレールをデフォルトで有効にし始めたことによるもので、1年前の73%から増加しています。

• AWS EC2インスタンスの18%以上、Google Cloud VM（仮想マシン）インスタンスの33%が、プロジェクトに対して機密性の高い権限を持っています。これにより、ワークロードを攻撃する攻撃者が関連する認証情報を盗み、クラウド環境にアクセスする恐れがあるため、組織はリスクを抱え続けることになります。

• サードパーティインテグレーションの10%は、リスクの高いアクセス権限が設定されており、ベンダーがアカウント内のすべてのデータにアクセスしたり、AWSアカウント全体を乗っ取ったりすることが可能な状態になっています。サードパーティインテグレーションの2%は、外部IDの使用を必須にしていない、攻撃者が「混乱した代理(Confused deputy problem)」問題を通じて不正にアクセスすることが可能な状態になっていました。

本レポートは、DatadogがAWS、Azure、Google Cloudを使用している数千の組織のサンプルからセキュリティ対策データを分析しています。

Datadogの「2024年クラウドセキュリティの現状」は現在公開中です。調査結果の詳細については、こちらのブログ記事をご覧ください。Datadogがどのように企業のクラウド環境のセキュリティを支援しているかについては、こちらをご覧ください。

Datadogについて

Datadogは、クラウドアプリケーション向けのオブザーバビリティおよびセキュリティの統合プラットフォームを提供しています。Datadogの SaaSプラットフォームは、インフラストラクチャーのモニタリング、アプリケーションパフォーマンスモニタリング、ログ管理、リアルユーザーモニタリング、その他多くの機能を統合および自動化し、お客様のテクノロジースタック全体に統合されたリアルタイムのオブザーバビリティとセキュリティを提供します。

Datadogは、あらゆる規模の企業、幅広い業界で使用され、デジタルトランスフォーメーションとクラウド移行を可能にし、開発、運用、セキュリティ、ビジネスチーム間のコラボレーションを促進し、アプリケーションの市場投入までの時間と問題解決までの時間を短縮し、ユーザーの行動を理解し、主要なビジネス指標をトラッキングします。

将来の見通しに関する記述

本プレスリリースには、新製品および新機能の利点に関する記述を含め、米国1933年証券法（Securities Act of 1933）第27A条および米国1934年証券取引所法（Securities Exchange Act of 1934）第21E条に規定される「将来予想に関する記述」が含まれています。これらの将来予想に関する記述は、当社の製品および機能の強化、またそれらによってもたらされる利益に関する記述が含まれますが、これらに限定するものではありません。実際の結果は、将来見通しに関する記述とは大きく異なる可能性があり、「リスクファクター」の見出しの下に詳述されているリスクをはじめ、2024年5月8日に米国証券取引委員会に提出したForm 10-Qの四半期報告書を含む米国証券取引委員会への提出書類および報告書、ならびに当社による今後の提出書類および報告書に記載されている、当社が制御できない様々な仮定、不確実性、リスクおよび要因の影響を受けます。法律で義務付けられている場合を除き、当社は、新しい情報、将来の事象、期待の変化などに応じて、本リリースに含まれる将来の見通しに関する記述を更新する義務または責務を負いません。