Datadogの調査レポートから見る、DevSecOpsの適用に向けた実態

画像提供：マイナビニュース

Datadog Japanは6月4日、オンラインでDevSecOpsの現状調査に関する記者説明会を開催した。DevSecOpsとは、運用サイクルを迅速かつ継続的に行うDevOpsに、セキュリティを組み込んだソフトウェア開発手法だ。

調査は2024年2月～4月にかけて収集されたデータにもとづいており、数万のアプリケーションとコンテナイメージ、数千のクラウド環境を分析して、アプリケーションのセキュリティポスチャを評価。

DevSecOpsのベストプラクティスとして、IaC(Infrastructure as Code：コードとしてのインフラストラクチャ)、自動化されたクラウドデプロイメント、セキュアなアプリケーション開発プラクティス、CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインでの有効期間が短い認証情報の採用を評価し、7つのポイントをまとめている。

Datadog Japan シニアデベロッパーアドボケイト 萩野たいじ氏は「安全なコードを迅速かつ大規模に配布することは、ソフトウェア業界全体の課題となっている。昨今、注目を集めるデータ侵害や重大な脆弱性に関するニュースが続いていることからも明らか。こうした課題に対処するために、すべての組織がDevSecOpsを採用する傾向がある。これはアプリケーション開発者が開発ライフサイクル全体を通して、運用チーム、セキュリティチームと緊密に連携する手法でもある」と述べた。

Javaのサービスがサードパーティのライブラリによる脆弱性の影響を最も受けやすい

調査結果によると、クラウド展開のセキュリティ確保に関して、多くの企業が自動化を採用していないことが判明した。1つ目は、さまざまなプログラミング言語で書かれたアプリケーションのセキュリティポスチャを分析し、Javaのサービスがサードパーティのライブラリによる脆弱性に対して最も影響を受けやすいことが明らかになったという。

他の技術の平均が47%であるのに対して、Javaベースのサービスの90%がサードパーティのライブラリによってもたらされた1件以上のクリティカルまたは高重大度の脆弱性に対して影響を受けている。

Javaのサービスは、攻撃者による実際の悪用が文書化された脆弱性に対しても、特に脆弱であることが多いとのこと。米CISA(Cybersecurity and Infrastructure Security Agency)がKEV(Known Exploited Vulnerabilities)カタログに記載されている脆弱性からJavaのサービスのうち55%が影響を受けていることが分かり、他言語を使用したサービス7%比較して高い割合になっている。