Datadogの調査レポートから見る、DevSecOpsの適用に向けた実態

3つ目は優先する脆弱性への対応について。2023年のCVE(Common Vulnerabilities and Exposures)プロジェクトでは、4000超の高度な脆弱性と1000超のクリティカルな脆弱性が特定され、インベントリ化された。

同社の調査では、平均的なサービスはこれらの脆弱性に対して19の脆弱性があることが分かったが、過去の学術研究では攻撃者が実際に悪用している脆弱性は全体の約5%に過ぎないという。

実務担当者は脆弱性の多さに圧倒され、優先順位付けのフレームワークが必要とのこと。同社では多くの脆弱性を分析し、成功した悪用の可能性と影響を評価するために「脆弱なサービスはインターネットに公開されているか？」「それは本番、開発、テスト環境のどれなのか？」「悪用コードがオンラインで公開されているか、脆弱性を悪用する方法についての指示はあるか？」などの追加的な要因にもとづいた調整済みスコアを計算。

加えて、EPSS(Exploit Prediction Scoring System)のスコアも考慮に入れ、メトリクスで高いスコアを得た脆弱性に重点を置き、これらの方法をすべての脆弱性に適用し、調整後のスコアにもとづいて、どれだけの脆弱性が引き続きクリティカルであるかを評価した。

調整後のスコアリングを適用した結果、重大度がクリティカルな脆弱性を持つ組織の63%がクリティカルな脆弱性を持たないことが確認された一方で、30%の組織はクリティカルな脆弱性の数が半分以上減少した。

優先すべき脆弱性を決定する際には、組織は問題の重大度を一貫して評価できるフレームワークを採用するべきだという。萩野氏は「ランタイムコンテキストを調整さえすれば、多くのクリティカルな脆弱性を解決できる」との認識だ。
AWS環境のIaCツールとしてTerraformが最も使用されている

4つ目はコンテナイメージに関してだ。ソフトウェア開発とセキュリティの両方において「少ないほど良い」ということがあり、これはコンテナベースイメージなどのサードパーティ依存関係に特に当てはまるという。

ベースイメージの選択肢には、Ubuntuなどの古典的なLinux ディストリビューションをベースにした大きなイメージを使用する、Alpine LinuxやBusyBoxなどの軽量ディストリビューションをベースにしたスリムなイメージを使用する、アプリケーションの実行に必要な最小限のランタイムのみを含む、distroless imageを使用することなどがある。