Datadogの調査レポートから見る、DevSecOpsの適用に向けた実態
マイナビニュース / 2024年6月5日 11時18分
3つ目は優先する脆弱性への対応について。2023年のCVE(Common Vulnerabilities and Exposures)プロジェクトでは、4000超の高度な脆弱性と1000超のクリティカルな脆弱性が特定され、インベントリ化された。
同社の調査では、平均的なサービスはこれらの脆弱性に対して19の脆弱性があることが分かったが、過去の学術研究では攻撃者が実際に悪用している脆弱性は全体の約5%に過ぎないという。
実務担当者は脆弱性の多さに圧倒され、優先順位付けのフレームワークが必要とのこと。同社では多くの脆弱性を分析し、成功した悪用の可能性と影響を評価するために「脆弱なサービスはインターネットに公開されているか?」「それは本番、開発、テスト環境のどれなのか?」「悪用コードがオンラインで公開されているか、脆弱性を悪用する方法についての指示はあるか?」などの追加的な要因にもとづいた調整済みスコアを計算。
加えて、EPSS(Exploit Prediction Scoring System)のスコアも考慮に入れ、メトリクスで高いスコアを得た脆弱性に重点を置き、これらの方法をすべての脆弱性に適用し、調整後のスコアにもとづいて、どれだけの脆弱性が引き続きクリティカルであるかを評価した。
調整後のスコアリングを適用した結果、重大度がクリティカルな脆弱性を持つ組織の63%がクリティカルな脆弱性を持たないことが確認された一方で、30%の組織はクリティカルな脆弱性の数が半分以上減少した。
優先すべき脆弱性を決定する際には、組織は問題の重大度を一貫して評価できるフレームワークを採用するべきだという。萩野氏は「ランタイムコンテキストを調整さえすれば、多くのクリティカルな脆弱性を解決できる」との認識だ。
AWS環境のIaCツールとしてTerraformが最も使用されている
4つ目はコンテナイメージに関してだ。ソフトウェア開発とセキュリティの両方において「少ないほど良い」ということがあり、これはコンテナベースイメージなどのサードパーティ依存関係に特に当てはまるという。
ベースイメージの選択肢には、Ubuntuなどの古典的なLinux ディストリビューションをベースにした大きなイメージを使用する、Alpine LinuxやBusyBoxなどの軽量ディストリビューションをベースにしたスリムなイメージを使用する、アプリケーションの実行に必要な最小限のランタイムのみを含む、distroless imageを使用することなどがある。
この記事に関連するニュース
-
Datadog、開発環境と本番環境を対象とするデータ、クラウド、アプリケーションの新セキュリティ機能を発表
PR TIMES / 2024年6月28日 11時15分
-
GitLab、開発者のエクスペリエンス向上に向けてGoogle Cloudとの統合拡張を発表
PR TIMES / 2024年6月22日 13時40分
-
Datadog、DevSecOpsチーム向けの新製品App Builderを発表
PR TIMES / 2024年6月21日 16時15分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
-
DatadogのDevSecOps の現状2024レポートで、多くの組織がクラウド展開のセキュリティ確保のために自動化を十分に導入していないことが判明
PR TIMES / 2024年6月4日 18時15分
ランキング
-
1KADOKAWA、一部クリエイターの個人情報など漏えい確認と報告 ドワンゴ「流出した情報のダウンロードや拡散控えて」
ねとらぼ / 2024年6月28日 20時43分
-
2KADOKAWA、クリエイターの個人情報漏えいを確認 取引先との契約書なども
ITmedia NEWS / 2024年6月28日 18時45分
-
3「ご乱心wwww」 実写ドラマを見て“キレる”原作者に「信頼できるオタクの反応」「限界オタク」
ねとらぼ / 2024年6月28日 18時30分
-
4複数のWordPressプラグインにバックドア、確認と対策を
マイナビニュース / 2024年6月28日 8時48分
-
5楽天モバイル、ついにプラチナバンド開始 都市部の穴を埋めるのがメイン
ASCII.jp / 2024年6月27日 17時20分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)