Datadogの調査レポートから見る、DevSecOpsの適用に向けた実態

最後はCI/CDパイプラインにおける資格情報に関するもの。通常、CI/CDパイプラインは高い権限を持ち、過剰なロギング、ソフトウェア依存関係の侵害、ビルド成果物を通じて資格情報が漏えいする可能性があるため、攻撃対象を増加させるという。

これはcodecovの侵害と類似しているため、CI/CDパイプラインで有効期間が短い資格情報を使用することは、クラウド環境を保護するうえで最も重要な側面の1つとなっている。しかし、AWS環境で有効期間が短い資格情報が実用的で安全である場合でも、多くの組織が依然として有効期間が長い資格情報に依存していることが確認された。

GitHubが提供するCI/CDサービス「GitHub Actions」を使用している組織全体(AWSで稼働している組織の31%以上に相当)で、有効期間が短い認証情報とOpenID Connect(OIDC)にもとづく、キーレス認証を専門的に使用しているのは37%となっている。

一方で、63%の組織がGitHub Actionsパイプラインの認証にIAMユーザー(有効期間が長い資格情報の一形態)を少なくとも一度は使用しており、42%がIAMユーザーのみを使用しているという結果になった。

一連の調査結果をふまえ、萩野氏はアプリケーションは実装方法だけでなく、運用環境でのデプロイ・実行方法において安全でなければならないほか、最新のDevOpsベストプラクティスを採用してセキュリティ強化を加速することが重要だという。

また、セキュリティリスクを可視化してもノイズに惑わされずに的確に対応するには、正しいコンテキスト優先順位付けが不可欠だとも指摘している。

同氏は「セキュリティ向上のための自動化は改善の余地があり、セキュリティ部門とDevOps部門が密接に連携するDevSecOpsの適用拡大が世界的に必要とされている」と結んだ。
（岩井 健太）