Datadogの調査レポートから見る、DevSecOpsの適用に向けた実態
マイナビニュース / 2024年6月5日 11時18分
最後はCI/CDパイプラインにおける資格情報に関するもの。通常、CI/CDパイプラインは高い権限を持ち、過剰なロギング、ソフトウェア依存関係の侵害、ビルド成果物を通じて資格情報が漏えいする可能性があるため、攻撃対象を増加させるという。
これはcodecovの侵害と類似しているため、CI/CDパイプラインで有効期間が短い資格情報を使用することは、クラウド環境を保護するうえで最も重要な側面の1つとなっている。しかし、AWS環境で有効期間が短い資格情報が実用的で安全である場合でも、多くの組織が依然として有効期間が長い資格情報に依存していることが確認された。
GitHubが提供するCI/CDサービス「GitHub Actions」を使用している組織全体(AWSで稼働している組織の31%以上に相当)で、有効期間が短い認証情報とOpenID Connect(OIDC)にもとづく、キーレス認証を専門的に使用しているのは37%となっている。
一方で、63%の組織がGitHub Actionsパイプラインの認証にIAMユーザー(有効期間が長い資格情報の一形態)を少なくとも一度は使用しており、42%がIAMユーザーのみを使用しているという結果になった。
一連の調査結果をふまえ、萩野氏はアプリケーションは実装方法だけでなく、運用環境でのデプロイ・実行方法において安全でなければならないほか、最新のDevOpsベストプラクティスを採用してセキュリティ強化を加速することが重要だという。
また、セキュリティリスクを可視化してもノイズに惑わされずに的確に対応するには、正しいコンテキスト優先順位付けが不可欠だとも指摘している。
同氏は「セキュリティ向上のための自動化は改善の余地があり、セキュリティ部門とDevOps部門が密接に連携するDevSecOpsの適用拡大が世界的に必要とされている」と結んだ。
(岩井 健太)
外部リンク
この記事に関連するニュース
-
Datadog、開発環境と本番環境を対象とするデータ、クラウド、アプリケーションの新セキュリティ機能を発表
PR TIMES / 2024年6月28日 11時15分
-
GitLab、開発者のエクスペリエンス向上に向けてGoogle Cloudとの統合拡張を発表
PR TIMES / 2024年6月22日 13時40分
-
Datadog、DevSecOpsチーム向けの新製品App Builderを発表
PR TIMES / 2024年6月21日 16時15分
-
ソフトウェアサプライチェーンの保護に果たすAIの役割とは【前編】
マイナビニュース / 2024年6月17日 11時31分
-
DatadogのDevSecOps の現状2024レポートで、多くの組織がクラウド展開のセキュリティ確保のために自動化を十分に導入していないことが判明
PR TIMES / 2024年6月4日 18時15分
ランキング
-
1KADOKAWA、一部クリエイターの個人情報など漏えい確認と報告 ドワンゴ「流出した情報のダウンロードや拡散控えて」
ねとらぼ / 2024年6月28日 20時43分
-
2KADOKAWA、クリエイターの個人情報漏えいを確認 取引先との契約書なども
ITmedia NEWS / 2024年6月28日 18時45分
-
3「ご乱心wwww」 実写ドラマを見て“キレる”原作者に「信頼できるオタクの反応」「限界オタク」
ねとらぼ / 2024年6月28日 18時30分
-
4複数のWordPressプラグインにバックドア、確認と対策を
マイナビニュース / 2024年6月28日 8時48分
-
5楽天モバイル、ついにプラチナバンド開始 都市部の穴を埋めるのがメイン
ASCII.jp / 2024年6月27日 17時20分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)