2024年版
クラウドネイティブ セキュリティ
情勢レポート
画期的な力として登場した生成AIにより、組織はイノベーションとリスクの狭間に立ち、想像を絶する課題と機会の舵取りを迫られています。
2024年版クラウドネイティブ セキュリティ情勢レポート(4年目の年次レポート)は、10ヶ国5業種の2,800名以上のクラウド セキュリティとDevOpsの専門家とのディスカッションから得られたトレンドと見識を明らかにすることで、組織がこのクラウド セキュリティ変革を最大限に活用できるようにすることを目的としています。同業者がどのようにこの変化に対処しているかご確認いただけます。
AI: 攻撃ベクトルかアクセラレーターか?
AIが発展し続けるにつれ、唯一確かなことは、それが武器化されるということです。38%の組織が2024年における最大の懸念事項としてAIを利用した攻撃を挙げ、43%の組織がAIを利用した脅威が一般的な脅威ベクトルになると予測しているのはそのためです。
AI生成コードのセキュリティ リスク
AIを利用した攻撃は問題の半分に過ぎません。44%の組織がAI生成コードに関連するリスクについても同様に懸念しており、それは当然のことです。自律的に作成されるソフトウェアと、AI生成コードを使用したペースの速い開発は、検出されないセキュリティの欠陥が生じる可能性を高め、従来のセキュリティ テスト方法の負担を増大させます。未知のものを受け入れる
AIに直面し、健全な恐怖と警戒を表しながらも、組織は楽観的です。すべての調査回答者は、AI支援コーディングの採用を計画しており、これに合わせてセキュリティ アプローチを調整することが予定されています。
ツール、ベンダー、ニーズのバランス
クラウド環境が急速に複雑化することは周知の事実です。回答者は平均12のクラウド サービス プロバイダと16のクラウド セキュリティ ツールを使用しており、当然と言えます。回答者の98%は、簡素化と統合の必要性を表明し、使用中のセキュリティ ツールの数を減らすことの重要性を強調しました。
複雑さは「クラウドネイティブ セキュリティ情勢レポート」で繰り返し取り上げられるテーマですが、その解消に向けてはほとんど進展が見られません。クラウド セキュリティ専用のツールの数は、昨年から60%増大しています。
複雑さは「クラウドネイティブ セキュリティ情勢レポート」で繰り返し取り上げられるテーマですが、その解消に向けてはほとんど進展が見られません。クラウド セキュリティ専用のツールの数は、昨年から60%増大しています。
断片化されたエコシステムでのデータ保護
データ セキュリティは多くの組織にとって大きな課題であり、50%がクラウド内の機密データを特定し分類するために手作業でレビューを行っています。手作業でのレビューは時間がかかり、ミスが起きやすく、不完全であることが多いばかりか、データ保護にギャップが生じるため、組織は侵害に対し脆弱になります。
さらなる問題として、98%の組織が機密データを複数の環境に分散して保存しています。調査回答者の半数以上が、機密情報の監視と管理の難しさの原因はこの複雑さにあるとし、48%はデータ保護が十分に行われていないと指摘しています。
セキュリティ インシデントの前年比の増加は、全体的に見られました。約50%の組織が、設定ミス、コンプライアンス違反、安全でないAPIによるダウンタイムの増加を報告し(43%の組織がAPIリスクをセキュリティ上の最大の懸念事項と回答)、64%の組織がデータ侵害の増加を確認しています。
さらなる問題として、98%の組織が機密データを複数の環境に分散して保存しています。調査回答者の半数以上が、機密情報の監視と管理の難しさの原因はこの複雑さにあるとし、48%はデータ保護が十分に行われていないと指摘しています。
セキュリティ インシデントの増加
データはクラウド環境に分散していることが多いため、ほとんどの組織においてアタック サーフェスは広大です。内部関係者による脅威の機会を増大させる原因となる包括的な可視性の欠如と相まって、回答者の45%がAPT攻撃の増加を認識していることは驚くべきことではありません。セキュリティ インシデントの前年比の増加は、全体的に見られました。約50%の組織が、設定ミス、コンプライアンス違反、安全でないAPIによるダウンタイムの増加を報告し(43%の組織がAPIリスクをセキュリティ上の最大の懸念事項と回答)、64%の組織がデータ侵害の増加を確認しています。
コラボレーションへの対応はトップから
クラウド セキュリティとアプリケーション開発の対立は常に存在する可能性が高く、今年のレポートの結果もそれを裏付けています。参加者は、直面している課題を口々に訴えており、84%がプロジェクト スケジュールの遅延の原因がセキュリティ プロセスにあるとし、83%がセキュリティを重荷とみなし、79%が従業員が頻繁にセキュリティ プロセスを無視したり回避したりしていると主張しています。
拙速なデプロイが脆弱性を招いていると報告する組織も71%に上ります。大半(92%)は非効率的な開発とデプロイ、71%はストレス、93%は離職率の高さを理由に挙げています。
バックログと責任のなすり合い
開発者は、ビジネス目標を達成するために、新機能、アップデート、バグ修正をできるだけ早く提供することを強いられています。こうした状況では、セキュリティ チケットは積み上がり、市場参入期日に間に合わず、責任転嫁の風土が蔓延します。この問題に対するフィードバックは予想どおり二分されており、86%はソフトウェアのリリースを妨げているのはセキュリティだと非難し、91%は開発者はより安全なコードを作成する必要があると回答しています。拙速なデプロイが脆弱性を招いていると報告する組織も71%に上ります。大半(92%)は非効率的な開発とデプロイ、71%はストレス、93%は離職率の高さを理由に挙げています。
リスク、現実、クラウド セキュリティ戦略
ツールの問題は、セキュリティのバグや脆弱性を解消する上で大きな課題となります。開発プロセスへの影響があるとする調査回答者は40%に上り、セキュリティ担当者の33%は、従来のセキュリティ ツールが脅威ベクトルを把握できない原因であるとし、アラート ノイズを解決の遅延の原因として挙げています。
効率と効果という共通のテーマが大きな焦点となったのは、こうした課題があったからです。利用するポイント ツールの量が原因で死角が生じており、リスクに優先順位を設定して脅威を防ぐ能力が低下していると回答者の90%以上が指摘しています。さらに88%の回答者は、必要なセキュリティ ツールの見極めに苦戦しています。幸い、チームは必要な能力については明確に認識していました。95%近くが、即座に修復手順を提供するソリューションを望んでおり、ほぼ同数が、攻撃が成功する可能性が最も高い、互いにつながりのある脆弱性や設定ミスを自動的に検出するソリューションが有益であると考えています。
効率と効果という共通のテーマが大きな焦点となったのは、こうした課題があったからです。利用するポイント ツールの量が原因で死角が生じており、リスクに優先順位を設定して脅威を防ぐ能力が低下していると回答者の90%以上が指摘しています。さらに88%の回答者は、必要なセキュリティ ツールの見極めに苦戦しています。幸い、チームは必要な能力については明確に認識していました。95%近くが、即座に修復手順を提供するソリューションを望んでおり、ほぼ同数が、攻撃が成功する可能性が最も高い、互いにつながりのある脆弱性や設定ミスを自動的に検出するソリューションが有益であると考えています。
