Kubernetes に関連するセキュリティ・ソフトウェアの調査:55% が OSS を利用

The pros and cons of using open-source Kubernetes security software

2022/11/21 HelpNetSecurity — Kubernetes のセキュリティ環境においても、オープンソース・ツールは重要な役割を担っている。ARMO の調査により、大半の企業がオープンソースの Kubernetes セキュリティ・ソフトウェアを使用していることが明らかになった。The State of Kubernetes Open Source Security 調査では回答者の 55% が、Kubernetes クラスタを安全に保つために、複数のオープンソース・ツールを使用していると回答している。ただし、この数値には、オープンソースのみを使用している場合と、オープンソースと独自ソリューションを混合して使用している場合が含まれている。

この調査では、複数のオープンソース・セキュリティ製品を使用することが、極めて一般的であることが明らかになった。回答者の約 25% が、Kubernetes 用に5種類以上のオープンソース・セキュリティツールを使用している。大半のオープンソース・ツールが、セキュリティに関連する1つのタスクに対応するため、包括的にカバーするためには複数のツールを使用せざるを得ない。

しかし、複数のツールが混在するアプローチでは、特に統合に関する課題が生じる。ユーザーたちは、オープンソースのセキュリティ・ソリューションで困難な点として、他の DevOps ツールとの統合 (62%)/管理 (51%)/設定 (45%) などを挙げている。さらに掘り下げると、回答者の 69% が指定するのは、既存の Kubernetes スタックに、オープンソースのセキュリティ・ツールを統合することの困難さである。これらの課題は、オープンソースツールの性質上、ドキュメント/サポート/ガイダンスが限定されやすいという現実により、さらに悪化している可能性もある。

このようなあ、分断されたセキュリティの環境は、他の問題を引き起こす可能性もある。Kubernetes のセキュリティについて、実務担当者たちが挙げる最大の課題は、アラートが多すぎる (68%)/過度に断片的なソリューション (62%)/複雑さ (51%)/包括的なソリューションの欠如 (47%) の順となる。また、セキュリティにおける別の課題としては、アジリティの妨げなどが大きな問題として挙げられている (54%)。

しかし、独自のソリューションにも課題はある。回答者の 69% がプロプライエタリなセキュリティ・ツールはブラックボックスだと指摘し、その仕組みやコードをほとんど理解できず、企業独自のニーズに合わせて変更することが困難だと述べている。その他の課題は、コストに関するものである。有料 Kubernetes セキュリティ・ソリューションに対して、回答者の 62% が複雑な価格モデル を指摘し、47% が膨大な費用を挙げている。

この調査では、Kubernetes セキュリティの責任について、58% が DevSecOps の責任であると答え、63% が理想であると答え、大きなコンセンサスが得られていることが明らかになった。しかし、DevSecOps の役割については、DevOps の下位部門としての Sec なのか、Sec 内部の DevOps なのかという、組織内での位置付けに関する問題が提起される。

Armo の VP Open Source である Craig Box は、「オープンソース・ツールは自由であり、柔軟性/透明性が確保されるが、単機能を担うという傾向がある。この調査が示すのは、高価なプロプライエタリ・ソリューションを使用している組織でさえ、いくつかのオープンソース・オプションを選択している点である。また、一部の企業が取っているアプローチは、複数のツールから Kubernetes の完全なセキュリティ・カバレッジを作り出すことだが、そこには統合という課題があり、アラートに埋もれる環境にもなり得る」と述べている。

この調査は、2022年7月〜8月に、Global Surveyz により実施された。回答者は、従業員数 100人〜5000人の企業における、200人の Kubernetes ユーザーである。すべての回答者の職歴は、ソフトウェア開発者/サイバーセキュリティ・チーム/DevOps/DevSecOps に関連している。回答者の 57% は北米に、29% はヨーロッパ、14% は APAC の出身である。

対象を Kubernetes に絞り込んだ、ARMO の The State of Kubernetes Open Source Security レポートがベースになった記事です。Web 形式で提供され、フルバージョンを PDF でダウンドーロすることも可能です。メインテーマのツールですが、個々のプロダクト名ではなく、以下のような種別で統計が取られています。

Service Mesh/Network Policy/Micro Segmentation/Micro Segmentation Scanning/Admission Controller/Runtime Security/Vulnerability Scanning/Secrets Protection/RBAC (Role Based Access Controller)

よろしければ、Kubernetes で検索も、ご利用ください。

%d bloggers like this: