Cloud Complexity Means Bugs Are Missed in Testing
2023/04/24 InfoSecurity — サイロ化したチーム/新たな問題への対応/クラウド・エコシステムの複雑さにより、ソフトウェアのプロダクション環境に脆弱性入り込む可能性が高まっていることを、CISO たちは認めている。観察業務のスペシャリストである Dynatrace は、2023 Global CISO Report を作成するために、従業員 1000人以上のグローバル大企業の CISO 1300人を対象に調査を行った。
回答者の 68% は、ソフトウェアのサプライチェーンとクラウド・エコシステムが複雑化しているため、さらに脆弱性管理が困難になっていると述べ、75% は、サイロ化したチームと DevSecOps ポイント・ソリューションにより、重要な脆弱性が見落とされていると主張している。
脆弱性に対する優先順位付けと可視化は、2つの重要な課題である。CISO たちのうち、本稼働前にソフトウェア脆弱性の、完全なテストを確実に行うと回答したの 50% のみである。回答者の 77% は、バグが環境にもたらすリスクに関する情報がないため、最初に修正すべき脆弱性を判断するのが困難だと述べている。
たとえば、Critical と判定された脆弱性アラートの半数以上 58% は、プロダクション環境では重要ではないという。つまり開発時間を浪費するだけの、誤検出であることが分かっている。
Dynatrace は、開発チームとセキュリティ・チームのメンバーが、自動化できる脆弱性管理タスクに平均で 11時間を費やし、週単位の時間の 28% を消費していると主張している。
このレポートの調査対象となった CISO の大多数 81% は、効果的な DevSecOps プロセスにより、このトレンドを阻止し、プロダクション環境に到達する前に、脆弱性を阻止できると主張している。しかし、成熟した DevSecOps 機能を有していると主張するのは、わずか 12% に過ぎない。
Dynatrace の CTO である Bernd Greifeneder は、高速化するイノベーションのニーズと、ガバナンス/リスクのバランスを取ることに、多くの組織が苦労していると主張している。
彼は、「ソフトウェアのサプライチェーンやデジタルイノベーションの基盤となる、クラウド・ネイティブ・テクノロジー・スタックの複雑化により、新たな脆弱性が出現した際に、迅速な特定/評価および対応策の優先順位を決めることが、ますます困難になっている。これらのタスクは、人間の管理能力を超えて成長している。開発/セキュリティ/IT の各チームは、導入済みの脆弱性管理コントロールが、現在のダイナミックなデジタル世界では適切ではないことに気づくべきであり、許容できないリスクにビジネスをさらしている」と述べている。
DevSecOps における脆弱性管理ということなので、コードベースが選定となるのでしょうが、そこには OSS リポジトリからくるものが含まれ、そして、サプライチェーンとクラウドからくるものが上乗せされるはずです。そして、重要となるのは、脆弱性に対する優先順位付けと可視化ですが、これが難題となっているわけです。最近のトピックとして、2023/04/11 の「脆弱性の 2%に対処すれば資産の 90%を保護できる:XM Cyber/Cyentia Institute の共同調査」もありますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.