クラウドネイティブのセキュリティ対策とDevSecOpsの勘所
素早く価値を生み出すためにビジネスとITサービス開発、運用を直結させる取り組みが不可欠となっている。そうした中、注目されているアプローチがスピーディーにアプリケーション=ビジネスをデプロイし、その後も高度な変化適応力を持ちながら、安定的に運用する「クラウドネイティブ」だ。近年、ビジネスの要となるが故に攻撃者はクラウドを標的とする傾向を強く示している。特に、GitHub.comやDocker Hubといった、公開されているアプリケーション資産やサービス活用におけるプロセス、設定の脆弱性を突く攻撃と漏えい事件が世間を賑わせているのは、周知の通りだ。ITサービスを、いかに脆弱性を減らしてリリースし、安全に運用していくのか。本特集では、そのカギとなる「DevSecOps」の取り組みを中心に、クラウドネイティブにおけるセキュリティ対策の勘所を探る。
TopStory
特集:クラウドネイティブのセキュリティ対策とDevSecOpsの勘所(3):
クラウドへの移行が進み、Kubernetesなどコンテナ技術を活用するシーンが増えた昨今、管理者を悩ませるのはそのセキュリティ対策だ。GMOペパボのセキュリティエンジニアによる「Cloud Native Days Tokyo 2021」の講演から、脅威モデリングの基本やKubernetesクラスタを題材にした具体的なモデリング方法などを解説する。
特集:クラウドネイティブのセキュリティ対策とDevSecOpsの勘所(2):
コンテナ基盤にセキュリティリスクがあることは認識している。セキュリティのガイドラインなどもチェックしている。だが、いまひとつ攻撃やリスクのイメージが湧かない。そんな開発者に向けて、NTTデータのクラウドエンジニア、望月敬太氏が具体的な攻撃デモを通して、意識すべきリスクや対策について分かりやすく解説する。2021年11月4〜5日にオンラインで開催された「CloudNative Days Tokyo 2021」から「乗っ取れコンテナ!!〜開発者から見たコンテナセキュリティの考え方〜」で紹介された内容だ。
特集:クラウドネイティブのセキュリティ対策とDevSecOpsの勘所(1):
元現場エンジニアの「もっとこうしておけばよかった」という経験をアンチパターンとして振り返りつつ、どうすればDevSecOpsを浸透させることができるのかを紹介した、CloudNative Days TOKYO 2021のセッション「元現場エンジニアが思う『もっとこうしておけばよかった』から学ぶDevSecOps」の様子をレポートする。
関連記事
働き方改革時代の「ゼロトラスト」セキュリティ(13):
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを構成する上で必要となるクラウドセキュリティ技術について解説する。
親子の会話から学ぶクラウドセキュリティ(5):
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド環境での脆弱性検査と、サイバー攻撃を受けた場合の検知・確認方法に関する基礎知識について。
特集:withコロナ時代のクラウドセキュリティ最前線(3):
DeNAは各種サービスのインフラ基盤のクラウド移行を進めており、クラウドセキュリティの対策が重要になってきていた。オンプレミス時代から実施している社内のセキュリティ監査の取り組みを、クラウドに適用した方法と、そこで見えてきた課題などが明かされた。
特集:withコロナ時代のクラウドセキュリティ最前線(2):
主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。概要や必要性、使いどころ、他のリューションとの違いなどをガートナーのアナリストに聞いた。
Gartner Insights Pickup(183):
CISO(最高情報セキュリティ責任者)は最新トレンドを理解し、強力なセキュリティ対策を計画、実行すべきだ。2020年は、新型コロナウイルス感染症への対応もセキュリティチームにとって大きな課題となっている。
11の課題と5つのベストプラクティス:
WhiteSourceは、クラウドセキュリティの課題とリスクを特定し、ベストプラクティスを紹介した。構成ミスや認証情報の管理ミス以外にも多数の課題が挙げられている。
Kubernetesが付与する権限に要注意:
「Kubernetes」ネイティブのセキュリティプラットフォームを手掛けるAlcideは、Kubernetesクラスタのセキュリティを確保する上での課題を概説したブログを公開した。Kubernetesのセキュリティ問題の根本原因と原因を絶つコツを紹介している。
2種類のスキャンが重要:
サイバーセキュリティツールベンダーのPortSwiggerは、最近導入が進んでいる「DevSecOps」について解説したブログ記事を公開した。2種類のスキャンが重要なものの、いったん始めた取り組みを拡大する際に注意が必要なのだという。
「2023年には87%がマルチクラウドを利用する」:
Splunkは「セキュリティ調査レポート 2021」を発表した。ネットワークに焦点を当てた旧来の「境界防御」は不十分だとしており、「ゼロトラスト」を重要視する必要があると指摘している。
DevSecOpsへの取り組みが不適切:
WhiteSourceは調査会社のPonemon Instituteと協力して行ったエンタープライズアプリケーションのセキュリティリスク軽減に向けた調査結果を紹介した。セキュア開発ライフサイクルを徹底することと、開発チームとセキュリティチームの連携が重要だという。
パッケージ管理システムには要注意:
オープンソースソフトウェアを介したサプライチェーン攻撃には十分な危険性がある。ソフトウェア開発者向けにどのような対策があるのか、WhiteSourceが解説した。
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。