DevOps vs. SecOpsの対立構造がストレスに 企業のクラウドセキュリティ実態：セキュリティニュースアラート

Palo Alto Networksは「クラウドネイティブセキュリティの現状〜2024年版」を公開した。クラウドセキュリティにおける生成AI利用やインシデント発生状況、DevOpsとSecOpsの対立構造などに触れたレポートだ。

[後藤大地，有限会社オングス]

　Palo Alto Networksは2024年5月15日（現地時間、以下同）、「クラウドネイティブセキュリティの現状〜2024年版」を公開した。

　同調査は2023年12月20日〜2024年1月17日までに日本を含む世界11カ国のクラウドセキュリティとDevOpsの専門家2800人以上を対象に実施した。

DevOpsとSecOpsの対立はストレスに　企業のクラウドセキュリティ実態

　同レポートは多くのクラウドセキュリティおよびDevOpsの専門家とのディスカッションから得られた傾向と洞察を明らかにすることで、組織がクラウドセキュリティの変革を最大限に活用できるようにすることを目的に公開されている。

　レポートで取り上げられている主な注目点は以下の通りだ。

クラウド環境における生成AIの利用と影響

• アプリ開発に「生成AIコーディングアシスタントを活用している」という回答が100％だった。47％はAIが生成したコードのセキュリティリスクを認識しており、44％はAIが生成したコードの潜在的リスクにより懸念を示している
• 43％の回答者がAIを悪用した脅威は従来の検知技術を回避し、いずれこうした攻撃は一般化すると考えている。47％はAIを使ったサプライチェーン攻撃がソフトウェアコンポーネントやクラウドサービスへのアクセスを侵害する可能性があると予測している

クラウドセキュリティの実態

• 64％の組織がデータ漏えいの経験があり、クラウドのセキュリティインシデントが増加している
• 各企業や組織は平均で12社のSaaSやIaaS、PaaSの各サービスプロバイダーを利用している。54％の回答者がクラウド環境の複雑さとサイロ化がセキュリティ上の大きな課題だと指摘する
• 各企業や組織は平均で14の異なるベンダーが提供する16のクラウドセキュリティツールを利用している。88％の回答者が必要なセキュリティツールの特定に苦労しており、91％は「使用中のツールの数がセキュリティリスクの優先順位付けと脅威防止に影響を与える」と回答した
• 98％の回答者が「現在使用しているクラウドセキュリティツールの数を削減したい」と考えており、97％はベンダーの数を減らすことを望んでいる

DevOps vs. SecOps

• 86％の回答者がソフトウェアのリリースを妨げる要因としてセキュリティを挙げている。その一方で91％が「開発者はより安全なコードを作成する必要がある」と回答した
• 71％は市場投入までのスケジュールを早めることに伴うリスクを強調しており、52％はDevOpsとSecOpsの対立をストレスの大きな原因として挙げている
• 48％がリリースの大幅な遅れを常に経験しており、迅速な開発とセキュリティの維持の間に緊張関係があることを強調している

　調査では日本企業のクラウドサービスへの投資にも触れている。主な注目点は以下の通りだ。

• 日本では年間1000万ドル以上をクラウドサービスに投資する企業の割合は57％にとどまっている。1000万ドル未満が43％と他国と比べて多く、中小企業の多さを反映している