AWSのセキュリティを手動で確保する企業が多数 Datadogが警鐘：セキュリティニュースアラート

Datadog Japanは「State of DevSecOps 2024」の日本語版を公開した。このレポートはクラウドセキュリティに関する調査結果をまとめたもので、多くの企業がまだセキュリティの自動化を導入していない現状を示している。

[後藤大地，有限会社オングス]

　クラウドセキュリティプロバイダーであるDatadogの日本法人であるDatadog Japanは2024年6月4日、同年4月に公開した米国本社の分析レポート「State of DevSecOps 2024」の日本語版を公開した。

　同レポートは、クラウドのセキュリティ確保に関する最新の調査結果をまとめたもので、多くの企業がセキュリティの自動化をまだ導入していない現状が明らかになった。

AWSのセキュリティ確保を手動で実施する企業が多数　Datadogが警鐘

　同レポートによると、「Amazon Web Services」（AWS）を利用している企業の少なくとも38％が14日以内にAWSコンソールを使用してワークロードのデプロイや機密性の高いアクションを手動で完了していることが判明した。これは依然として多くの企業が自動化ではなく手動のクリック操作に頼っていることが示されている。

　この他、Infrastructure as Code（IaC）の採用状況についても、クラウドプロバイダーによって大きな差が見られた。IaCは、本番環境を保護する上で重要なプラクティスとされ、人間の操作権限を制限し、全ての変更がピアレビューされることで、プロセスの早い段階で問題が特定できるようにするものだ。

　同レポートによると、AWSでは71％以上の企業が「Terraform」「CloudFormation」「Pulumi」など少なくとも1つのIaCツールや技術などを利用している一方、「Google Cloud」における利用率は55％と低い結果となっている。

　DatadogのHead of Security Advocacyを務めるアンドリュー・クルーグ氏は次のように述べている。

　「今回の調査結果は、セキュリティ向上を目指した自動化の導入について、まだ改善の余地があることを示している。最新のDevOpsプラクティスは、強力なセキュリティ対策と密接に連携しており、実際、セキュリティは企業全体のオペレーショナルエクセレンスの推進に役立っている。セキュリティは可視化から始まるが、アプリケーションの安全確保は、実務者がどのセキュリティシグナルが重要で、どれが無関係かを理解するのに十分なコンテキストと優先順位付けを与えられて初めて現実的なものになる」（クルーグ氏）

　その他の調査結果は以下の通りだ。

• 自動セキュリティスキャナーによる攻撃は最も多いが、その大部分は無害で防御側にとってはノイズにすぎない。数千万件の悪意のあるリクエストのうち、脆弱（ぜいじゃく）性のトリガーに成功したのは0.0065％だった
• データ漏えいのよくある原因の一つとして、長期間のクレデンシャルに依存している企業が多いことが挙げられる。63％が「GitHub Actions」パイプラインの認証に少なくとも一度は長期保存型のクレデンシャルを使用している
• Javaによるサービスの90％がサードパーティーライブラリーによる重大または深刻な脆弱性の影響を受けており、他のプログラミング言語の平均は47％だった

　「State of DevSecOps 2024」の日本語版は次のページで公開されている。

• 「State of DevSecOps 2024」（日本語版）