Googleが気付いた「セキュリティ対策に強い会社の特徴」

Google Cloudはサイバーセキュリティ対策がうまくいっている企業の特徴を見つけた。主に社内でアプリケーションを開発している企業に当てはまる特徴だ。

[Matt Kapko，Cybersecurity Dive]

　Google Cloudはサイバーセキュリティ対策に強みがある企業の特徴を見つけたという。

　同社が2022年9月28日に発表した調査「2022 Accelerate State of DevOps Report」（注1）の結論だ。

　どのような企業だろうか。

どのような企業が強いのか

　同社によれば、アプリケーションを開発、統合している企業においては、「自動化ツールを一貫して使用している企業」がサイバーセキュリティ対策に強みがあるという。

　特にサプライチェーン攻撃に対しては、高度なセキュリティ対策が運用できているかどうかは、あるソフトウェア開発手法を採用しているかどうかが指標になる。

　それは、「継続的インテグレーションと継続的デリバリー」（CI／CD）だ。CIとは複数の開発者が記述したコードをその都度、継続的に統合、テストするための手法を指し、CDはCIが済んだコードをその都度、素早くリリース可能な状態に持っていくことを意味する。CI／CDの対極にあるのは、長い時間をかけて開発を進め、リリース直前に初めてテスト工程を置くような手法だ。

　調査の回答者のうち約3分の2は、CI／CDが自社で「非常に確立されている」または「完全に確立されている」と回答した。これがサイバーセキュリティに強い企業の正体だ。

　さらに、回答者の大多数は2つのフレームワークが示すガイダンスについて、企業内で「確立されている」と回答した。その2つとは、Googleが提案している「SLSA」（Supply chain Levels for Software Artifacts：ソフトウェア成果物のサプライチェーンレベルフレームワーク）と米国標準技術研究所（NIST）が公開した「SSDF」（Secure Software Development Framework：セキュアソフトウェア開発フレームワーク）だ。

自動スキャンで脆弱性を減らす

　回答者の間で最も一般的なセキュリティ対策は、CI／CDで自動化できるアプリケーションレベルのセキュリティスキャンだった。

　「このようなツールを使用している企業は、自社のコードや依存関係の一つに脆弱（ぜいじゃく）性を特定したと報告する割合が、そうでない企業の約2倍だった」（Google CloudのDevOps Research and Assessment《DORA》チーム 主任研究員のクレア・ピータース氏）。自動化ツールを使って、効率良く脆弱性を発見できているということだ。

　「継続的インテグレーションが実施されていない場合、開発したソフトウェアに対して一貫したスキャナーやリンター、テストを実行することは、恐らく困難だ」とピータース氏は述べた。

　アプリケーション開発において、セキュリティ対策を自動化している企業は、多くの場合、開発者にのしかかるセキュリティ対策の負担が少なくなっていることも明らかになった。

　この点についてピータース氏は、協力やリスクと責任の共有に関する企業文化が、「企業のアプリケーション開発セキュリティの対策を予測する最大の要因」だと述べている。

　これらの結果は、「技術的なものよりも文化的な要因に左右される」とピータース氏は言う。

出典：Google Cloud research links CI/CD to security prowess（Cybersecurity Dive）

注1：2022 State of DevOps Report