Googleが気付いた「セキュリティ対策に強い会社の特徴」
Google Cloudはサイバーセキュリティ対策がうまくいっている企業の特徴を見つけた。主に社内でアプリケーションを開発している企業に当てはまる特徴だ。
Google Cloudはサイバーセキュリティ対策に強みがある企業の特徴を見つけたという。
同社が2022年9月28日に発表した調査「2022 Accelerate State of DevOps Report」(注1)の結論だ。
どのような企業だろうか。
どのような企業が強いのか
同社によれば、アプリケーションを開発、統合している企業においては、「自動化ツールを一貫して使用している企業」がサイバーセキュリティ対策に強みがあるという。
特にサプライチェーン攻撃に対しては、高度なセキュリティ対策が運用できているかどうかは、あるソフトウェア開発手法を採用しているかどうかが指標になる。
それは、「継続的インテグレーションと継続的デリバリー」(CI/CD)だ。CIとは複数の開発者が記述したコードをその都度、継続的に統合、テストするための手法を指し、CDはCIが済んだコードをその都度、素早くリリース可能な状態に持っていくことを意味する。CI/CDの対極にあるのは、長い時間をかけて開発を進め、リリース直前に初めてテスト工程を置くような手法だ。
調査の回答者のうち約3分の2は、CI/CDが自社で「非常に確立されている」または「完全に確立されている」と回答した。これがサイバーセキュリティに強い企業の正体だ。
さらに、回答者の大多数は2つのフレームワークが示すガイダンスについて、企業内で「確立されている」と回答した。その2つとは、Googleが提案している「SLSA」(Supply chain Levels for Software Artifacts:ソフトウェア成果物のサプライチェーンレベルフレームワーク)と米国標準技術研究所(NIST)が公開した「SSDF」(Secure Software Development Framework:セキュアソフトウェア開発フレームワーク)だ。
自動スキャンで脆弱性を減らす
回答者の間で最も一般的なセキュリティ対策は、CI/CDで自動化できるアプリケーションレベルのセキュリティスキャンだった。
「このようなツールを使用している企業は、自社のコードや依存関係の一つに脆弱(ぜいじゃく)性を特定したと報告する割合が、そうでない企業の約2倍だった」(Google CloudのDevOps Research and Assessment《DORA》チーム 主任研究員のクレア・ピータース氏)。自動化ツールを使って、効率良く脆弱性を発見できているということだ。
「継続的インテグレーションが実施されていない場合、開発したソフトウェアに対して一貫したスキャナーやリンター、テストを実行することは、恐らく困難だ」とピータース氏は述べた。
アプリケーション開発において、セキュリティ対策を自動化している企業は、多くの場合、開発者にのしかかるセキュリティ対策の負担が少なくなっていることも明らかになった。
この点についてピータース氏は、協力やリスクと責任の共有に関する企業文化が、「企業のアプリケーション開発セキュリティの対策を予測する最大の要因」だと述べている。
これらの結果は、「技術的なものよりも文化的な要因に左右される」とピータース氏は言う。
出典:Google Cloud research links CI/CD to security prowess(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
- 攻撃者に先回りして潜んだ脆弱性を見つける「Web脆弱性診断ツール」の選び方
脆弱性を突いたサイバー攻撃は、事前に対応していれば防げる問題だが、被害は後を絶たない。こうした事態を未然に防ぐ上で、攻撃者に先回りして脆弱性を見つける「Web脆弱性診断ツール」が有用だ。ツールの特性や選び方、脆弱性問題に対応する上で企業として気を付けるべきことをセキュリティの専門家である上野 宣氏に聞いた。 - 「Microsoft Dynamics 365」は他のERPと何が違う? 特徴と導入に向いている企業
基本パッケージにさまざまなモジュールを組み合わせることで、自社にフィットした基幹業務システムを構築できる「Microsoft Dynamics 365」。ERP分野は老舗ベンダーから多数の製品が提供されているが、他製品との一番の相違点はどこか。