2023 年版 Kubernetes セキュリティの現状

Kubernetes はまだ比較的新しいテクノロジーですが、コンテナ・オーケストレーション・プラットフォームが多くのデジタル・トランスフォーメーション・イニシアチブの土台となったことから、過去数年間で導入率が急上昇しました。しかし、このテクノロジーをプロダクションで使用する組織が増えてきているとはいえ、コンテナ化されたワークロードを保護する最善の方法については依然として懸念が残っています。Red Hat レポート：2023 年版 Kubernetes セキュリティの現状では、ソフトウェア・サプライチェーンに対するリスクなど、クラウドネイティブ開発に関して組織が直面する特定のセキュリティリスクと、それらのリスクを緩和してアプリケーションと IT 環境を保護する方法に注目します。

このレポートは、世界中の 600 人の DevOps、エンジニアリング、およびセキュリティの専門家を対象としたアンケートに基づいており、組織がクラウドネイティブ導入の過程で直面する最も一般的なセキュリティの課題と、それらがビジネスに与える影響を明らかにします。また、アプリケーション開発チームとセキュリティチーム向けに、セキュリティリスクを軽減するためのベストプラクティスとガイダンスを提供します。

今年の注目すべき調査結果には次のようなものがあります。

• 回答者の 38% がコンテナ化された運用へのセキュリティ投資が不十分であると述べており、これは 2022 年から 7 ポイント増加しています。
• 回答者の 67% は、セキュリティ上の懸念により、クラウドネイティブ導入のペースを落とす必要があったと述べています。
• 回答者の半数以上が、過去 12 カ月間にクラウドネイティブ開発やコンテナ化された開発に関連するソフトウェア・サプライチェーンの問題を経験しています。

今年のデータから得られた主な調査結果と背景については、続きを読むか、こちらからレポート全文をダウンロードしてください。

投資と導入は一致しない

過去数年間、コンテナ導入に関する最大の懸念事項の 1 つがセキュリティであることは一貫して変わりませんでした。今年のアンケートでも同様で、回答者の 38% がセキュリティが十分に真剣に受け止められていない、またはセキュリティへの投資が不十分であると述べており、昨年よりも 7 ポイント増加しています。ここで興味深いのは、導入率が増加し続けている一方、その増加に伴って同じようにセキュリティ投資が増加しているわけではないということです。

クラウドネイティブのソリューションにはクラウドネイティブなセキュリティ・ソリューションが必要であり、これには DevSecOps アプローチが含まれることがよくあります (そして含めるべきです)。IT チームは、インフラストラクチャ・パイプラインだけでなく CI/CD アプリケーション・パイプラインでもフィードバックとガードレールを提供するセキュリティツールの選択と実装に注力する必要があります。組織は、既存のソリューションに頼るだけでなく、変革イニシアチブの一環としてこの移行を計画する必要があります。多くの場合、クラウドネイティブ・コンピューティングの厳密さに対応するために大幅なカスタマイズや調整が必要になります。

投資と導入のギャップを解消する最善の方法の 1 つは、セキュリティを後から付け加えるのではなく、セキュリティが組み込まれているクラウドネイティブ・ツールに投資することです。オペレーティングシステムの基盤からアプリケーションのレベルに至るまで、セキュリティがソリューションに組み込まれているため、組織は、最新のテクノロジーに合わせたセキュリティ・ソリューションを得るために予算を追加する必要はありません。

セキュリティ上の懸念がビジネスの成果を妨げる

クラウドネイティブ・テクノロジーを導入する主な理由の 1 つは、それが提供するアジリティです。クラウドネイティブ・テクノロジーのメリットには他にも市場投入時間の短縮、適応性、信頼性があり、IT インフラストラクチャのデジタル・トランスフォーメーションが推進される主な要因です。しかし、これらのメリットが常に実現されているわけではなく、このアンケートでは、回答者の 67% がセキュリティ上の懸念からアプリケーションのデプロイメントを遅らせたり、デプロイメントのペースを落としたりする必要があったことがわかりました。新しいテクノロジーが予期せぬセキュリティ上の課題を生み出すことはよくあるため、これはそれほど驚くべきことではありません。しかし、セキュリティは、クラウドネイティブ開発の妨げや障害ではなく、テクノロジーの導入を成功させるための要素と見なされるべきです。

クラウドネイティブのセキュリティインシデントに関して、わずかな遅延が組織の懸念事項となることはほとんどありませんが、このアンケートでは、ビジネスにさらに深刻な影響が及ぶ可能性があることが示されており、回答者の 21% がセキュリティインシデントが原因で従業員を解雇したことがあると回答、25% は組織が罰金を科されたと回答しています。これにより、従業員が明らかに影響を受けるだけでなく、結果的に IT 部門全体にとって貴重な人材、知識、経験が失われる場合があります。さらに、コンプライアンス違反やデータ侵害によって規制に基づく罰金を科された企業は、評判を落とすのは言うまでもなく、大きな経済的負担に直面します。

回答者の 37% がコンテナと Kubernetes のセキュリティインシデントの結果、収益や顧客を失ったことがあると述べています。企業は開発段階で見逃された脆弱性に対処するためのセキュリティ対策を優先する必要があるため、これらのインシデントは重要なプロジェクトや製品リリースの遅延につながります。この遅延によって、収益のさらなる損失、顧客の不満、さらには競合他社に対する市場シェアの喪失といった連鎖反応が起こることがあります。このような事態が発生すると、機密データを保護する企業の能力に対する顧客の信頼が損なわれ、顧客を完全に失う可能性もあります。

組織は、クラウドネイティブ戦略の早い段階からセキュリティを優先することで、機密データ、知的財産、顧客情報などのビジネス資産の保護に投資しています。また、規制要件に適切に対応し、ビジネス継続性を促進し、顧客の信頼を維持し、後からセキュリティの問題を修正するためにかかるコストを削減することもできます。

ソフトウェア・サプライチェーンのセキュリティに関する懸念

ソフトウェア・サプライチェーンのセキュリティに対する注目は、これまでにないほど高まっていますが、それには正当な理由があります。Sonatype のレポートによると、過去 3 年間でソフトウェア・サプライチェーンへの攻撃が年平均 742% と驚異的に増加しています¹。IT リーダーが夜も眠れないほど気にかけているサプライチェーンの懸念事項を明らかにするために、アンケートの回答者に対して、最も懸念されるインシデントは何か、過去 1 年間に経験したことがあるかなど、Kubernetes でのソフトウェア・サプライチェーンのセキュリティに関連するさまざまな質問をしました。

調査結果は、コンテナ化された環境を象徴する、無秩序に広がるソフトウェア・サプライチェーンから予想されるものと一致しています。上位 3 つの懸念事項は、脆弱なアプリケーション・コンポーネント (32%)、不十分なアクセス制御 (30%)、ソフトウェアの部品表 (SBOM) または出所の欠如 (29%) です。

しかし、驚くべきことは、回答者の半数以上がアンケートの質問で明らかになったほぼすべての問題を経験していることであり、脆弱なアプリケーション・コンポーネントと継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインの脆弱性が、経験した問題の上位 2 つに挙げられています。

幸いなことに、多くの組織がソフトウェア・サプライチェーンのセキュリティを強化するための取り組みを進めています。ソフトウェア・サプライチェーンのセキュリティは複雑で多面的ですが、包括的な DevSecOps アプローチを採用することが効果的な戦略になります。回答者のほぼ半数で、DevSecOps イニシアチブが進行しています。また、39% は DevSecOps の価値を理解しており、導入の初期段階にあります。

さらに、ソフトウェア開発ライフサイクルの早い段階でソフトウェア・コンポーネントと依存関係のセキュリティに焦点を当て、DevSecOps プラクティスを使用してすべてのフェーズでのセキュリティ統合を自動化することにより、組織は一貫性のない手作業によるプロセスから、一貫性があり、反復可能で自動化された運用に移行できます。

調査結果の詳細と、セキュリティ強化を実現するための 3 つのヒントについては、レポート全文をこちらでご覧ください。

¹ Sonatype、8th Annual State of the Software Supply Chain