2023年のクラウドセキュリティの動向（後編）#aqua #セキュリティ #クラウドネイティブ #2023

本ブログは「Aqua Security」社の技術ブログで2023年1月18日に公開された「 Cloud Security Trends for 2023 Part Two 」の日本語翻訳です。

2023年のクラウドセキュリティの動向（後編）

---

先月、Aqua のセキュリティ研究チームである Team Nautilus が2023年に向けて注目しているトレンドや新たな攻撃について予測したブログを公開しました。このブログは、2023年のトレンドと新たな攻撃に関する Team Nautilus の予測をまとめたもので、年末年始が休暇中で読めなかった方のために、この記事の最後にリンクを掲載しています。

今月は、全社的なビジネスリーダーに焦点を当て、今年、セキュリティの管理面でどのような領域が発展すると見ているか、意見を求めました。すべての CISO や情報セキュリティ管理者に影響を与えると思われる市場の変化を幅広く取り上げ、2023年のクラウドネイティブセキュリティの世界で期待されることを紹介します。

スキル格差はますます広がる

現在、ほとんどの組織がデジタルトランスフォーメーション構想の大部分にクラウドネイティブアーキテクチャを活用しており、これらのプラットフォーム上で動作する本番アプリケーションの増加をサポートするための知識豊富なスタッフの不足が拡大していると考えられます。Kubernetes、CI/CD パイプラインの自動化、Infrastructure as Code(IaC)のトレーニングを受ける(またはクロストレーニングする)運用やセキュリティのリソースは増えていますが、それでもまったく追いついていません。

Aqua Security の CMO である私の見解では、企業が本番環境に対応できるリソースを迅速に導入しようと競争しているため、2023年にはこれらのポジションを埋めるための採用期間と全体の報酬がそれぞれ15%以上増加すると予想しています。

プロフェッショナルサービスを提供するパートナーが勝者となる

Aqua のシニアディレクターである ジャネット・リー・フン は、組織がスキル格差に対処する方法の1つは、パートナー提供のサービスにもっと依存することであると述べています。調達モデルは変化しており、多くの顧客はクラウドプロバイダーを通じてテクノロジーソリューションを直接購入しています。これは、リセラーや販売パートナーにとって、顧客に価値を提供する方法を工夫するチャンスでもあります。

マネージドソリューションに対する顧客の意欲が高まっており、ベンダーと戦略的関係を築き、アドバイザリーサービスやプロフェッショナルサービスを提供するパートナーが市場シェアを獲得するタイミングとなるでしょう。また、セキュリティ製品の従来のチャネルモデルを揺るがすことになり、その結果、信頼できるベンダーにコミットし、急増していたパートナーの数は減少し、統合が進むと予想しています。とはいえ、Fishtech や The Herjavec Group といった企業の例に倣えば、2023年にこの分野でさらに2つの M&A が行われても不思議はないだろうと、彼女は結論付けています。

マルチクラウドやクロスビジネスのユースケースに対応したツールの集約化

「スキル格差を解消するもう1つの方法は、既存のリソースの生産性を最大化することです」と、Aqua の最高顧客責任者であるシャロン・エイロンは述べています。組織が、さまざまなビジネスユニット内でクラウドネイティブ開発を行う個別のポケットから、アーキテクチャチームが全社横断的なツールを採用した環境に移行することで、異なるクラウドスタックや開発チーム間のポイントソリューションが合理化されるでしょう。

今後12～18ヶ月は経済的な制約が増えるため、CISO は自社のツールセットの価値を定量化し、セキュリティ支出の ROI を高める必要に迫られると、エイロンは述べています。今後は、クラウドネイティブなセキュリティ機能を幅広く提供するソリューション、特に開発者のワークフローに組み込むことができるソリューションへ需要がシフトすることが予想され、それらが提供する価値の見える化とレポーティングにさらに焦点が当てられるようになるでしょう。通常、企業は75以上のツールを管理しているため、クラウドネイティブアプリケーションの保護に使用する個別製品の数は、今年中に平均で 20% 以上減少し、小規模なポイント製品プロバイダーにプレッシャーを与えるだろうとエイロンは考えています。

GitOpsでDevOpsを拡張する

Aqua のオープンソースデベロッパーアドボケイトであるアナイス・ウルリッチ氏は、クラウドネイティブのデプロイメントにおける最新のトレンドは、DevOps の原則を取り入れ、それを GitOps といった主要なアプローチでインフラに適用することであると見ています。もし、あなたのチームでまだこのトレンドが浸透していないのであれば、今年は間違いなく浸透していくでしょう。GitOps のユースケースは、継続的デリバリー(ArgoCDなど)だけでなく、インフラにも及び、その主なツールは Crossplane です。GitOps は、バージョン管理を通じて、あらゆるリソースへの変更をより観察可能にし、その結果、より安全なものにすることができます。

2023年には、Crossplane や ArgoCD などの GitOps ツールを実装するクラウドネイティブプロジェクトが増え、PoC のユースケースからエンドユーザ企業全体で大規模な採用が進むとウルリッチは予測しています。

また、GitOps が主流になることで、より多くのリソースが構造化された方法でコードとして定義され、Trivy などのセキュリティスキャナーでより高いスキャンカバレッジを実現できるようになるとも述べています。

SBOM に関心が集まる

Aqua のソフトウェアサプライチェーンセキュリティ担当シニアディレクターであるエイロン・エルハダッドは、「今年はサプライチェーンのシフレフトがさらに加速し、ほぼすべての CISO がソフトウェア部品表(SBOM)に注目することになるでしょう」と述べています。大規模で迅速な開発をサポートする新しいツール、言語、フレームワークは、ソフトウェアサプライチェーンへの攻撃が壊滅的な被害をもたらすことを知っている攻撃者に狙われています。ソフトウェアサプライチェーンに対する攻撃が拡大し、行政命令(EO 14028)のような形でアメリカ政府の規制が適切な対応を義務付ける中、CISO はこの大きな弱点を持つ分野を守るため、より優れた戦略の策定と実施を迫られるだろうと考えています。

2023年には、SolarWinds のようなそれほど高度ではない攻撃や、Log4J、Spring4Shell、OpenSSL など、コードやプロダクションで広く使われているものを狙った攻撃が増えると予測しています。これらの攻撃は、潜在的な爆発半径がはるかに大きく、攻撃者はより多くの組織に影響を与え、侵入できる可能性があります。

エルハダッド氏は、大統領令に対するコミットメントのレベルを示すため、この命令に準拠していないことが判明したいくつかの企業は、罰金や政府との取引停止に直面する可能性が高いと予想しています。SBOM の作成はすでに簡単にできるようになっていますが、SBOM の取り扱い、署名、管理に関するプロセスやツール、そしてさまざまなユースケースでの SBOM の応用は、より洗練され普及するでしょうと、結論づけています。

まとめ

---

クラウドネイティブセキュリティの世界では、多くの変化が起きており、「数奇な時代を生きられますように(May you live in interesting times)」という古いことわざが思い起こされます。この市場では、攻撃者、採用されている技術、そしてこれらの変化に伴う文化的/組織的な変化の一歩先を行くことが求められています。Aqua では、この変化を歓迎し、共に歩んでいく中で、私たちを信頼してセキュリティニーズを託してくださった皆様に感謝しています。

新たな攻撃ベクトルを予測した以前のブログを見逃した方は、「2023年のクラウドセキュリティの動向（前編）」をお読みください。