セキュリティの
学び場

今回の解説ニュース

世界中のセキュリティ業務にかかわる人を対象にした調査結果が発表されています。セキュリティ業界で慢性化している人材不足やサイバーセキュリティ対策への投資について説明します。

今回の調査は、日本を含む世界11ヶ国で勤務時間の半分以上をセキュリティ業務に費やしている1,227人を対象に実施しています。同調査によると、回答者の87%がスキルと人材に課題があると答え、58%が適切なスキルを持つ人材が見つからないこと、53%が十分な要員を確保できないことを挙げています。これらの課題は悪化の一途で、過去12ヶ月間で人材の補充と維持が難しくなったと85%が回答しています。

人材補充を除く最も期待するセキュリティ戦略について、「セキュリティ教育への投資」に58%の回答があり、「AI・機械学習を活用した自動化ソリューションの使用」が52%、「セキュリティデータの収集と分析」が47%と続いています。

また、日本の組織のサイバーセキュリティ対策への投資の特徴として、「クラウドインフラの活用度が低い」「新しく追加されるデバイスに対応できない」「一部のセキュリティインシデントについて、過去24ヶ月以内に発生した割合が他の国よりも大幅に低い」「DevSecOpsアプローチの導入に消極的」などが挙げられています。

日本でクラウドインフラの活用が進まない背景

日本でクラウドの活用度が低い理由の一つは、クラウド環境で発生するインシデントから来る安全性への懸念が、クラウドを活用することで新しい働き方に対応できることの合理性を上回っていると判断する組織があるからと考えられます。これらの妥当性を判断する上で、クラウドで発生しているインシデントの傾向についてひも解いてみましょう。

クラウドで発生しているインシデントの傾向

SaaS、PaaS、IaaSに限らず、クラウド環境で発生するインシデントをしばしば見かけるようになりました。クラウド環境で発生する多くのインシデントは、クラウドの設定ミスにより発生しています。クラウドの設定ミスが発生する背景として、クラウドサービスが簡単に利用できることや、新しいサービスが日々生まれていることから、利用者側の知識が追いついていない現状が挙げられます。そのような状況で、オンプレであれば安全であるかと言えば、必ずしもそうとは言えません。理由は、正しく設定して運用しなければならない点についてはクラウドもオンプレも同様であり、本来は両者とも正しく設定されていることが常に必要とされるからです。クラウドの設定が正しく行われていることを確認するための方法としてCSPMがあります。

クラウドサービスの設定ミスを管理するための仕組み「CSPM」

CSPMとは、Cloud Security Posture Managementの略で、主にクラウドサービスの設定ミスを管理するための仕組みです。利用にかかる敷居の低さから、安易な設定でインシデントが発生しないよう、ベストプラクティスと相違がないか常に監視することができます。

「DevSecOps」とは？

DevSecOpsは一言でいうと開発手法の一つです。DevSecOpsとは、Developmentの開発とOperationsの運用に、セキュリティを組み合わせた造語で、開発と運用が連携するDevOpsにセキュリティを融合させることで、チーム間の連携を円滑にさせ、よりセキュアで短納期な開発を目指すものです。

すべてのサービスやソフトウェアでは、品質と同様にセキュリティが担保されていることが求められます。そんななか、セキュリティを担保する役割が、開発部門とセキュリティ部門へ分担されていることが考えられます。セキュリティ部門が存在しなければ、我々のようなセキュリティベンダーに依頼することもあるでしょう。いずれにしても、開発部門とセキュリティ部門が何らかの形で連携することが求められます。

この際に、各部門が完全に分断された組織として開発を行っている場合、依頼をかけたり情報を共有したり、連携をするための時間が多くかかってしまいます。DevSecOpsは、開発者とセキュリティ担当者が開発工程で密に連携して協力することで、セキュリティを担保しながら迅速なリリースを期待することができるものです。

今回は、日本のクラウド活用が進まない現状とDevSecOpsについてお届けしました。在宅勤務やリモートワークが求められる社会では、クラウドもDevSecOpsも必要とされる考え方になりますので、ぜひ参考にしてみてください。