米セキュリティ大手、 パロアルトネットワークスが「クラウドネイティブセキュリティの現状 」レポートを発表した。複雑なクラウド環境へのソフトウェア展開においてセキュリティが障害となってきていることに光を当てたほか、クラウドセキュリティの最も差し迫った懸念事項が何かを調査 している。

調査は10か国、5つの産業セクターから2,800人以上のクラウドセキュリティ担当者、DevOps担当者を対象に実施した。

同 レポートでは、調査対象となった組織は平均で12社のクラウドサービスプロバイダー（CSP）を利用してアプリケーションを導入していることがわかった。また、全体的にクラウド支出が増加している傾向も見られた。半数以上が年間1,000万ドル以上をクラウドサービスに投資している。

また、導入しているクラウドセキュリティツールの数は平均で16個あり、これを簡素化、統合したいという要求が高まっている。回答者の98％がセキュリティツールの数を減らすことは重要だと述べ、90%が多数のポイントツールを使用していることで死角が生まれ、リスクの優先順位付けや脅威を防ぐのに悪影響があると回答している。

DevOpsとSecOpsの両立の難しさ

調査結果では、迅速に開発を行う必要性とセキュリティを維持する重要性が、互いに相容れない関係にあることが強調されている。

同レポートによると、回答者の84％がセキュリティ関連のプロセスによって、プロジェクトのスケジュールが遅れることがあると回答し、86％はセキュリティがソフトウェアのリリースを妨げるボトルネック要因になっていると回答している。

一方、市場投入までのスケジュールを急ぐと、セキュリティ体制が損なわれることが多い（回答者の71%が急いで展開することで脆弱性が増加すると述べている）。回答者の半数以上（52%）が、DevOpsとSecOpsの両立の難しさを大きなストレスの原因に挙げている。

クラウドセキュリティの懸念事項トップ7

パロアルトネットワークスは調査結果を受けて、クラウドセキュリティに関する懸念は「多岐にわたり、広範囲に及んでいる」と指摘した。以下は、回答者が抱いている懸念の上位7項目だ。

1 . AI が生成したコード
半数近く（44%）は、AIが生成したコードによってもたらされる、予期せぬ脆弱性や悪用への懸念を抱いている。自律的なソフトウェア作成において人間の目が行き届かなかった場合、検出されないセキュリティ上の欠陥を引き起こす可能性があるほか、AI生成コードによる開発のペースに従来のセキュリティテスト手法が十分に追い付かず、本番環境に脆弱性が残る可能性もある。
2. API関連のリスク
回答者の約43%が最大の懸念事項の1つとして、API関連の不正アクセス、機密データの漏洩、サイバー攻撃に対する脆弱性になるなどのリスクを挙げている。
3. AIを駆使した攻撃
AIによる攻撃の可能性に対する不安が高まる中、38%の組織がAIを武器とした攻撃や、今後現れる手法が不透明であることから、計画や防御が困難であることを懸念している。
4. 不適切なアクセス管理
クラウド内で誰が何にアクセスできるかを管理するという課題に直面し、回答者の35%は適切なアクセス管理を行えない可能性が最大の懸念事項であると回答している。
5. 攻撃対象領域に対するCI/CD の影響
回答者の34%がCI/CDパイプラインが攻撃対象領域に影響することを懸念している。脆弱性が入り込む可能性、本番環境に速やかに展開される可能性があるためだ。
6. 内部脅威
回答者の約32％がビジネスパートナー、サードパーティのベンダー、請負業者、従業員などの内部関係者がもたらすリスクを警戒している。
7. 管理されていない不明な資産
こうした資産があると、資産の管理と可視化に穴が残り、脆弱性や侵害につながる可能性があるため、回答者の29%が懸念している。

Palo Alto Networks: AI-generated code leads to top 7 cloud security concerns