共通のポリシーやネイティブ サービス、マルチクラウド セキュリティへの対処
ネイティブ クラウド サービスは、ある程度までは機能し、多数派の顧客のニーズを満たすアプリケーションの開発を加速します。しかし、ネイティブ サービスは1つのクラウド プロバイダに特化しており、多数派の顧客のニーズからは外れる顧客のニーズに対応する柔軟性に欠けています。複数のクラウド プロバイダ間で共通のセキュリティ機能とポリシーを提供するサード パーティ ベンダーを統合することで、ネイティブ サービスの枠を超えたアプリケーションにも対応できるようになり、マルチクラウド環境で複数のネイティブ サービスを継続的に使用しながら、アプリケーション間のセキュリティ方針に一貫性を持たせ、これを順守することができます。
共通のポリシーやネイティブ サービス、マルチクラウド セキュリティへの対処
ネイティブ クラウド セキュリティ サービスは、マルチクラウド環境の運用効率を低下させます。
アプリケーションのセキュリティは「シフトレフト」の傾向にあります。その結果、DevOpsチームがセキュリティを担当することが多くなっています。開発ライフサイクル プロセスに精通したDevOpsチームは、ソフトウェアのライフサイクルの早い段階でセキュリティ要件を効果的に導入することができますが、彼らには、脅威を予測するためのリソースや、最新のアプリケーションを保護するために必要なさまざまなセキュリティ ソリューションやポリシーを実装するための十分な専門知識がない場合があります。
ネイティブ クラウド セキュリティ サービスは、DevOpsやビジネス ユニット開発者に、多くのアプリケーション要件に適したプラットフォーム固有のオプションを提供しますが、組織がマルチクラウド ソリューションの採用を進めるにつれ、これらのネイティブ サービスのコストがメリットを上回り始めます。1つのクラウド プラットフォームには少数のセキュリティ サービスで十分でしたが、2つ以上のクラウド プラットフォームで同じ保護対策を提供するには、多くのセキュリティ サービスが必要になります。各プラットフォームにはそれぞれ独自のID管理要件、セキュリティ ポリシー、API、管理手順があるため、全体的な効率性が低下します。運用効率とセキュリティを向上させることは、企業のデジタル変革の取り組みやリーダーシップの目標にとって最優先課題です。
管理のオーバーヘッドによる効率性の低下
ネイティブ セキュリティ サービスに関連する実装と管理の複雑さは、運用の非効率性を生み出す第一の大きな原因です。複数のネイティブ セキュリティ サービスのすべてのコンポーネントを管理することの難しさが、ビジネスに深刻な影響を及ぼしかねません。攻撃の66%で、不適切な構成で生じるセキュリティの隙が悪用されています(攻撃者は、Webアプリケーションのファイアウォールの欠陥を悪用してアカウントの認証情報にアクセスしたり、不適切な構成のリソースを悪用)。DevOpsエンジニアには、市場投入までの最短期間を明らかにするという任務があります。複数のクラウド プロバイダ間でセキュリティ ポリシーを理解して維持するために要するオーバーヘッドを削減することで、DevOpsチームは本来の目標に意識とリソースを集中させることができるようになります。
セキュリティ運用の課題:有資格者の発掘(39%)、コンプライアンス(38%)、インフラストラクチャの可視化(36%)、一貫したセキュリティ ポリシーの実施に伴う課題(33%)。
マルチクラウド環境ですべてのアプリケーションに一貫したセキュリティ ポリシーを実装できるサードパーティ ベンダーに移行することで、DevOpsチームにかかるセキュリティ実装のオーバーヘッドを大幅に減らすことができます。この種のサービスを使用すると、不適切な構成のセキュリティが本番環境で運用される頻度を減らすことができます。また、DevOpsチームが標準化に使用できる一連の自動化ツールを手にすることになり、CI/CDパイプラインにおけるポリシーと構成の統合が簡素化され、同時に、セキュリティ サービスを、企業の既存の自動化ツールチェーンに統合することができます。
クラウド インフラストラクチャのセキュリティの可視性が低いことによる効率性の低下
クラウド インフラストラクチャのセキュリティの可視性の低さも、ネイティブ セキュリティ サービスの使用に伴う運用効率の低下の原因の1つです。ネイティブ サービスを使用することで、迅速に導入できるという利点がありますが、調査回答者の36%は、これらのネイティブ サービスではクラウド セキュリティ インフラストラクチャの十分な可視性が得られないことを認めています。DevOpsチームがアプリケーションのセキュリティの導入と管理を担当することが増えていますが、企業のセキュリティの監視とレポート作成は依然としてSecOpsが担当しています。分散型のネイティブ クラウド セキュリティ サービスを使用するということは、通常は、セキュリティに関するレポートと分析も分散型およびクラウド固有のものになることを意味します。分析が分散されると、システム全体のセキュリティ状況を見えにくくします。その結果、SecOpsチームは、ばらばらの、プロバイダ固有の提案しかできなくなるでしょう。標準化されたマルチクラウド セキュリティ ベンダーを通じて実装された共通のセキュリティ サービスを使用すれば、すべてのアプリケーションで同じセキュリティ ポリシーが共有されるようになり、SecOpsは、共有されたセキュリティ分析に基づいて、システム全体に利益をもたらす方法で提案することができます。
コンプライアンスのオーバーヘッドの増加による効率性の低下
異なるクラウド プロバイダ間でコンプライアンスを確保するマルチクラウド セキュリティ戦略を採用する必要があることも、ネイティブ セキュリティ サービスでの運用の非効率性の原因となっています。DevOpsチームは、社内および業界のセキュリティ要件にどちらも準拠することが求められています。歴史的には、特に医療や金融サービスのように、機密性の高い情報や保護対象の個人情報を扱う組織では、一元化されたInfoSecチームがアプリケーション全体のセキュリティ管理を確立し、監査できるよう支援してきました。アプリケーション セキュリティのシフトレフトに伴い、DevOpsは、SecOpsと同様に企業のセキュリティ要件に準拠する責任を負うようになっています。AWS、Azure、Google Cloudなど、どのプロバイダであっても、ネイティブ セキュリティ ポリシーが特定のクラウド プロバイダに固有のものであると、企業のセキュリティ要件を維持することは困難です。また、監査の効率も悪くなります。共通のマルチクラウド セキュリティ ポリシーを導入することで、セキュリティ構成の監査にかかる時間を短縮することができます。また、可視化ソリューションを組み込むことで、ワンストップ ショップを構築し、コンプライアンス テストの複雑さを軽減して、チーム間のコラボレーションを向上させることができます。
96%の組織が、現在のクラウド セキュリティ レベルに懸念を抱いています。彼らの最大の懸念事項として、データ損失、検出と対応、マルチクラウド管理が上位を占めています。
共通のセキュリティ ポリシーを採用することで、DevSecOpsの効率性を高める
アプリケーション開発工程の変化により、DevOpsの領域となるセキュリティ関連の責任が増加しました。その結果、これらのチームをDevSecOpsと呼び、これをSecOpsのセキュリティ運用モデルの一部として認識する方が実情に沿うようになりつつあります。ネイティブなプロバイダ固有のセキュリティ ポリシーを使い続けることで、管理のオーバーヘッドが大幅に増大し、DevOpsモデルのメリットの多くを打ち消します。企業のマルチクラウド セキュリティ ソリューションを標準化することで、運用効率が向上し、新たな戦略的セキュリティ パートナーとつながる機会が生まれ、マルチクラウド環境への移行で運用効率が低下する可能性を低減することができます。