Datadog、「2023年クラウドセキュリティの現状」レポートを発表

プレスリリース要約

Datadogは、新しいレポート「クラウドセキュリティの現状2023」を発表しました。レポートによれば、クラウド環境のセキュリティ確保に関して組織が依然として課題に直面しており、長期にわたって変更されない認証情報やMFAの実施の不足などが問題とされています。また、AWS IMDSv2の採用率が上昇してはいるものの不十分であり、クラウドのワークロードの大部分が過剰に特権化されていることが指摘されています。Datadogは企業のクラウド環境のセキュリティを支援するため、安全なデフォルトを提供し、セキュリティリスクに対する理解を深めることが重要であると述べています。

ニューヨーク – クラウドアプリケーション向けの監視およびセキュリティのプラットフォームを提供するDatadog ( https://www.datadoghq.com/ja/ ), Inc.(NASDAQ:DDOG)は本日、新しいレポート「クラウドセキュリティの現状2023」を発表しました。Datadogは本レポートのために、AWS、Azure、Google Cloudを使用しているDatadogの顧客数千から得たセキュリティデータを分析し、特に、パブリッククラウドにセキュリティインシデントとして記録される共通的なリスクに組織がどのように対処し、軽減しているかを調査しました。

本レポートによると、クラウド環境のセキュリティ確保に関して、組織が依然として大きな課題に直面していることが明らかになりました。特に、クレデンシャルを長期にわたって変更しないことが引き続き問題となっています。この種の認証情報は、有効期限がないだけでなく、ソースコード、コンテナイメージ、設定ファイルから容易に漏えいする可能性があるため、安全でないと広くみなされています。クラウドにおけるセキュリティ侵害の最も一般的な原因の1つです。

本レポートのその他の主な調査結果は以下のとおりです:

  • 多要素認証(MFA)が積極的に実施されていない: 2023年10月時点で、AWSコンソールに認証されたIAMユーザーの20.3%がMFAを使用せず、Azure ADユーザーでは20.7%がMFAを使用していませんでした。
  • AWS IMDSv2 の採用率は上昇しているが、不十分: AWSではサーバーサイドリクエストフォージェリ(SSRF)から保護することが重要ですが、IMDSv2を導入しているEC2インスタンスの比率は、昨年の7%から21%への増加にとどまっています。
  • クラウドのワークロードの大部分が過剰に特権化されている: Google Cloud VMの37%、EC2インスタンスの23%に、攻撃者がクラウド環境で特権アクセスや広範なデータアクセスを取得できるような機密性の高い権限が設定されています。
  • 一般に公開された仮想マシンは、クラウド環境にリスクをもたらす: EC2インスタンスの7%、Azure VMの3%、Google Cloud VMの12%に、インターネットからのトラフィックを許可するポートが少なくとも1つあり、ブルートフォース攻撃のリスクにさらされています。

Datadogのテクニカルコミュニティ・オープンソース担当VPであるJeremy Garciaは、次のように述べています。「プロバイダが自社のプラットフォームにより安全なデフォルトを提供し、企業がセキュリティリスクに対する理解を深めるにつれて、クラウドのセキュリティ態勢は大幅に改善されていますが、まだやるべきことはたくさんあります。長期間変更されない認証情報、MFAの採用、パブリックVMの公開といった問題を特定し、優先順位をつけて修正することは困難です。セキュリティリスクに対する認識を深めるとともに、最善の防御策は、設定ミスや脆弱性を継続的にスキャンして修正し、侵害を未然に防ぐことです。」

「クラウドセキュリティの現状2023」は現在公開中です。全文はこちらをご覧ください:

https://www.datadoghq.com/ja/state-of-cloud-security/

Datadogがどのように企業のクラウド環境のセキュリティを支援しているかについては、こちらをご覧ください:

https://www.datadoghq.com/ja/product/cloud-security-management/

将来の見通しに関する記述

本プレスリリースには、新製品および新機能の利点に関する記述を含め、米国1933年証券法(Securities Act of 1933)第27A条および米国1934年証券取引所法(Securities Exchange Act of 1934)第21E条に規定される「将来予想に関する記述」が含まれています。これらの将来予想に関する記述は、当社の製品および機能の強化、またそれらによってもたらされる利益に関する記述が含まれますが、これらに限定するものではありません。実際の結果は、将来見通しに関する記述とは大きく異なる可能性があり、「リスクファクター」の見出しの下に詳述されているリスクをはじめ、2023年11月7日に米国証券取引委員会に提出したForm 10-Qの四半期報告書を含む米国証券取引委員会への提出書類および報告書、ならびに当社による今後の提出書類および報告書に記載されている、当社が制御できない様々な仮定、不確実性、リスクおよび要因の影響を受けます。法律で義務付けられている場合を除き、当社は、新しい情報、将来の事象、期待の変化などに応じて、本リリースに含まれる将来の見通しに関する記述を更新する義務または責務を負いません。

引用元:PR TIMES

関連記事一覧