Log4j は、近年のセキュリティ問題の中でも特にソフトウェア サプライ チェーンのセキュリティに注目が集まり、ホワイト ハウスもこれに反応しました。しかし、ほぼすべてのテクノロジ担当役員が、信頼性が高く安全なソフトウェア サプライ チェーンを構築することの重要性を少なくとも認識しているにもかかわらず、そのほとんどは、その周囲に戦略を最適に実装する方法に依然として苦慮しています。
CVE(共通脆弱性識別子)の数は着実に増加し続けており、少なくとも何らかの脆弱性が存在しないコンテナはほとんどありません。これらの脆弱性の中には、コンテナが本番環境で使用されていないライブラリに存在するものもあるかもしれませんが、それでも脆弱性であることに変わりはありません。
Slim.aiの最新コンテナレポートによると、平均的な組織は現在、ベンダーから毎月50個以上のコンテナを導入しており(約10%は250個以上を導入しています)、Slim.aiの調査に回答したセキュリティリーダーのうち、自社の脆弱性対策目標を達成できたと回答したのはわずか12%でした。その他の回答者は、「非常に」苦戦している、または改善の余地が大きいと回答しています。これらの組織はいずれもベンダーに対し、セキュリティ対策の改善と提供内容の改善を強く求めていますが、ベンダーと購入者の間では、コンテナ内で実際にパッチを適用する必要があるCVEについて合意に至らないケースも少なくありません。
Slim.aiの戦略インサイト&アナリティクス担当バイスプレジデント、アイセ・カヤ氏によると、バイヤーとベンダー間のやり取りは、いまだにスプレッドシートの交換やセキュリティグループ間のアドホックミーティングによって行われていることが多いという。同社が調査会社Enterprise Strategy Groupと共同で作成したレポートによると、組織の75%が依然としてベンダーとの情報交換にスプレッドシートを使用しており、セキュリティリーダーのほぼ全員(84%)が脆弱性管理のための一元化されたコラボレーションプラットフォームを求めている。しかしながら、今のところは、スプレッドシートをメールでやり取りするのが最先端の手段となっているようだ。
これらすべては必然的に非効率性につながります。調査に回答した組織の大多数は、脆弱性修正を専門とするスペシャリストを6人以上雇用していると回答しています(回答者の4分の1は10人以上を雇用しています)。業界における大きな問題の一つは、これらのチームが受け取るアラートの40%以上が誤検知であることです。誤検知の多くは、コンテナの一部である可能性はあるものの、本番環境では使用されていないライブラリに関するものです。そのため、例えばKayaは最小限のコンテナイメージを作成することを強く推奨しています。これは攻撃対象領域を縮小し、誤検知を減らすため、いずれにしてもベストプラクティスであるべきだと主張する人もいるでしょう。
もちろん、これらの脆弱性に対処しなければならないのはセキュリティチームだけではありません。こうした取り組みは開発プロセス全体の遅延にもつながります。例えば、多くの企業では、本番環境のコンテナに脆弱性が検出されたことで、週に複数回の中断を経験しています。Slim.aiのレポートによると、平均的なコンテナは現在、約11日ごとに新しいリリースが行われており、平均的なコンテナが影響を受けている脆弱性は311件に上ります(2022年の282件から増加)。つまり、作業量の増加、中断の増加、そしてベンダーと協力して脆弱性を修正するための労力の増加を意味します。
トピック
フレデリックは2012年から2025年までTechCrunchに在籍していました。また、SiliconFilterを設立し、ReadWriteWeb(現ReadWrite)にも寄稿しています。フレデリックは、エンタープライズ、クラウド、開発者ツール、Google、Microsoft、ガジェット、交通機関など、興味のあるあらゆる分野をカバーしています。
バイオを見る
