Wiz Defend is Here: Threat detection and response for cloud

シフト レフトの説明: セキュリティをシフト レフトするとはどういうことか (Shift Left)

シフトレフト セキュリティとは、ソフトウェア開発ライフサイクル (SDLC) のできるだけ早い段階でコードとソフトウェアのセキュリティ保証プロセスを実行する方法です。

Wiz エキスパートチーム
1 分読み

シフトレフトセキュリティとは何ですか?

シフトレフト セキュリティとは、ソフトウェア開発ライフサイクル (SDLC) のできるだけ早い段階でコードとソフトウェアのセキュリティ保証プロセスを実行する方法です。コード、インフラストラクチャ、およびアプリケーションのセキュリティを民主化することで、開発者は開発の最も早い段階 (つまり、左から右へのタイムライン図の左側) で脆弱性や構成ミスに対処できるようになります。

しかし、シフトレフトのアプローチはセキュリティに限定されません。「すべてをコードとして」(EaC) の動きと、DevOps および DevSecOps フレームワークの採用の増加により、データベース管理、コンプライアンスの実施、自動テスト、インフラストラクチャのプロビジョニングなど、多くの役割がシフトレフト、つまりアプリケーションの設計と実装に近いところへ移行しています。

企業がセキュリティを左にシフトする理由

シフトレフト アプローチには、製品がリリースされた後にのみセキュリティに対処する従来のセキュリティ プロセスに比べて多くの利点があります。

1. 修復コストの低減

導入前に脆弱性や誤った構成を修正すると、脆弱性が実稼働環境や一般向けサービスに侵入する可能性が低くなり、全体的な脅威の足跡を減らすのに役立ちます。これにより、時間とリソースの両方が節約されます。

2. 市場投入までの時間の短縮

デリバリー パイプラインの後の段階でセキュリティ問題が検出されるほど、アプリケーションのリリースが遅れる可能性が高くなります。パイプラインに適切なセキュリティ自動化を導入すると、コードベースにセキュリティ脆弱性が追加されるとすぐに検出し、優先順位を付けて軽減することができます。SDLC の後の段階で脆弱性を発見すると、市場投入までの時間に悪影響を与える可能性があります。

3. 全体的なセキュリティ体制の改善

セキュリティをシフトレフトすることで、より安全なコードを作成し、アプリケーションがアクセスする必要があるデータをより適切に保護できます。コンプライアンスとセキュリティのテストを自動化し、ガードレールを設定し、開発プロセスの最初から適切なセキュリティツールを開発者に提供することで、アプリケーションが攻撃に対して耐性を持ち、機密データがあらゆる段階で保護されることが保証されます。

4. ユーザーの信頼の向上

クライアントとユーザーの信頼を維持することは、あらゆるビジネスの成功にとって重要ですが、特に金融および医療分野では重要です。侵害、漏洩、さらには実稼働環境での未活用の脆弱性は、ブランドの評判に壊滅的な影響を及ぼす可能性があります。SDLCの早い段階で定義済みのセキュリティ制御を厳密に適用することで、コストのかかる侵害を防ぐことができます。エンドユーザーも、機密情報をアプリケーションに預けることを信頼する可能性が高くなります。

セキュリティを左にシフトすることの課題

シフトレフト セキュリティ アプローチを採用すると多くのメリットがあるにもかかわらず、多くの組織はまだこれを完全には採用していません。たとえば、ある調査によると、DevOps プロセスにセキュリティを広範囲に取り入れていると回答した組織はわずか 37%でした。効果的なシフトレフト セキュリティ保証プロセスを実装するには、克服すべき障害が数多くある可能性があります。 

1. 優先順位付けとセキュリティ第一の文化の醸成 

エンジニアリング チームや開発チームの生産性は、多くの場合、作成するプル リクエストの数や新機能の提供頻度で測定されます。しかし、セキュリティをシフト レフトするには、脆弱性の防止と早期修復に重点を置いた異なるパフォーマンス メトリックが必要であり、これは評価され、奨励されるべきです。

2. サイロ化されたツール

情報セキュリティ チームが使用するツールは、ソフトウェア エンジニアやインフラストラクチャ エンジニアが使用するツールとは範囲も機能も大きく異なるため、セキュリティ チームは開発者がもたらす潜在的なリスクを把握できないことがよくあります。一方、開発者は、コーディングの決定がセキュリティに及ぼす潜在的な影響を把握できず、迅速な修復に必要なコンテキストや知識が不足していることがよくあります。

3. スキル不足

エンジニアリング チームと情報セキュリティ チームの間のギャップは、ツールだけにとどまりません。ほとんどの摩擦は、合意されたプロセスが欠如していることと、チーム間の効果的なコラボレーションを実現するために開発プロセスに「ゼロ デイ」から情報セキュリティを関与させていないことに起因しています。

4. アラート疲労とツールの乱立

多種多様なツールやベンダーの数の多さも、アプリケーション セキュリティのもう 1 つの課題です。これらすべてがコンテキストや優先順位なしにセキュリティ アラートを生成するため、アラート疲れにつながる可能性があります。さらに、非常に多くのセキュリティ ツールをオーケストレーションするオーバーヘッドによってボトルネックが生じ、問題の発見と修復が遅れる可能性があります。多くの組織がこの問題に悩まされているため、ガートナーの調査で、 2022 年に75%の企業がアラート ノイズを排除するためにベンダー セキュリティ ツールの統合を優先していることが明らかになったのも不思議ではありません。

セキュリティをシフトレフトするために使用できるツールは何ですか?

セキュリティをシフトレフトするために使用されるツールのいくつかを見てみましょう。

  • 静的アプリケーション セキュリティ テスト (SAST):アプリケーション アセット (ソース コード、構成ファイル、バイト コード、バイナリ ファイルを含む) を分析して潜在的なセキュリティ脆弱性を検出するためにスクリプト化されたスキャンのセット。

  • 動的アプリケーション セキュリティ テスト (DAST): OWASP Top 10などの主要な脆弱性シグネチャ ソースに対してアプリケーションを実行時にスキャンするアプリケーション セキュリティ テスト手法。

  • ランタイム アプリケーション自己保護 (RASP):実行時に個々のアプリケーションに対する脅威を識別して阻止できるエージェントまたはリンク ライブラリ。

  • インタラクティブ アプリケーション セキュリティ テスト (IAST): DAST と SAST のスキャン技術を統合し、アプリケーション セキュリティ テストの精度を最適化するツールセット。

  • Web アプリケーション ファイアウォール (WAF):潜在的に有害な HTTP トラフィックから Web アプリケーションを保護するために設計されたセキュリティ対策。

  • ソフトウェア構成分析 (SCA) :コード依存関係に含まれるさまざまなサードパーティ ソフトウェア コンポーネントに存在する可能性のある脆弱性を識別および分析するためのアプリケーション セキュリティ手法。

  • シークレット スキャン:コードおよび構成ファイル内のシークレット (キーやパスワードなど) を検出することを目的としたコード セキュリティ スキャン手法。

  • コンテナ/ワークロードスキャン:保存中のコンテナと実行中のワークロードの両方を保護するように設計された一連のテクノロジ。このカテゴリには、クラウド ワークロード保護プラットフォーム(CWPP) とKubernetes セキュリティ ポスチャ管理(KSPM) ツールが含まれます。

  • クラウド セキュリティ ポスチャ管理 (CSPM) :脅威の可視性を高め、構成ミスを特定し、クラウドベースのインフラストラクチャの全体的なセキュリティ ポスチャを評価することで、マルチクラウド環境を保護するプロセス。

しかし、セキュリティをシフトレフトするために必要なツールが多すぎると、ツールが乱立する可能性があります。SDLC 全体にわたってシフトレフト セキュリティのさまざまな側面を自動化するツール スイートは、実装を効率化するのに役立ちます。

シフトレフトセキュリティを実装するためのWizアプローチ

Wiz は、チームが測定可能な結果を​​もたらすシフトレフト戦略を構築できるようにします。

1. 差し迫ったセキュリティ問題を可視化する

Wiz エージェントレス スキャン テクノロジーは、単一のクラウドネイティブ API コネクタを使用して、ワークロードのセキュリティを継続的に評価し、脅威の状況を完全に可視化して、継続的なメンテナンスの必要性を排除します。

Wiz の包括的なスキャン テクノロジーは、PaaS リソース、仮想マシン、コンテナー、サーバーレス関数、パブリック バケット、データ ボリューム、データベースをカバーします。コンテキスト インサイトと組み合わせることで、セキュリティ チームは各レイヤーの脅威を積極的に特定し、優先順位を付け、修復できます。

2. ビルドから実行まで単一のセキュリティポリシーを採用する

アプリケーションのセキュリティ体制を可視化することで、ツールと組織のサイロを打破するために、エンジニアリング チームと InfoSec チームの両方に対してソースから本番までの統一されたポリシーの定義を開始できます。

Wiz Guardrails は、CI/CD パイプラインのセキュリティ制御とプロセス、および Kubernetes クラスターのリソースのデプロイメントをオーケストレーションするための単一ポリシー フレームワークを実現します。これにより、セキュリティ チームは集中管理が可能になり、開発者は安全なコードを配信できるようになります。

3. リスク予防を自動化する

ウィズのシフトレフトへのアプローチ

クラウド セキュリティと DevOps チームにとって素晴らしいニュースです。 シフト レフト セキュリティの取り組みを強化するために設計された最新のイノベーションであるWiz Codeのリリースを発表できることを嬉しく思います。Wiz Code は既存の開発ワークフローとシームレスに統合され、ソフトウェア開発ライフサイクルの最も早い段階から堅牢なセキュリティ対策を実装できるようにします。Wiz Code がシフト レフト セキュリティ戦略を強化する仕組みは次のとおりです。

シフトレフトセキュリティのためのWiz Codeの主な機能

  • エージェントレス スキャンによる早期リスク検出
    業界をリードするエージェントレス スキャン テクノロジーを活用して、コード リポジトリ、コンテナー イメージ、Infrastructure as Code (IaC) テンプレートを分析します。脆弱性、誤った構成、コンプライアンスの問題を、本番環境に到達する前に特定します。

  • シームレスな開発者統合
    IDE およびリポジトリに直接統合することで、開発者はコードの作成時にセキュリティ上の懸念に対処できます。このプロアクティブなアプローチにより、後期段階の修復に関連するコストと時間が大幅に削減されます。

  • 統合ポリシー フレームワーク
    ソース コードから本番環境までをカバーする単一のポリシー フレームワークを使用して Wiz Guardrails 機能を拡張し、CI/CD パイプラインと Kubernetes デプロイメント全体で一貫したセキュリティ制御を保証します。

  • 迅速な修復のための実用的な洞察 コンテキスト
    に応じた洞察と優先順位付けされた修復ガイダンスを受け取ることで、開発者はセキュリティの問題を迅速に理解して対処できます。このターゲットを絞ったアプローチにより、解決プロセスが加速され、全体的なコード品質が向上します。

  • クラウドからコードへのトレーサビリティ
    クラウド環境で検出されたセキュリティ問題を、責任のある特定のコードと開発チームまでさかのぼって追跡します。この機能により、説明責任が強化され、修復プロセスが迅速化されます。

Wiz Code をセキュリティ戦略に組み込むことで、セキュリティを真にシフトレフトし、より安全なアプリケーションを作成し、全体的な脅威のフットプリントを減らし、市場投入までの時間を短縮できます。開発のスピードに合わせて動く包括的で自動化されたセキュリティの威力を体験してください。

Wiz が、外部スキャンを構成したり、クラウドやワークロード全体にエージェントを展開したりすることなく、安全なソフトウェア開発を効率化し、解決を迅速化するためにどのように役立つかをご覧ください。今すぐ、シフトレフトのセキュリティ専門家によるデモをスケジュールしてください。

ビルド時から実行時までワークロードを保護する

Wiz によって開発者がより迅速かつ安全に製品をリリースできるようになる方法を学びます

デモを見る 

よくある質問

続きを読む

CSPM in AWS

Wiz エキスパートチーム

In this article, we’ll discuss typical cloud security pitfalls and how AWS uses CSPM solutions to tackle these complexities and challenges, from real-time compliance tracking to detailed risk assessment.

What is Data Flow Mapping?

In this article, we’ll take a closer look at everything you need to know about data flow mapping: its huge benefits, how to create one, and best practices, and we’ll also provide sample templates using real-life examples.

What are Data Security Controls?

Wiz エキスパートチーム

Data security controls are security policies, technologies, and procedures that protect data from unauthorized access, alteration, or loss

Securing Cloud IDEs

Cloud IDEs allow developers to work within a web browser, giving them access to real-time collaboration, seamless version control, and tight integration with other cloud-based apps such as code security or AI code generation assistants.