SaaSのCTO15人に、クラウドとコード・セキュリティの課題と懸念について相談した。なぜ?
- SaaSのCTOは皆、製品のセキュリティ確保という課題に直面している。私たちは、そのような傾向を見つけ、彼らのニーズや悩みを発見したいと考えました。
- 顧客調査は、どんな新興企業にとっても成功のために不可欠であり、Aikido 同じである!実際、私たちはお客様の声を聞くのが大好きです。
- 私たちは当初から、お客様にとって最も重要なことに基づいてセキュリティ・ツールを設計し、進化させることに注力してきました。
Aikido、オープンな知識の共有を信条としている。
クラウド・セキュリティ・コンサルテーションについて
当社がコンサルティングを行ったCTOは、従業員数51~500人のクラウドネイティブなソフトウェア新興企業のCTOである。私たちは、クラウドとコードセキュリティのトピックに焦点を当てました:
- 脅威を防ぐ優先順位
- 脅威を防ぐブロッカー
- 現在のソリューションに対する満足度
- 他のソリューションとその欠点
- 彼らが直面する課題
- 彼らの要求と望ましい結果
- 彼らが重視する機能
- 彼らが将来成し遂げたいこと
クラウドやコードのセキュリティ脅威を防ぐことは、あなたにとってどの程度重要ですか?
まず、CTOがセキュリティ脅威の防止にどの程度の優先順位を置いているかから見てみよう。その結果、CTO は脅威の防止に高い優先度を与えていることが分かった。平均評価は8.27(10点満点)です。CTOの93%は、脅威防御の重要度を7以上としている。8」が最も多く、「10」が2番目に多い。
クラウドやコード・セキュリティの脅威を効果的に防ぐには、何が邪魔になるのだろうか?
CTOがクラウドやコード・セキュリティの脅威を防ぎたいと思うのと同様に、いくつかの障害も成功を阻む要因となっている。阻害要因の上位3つは、競合する優先事項、予算、複雑さであった。
競合する優先事項
トップは「競合する優先課題」(40%)。セキュリティの課題に関して、これは何を意味するのだろうか。CTOはセキュリティの優先順位を高く見ているが、企業内にはそれと同等、あるいはそれ以上に重要な懸念事項が存在する可能性がある。例えば、新機能を提供する競争と、新機能にまつわるセキュリティ問題との間で、サイバーセキュリティのバランスを取ることが重要である。
セキュリティは多くの場合、長期的には良い投資だが、日常的には影響が少ないため、仕事の優先順位を下げてしまいがちだ』。
予算の制約
2番目の阻害要因は、予算の制約(33%)であった。主な課題は、セキュリティ対策がビジネスにもたらすROIを証明することにある。あるCTOに言わせれば、「クラウドセキュリティに投資するビジネスケースを作ること」である。これは、前述の日常的な優先順位の低下とも関連している。
複雑さ
複雑さ」がブロンズ(27%)を占めた。ここでの問題は、潜在的な脅威が非常に多いということだ。優先順位をつけるのは負担が大きく、難しい。その結果、最大の脅威を見失いがちになる。
コードやクラウドのセキュリティ脅威を防ぐための現在のソリューションにどの程度満足していますか?
平均評価は6.4で、CTOの3分の1が現在のソリューションへの満足度を5以下としている。8点または9点の高満足度はわずか20%で、10点満点は0%だった。ここで重要なのは、CTOが脅威対策に与える優先度の高さと比較することである。重要度と満足度の間には、顕著かつ憂慮すべきギャップがあることがわかる。
他にどのようなセキュリティ・ソリューションを使い、どのような欠点がありますか?
現在のセキュリティ・ソリューションには、市場で入手可能なものが幅広く含まれている。CTOは11の製品を挙げており、SonarQubeが最も広く使用されている(33%)。それ以外では、調査時点で同じ製品を使用しているCTOは13%に満たなかった。
価格設定と価格モデル
CTOの40%が、最大の欠点は高額な価格設定と価格モデルにあると回答している。あるCTOは、天文学的に高い価格設定について報告している。別の1人は、行数による価格設定の長期的な実行可能性に疑問を呈している。『コード行数に従う価格設定モデルは、将来への懸念材料だ』。
偽陽性
33%が誤検知(脆弱性や悪意のある活動を誤って特定するアラート)にフラグを立てた。誤検知によるアラート疲れとリソースの浪費です。
現行ソリューションのさらなる欠陥
その他の欠点としては、リスク評価に関する課題、複雑なセットアップとメンテナンス、技術スタックの適合性、限定的な保護などがある。
あるCTOは、複数のセキュリティ・ソリューションを採用する必要性についての不満を指摘する:
つまり、CTOとして私が期待するのは、コードベースの自動セキュリティ・スキャンに現在使用しているSaaSが、クラウド・プロバイダーの1社とのコンプライアンスを保証するソリューションと同じであるはずがないということだ」。
セキュリティ・ソフトウェアの現在の欠陥についてCTOが何を考えているのか?
主な要点は以下の通りである。CTOは、クラウドとコード・セキュリティ・ソフトウェアのワンストップショップを求めている:
- 適正価格
- 偽陽性の少なさ
- 簡単なセットアップと
- 手間のかからないメンテナンス。
コードとクラウドの安全確保における最大の課題は何か?
SaaSのCTOが現在直面している最重要課題は、社内の対立、扱うべき情報が多すぎること、進化する脅威、完全なカバレッジを持つことの複雑さである。
内部の反対
40%が、主な課題は社内にあると回答している。つまり、認識不足や他の優先事項のためにリソースが限られているのだ。これは、先に述べた脅威防止を阻む要因の上位2つ(優先順位と予算)を裏付けている。
最大の課題は、組織の考え方を変え、セキュリティは機能であり、継続的に投資しなければならないことを理解してもらうことだ』。
チェンジ・マネジメントの難しさはよく知られている。また、態度や戦略に意味のある変化をもたらすための意識改革は、さらに困難な挑戦となる。
ノイズが多すぎる
情報過多は現実のものである。CTOの27%は、ノイズを選別することが次に大きな課題であると報告している。どの脅威を優先的に調査し、どのように対処すべきかを理解するのは容易ではない。また、偽陽性が混在している場合、行き詰まりや非効率、誤った労力が発生する可能性もある。
ログには無限のデータがあるようだが、それらが何を意味し、誰がどのように対処すべきかを管理する方法はない』。
脅威の進化、対象範囲、複雑さ
脅威の進化、カバレッジ、複雑性は、より低いレベルの課題としてランク付けされた。しかし、それでもなお、この調査で先に特定された障害や欠陥のいくつかが確認されている。
セキュリティの脅威は停滞しているわけではなく、進化し、セキュリティ・ソリューションの一歩先を行く傾向があります。これは、あなたの脆弱性も進化していることを意味し、時にはモグラたたきゲームのように感じるかもしれません。
攻撃者の手口はより巧妙になっており、新たな脆弱性が定期的に発見されている」。
CTOはさらに、現在のソリューションで確認された欠陥のいくつかを確認する上での課題を指摘した。彼らは、不完全なカバレッジを受けており、それが誤った安心感を生み出していると報告している。セキュリティ・ビジネスでは、これでは十分とは言えない!
彼らは安全感を提供しようとしているが、実際には大半の脅威から我々を守っていないのではないかと懸念している」。
カバー範囲が不完全であることは、さまざまな解決策のパッチワークの必要性、あるいは必要性の認識につながっている:
可動部分が多すぎる。実際の初期開発システムやソフトウェア、CICDプロセスからアプリケーションインフラやデータリポジトリに至るまで、......全体的なセキュリティポスチャソリューションアプローチに適合していない」。
CTOが望むビジネス成果とは?CTOにとって、クラウドとコードセキュリティの何が最も重要か?
この2つの質問で、彼らの戦略的目標と、それを達成するために何が最も重要かを探った。
望ましい成果
CTOは戦略的成果の上位3つをこのようにランク付けした:
- ブランドの評判と顧客の信頼を守る(47)
- 機密データが保護されており、データ漏洩がない(33)
- コンプライアンス(20)
何が最も重要か?
そして、これらの望ましい成果を実現するために、CTOにとって最も重要なのは以下のものだった(この質問では複数選択可):
- 低メンテナンス (53%)
- 信頼性/偽陽性がない(40%)
- 明確で効果的な報告 (33%)
私たちが気づいたことに気づきましたか?これらは、現在のセキュリティ・ソリューションの欠陥についての質問から学んだことと同じようなものです。
しかし、価格についてはどうだろう?
しかし、明確で効果的なレポーティングは、欠陥の学習と比較すると、上記のリストでは妥当な価格設定に取って代わられている。つまり、価格や予算に関するコメントや選択肢は、この質問では7%しか優先されていないのである。これは何を意味するのだろうか?
価格設定の不可解さを紐解いてみよう。これは、セキュリティ・ソフトウェアが期待どおりの成果を上げられない場合、価格が課題となり、障害となることを意味する。しかし、セキュリティ・ソリューションが正確で、メンテナンスが簡単で、わかりやすいレポートによって複雑さを解消し、ブランドの評判を守り、顧客の信頼を築き、コンプライアンス基準を満たしながらデータを安全に保つという高い目標の達成に役立つものであれば、価格設定が障壁になることはなく、正当化することも容易になります。
クラウドおよびコード・セキュリティ・ソフトウェアを選択する際に最も重要な機能
また、SaaSのCTOに対して、どのような技術的特徴が最も重要かを尋ねた。彼らは5つのステートメントを以下のようにランク付けした(4点満点):
- クラウドの誤設定検出- 3.67 (33% がこれを1位とした)
- オープンソースの脆弱性スキャン- 3.53 (33% が1位)
- 秘密の検出(APIキー、パスワード、証明書など)-3.53(53%以上がこれを2位とした)
- CI/CDプラットフォームによる静的コード解析- 2.93
- オープンソース・ライセンス・スキャンニング - 1.33 (80% が最後にランクイン)
これらのセキュリティ機能のうち、あなたにとって最も重要なものはどれですか?また、セキュリティ・ソリューションに搭載してほしい機能はありますか?
クラウドとコードセキュリティの課題を解決する製品をお探しですか?
とりわけ、今後成し遂げたいことを尋ねたところ、CTOは次のような声明を最も高く評価した:
クラウドやコードのセキュリティの脅威から完全に安全を感じたい』。
これは私たちの耳に心地よい。私たちのCTOであるウィレムは、以前勤めていた会社でまさにこの問題に苦しんでいた。その苦悩から、彼は正しい解決策を生み出す使命を負ったのです。それこそが、私たちがAikido作り上げようとしているものなのです。
当社のソリューションは、オープンソースのソフトウェア・セキュリティ・ツールのベスト・オブ・ブリードを結集しています。これにより、関連するすべての分野をカバーすることができます。また、Aikido 、どの問題や脆弱性が本当に重要で、実際に解決すべきかを示します。誤検知はありません!
Aikido CTOのクラウドとコードセキュリティの課題をどのように解決できるのか、ご自身の目でお確かめください。Aikido 無料テストドライブをお試しいただくか、弊社までお問い合わせください。
.jpg)
.avif)
