SaaS CTO 15名に、クラウドおよびコードセキュリティの課題と懸念について相談しました。その理由は?
- SaaS CTOは皆、自社製品のセキュリティ確保において課題に直面しています。私たちは、それらの傾向を見つけ、彼らのニーズと懸念を発見したいと考えました。
- スタートアップの成功には顧客調査が不可欠であり、Aikidoも例外ではありません。実際、お客様のご意見を伺うことを重視しています。
- 当社は創業当初から、セキュリティツールの設計と進化において、お客様にとって最も重要なことに焦点を当ててきました。
Aikidoでは、オープンな知識共有を信じています。そこで、コンサルティングで発見・解明されたことをお伝えします。
クラウドおよびコードセキュリティのコンサルティングについて
私たちがコンサルティングを行ったCTOは、従業員数51〜500名のクラウドネイティブなソフトウェアスタートアップ出身です。私たちは以下のクラウドおよびコードセキュリティのトピックに焦点を当てました。
- 脅威の防止が受ける可能性のある優先順位
- 脅威の防止に対する阻害要因
- 現在のソリューションに対する満足度
- 彼らが使用した他のソリューションとその欠陥
- 直面している課題
- 要件と望ましい結果
- 評価している機能、そして
- 将来的に達成したいこと。
クラウドおよびコードのセキュリティ脅威の防止はどれくらい重要ですか?
まず、CTOがセキュリティ脅威の防止に与える優先順位のレベルから始めましょう。私たちの調査結果によると、CTOは脅威の防止に高い優先順位を与えています。平均評価は8.27点(10点満点中)です。CTOの93%が脅威防止の重要度を7点以上と評価しました。8点が最も多く、10点が2番目に多い回答でした。
クラウドおよびコードのセキュリティ脅威を効果的に防止する上で、何が妨げとなりますか?
CTOはクラウドおよびコードのセキュリティ脅威を防止したいと強く願っていますが、いくつかの阻害要因が成功への障害となっています。主な3つの阻害要因は、優先順位の競合、予算、複雑性でした。
優先順位の競合
最も多い回答は優先順位の競合(40%)でした。これはセキュリティ上の課題に関して何を意味するのでしょうか?CTOはセキュリティを高い優先順位と見なしているものの、企業内には同等またはそれ以上に重要な懸念事項が存在します。例えば、新機能のリリース競争とそれに伴うセキュリティ問題との間でバランスを取ることは、サイバーセキュリティにおける課題です。
「セキュリティはしばしば優れた長期投資であるものの、日常業務における影響が少ないため、その作業の優先順位は下げられがちです。」
予算の制約
2番目の阻害要因は予算の制約(33%)でした。主な課題は、セキュリティ対策がビジネスにもたらすROIを証明することにあります。あるCTOが述べているように、「クラウドセキュリティへの投資に関するビジネスケースの作成」がこれに当たります。これは、前述の日常業務における優先順位の低下にも関連する可能性があります。
複雑性
複雑性が3位(27%)を占めます。ここでの問題は、潜在的な脅威が非常に多いことです。それらを優先順位付けすることは、負担が大きく困難になります。これは圧倒的であり、結果として最大の脅威を見失いがちです。
コードおよびクラウドのセキュリティ脅威を防ぐための現在のソリューションにどの程度満足していますか?
評価はDです。平均評価は6.4であり、CTOの3分の1が現在のソリューションに対する満足度を5以下と評価しました。8または9で非常に満足しているのはわずか20%であり、10点満点と回答した人はいませんでした。ここで重要なのは、これを脅威防止に与えるはるかに高い優先度と比較することです。重要性と満足度の間に顕著で憂慮すべきギャップがあることがわかります。
他にどのようなセキュリティソリューションを使用しており、それらの欠点は何ですか?
現在のセキュリティソリューションには、市場で入手可能な幅広い製品が含まれています。CTOは11の製品を挙げ、SonarQubeが最も広く使用されていました(33%)。それ以外では、調査時点で同じ製品を使用しているCTOは13%以下でした。
価格設定と価格モデル
CTOの40%が、最大の欠点は高価格と価格モデルにあると指摘しました。あるCTOは「今日のソフトウェアの支払いは6桁に達する」と、天文学的に高い価格を報告しています。別のCTOは、コード行数に基づく価格設定の長期的な持続可能性に疑問を呈し、「コード行数に追随する価格モデルは将来の懸念材料である」と述べています。
誤検知
33%が誤検知として報告されました。これは、脆弱性や悪意のある活動を誤って識別するアラートです。誤検知から生じるアラート疲れやリソースの無駄は、誰もが共感できる不満点でしょう。
現在のソリューションにおけるさらなる欠点
その他の欠点には、リスク評価に関する課題、複雑なセットアップとメンテナンス、技術スタックへの不適合、および限定的な保護が含まれます。
あるCTOは、複数のセキュリティソリューションを導入する必要性から生じる不満を指摘しています。
「複数のシナリオをカバーするソリューションは知りません。つまり、CTOとしての私の期待は、現在コードベースの自動セキュリティスキャンに使用しているSaaSが、クラウドプロバイダーのいずれかとのコンプライアンスを保証するソリューションと同じであるはずがないということです。」
CTOがセキュリティソフトウェアの現在の欠陥について考えていることから、何を学ぶことができるでしょうか?
主なポイントは次のとおりです。CTOは、クラウドおよびコードセキュリティソフトウェアのワンストップショップを求めており、以下の機能を備えています。
- 合理的な価格設定
- 誤検知の少なさ
- 簡単なセットアップ、そして
- 手間のかからないメンテナンス。
コードとクラウドのセキュリティ確保における最大の課題は何ですか?
SaaS CTOが現在直面している最大の課題は、社内での反対、処理すべき情報が多すぎること、進化する脅威、そして完全なカバレッジを確保することの複雑さです。
社内での反対
40%が主な課題は社内にあると回答しました。意識の欠如や他の優先事項により、リソースが限られていることが原因です。これは、以前に述べられた脅威防止の2大阻害要因(優先順位と予算)を裏付けるものです。
「最大の課題は、組織の考え方を変え、セキュリティが機能の一つであり、継続的に投資しなければならないことを理解させることです。」
変更管理は非常に困難です。そして、態度や戦略に意味のある変更を加えるための意識向上は、さらに困難な課題となる可能性があります。
ノイズが多すぎます
情報過多は現実の問題です。CTOの27%が、ノイズの中から優先順位を付けることが次の最大の課題であると報告しています。どの脅威を優先し、調査すべきか、またどのように対処すべきかを理解するのは容易ではありません。さらに、誤検知が混じっている場合、行き詰まり、非効率性、そして誤った労力が発生する可能性があります。
「ログには無限のデータがあるように見えますが、それらすべてが何を意味するのか、誰がどのように対処すべきかを管理する方法がありません。」
脅威の進化、カバレッジ、複雑性
脅威の進化、カバレッジ、複雑さは、より低いレベルの課題としてランク付けされました。しかし、これらは調査で以前に特定されたいくつかの阻害要因と欠陥を依然として裏付けています。
セキュリティ脅威は停滞せず、進化し、セキュリティソリューションの一歩先を行く傾向があります。これは、脆弱性も進化しており、時にはモグラたたきゲームのように感じられるかもしれません。
「攻撃者はその手法をより高度化しており、新たな脆弱性が定期的に発見されています。」
CTOは、現在のソリューションで特定されたいくつかの欠陥を裏付ける課題をさらに指摘しました。彼らは不完全なカバレッジを受け取っていると報告しており、それが誤った安心感を生み出しています。そして、セキュリティビジネスにおいて、それは決して十分ではありません!
「彼らは安全感を提供しようとしますが、実際には大半の脅威から私たちを保護していないのではないかと懸念しています。」
不完全なカバレッジは、さまざまなソリューションの寄せ集めが必要であるという認識、またはその必要性に関連しています。
「あまりにも多くの可動部分があります。実際の初期開発システムやソフトウェア、CICDプロセスからアプリケーションインフラストラクチャ、データリポジトリに至るまで、…それらは包括的なセキュリティ態勢ソリューションのアプローチに適合しません。」
CTOが望むビジネス成果は何ですか?クラウドおよびコードセキュリティに関して、CTOにとって最も重要なことは何ですか?
これらの2つの質問を尋ね、彼らの戦略的目標と、それを達成するために最も重要なことを見つけ出しました。
望ましい成果
CTOは、戦略的な成果のトップ3を次のようにランク付けしました。
- ブランドの評判と顧客の信頼の保護 (47%)
- 機密データが保護され、データ侵害がないこと (33%)
- コンプライアンスへの対応 (20%)
最も重要なことは何ですか?
そして、これらの望ましい成果を実現するために、CTOにとって最も重要だったのは以下の点でした(この質問では複数選択可):
- 低メンテナンス (53%)
- 信頼性 / 誤検知なし (40%)
- 明確で効果的なレポート作成 (33%)
私たちと同じことに気づきましたか?これらは、現在のセキュリティソリューションの欠陥に関する質問から得られた知見と類似しています。
しかし、価格設定についてはどうでしょうか?
しかし、欠陥の学習と比較すると、上記のリストでは明確で効果的なレポートが妥当な価格設定に取って代わります。したがって、調査の初期段階での価格と予算に関するコメントや選択とは矛盾し、この質問で価格設定を優先したのはわずか7%でした。これは何を意味するのでしょうか?
価格設定の複雑さを解き明かしましょう。これは、セキュリティソフトウェアが期待に応えない場合、価格が課題となり、障壁となることを意味すると解釈します。しかし、セキュリティソリューションが正確で、保守が容易で、分かりやすいレポートで複雑さを解消し、その結果、ブランドの評判を保護し、顧客の信頼を築き、コンプライアンス基準を満たしながらデータを安全に保つというより高い目標達成に役立つ場合、価格設定は障壁となりにくく、正当化しやすくなります。
クラウドおよびコードセキュリティソフトウェアを選択する際の最も重要な機能
SaaS CTOには、どの技術的機能が最も重要であるかについても尋ねました。彼らは5つの項目を次のようにランク付けしました(4点満点):
- クラウド設定ミス検出 - 3.67(33%がこれを1位にランク付け)
- オープンソースの脆弱性スキャン - 3.53 (33%がこれを1位に評価しました)
- シークレット検出(APIキー、パスワード、証明書など)- 3.53 (53%以上がこれを2位に評価しました)
- 静的コード解析(CI/CDプラットフォーム経由) - 2.93
- オープンソースライセンススキャン - 1.33(80%がこれを最下位にランク付け)
これらのセキュリティ機能のうち、どれが最も重要ですか?セキュリティソリューションに他に望むものはありますか?
クラウドおよびコードセキュリティの課題を解決する製品が必要ですか?
何よりも、今後達成したいことについて尋ねられた際、CTOは以下の項目を最も高く評価しました:
「クラウドとコードのセキュリティ脅威から完全に安全だと感じたい。」
これは私たちにとって朗報です。CTOのWillemは、以前の会社でまさにその問題に苦しんでいました。その課題が、彼に適切なソリューションを創り出す使命を与えました。それこそが、私たちがAikidoで構築しているものです。
当社のソリューションは、最高品質のオープンソースソフトウェアセキュリティツールを統合します。これにより、関連するすべての領域をカバーできます。また、Aikidoは、本当に重要な問題と脆弱性、そして実際に解決すべきものを提示します。誤検知はありません!
AikidoがCTOのクラウドおよびコードセキュリティの課題をどのように軽減できるか、ぜひご自身でご確認ください。Aikidoを無料で試すか、お問い合わせください。
