「シフトレフトを推奨」

シークレット管理がDEVOPSやコンテナに重要な理由

アプリケーションによる保護されていないシークレットの漏洩

アプリケーションのシークレットがサイバー攻撃の標的となり、機密データベースや組織のクラウド環境全体への無制限のアクセスが漏洩するおそれがあります。このことから、シークレット管理の保護は非常に重要であり、シークレットをコードおよびコードリポジトリから削除する必要があります。

ウェブキャストを見る >

DEVOPSツールは高度な特権を使用しています

JenkinsやAnsibleなどのDevOpsおよび自動化ツールは、シークレットを使用して、その他のCI/CDツールやサービス、コンテナプラットフォーム、クラウド環境にアクセスして機能を果たしているため、実質的にはTier 0資産です。

詳しくはこちら >

開発者は、セキュリティではなく、開発ペースにフォーカス

開発者はコードを迅速に展開することに専念しており、セキュリティチームの権限外の安全でない方法を誤って採用してしまうことがよくあります。このようなミスにより、シークレットのローテーションが完全に省略されて、コードやスクリプトにシークレットが埋め込まれてしまう可能性があります。

レポートを読む >

一貫性に欠けるネイティブセキュリティ

シークレットストアなどのDevOpsツールのネイティブセキュリティは機能が限られており、またツールによって異なります。多くの場合、これらのツールは認証情報のローテーションをサポートしていません。このため、シークレットをその他のツールと安全に共有できず、結果的に同じシークレットが複数のツールに保存されています。

ブログを読む >

シフトレフト！DEVOPSプロセスの早期段階でセキュリティに取り組む

セキュリティチームは多くの場合、開発プロセスの最終段階でのみ開発者に関与しています。このため、非生産的でストレスの多い環境がもたらされています。特に最終段階でコードを変更してアプリケーションのシークレットを保護する必要がある場合などがこれに当てはまります。セキュリティチームは、シフトレフトにより、開発プロセスの早期段階で開発者に関与する必要があります。

詳細については、このビデオをご覧ください

「セキュリティのシフトレフト」で開発者のペースに影響を与えずにシークレット管理を改善する方法
開発者がシークレットを容易に利用できる方法
「セキュリティのシフトレフト」で開発者のリワーク、遅延、予算超過を回避する方法

開発環境においてシークレットおよび認証情報を保護している主なユースケース

迅速なイノベーションを重視する今日の開発者カルチャーは、お客様のニーズを満たすために、セキュリティのショートカットをしばしば利用しています。しかしながら、セキュリティチームが開発者やDevOpsの担当者と早期の段階で協力して、シークレットや特権認証情報の安全な管理を含む、サイバーセキュリティのベストプラクティスに従うことで、セキュリティと開発ペースの両方を達成することができます。セキュリティチームは、開発環境のセキュリティを確保するために、全体的なアプローチを講じる必要があります。

アプリケーションシークレットの保護および管理

柔軟なAPIとシークレットレス・ブローカー機能により、開発者はハードコーディングされたシークレットを容易に排除して、アプリケーション、コンテナプラットフォーム、自動化ツール、その他の人以外に紐づけられたIDが使用するシークレットやその他の認証情報を一元的に保護および管理してローテーションを実施できます。

機能について：

開発者のワークステーションを保護

開発者のMacやWindowsのエンドポイントを階層に割り当て、ゼロトラストと最小特権の原則を適用して、ホストファイルの編集や特定のツールのインストール、JITの特権昇格を最高階層の開発者のみが実行できるようにします。これにより、ローカル管理者の権限をなくし、Git認証情報のローカル保存を排除できます。

機能について：

DEVOPSツールおよび管理者コンソールの保護

DevOpsツール管理コンソールやコマンドラインインターフェイス（CLI）への人的およびその他のインタラクティブなアクセスを一元制御および管理します。たとえば、JenkinsやAnsible、CI/CDパイプラインのその他のツールへのアクセスを保護します。

機能について：

開発者に負担をかけないセキュリティポリシー

開発環境でシークレットがどの程度使用され、どの程度効果的に保護されているのか十分に認識されていない可能性があります。

詳細については、このビデオをご覧ください。

開発者が特権認証情報やシークレットをどこでどのように利用しているか
DevOpsパイプラインの特権アクセスの保護が必要な理由
開発環境における認証情報とシークレットの保護に関する重要なユースケース

貴社のDEVOPSチームと検討する準備はできていますか？以下のガイドをチェックしてください。

開発者チームとセキュリティチームは、互いの優先度が相反している場合が多いです。そのため、実装の遅延やセキュリティギャップが生じて、双方のフラストレーションの原因となっています。

CyberArkは、セキュリティチームの開発者に対する理解、やり取り、取り組みを向上させて、アプリケーションのセキュリティだけでなく、組織全体のセキュリティ体制を改善できるように支援します。

開発者とセキュリティチームは、使用する用語や視点が異なることが多く、それが両チームのフラストレーションの原因になっている場合があります。DevOpsの用語、プロセス、カルチャーを理解することで、議論や連携をより生産的なものにすることができます。

EBOOKを読む >

グローバル1000の1社であるCISOは、DevOps環境を保護するために、開発者とどのように連携および協力しているのか、またその結果得られた経験、洞察、実践的なガイダンスを共有しています。このレポートには、セキュリティチームをDevOpsパートナーに変革して、プロセスを適応および進捗状況を測定する方法が示されています。

レポートを読む >

開発者は、数多くのオープンソースを利用しています。CyberArk Conjurは、オープンソースのシークレット管理ソリューションを提供します。また、開発者のコミュニティでベストプラクティス、ブログ、API、チュートリアル、統合ガイドを利用したり、CyberArkの開発者と対話することができます。

リソースについて

典型的なセキュリティ管理ソリューションやプラクティスは、従来のオンプレミス環境をサポートするために設計されており、ペースの速いDevOps環境の複雑さに追いつかず、時間がかかることがしばしばあります。このeBookは、組織が大規模なDevOpsセキュリティを実現するために考案された、6 つの中核的な指針に焦点を合わせています。

EBOOKを読む >