【2022年最新版】GitGuardianレポート公開
「The state of Secrets Sprawl 2022」
GitHub等から流出した機密情報をリアルタイムで検知するサービス「GitGuardian Public Monitoring」を提供するGitGuardian社より、昨年に引き続き、機密情報の拡散状況に関するレポートがリリースされました。(原題:The state of Secrets Sprawl 2022)
テリロジーワークスではGitGuardian社の協力のもと、このレポートを日本語に翻訳しました。ご希望の方にレポートをご覧いただけるURLをお知らせいたします。
GitHubなどのパブリックな開発環境は、多くの脅威アクター(サイバー犯罪グループなど)にとって、攻撃に有⽤なSecret(APIキーやクレデンシャルなどの機微な情報)を収集するための格好の情報ソースとなっています。彼らはそれらのSecretを狙って⽇々スキャンを実⾏しており、Secretの漏洩は企業にとって⼤きなリスクです。
当レポートは、前年に引き続き発⾏されたもので、2020年と⽐較し2021年はSecretの漏洩状況がどのように変化したかについての詳細な分析がなされています。加えてGitHubだけではなく、DockerHubへの漏洩など新たな観点も追加されました。
昨年のレポートは以下の記事からご確認ください。
この分析により、例えば400⼈程度の開発者を抱える企業では、2021年に平均1,050個の固有のSecretを漏洩させたことが明らかになりました。それぞれのSecretは13の異なる場所で検出されているため、対策に必要な作業量は、現在のアプリケーションセキュリティチームのキャパシティをはるかに上回っています。さらにオープンソースの企業リポジトリと⽐較した場合、プライベートリポジトリはSecretが漏洩する可能性が4倍⾼いこともわかりました。
レポートを希望される方は以下のフォームへご登録をお願いいたします。レポートをご確認いただけるURLをお知らせいたします。
レポートの内容(⽬次)
エグゼクティブサマリー
- パブリックモニタリング
(ア) 2021年の漏えい状況
(イ) クラウドプロバイダーにフォーカス
(ウ) 情報漏えいと⼈気の相関関係
(エ) Docker Hubをスキャンする
(オ) Fun facts
(カ) 情報漏えいはどこで発⽣しているか
(キ) シークレットの流出を伴う2021の情報漏えい事案 - 内部モニタリング
(ア) 疲弊するセキュリティチーム
(イ) 機密に対する過信
(ウ) 提⾔事項
(エ) Developer in the Loop
(オ) シークレットのスプロール化という問題を解決する
レポートをご覧いただくには
レポートの閲覧を希望される⽅は、以下のボタンよりフォーム登録をお願いします。
ご登録確認後、レポート閲覧⽅法のご案内をメールにてお送りいたします。
・競合他社および個⼈の⽅からのご登録はご遠慮くださいますようお願い申し上げます。
・業務でお使いの、ご所属企業・組織のドメインのメールアドレスを⼊⼒してください。
・資料の転載・転⽤などの⼆次利⽤や拡散はご遠慮ください。
【4⽉26⽇開催】レポートの要点と、最新のランサムウェア事例について解説するウェビナー /終了しました
レポートの要点をこの分野の専⾨家が解説するウェビナーを4月26日に開催します。
このウェビナーにご参加いただいた上でレポートをご覧になる事をおすすめします。
