2025年、信頼されたGitホスティングプラットフォームはサイバー犯罪者の遊び場となりました。これはGitProtectによる最新の「DevOps Threat Unwrapped Report 2026」からの主な結論です。
コード(およびビジネス)を対象とした攻撃に効果的に対抗したい場合は、セキュリティ対策、良い実践、および知識が必要です。
組織のセキュリティ体勢を強化してください。レポートから7つの厳しい真実を学び、最新の脅威とそれらに対抗する方法を発見してください。
#1 AIアシスタントは同僚ではなく、信頼されていないアクター
人工知能(AI)の支援は、特にチーム内の経験豊富な開発者による厳密な制御下にある場合、非常に有利になる可能性があります。ただし、当社のレポートによれば、DevOpsプラットフォームに統合されたAIは攻撃表面を大幅に拡大します。出現する脅威には、悪意のあるプロンプト注入、リモートコード実行、認証情報漏洩が含まれます。2025年だけで、人気のあるDevOpsプラットフォーム全体で68のAI関連インシデントを特定しました。
AI関連の脅威に対抗するために、デフォルトではAIアシスタントに対してゼロトラストアプローチに従う必要があります。これは、厳密な入力データのサニタイズ、人間による検証(human-in-the-loop)、および最小権限アクセスのルールに従うことで実現できます。
#2 パブリックリポジトリ:マルウェア配布の主なチャネル
サプライチェーン攻撃は、高度にスケーラブルな悪用を可能にするため、ますます頻繁になっています。脅威アクターはオープンソースリポジトリに悪意のあるコードを植え付けます。その後、CI/CD設定ミスまたは長期的なトークンの使用により、プライベートな企業リポジトリに伝播します。
パブリックコードとツールを盲目的に信頼しないでください。これが基本的なルールです。依存関係、サードパーティコード、PoC、ツールの検証が1つのことです。もう1つは、例えば短期的で最小権限トークンを実行し、外部リポジトリの構成要素を継続的に監視することで、CI/CDパイプラインと開発者ワークフローをセキュアにすることです。
#3 短期的なシークレットが唯一の方法
クラウドアイデンティティは、攻撃のもう1つの一般的なレイヤーです。シークレット漏洩は特に危険です。シークレット漏洩は、数千のリポジトリに影響を与える深刻なインシデントになる前に気づかないことが多いため、特に危険です。さらに、当社の研究によれば、認証情報盗難は2025年に月次で着実に増加しました。
組織を防御するには、厳密に従うアイデンティティ衛生が必要です。これは、特に、頻繁にローテーションされた認証情報と最小権限アクセス付きの短期的なトークンを使用することを意味します。CI/CDワークフロー、リポジトリ、依存関係、クラウドアカウント監視、フィッシング耐性MFAの採用、および注意深いシークレット管理を忘れないでください。
#4 構成とオートメーションエラー:(クラウド)障害の単一ポイント
構成エラーとオートメーション欠陥は、2025年のDevOpsクラウド障害の最も一般的な原因でした。言い換えれば、大規模なプロバイダーが運用する有名なクラウドプラットフォームでも、単一の障害ポイントを持つことができます。各障害は世界規模でダウンストリームにスケーリングし、影響を受けたクラウドにコードを保持している企業に対して、財務、法務、運用、およびコンプライアンス関連の問題を引き起こす可能性があります。
停止に対抗するための鍵はデータソブリンティです。マルチクラウドまたはハイブリッド戦略に切り替えることで、それを実現できます。たとえば、GitProtectを使用すると、別のプロバイダーへの簡単なクロスマイグレーションまたはコードを100%オンプレミスで実行できます。
#5 高い重大度の脆弱性は依然として多数発生している
今日、DevOpsプラットフォームからの脆弱性情報を無視することは選択肢ではありません。2025年に修正されたすべての脆弱性の半分以上は、重大および高い重大度でした。言い換えれば、機密データへのアクセスや権限昇格を含む、深刻な損害を引き起こす可能性を持つ多くの欠陥があります。
あなたの側での絶対的な最小値は、通信に従い、時間通りにパッチを実装することです。サードパーティの依存関係監査と異常検出も重要です。
#6 フィッシング攻撃は多要素認証(MFA)をバイパスする
…パスワードハッキングではなく、信頼されたアイデンティティフロー、クラウドサービス、およびOAuthを通じて。脅威の状況は、フィッシング・アズ・ア・サービス(PhaaS)インフラストラクチャの支援と敵対的な国家機関のサポートにより、複雑性の進化を続けています。
抵抗するために、粒状の条件付きアクセスポリシーに切り替え、OAuthフロー、同意承認、および認可されたアプリケーションを強化する必要があります。動作ベースの検出も重要です。
#7 サードパーティクラウドの使用は説明責任を除去しない
クラウドはかなり安全であると見なされていますが、100%免疫ではありません。クラウド内の組織のデータには、GDPRやHIPAAなどの規制で保護されている機密または個人情報が含まれる可能性があります。規制上の義務を満たすことで保護に失敗した場合、あなたはクラウドプロバイダーではなく、完全に責任があります。
マネージドインフラストラクチャのコンシューマーとして、クラウドプロバイダーとのデータ処理に関する明確なルールを確立する必要があります。この点で重要なその他のことは、脆弱性管理、迅速なインシデント対応、継続的な監視です。
DevSecOpsフロンティアをマスターする:次のステップ
7つの厳しい真実は、DevOpsデータを効果的に防御するために理解する必要があることの単なるハイライトです。高度なリスクが発生している場合、組織を安全に保つために高度な防御が必要です。
より深い理解のために、GitProtectによるDevOps Threats Unwrapped Report 2026を無料でダウンロードして:
- 興味深く、最新のDevOpsサイバーセキュリティ統計を取得し、
- 最新の脅威と防御トレンドについて学び、
- 理解を豊かにする貴重な洞察と視点を発見し、
- 数十の実際の侵害ケースからの教訓を学び、経験と知識を構築してください。
覚えておいてください。真の抵抗は(サイバー)認識から始まります。
翻訳元: https://www.helpnetsecurity.com/2026/05/20/hard-truths-from-2026-devops-threats-report/
