多数のツールの採用によるマイナス効果 : セキュリティツールの技術的負債を増やさないために
セキュリティチームは、新しいタイプのサイバー攻撃の情報を耳にすると、大抵の場合、「より多くのツールで攻撃者に対抗するのが望ましい」と考え、最新の脅威から保護する新たなツールを急いで追加します。良かれと思ってのことなのは分かりますが、以前から残っている従来の Web アプリケーションファイアウォール (WAF) と合わせてどんどん抱え込んでいる状態に陥っています。
このようなお客様に遭遇すると、伝説のプログラマー Ward Cunningham 氏によって1990年代に作られたある有名な言葉を思い出します。それは「技術的負債」という言葉です。ソフトウェア開発の世界ではよく使われる比喩で、設計上の判断ミスによって蓄積していく余計な作業や費用のことを指します。
実際、このような従来の WAF の多くは、有効なセキュリティ上の価値を生み出しません。また、継続的なメンテナンスが必要なため、余計なコストが発生します。同時に、セキュリティ関係者が新しくやってくるたびにさまざまなツールに投資し、技術的負債の山を築いていきます。
今こそ技術的負債から抜け出す時です。この手に負えないレガシー製品のパッチワークを最新化することは、全体的な解決策にはならないかもしれませんが、少なくとも今日から、技術的負債を増やすのをやめることは可能です。
ツールが多いことでマイナスな効果が生まれる理由
攻撃が増殖し、より巧妙になる中、新たな脅威を撃退するために新たな WAF を追加すると、実際には、セキュリティの全体的な状況を正確に把握するのが困難になります。それどころか、ほとんどの従来型の WAF では、ユーザーが個々のコンソールで作業したり、個別にログファイルを細かく調べなければならないため、部分的な状況しか確認できません。
さらに、セキュリティベンダーが買収によって新しい機能を追加しても、それらが統合されていない場合、アプライアンスやクラウドベースの WAF など、各ツールでそれぞれ異なるインターフェースが使用されるため、攻撃が実際に発生したかどうかを確認するためだけに、個別に使用方法を習得する必要があります。その結果、アプリケーションフットプリント全体に対するセキュリティチームの視野が分断され、システムが複雑化することで、完全なコンテキストを得るチャンスが失われてしまいます。
アプリケーションや API の運用場所に関わらず、組織がそれらを統一して保護できるソリューションが必要なのは明らかです。しかし、いつインフラが構築されたのか、ポートフォリオの配置場所はオンプレミスなのか、クラウドなのか、または Kubernetes ポッドなのかなど、インフラの内部に存在する世代間の違いへの対応を迫られるケースが増えています。
悪意のある Web リクエストによってサーバーインスタンスへのアクセスが試みられていないか、またその目的は何かを知ることが非常に重要です。また、リクエストの発信元を把握することも大切です。しかし、これらのツールのレイヤーが妨げとなり、次のような問いに対する答えを得るのが難しくなります。「攻撃者は他に何をしようとしているのか ?」、「攻撃者はディレクトリ名を列挙しようとしているのか ?」、「ターゲットは認証フローか、それともショッピングフローか ?」。
防御する側は、本番環境のセキュリティデータを分かりやすく統一されたビューですぐに確認し、すべての異なるレイヤーで何が起きているのかを把握できる必要があります。Splunk をはじめとする SIEM ツールや、Slack、PagerDuty、Jira のような DevOps ツールなど、すでに使用しているツールによって、同様の情報が得られるはずです。にもかかわらず、簡単に入手できるはずのテレメトリをかき集めるために、貴重な時間を無駄にしています。
未来を保護できる WAF
私はより多くの WAF の使用を勧めているのではありません。長年にわたって蓄積されてきた技術的負債を解消するために、より多くの仕事をこなす、より優れた WAF を採用することが重要であると言いたいのです。
ほとんどのセキュリティチームは、契約上の誓約があるため、インフラ全体を廃棄して交換したいとは思わないでしょう。しかし、私たちは技術的な岐路に立たされています。時代遅れの WAF は、正当なトラフィックをブロックしたり、誤検知を招く傾向があるだけでなく、メンテナンスの手間がかかり、実際にはマイナスの効果をもたらします。
分散型のエッジコンピューティングインフラストラクチャへの移行が進む中、デプロイが容易で、すでに投資している他のセキュリティツールとの統合が可能なソリューションが求められます。つまりそれは、インストールと管理が簡単で、大量の誤検知によってアプリケーションに不具合を生じさせることのないセキュリティツールです。
現在の CIO や関係者は、各攻撃ベクトルに対して新しい WAF が本当に必要なのか、もっと良い方法がないかを自問する必要があります。最先端のアプリケーションおよび API の保護ソリューションは、メンテナンスコストを大幅に削減し、将来的に新たな脅威にも対応できます。このようなソリューションを導入することで、コストと技術的負債の削減が可能になります。
チームは、新たな運用上の問題を引き起こさずに、約束された価値を提供するソリューションを必要としています。未来は常に流動的です。そのため、データセンター、クラウド、エッジ、コンテナ、あるいは今後発明されるテクノロジーを含むあらゆる場所で、アプリケーションや API を保護できる柔軟なセキュリティアーキテクチャが今、必要なのです。