多くの場合、セキュリティ企業はアプリケーションセキュリティ環境の変化を市場にいち早く警告し、その動的な性質を理由に、自社の最新かつ最高のソリューションの購入を正当化しています。変化が現実に起きており、攻撃者が最新の開発技術を使用していることは周知の事実ですが、業界はどのように適応しているのでしょうか? 多くの方がこの点に興味がおありだと思います。しかし、得られる情報は、多くの人が使用している同じ AI ツールから引き出せるデータや、皆さんのネットワークがソーシャルメディアで共有している情報に限られがちです。
そこで、業界がどのように変化しているかを探る取り組みの一環として、私たちは Informa TechTarget のエンタープライズ戦略グループと提携し、米国とカナダの組織に所属する383人のサイバーセキュリティ担当者および IT プロフェッショナルがどのように適応しているかを調査しました。そしてこの調査を通じて以下の点が浮き彫りになりました。
保護しようと取り組んでいる環境がいかに急速に拡大しているか
統合への願望
多方面からの攻撃への対処における自動化の必要性
セキュリティ戦略が適切な領域に焦点を当てているかどうかについて、総合的な視点から評価します。
保護する環境の進化が加速
保護する対象に合わせて保護対策を講じる必要があります。組織が収益の創出においてアプリケーションと API にますます依存する中、ビジネス環境は拡大を続けていますが、どのぐらいの速さで変化しているのでしょうか。調査に参加した専門家たちによると、平均して組織あたり145個の Web アプリケーションやWebサイトが保護されており、今後24か月にこの数が平均201個に増え、39%増加することが予想されます。では、サイト独自のエクスペリエンスを実現する API についてはどうでしょうか? 現在、これらの組織のアプリケーションのうち API を使用しているのはわずか32%にとどまっていますが、今後24か月に80%に拡大することが予想されます。
ボリュームの増加や API の採用拡大、それに伴うデプロイの高速化が、これらの専門家に懸念をもたらしています。「公開されている Web アプリケーションの保護において組織が直面している課題は次のどれですか?」という質問に対して、32%がアジャイル開発プロセスによってセキュリティの維持が困難になっていると回答しました。この質問に対する最も多かった回答は「クラウドインフラストラクチャの使用の増加」で、回答者の41%がこれを最大の課題として挙げました。(図1)。
これらの統計を自社の組織に当てはめる際には、コンテナの導入、マルチクラウド・サービス・プロバイダーの構成、その他のインフラストラクチャの変更が、セキュリティを維持する能力にどのように影響するかを検討する必要があります。現在ご利用のソリューションは、プロパティの増加に合わせて効果的にスケールでき、デプロイ場所にかかわらずどこでも保護できますか? 調査対象者はこの点について確信が持てず、利用しているソリューションを統合する方法を模索しているようです。
「統合」が最優先事項
Web アプリケーションファイアウォール (WAF) は、アプリケーションセキュリティと同義です。WAF は数十年前から存在しており、新しい PCI 4.0 要件により、組織は公開されているすべてのサイトを保護するために WAF を導入することが義務付けられているため、実際に WAF がいくつ必要かが組織にとって最大の関心事となっています。PCI 要件は別として、WAF はほとんどの組織にとって目新しいものではなく、回答者の92%が WAF を少なくとも1つ組織で導入していると回答しています。実際、回答者の67%が、さまざまなベンダーが提供する複数の WAF 製品を使用していると述べています。
皆さんにも身に覚えがありますか?
理由を尋ねると、クラウドインフラストラクチャの使用拡大が最大の課題であるとした回答者の多くが、複数の WAF を購入せざるを得なくなった理由としてこれを挙げていました。WAF の中には、必要な場所すべてを保護できないものもあるためです。複数の WAF を使用するその他の理由としては、アプリケーション所有者や関連するチームが、特定のベンダーや、一部のベンダーが提供する独自の機能セットを要求することが挙げられます (図2)。
回答をまとめると、組織が複数の WAF を保有している理由は、以下の2つのいずれかに絞られます。
1つの WAF ですべての運用場所 (クラウド、オンプレミス、コンテナ、ハイブリッドなど) を保護することができない。
WAF の効果が十分でなく、セキュリティギャップがあると感じられ、それを埋めるために別の WAF が調達された。
皆さんの組織も同じ状況にある場合は、上記の2つのポイントを最重要基準として WAF をご検討ください。Fastly の Next-Gen WAF のような次世代 WAF は、探し求めている統合ソリューションを提供できる可能性があります。
攻撃者は成功したおとりを仕掛けている
攻撃関連の火消しは当然のことであり、業務の一部ですが、複数の攻撃が同時に発生すると、チームの対応能力を超える事態が発生する可能性があります。DDoS 攻撃を経験したことがあると回答した人のうち、45%が DDoS 攻撃はより広範な攻撃の陽動作戦として行われたと述べています。また、同グループの70%は、このような陽動作戦が最終的に成功し、業務に影響を与え、データ損失などにつながったと回答しました。 **これは大きな問題です。**この状況を踏まえ、組織への影響の可能性を減らすため、机上演習や攻撃シミュレーションにこのようなイベントを含めることをご検討ください。
演習によって完璧な対策が可能になるかもしれませんが、これらの陽動攻撃に対処する別の方法として「自動化」が挙げられます。しかし、調査に参加した IT 担当者の59%とサイバーセキュリティ担当者の55%は、AI を活用した自動化によって攻撃者が有利になると考えています。Fastly DDoS Protection を試すことで自動化が防御側にもたらすメリットを実感し、考え方が変わるかもしれませんが、このような統計データは防御側のより慎重な性質を反映していると言えるかもしれません。ただし、開発者の立場にある調査参加者の56%は、むしろ自動化によってサイバー防御者が優位に立てると考えています (図3)。
最後に
アプリケーションとそれを動かす API は組織に莫大な収益をもたらしますが、予測されるスピードで成長した場合、同時に新たな攻撃の機会が生まれることを考慮する必要があります。新しいアプリや API によって攻撃の機会が生まれても、複数の部分的なソリューションを使用して広範なセキュリティポリシーを適用することで攻撃を阻止できる可能性があります。しかし、正当なトラフィックが影響を受けるという代償が生じるようなトレードオフは、受け入れられるものではありません。
組織は、アプリケーションのデプロイ場所やプロパティの規模を問わず、環境を効果的に保護できるアプリケーション・セキュリティ・ソリューションの導入を検討する必要があります。これらのツールが単一プラットフォームに集約されることで、より多くのチームがシフトレフトし、セキュリティが組み込まれた開発を促進できます。ここでは、調査結果の主なポイントの一部をご紹介しましたが、調査レポートを通じて、業界の変化の様子が詳細にお分かりいただけます。ビジネスの成長が加速する中、今回の調査結果を見て不安を感じた方は、ぜひご連絡ください。Fastly チームが皆さまの成長を支援します。
