セキュリティツールの効果が消えた理由
インターネット環境がより分散されて複雑になり、API 主導が進むにつれて、セキュリティ担当者や IT 専門家は、「数年前には十分効果的だったセキュリティツールが現在の脅威に対して十分な効果を発揮できないのはなぜだろう」と首をかしげています。
私たちはこれが誇張ではないことに以前から気付いていましたが、最近実施された調査の結果がこれを実証しています。先日公開された、Fastly と Enterprise Strategy Group (ESG) の共同調査に基づくレポート「転換期を迎えた Web アプリと API のセキュリティ」では、調査に参加した組織の半分が Web アプリケーションと API のセキュリティを確保するのが2年前に比べてより困難になっていると答えています。この調査では以下の問題が明らかになりました。
82%の回答者が、昨年に自社の Web アプリケーションや API が攻撃による被害を受けたと報告している。
64%の回答者が、自社のほとんど、またはすべてのアプリケーションで今後 API を使用すると予想している一方で、これらのエンドポイントを狙った脆弱性の悪用やマルウェア、データの漏洩に対して高まる不安を抱えている。
45%のアラートが誤検知だったと9割の回答者が認めている。
75%の組織が、実際の攻撃への対応にかかる時間と同等もしくはそれ以上の時間を誤検知への対応に費やしている。
一体何が起きているのでしょうか?ツールが時代の変化に追い付いていないのでしょうか?セキュリティチームが攻撃者に劣っているのでしょうか?数年前に投資したセキュリティツールが今日の脅威に歯が立たないのにはいくつかの理由があります。
イノベーションの加速
以前にも増してイノベーションが加速していますが、その理由のひとつに API の普及があります。従来型のセキュリティツールは、データベースと通信する Web アプリを保護するために設計されていました。しかし、今日のアプリはデータベースの代わりに、多くのロジックを背後に抱える API と直接通信します。
また、セキュリティチームはこれまでソフトウェアのデリバリーワークフローの外に置かれていたため、アプリやサービスの構築・運用に携わるエンジニアリングチームが使用するような最新テクノロジーに触れる機会が限られている可能性があります。例えば、GraphQL のような API の新しいテクノロジーに精通していないセキュリティ担当者は、REST に特化した既存のツールでは GraphQA ベースの API を十分に保護できない理由が分からないかもしれません。その上、社内でチームがサイロ化されていることが多いため、知識の共有が限られがちです。これか らは、より一元化されたアプローチを採用して、ワークフローやプロセスを統合させる必要があります。
保護すべきものが見えない
シャドー IT は、IT 部門によって承認されていないテクノロジーを使用することを意味し、Statista によると、調査に参加した人の42%がそのようなテクノロジーを利用していると答えています。例えば開発を加速させたい開発者は、承認待ちの時間をカットするために、API を新たに作成するたびに IT チームに報告し、承認・認証プロセスを経て、脆弱性を保護するといった手順を無視することがあります。中には、それぞれ異なる方法で保護する必要がある20種類もの API を擁する企業もあり (例として、REST 向けに構築されたツールは、そのままでは GraphQL を保護できません)、攻撃者は一つひとつ試して最も脆弱な API を見つけようとします。
また、従来型のセキュリティツールのほとんどが、API ではなくモノリシックな Web アプリ向けに構築されています。従って、 プロセスの統合に加えて、新しいアーキテクチャや新しいタイプの API を保護できるツールが必要です。さらに、標準化の欠如、とくにチーム全体で入念に吟味された認証パターンが共有されていないことが状況を悪化させています。
孤立したツール達
テクノロジーとセキュリティの向上に多くの時間を費やすことが可能ですが、最終的にこの2つを統合してトラフィックや脆弱性に関するエンドツーエンドの情報が得られるようにしなけれ ばなりません。
ワークフローをツールに合わせるのではなく、ワークフローにフィットするツールを使用する必要があります。例えば、Slack メッセージや JIRA チケット、PagerDuty の通知などをトリガーできる WAF を採用することをお薦めします。また、一元化されたデータ分析ツールと連携し、他のインサイトとの相関関係を判断できるツールが必要です。トラフィックをエンドツーエンドで把握するのに、個別のダッシュボードに表示されている独立したデータから手作業でインサイトを引き出すのはかなりの手間がかかります。他のツールやワークフローと統合することで初めて全体的な攻撃対象領域とそれに対する脅威に関する全体像を把握することが可能になります。例えば、2つの異なるツールでアラートが発生した際、それぞれのアラートを別のタイミングで独立したコンテキストで調査した場合、無害に見えるかもしれません。しかし、一元化されたシステムでそれらのアラートの相関関係を分析した結果、関連していることが分かると、脅威の検出にはるかに役立ちます。
まとめ
2年前に比べてセキュリティツールの効果が薄れていると感じる理由に共通している要因が「サイロ化」です。それぞれのツールが連携せず、各チームが協力し合わない状況で、お互いの強みを活かす代わりに、組織はツールを購入し続け、結果的に問題を悪化させています。
必要なのは、チーム全体で使用できる統合されたツールセットの導入です。ただし、その実現は簡単ではありません。各チームがお互いのワークフローを理解し、これらのワークフローにフィットするツールを使用することが重要です。組織は、プロセスとセキュリティスタックの更新と統合を優先事項に据える必要があります。さもないと複雑性が増し、トラブルが発生する可能性が高まります。
このテーマに関する詳細については、レポートをダウンロードしてください。