リスクとイノベーションのバランスを取る：セキュリティのミッション インポッシブル？

セキュリティ リーダーとして、ビジネスを推進するイノベーションのフライホイールを実現し、ITエンタープライズ アーキテクチャのモダナイズ、最新のアプリケーション デザインの採用、新しいアプリケーションの導入、そして最終的には顧客により多くの価値を提供するために迅速に行動する際の副産物であるリスクを管理するにはどうしたらよいでしょうか。

リスクとイノベーションのバランスを効果的に取るための苦闘は現実のものとなっています。最新のF5アプリケーション戦略の現状の回答者の76％が、パフォーマンスを向上させるためにセキュリティ対策をオフにすると回答しています（多くの回答者は、比較的小さな改善のためにでもオフにします）。このようなトレードオフは会社を脆弱にし、「ほどほどの」セキュリティ ポイント ソリューションは、事態が悪化したときに顧客の信頼と会社の評判を低下させます。当社は、オープン バンキングやサードパーティ製APIの利用によってアプリケーションの保護がより複雑になっている金融サービスから、ホワイトハウスが発表したサイバーセキュリティに関する大統領令やEUのNIS2法によってサイバーセキュリティ強化に真剣に取り組む必要がある政府機関まで、あらゆる業界の企業で、高い実効性と使いやすさを兼ね備えたセキュリティを導入するという課題を目の当たりにしています。

進化する顧客ニーズの把握

従来のセキュリティ境界はとっくに崩壊しています。アプリケーション アーキテクチャがより分散型モデルへと進化し、SaaSソリューション（93％の企業が何らかのクラウドベースのas-a-Service製品を利用している）やエッジ導入の採用が進んでいることから、セキュリティはユビキタスでなければなりません。さらに、リモート ワークの急増や、遠隔医療およびオンライン バンキングなどのサービスに対する需要の高まりに対応するため、製品の革新が盛んに行われる中で、かつてないほど迅速な対応が求められており、ビジネスにおけるセキュリティ組織の役割が根本的に変化していることは明らかです。

今日、セキュリティは、デジタル トランスフォーメーションの実現、顧客の信頼の確保、組織の評判の防波堤など、複数の役割を果たすことが求められています。そして、ビジネスの成功におけるセキュリティ組織の中心的な役割を社員全員が理解できるようにする責任はお客様にあります。セキュリティに対する認識を機能から考え方に変えることは、時間と労力を必要とする文化的な変化です。

では、どうすればよいのでしょうか。

セキュリティを身近なものにする

このような文化的な変化を組織全体に起こすには、セキュリティ優先の考え方を全員に浸透させる必要があります。環境、アプリケーション アーキテクチャ、スタッフのリソースに関係なく、セキュリティ ソリューションを簡単に導入できるようにすれば、この変化を加速させることができます。

オンプレミス、パブリック クラウド、エッジの各環境でアプリケーションのセキュリティ ポリシーの宣言と実施を統一することで、レガシー アプリケーションと最新アプリケーションの両方で一貫したセキュリティを実現し、チームの問題軽減に要する時間を短縮できます。データセンタからエンドユーザーまでの保護を強化することで、顧客がスムーズで安全なデジタル エクスペリエンスを常に得られるようにします。

これを単独で行う必要はありません。大規模なセキュリティ チームを擁する、クラウドを活用する企業である必要もありません。たとえば、スコットランド政府の農業・農村経済局（ARE）は、環境全体でマルチレイヤー セキュリティを実現するマネージド サービスを選択することで、セキュリティとデジタル トランスフォーメーションの課題に対応することに成功しました。

開発者の現場と向き合う

セキュリティは、もはや開発プロセスの中で後付けとすることはできません。DevOpsチームが製品担当者と連携して開発と導入を合理化して加速するように、SecOpsは、開発者チームと連携して宣言的なアプリケーションのセキュリティ ポリシーを定義し、構築し、セキュリティを好みのCI/CDツールチェーンに統合し、全員がテレメトリを利用してアプリケーションを微調整し保護できるようにすることで、アプリケーションへのセキュリティ構築の省力化が可能になるのです。私たちは、Riot Gamesのように、セキュリティ チームが開発チームと有意義な関わりを持つよう尽力している企業を応援しています。

使いやすいダッシュボード、ガードレール、およびツールでアプリケーションの開発者を支援することで、セキュリティ対策を回避したいという欲求を抑えると同時に、開発者の問題解決とビジネスの前進を支援することができます。Audiのような企業は、最新のマイクロサービスベースの環境でこれを実践し、セキュリティをプラットフォームに組み込むことを保証しながら、イノベーションを促進しています。

ベンダーへの要求を上げる

このような社内の推奨事項に加えて、セキュリティ リーダーは社外にも目を向け、ベンダーに厳しい質問を投げかけなければなりません。

• ベンダーは、セキュリティに関するオピニオン リーダーとして、顧客の問題解決を支援するだけでなく、次に起こる状況を積極的に予測していますか？
• その製品（あるいはプラットフォームならばなお良い）はAPIファーストですか？顧客にサービスを提供するために使用している、増加の一途をたどっているAPIの管理オーケストレーション、インライン適用、より簡単なセキュリティ態勢の改善を実現するには、そうであってほしいところです（2030年までに、世界でアクティブなAPIは20億になると予測されています）。
• 貴社がレガシー アプリケーションと最新アプリケーションの両方を運用している企業（87％）で、かつ複数のクラウドでアプリケーションを運用している企業（77％）である場合、ベンダーのソリューションは、アプリケーションが導入されている場所の異種アーキテクチャ間で機能しますか？
• ベンダーは主要なツールチェーンやデータ分析プラットフォームとの統合に投資していますか？98％の組織が、ビジネス目標に取り組み、カスタマ エクスペリエンスを向上させるために必要なインサイトを持っていないことを認めているため、これは根本に関わることです。
• 貴社のベンダーは、自動化、機械学習、AIを利用して、少ないリソースでセキュリティをより速く、より効果的で、プロアクティブなものにする方法を模索していますか？
• ベンダーは、脅威の評価と緩和のプロセスのあらゆる段階で、アプリケーションとAPIのセキュリティを向上させることができますか？

貴社がリソースと人材の不足に対処しながら、顧客を保護し、シームレスで満足度の高いエクスペリエンスを提供するために必要な機能を要求し、もし現在のベンダーがその要件を満たせない場合は、他のベンダーを検討する必要があります。

次のアクション

役員会においてセキュリティ部門がより中心的な役割を担うようになった今、ITのモダナイゼーション、クラウドへの移行、アプリケーションとネットワークのセキュリティ、ゼロトラスト アクセスなどの分野におけるベスト プラクティスを支持する機会が訪れています。イノベーションに伴うリスクを軽減することで、顧客の信頼を落とすことなく、デジタル トランスフォーメーションを推進できます。

今すぐ、組織全体のチームがセキュリティ優先の考え方を身につけられるようにします。製品チームやカスタマ エクスペリエンス チームなどの他の部門グループと連携して、彼らが必要とする機能を提供します。そして、実装と運用が簡単で、人的介入が少なく、エコシステム パートナーとの統合が可能で、新しい脅威や脆弱性に対応できるプラットフォーム ソリューションを採用します。

デジタル ビジネスのセキュリティをうまく確保するには、他の現実的な目標を無視することなく、さまざまなリスクを管理する必要があります。つまり、許容できるパフォーマンス、カスタマ エクスペリエンス、コストと、許容できる保護およびセキュリティ コンプライアンスのバランスを取ることです。セキュリティ ソリューションをより身近なものにし、開発者に使いやすいツールを提供し、ベンダーにさらなる要求をすることで、ビジネスの安全を確保しながら、成長の原動力となる優れたカスタマ エクスペリエンスを提供できるのです。