現代のビジネスのペースにより、アプリケーションの開発方法とその保護方法の間に溝が生じています。 最新のインフラストラクチャとアプリケーションを活用することで、企業は競争力を高め、より迅速に適応できるようになります。 しかし、セキュリティを危険にさらす可能性もあります。
現在、 98% の組織が、ビジネスの実行やサポートにアプリケーションに依存しています。 NGINX オープンソース コミュニティに対する当社の最新の調査によると、マイクロサービスを使用して構築されたアプリの数は 2019 年の 40% から 2020 年には 60% に増加し、54% の企業がアプリの一部またはすべてでマイクロサービスを使用しています。 2022 年までに、すべての新しいアプリの 90% がマイクロサービス アーキテクチャを採用すると予想されています。 これらの傾向は、企業にとっての最新アプリケーションの重要性を浮き彫りにするだけでなく、その導入においてスピードと俊敏性を実現することの価値も浮き彫りにします。
ますます多くの組織が同じように動いており、DevOps の原則を実装しながら、古いモノリシック アプリからクラウド ネイティブ テクノロジーに移行しています。 そしてそれには十分な理由がある。
顧客、パートナー、従業員は、テクノロジー主導のサービスにさらなるものを求めるだけでなく、それを期待しています。 市場は企業が適応するのを待ってはくれません。 彼らはただそれらのことを忘れてしまうのです。
そのため、企業は自社のアプリケーションが可能な限り最高のエクスペリエンスを提供できるように対策を講じる必要があります。 しかし、これらのエクスペリエンスを実現するには、アプリケーション開発に対する異なるアプローチが必要です。 企業が競争力を維持するために必要な柔軟性を提供する、より高速で反復的なアプローチが求められています。
DevOps、マイクロサービス、コンテナはすべて、旧式のアプローチを見直して最新の配信方法を採用することで、非常に求められているアプリケーションの俊敏性を実現するのに役に立ちます。 しかし、それらのアプリを保護するといった他の重要な考慮事項についてはどうでしょうか? セキュリティポリシーはこのペースに対応できるでしょうか?
ハッカーは1日平均2,244件の攻撃を仕掛けます。 それは39 秒ごとに1 回です。 そして、たった一度の悪意ある行為が成功すれば、企業に経済的損害や評判の失墜をもたらし、さらには企業を完全に破壊することさえ可能になります。 極端に聞こえるかもしれませんが、これが今日の組織が直面している困難です。 2020年のデータ侵害の平均コストは、 1社あたり386万ドルでした。 また、平均すると、組織のポートフォリオ内のアプリのうち適切に保護されているのはわずか 5% です。
さらに心配なのは、攻撃がさらに巧妙化し、広範囲に及ぶようになったことだ。 ハッカーはもはやコードだけを標的にしなくなりました。 Web アプリケーションに対する攻撃の 40% が API 経由で行われ、その数は2021 年には 90% に増加すると予想されており、現代の環境では壁を高くしても必要な保護を提供できません。 この脅威レベルの上昇と、リリース サイクルの高速化と頻度の上昇が相まって、セキュリティ上の欠陥が簡単に網をすり抜け、あっという間に大惨事を招く可能性があります。
どの組織も、敏捷性を制限したり、イノベーションを制限したりすることを望んでいません。 同様に、企業は自社のデータや顧客のデータを危険にさらすことを望んでいません。 しかし、現代のビジネスの需要が高まり、競争力を維持するために最新のアプリケーション開発が求められるようになると、企業はこの 2 つのいずれかを選択せざるを得なくなります。 市場に早く参入して潜在的に危険にさらされるか、ゆっくりと安全に運営するかのどちらかです。 そんなことはあってはならない。
かつてはリリースの最終段階でセキュリティ ポリシーが適用されていましたが、今日の展開のスピードを考えると、それはほぼ不可能になっています。 セキュリティ専門家 1 人に対してソフトウェア開発者が 500 人いると推定されることを考えると、アプリ保護が有利になる可能性は高くありません。
そのため、アプリケーション アーキテクチャとインフラストラクチャ全体にわたって堅牢で一貫したセキュリティを提供する能力が妨げられ、その責任は特定の誰かに帰せられることはありません。 ビジネスリーダーはセキュリティの重要性を理解していますが、アプリを迅速に市場に投入する必要性も理解しています。 DevOps チームは、SecOps による展開の遅延に不満を抱くことがよくあります。 一方、SecOps では、DevOps によって提供されるセキュリティ制御が不十分であることを頻繁に嘆いています。 実際、技術専門家の 48% は、セキュリティがソフトウェアを迅速に提供するための大きな障害であると考えています。
企業がイノベーションを推進し、俊敏性を維持するには、DevOps 自動化の有効性と「一度構築すればどこでも実行できる」シンプルさが極めて重要であることは明らかです。 「一度構築すれば、どこにでも適用できる」というアプローチをセキュリティ ポリシーに適用できたらどうなるでしょうか? 俊敏かつ安全な前進のために、企業はセキュリティを開発の最後に適用したり、アドオンで修正しようとしたりするのではなく、アプリケーションのライフサイクルにセキュリティを統合する方法を見つける必要があります。 セキュリティとアプリ開発は、単に共存するのではなく、一体化する必要があります。
では、DevSecOps のユートピアを実現する方法はあるのでしょうか? SecOps アプリケーション セキュリティ ポリシーを DevOps にスムーズに実装できるとしたら、保護とリリース速度にどのような影響があるでしょうか?
最初に必要な変化は考え方です。 現代のアプリケーション開発環境では、古い考え方は通用しません。 すべての関係者は、アプリのセキュリティを確保するという考えを受け入れるべきであり、それを克服すべきハードルとして見るべきではありません。 すべてのチームは同じ方向に進み、安全で高品質なアプリケーションを迅速に提供するという共通の目標に向かって取り組む必要があります。
統合セキュリティは開発プロセスの標準的な部分になる必要があります。 そのために必要なスピードはさまざまな方法で実現できますが、その中で重要なのはポリシーの自動化です。 また、 「チェックボックス」型 Web アプリケーション ファイアウォールの制限を克服する軽量のセキュリティ ソリューションも必要です。 ウェブ アプリケーション、マイクロサービス、コンテナ、API に対する一貫した制御を備えた高性能でスケーラブルなセキュリティを実現することで、現代の DevOps 環境が直面している実際のセキュリティ上の課題に対処する必要があります。 誤検知が少なくなり、さらに重要なことに、他のソリューションよりも高速である必要があります。 このようなソリューションは、CI/CD に対応し、承認されたセキュリティ制御を一元的に管理および自動化して、ワークフローのボトルネックを解消し、「シフトレフト」開発イニシアチブをサポートする必要があります。 また、経験豊富な組織によるサポートを受け、パフォーマンスを最適化しながら可視性を向上させる必要があります。
上記が実現できれば、DevOps と SecOps 間の摩擦がなくなり、迅速な導入とセキュリティの争いは忘れ去られる問題になります。 適切なツールと真に協力的な開発文化を組み合わせることで、現代のアプリ開発のペースに合った強力で一貫性のある保護をこれまで以上に提供できるようになります。