2023年版アプリケーション戦略状況:サービスにおける文字どおりのセキュリティ
セキュリティ担当者を悩ませるスピードは2つあります。1つ目は、パフォーマンスに関するもので、リクエストに迅速に対応する必要性と、ユーザーと企業の資産を悪用から守る必要性のバランスをとることです。この悩みは主にリスク管理の問題の1つです。当社の昨年の年次調査で明らかになったように、組織の多くが実際に、パフォーマンスに何らかの明確な改善が見られるなら、セキュリティを犠牲にしようとしています。
一方、セキュリティ担当者と、彼らがサポートしている企業を悩ませるスピードが他にもあります。それが、新しい脅威に対処するスピードです。脆弱性を悪用するゼロデイ攻撃や、ネットワーク、アプリケーション、APIを標的として突如現れるDDoS攻撃などはご存じでしょう。
業界の他の調査から、脆弱性のパッチの適用については、発見から解決までに時間がかかるため、企業は攻撃に対して脆弱なままであることがわかっています。また、DDoS攻撃に対処するために適切なポリシーを適切なシステムやサービスに適用することも時間がかかり、デジタル ビジネス社会では、実際にお金もかかることもわかっています。
そのため、2023年のアプリケーション戦略状況調査で回答者に、Security as a Service(SECaaS)を採用している理由を尋ねましたが、その回答は、それほど驚くものではありませんでした。
圧倒的に多かった回答は「スピード」でした。
スピードの必要性は、ワークロードを展開する場所の決定にも影響を与えています。この調査を始めて9年になりますが、初めて、セキュリティ サービスの導入先としてオフプレミス(36%)がオンプレミス(35%)をわずかに上回りました。アプリケーション デリバリ サービスの他のカテゴリで近いものはありません。しかし、セキュリティはどうでしょうか?セキュリティは、パブリック クラウドにアズ ア サービスとして導入されるものが増えています。
また、回答者がエッジへの導入を検討しているワークロードの種類を見てみると、セキュリティ サービス ワークロードの展開を計画している回答者がSECaaSを採用する理由の上位に「新たな脅威に対処するスピード」を挙げているのは当然かもしれません。
これはどれも驚くことではありません。従来型であれ、エッジであれ、SECaaSを導入する運用上のメリットの1つは、プロバイダが新たな脅威に対処できるスピードです。しかしこの導入には、パフォーマンス面でもメリットがあります。セキュリティ サービスをユーザー(これにはユーザーのふりをした攻撃者も含まれます)の近くに移動することは、脅威をすぐに検知して無力化できることを意味し、標的となるアプリケーション、API、サービスが圧迫されるのを防ぐことができます。
読者の皆さんもご存知のように、運用の原則の2番目は、「負荷が増えるとパフォーマンスが低下する」です。ユーザーとアプリケーション/APIの間のクリティカル パス上のサービスやシステムが突然、攻撃を受けて圧迫されると、対応しようとして負荷が増えます。負荷が増えると、パフォーマンスは低下します。
攻撃を検知して無力化する責務をエッジに任せることで、企業は、新たな攻撃への対処にかかる時間を短縮し、アプリケーションとAPIのリアルタイム パフォーマンスを高速化するという両方の「スピード」のメリットを効果的に得ることができます。
また、すべてのセキュリティ機能が「アズ ア サービス」やエッジへの配置に適しているわけではないことも真実です。しかし、DDoSやWAAPなどの保護機能については、「アズ ア サービス」とエッジへの配置が、運用と実行時の両方のスピードを最適化するための良い選択であることは間違いありません。これは、デジタル サービスの設計段階でアプリケーション デリバリとセキュリティをどちらも考慮することがますます重要になっている理由の1つです。
組織がこれを実施する1つの方法は、セキュリティに対するプラットフォーム アプローチを採用することです。ここでは、このトピックに関する当社の洞察をご紹介しませんので、2023年版アプリケーション戦略状況レポートでご確認ください。
みなさまのセキュリティ対策にぜひご活用ください。