BLOG | OFFICE OF THE CTO

2022年版アプリケーション戦略状況:セキュリティはIDへシフトする

Lori MacVittie サムネール
Lori MacVittie
Published June 06, 2022


後に「アプリケーション戦略現状レポート」となる年次調査を当社が開始してから8年、アプリケーションセキュリティ、および、デリバリサービスの山の頂点に、セキュリティが着実に上がってきていました。

ロードバランシングやキャッシング、CDNなどの技術からなる一般的なカテゴリとしての可用性が最優先事項であったのは、2003年に新しく立ち上げたWebサーバーがインターネット上で無傷でいられた期間とほぼ同じくらいであり、ご存じない方のために言うと、その期間はそれほど長くありませんでした。

セキュリティは、ほぼすぐにその山の頂点に躍り出て、2017年頃からは他の項目に譲ることなくトップに留まっていました。

今年までは。

今年、初めてコアセキュリティ以外のサービスが「最も導入されているもの」のトップに躍り出ました。そのサービスがIDです。

すべてのセキュリティおよびデリバリ サービスの導入

しかし、IDとアクセスが最も導入されているテクノロジに昇格しただけではありません。当社の調査を通じて、IDベースのセキュリティへの大幅なシフトを示す十分な証拠があります。

APIセキュリティを考えてみましょう。APIセキュリティは広く導入されていますが、私たちは詳細を調べるため、回答者が価値があると考える保護機能のタイプについて尋ねました。私たちはそれらを次の3つのカテゴリに大まかに分類しました。

  1. 従来型。これらの保護機能は、長年にわたってWebアプリケーション ファイアウォールに搭載されてきたWebベースの保護機能に大きく由来しています。レート制限、OWASPトップ10、そしてもちろん暗号化/復号化が含まれます。
  2. 最新型。これらの保護機能はここ数年で登場し、APIセキュリティの重要な基盤として台頭してきました。このグループには、マルウェアや悪質なコンテンツを探し出すようなペイロード(コンテンツ)検査や、認証/認可が含まれます。実はIDはここに含まれます。
  3. 適応型。適応型保護機能は、AIと機械学習を活用して、人間と人間以外のユーザーを区別できる行動分析を行うことで可能になる新しいカテゴリです。これらのテクノロジが、詐欺対策やボット対策のサービスの基礎を形成する傾向があります。

このリストの中で、回答者が最も「価値のある」保護機能と考えるものは何かを尋ねました。その結果、特に過去1年間に実際にAPI保護機能を実装した人の間で、セキュリティの高度化が進んでいることがわかりました。サービスの導入と同様に、APIにおいて最も価値のある保護機能としてIDがトップに挙がりました。

最も価値のあるAPI保護機能

適応型の手法に価値を置いている点が前途有望です。セキュリティ サービスを強化するためにAIと機械学習が熱心に受け入れられていることを考えれば、これはまったく驚きに値しません。データの量や攻撃を見逃した影響を考えると、インフラストラクチャからアプリケーション、ビジネスそのものまで、あらゆるものを保護するために、業界全体がより高度で適応性のあるセキュリティ手法に目を向けているのは当然のことです。

特にAPIがデジタル経済の推進に果たす役割が大きくなっていることを考えると、IDと行動分析の両方が、包括的なセキュリティ戦略の重要な要素となります。特にマルウェアや悪質なコンテンツなど多くの攻撃は、固有の署名をAPIトランザクションのペイロードと照合することで簡単に特定されるため、検査も依然として重要です。識別のスピードは、攻撃の可能性を特定する際の信頼性と同じくらい重要であり、検査は悪質なコンテンツを識別するための迅速かつ信頼性の高い方法であることに変わりありません。

最後に私たちは、COVIDによって加速したデジタル トランスフォーメーションの結果として、ID関連技術が導入されていると見ています。回答者に、COVID後にセキュリティ戦略にどのような変更を加えたかを尋ねました。4分の1以上(26%)がクレデンシャル スタッフィング ソリューションを導入し、34%がAPIセキュリティ フレームワークを導入しています。

クレデンシャル スタッフィングとは、デジタル環境で人々のID(クレデンシャル)を保護することであるため、このトピックに関係しているのは最初の数字です。このパンデミックの中で、あらゆるビジネスのデジタル化の選択肢が驚くほど増えたことを考えると、少なくとも一部の企業がIDを保護する責任を真剣に受け止めていることは心強いことです。

これは、セキュリティにおける比較的動きの速いトレンドであり、組織がデジタル経済における影響力を広げるにつれて、より広範に浸透していくと予想されます。APIの重要性、特に自動化、クラウドネイティブ アプリケーション アーキテクチャ、デジタル エコシステム、そしてもちろんIoTにおいてAPIの重要性が増していることから、APIの「ユーザー」をより正確に特定することが必要となるでしょう。デジタル経済におけるAPIの保護は、技術的な問題だけでなく、ビジネス上の問題でもあるのです。

しかしこのトレンドは、デジタル環境においてIDがいかに重要かと、2022年に最も導入されるアプリケーション セキュリティおよびデリバリ テクノロジのトップにID関連サービスがランクインすることがいささか驚きである理由も示しています。

当社の調査で明らかになったIDへのシフトは、市場がセキュリティの基本的なアプローチとしてゼロ トラストを受け入れていることからも重要です。ゼロ トラストは、回答者の40%が「最も期待している」トレンドまたはテクノロジとして挙げています。アーキテクチャのモデルとしてゼロ トラストでは、アプリケーションとインフラストラクチャの安全性と保護に重点を置き、そのための手段として安全なマイクロペリメータを使用してネットワークを設計し、ユーザーの権限とアクセスを制限することでリスクを抑えます。

ゼロ トラストの核心は、「誰がリソースにアクセスできるか?」というシンプルな問いかけです。この問いに答え、コア、クラウド、エッジにわたってポリシーを適用するにはより多くのことが必要ですが、IDがなければアプローチ全体が崩壊します。

IDが最重要視されるかどうかは引き続き注目されますが、Web3のような新しいトレンドでもIDがコア要素として重要視されていることを考えると、IDへのセキュリティのシフトは始まったばかりと言えるでしょう。

厳選したトピックを深掘りした、以下のブログもぜひチェックしてください。

2022年版アプリケーション戦略状況:アプリケーションとデータに拡大するエッジ ワークロード ›

2022年版アプリケーション戦略状況:デジタル イノベーターがモダナイズの重要性を強調 ›

2022年版アプリケーション戦略状況:マルチクラウドの複雑さは続く ›

2022年版アプリケーション戦略状況:パフォーマンスに関するトレンド ›

2022年版アプリケーション戦略状況:運用をモダナイズする時代の到来 ›

2022年版アプリケーション戦略状況:ビジネスの未来は適応性にあり ›