BLOG | OFFICE OF THE CTO

アプリケーションとAPIのセキュリティにおいてハイブリッドITが意味するもの

Lori MacVittie サムネール
Lori MacVittie
Published January 11, 2023

ここ数年、業界はハイブリッドITをマルチクラウドと呼び、その現実とそれに伴う課題をうやむやにしてきました。

これは、組織が複数のクラウドで運用されていないということではありません。間違いなく運用されています。そうではなく、「クラウド」という運用モデルがサービスとしてインフラストラクチャを提供するパブリック プロバイダだけに特有のものではないことを十分に表していないという意味です。事実、当社のデータによると、オンプレミス クラウドで運用され、さらにそのパブリック バージョンも活用している組織が年々増えています。

SOAS 2023

ハイブリッドITの現実を無視するとしても、クラウドが登場し、ビジネスを席巻して以来、ハイブリッドITは私たちのすぐ目の前にありました。皮肉なことですが、クラウドを採用した組織すら、そのほとんどは、従来のオンプレミス環境を扱っていました。その理由は、ほとんどの企業が新会社ではなく、20年、30年、ときには50年もの間、事業を続けているからです。つまり、モノリスからマイクロサービスまで、クライアントサーバーからモバイルまで、主要なアプリケーション アーキテクチャのあらゆる世代にわたるポートフォリオを確立していたからです。

今年の年次調査では、お客様が直面している現実を把握するために、私たちはオンプレミス環境について具体的な情報を集めました。データから明らかなように、企業は、これまでもハイブリッドであり、そしてこれからもハイブリッドであり続けます。

これを示しているのは、このレポートの調査だけではありません。F5 NGINXがオープン ソース コミュニティを調査したところ、(その他の興味深い情報とともに)何がわかったと思いますか。そう、ハイブリッドが今後も続くことです。

まもなく発表されるアプリケーション戦略状況レポートの調査結果はここではお話ししませんが、モダン アプリケーションに向かう傾向は強いものの、一部の組織は従来のアプリケーションを「すべて一緒に」新しいモダン バージョンに置き換えることはないことをデータが示しています。

そのため、企業はこれから何年間も、ハイブリッドであり続けるでしょう。

しかしそれは、セキュリティにおいて、特にアプリケーションとAPIのセキュリティにおいて、何を意味するのでしょうか。

アプリケーションとAPIのセキュリティにおける意味

組織がその中核(アプリケーション ポートフォリオ)と運用環境においてハイブリッドであるという前提で私たちが行動するとすれば、それはアプリケーションとAPIのセキュリティにおいて深い意味を持ちます。

その理由は、コンテナなどの一部のアプリケーション環境には独自のセキュリティ ニーズがあり、こうしたニーズには従来のセキュリティ ソリューションでは対応できないためです。また、アプリケーションがオンプレミスにある場合、組織は、アプリケーション ワークロードをコア、クラウド、エッジにわたって展開できる一貫したセキュリティ ソリューションを必死で探すことになります。また、それだけではありません。既存の従来のソリューション、特にプロトコルの悪用からアプリケーションとAPIを保護することに重点を置いたソリューションのニーズが簡単になくなるわけではないのです。

残念ながら、ハイブリッドITはハイブリッド セキュリティをもたらすものではなく、また、もたらすことはできません。

ここで私が話しているハイブリッド セキュリティは、あるベンダーが提供するアプリケーションとAPIのセキュリティ サービスを、別のベンダーや、そのまた別のベンダーのサービスと組み合わせて使用することを意味しています。アプリケーション ライフサイクルでセキュリティをシフトレフトすることは優れたソリューションのように聞こえますが、これは多くの場合、最も安易な方法であり、アプリケーションとAPIの互換性のないセキュリティ サービスが大量に存在することになり、すべてのアプリケーションとAPIを保護するための取り組みを複雑にし、挫折させてしまうことにもつながります。

クラウド ツールとAPIが複雑化した影響はすでに組織に現れ、すべてのアプリケーションで一貫したセキュリティを適用できなくなっています。アプリケーションとAPIの脆弱性や悪用に起因する侵害がこの1年間で大幅に増加したことからもわかるように、アプリケーションとAPIのセキュリティに対する、種々雑多な組み合わせのアラカルト アプローチは、ほとんどの組織でうまく機能していません。

セキュリティにおけるハイブリッドITの現実とは、アプリケーションとAPIを保護するパッチワークのようなアラカルト アプローチでは、長期的にうまく機能しないということです。私たちにはより優れたアプローチが必要であり、それには、ITと企業がハイブリッドであること、そして今後しばらくはそれが継続することを認識する必要があります。