ソリューションの概要

アプリケーション セキュリティの脆弱性の軽減

今日、アプリはデジタル変革を可能にし、競争上の優位性をもたらします。 セキュリティを簡素化し、視点を変える時が来ました。

アプリケーションセキュリティソリューション

アプリケーションの時代へようこそ

俊敏性を維持しながら市場投入までの時間を短縮するために、組織はアジャイル開発を採用し、AppDev チームと DevOps チームに戦略的なビジネス上の必須事項の遂行を委託しています。 開発者はボタンをクリックするだけで、世界を変える可能性のある新しいコードのビルド、テスト、展開、操作、監視を自動化できます。

主なメリット

左にシフト

セキュリティは、アーキテクチャ、クラウド、フレームワークに関係なく、コードからテスト、運用まで、アプリケーション開発ライフサイクルに本質的に統合されています。

使いやすさを最大化

F5 ソリューションは、摩擦と誤検知を最小限に抑えて侵害を防ぎ、セキュリティ コスト センターをビジネスの差別化要因に変えます。

複雑さを軽減

F5 は、一貫したポリシーの適用と普遍的な修復のために、クラウドとアーキテクチャ全体のセキュリティを合理化します。

しかし、アプリケーションのセキュリティはどうでしょうか?

アプリケーション開発は変革し、大部分が自動化されましたが、セキュリティは依然として高度な手作業が残っています。 開発者と DevOps 実践者の数は、セキュリティ専門家の数の 100 倍にもなります。 市場投入までの時間に対するプレッシャーにより、アプリケーション チームとセキュリティ チームの間に摩擦が生じ、セキュリティがボトルネックであるという認識が生まれています。 これは深刻なジレンマであり、多くの場合、不十分なテスト、プロセスの省略、および効果のない監視につながります。

同時に、アーキテクチャ、クラウド、サードパーティ統合の増加により、多くの組織にとって脅威となる領域が劇的に増加しました。 クロスサイト スクリプティング (XSS) やインジェクションなどのアプリケーションの脆弱性は、20 年以上前にアプリケーション セキュリティが誕生して以来、広く存在してきましたが、攻撃者は驚くべき速さでこれらの脆弱性を発見し、悪用し続けています。 攻撃者は、自動化フレームワークと AI 強化ツールを使用してインターネットをスキャンし、脆弱性を素早く武器化して弱点を発見し、それを悪用して金銭的利益を得ます。 特にオープンソース ソフトウェアは脆弱性に悩まされており、未知の重大なリスクをもたらします。

F5 Labs は、最も深刻な攻撃の 1 つであるリモート コード実行の可能性がある重大な脆弱性が 9 時間ごとに公開されていると報告しています。 2025 年までに、通常の 1 週間で 500 件の新しい CVE が公開されると予想されます。

アーキテクチャ、クラウド、開発者フレームワーク全体にわたるアプリケーションのセキュリティ保護の複雑さの増大を効果的に管理するには、組織は戦略と視点を変える必要があります。

オープン Web アプリケーション セキュリティ プロジェクト

Open Web Application Security Project (OWASP) は、効果的な脆弱性管理の必要性を企業の経営幹部や役員会に説得するために 2001 年に設立されました。 セキュリティ ベンダーやコミュニティからのフィードバックを含む規律あるアプローチにより、最も蔓延している重大なアプリケーションの脆弱性のリストであるOWASP Top 10が作成されました。

XSS とインジェクションは、OWASP の創設以来、常にトップ 10 リストに挙げられてきましたが、アプリケーション セキュリティの新しい時代は、ソフトウェア サプライ チェーンへの脅威の増大、オープン ソース ソフトウェアの普及、レガシー アプリと最新アプリの両方におけるセキュリティとアクセスの管理の運用上の複雑さによって特徴づけられています。 ソフトウェアの更新、重要なデータ、CI/CD パイプラインの整合性はすべて危険にさらされる可能性があります。 オープンソース ソフトウェアは開発を大幅にスピードアップしますが、静的コード分析 (SCA) など、社内で開発されるカスタム ソフトウェアで一般的な制御がサードパーティ ソフトウェアでは必ずしも可能または実用的ではないため、リスク管理も変化します。

2021年、脆弱性の詳細が公開されてすぐに、攻撃者は何千ものウェブサイトやアプリケーションで使用されている、広く導入されているオープンソースソフトウェアライブラリの重大な脆弱性を悪用し始めました。 この脆弱性に対処しないと、リモート コード実行につながり、攻撃者が Web サイトやオンライン アプリケーションを乗っ取り、金銭を盗み、データを侵害し、顧客アカウントを危険にさらす可能性があります。

F5 Labs は、過去 20 年間で CVE の状況がどのように大きく変化し、脆弱性の数が増加し、その種類が広がったかを詳しく説明しています。 こうした変化の一部はテクノロジーの進化によるものですが、その他の変化はデータの収集方法の現れです。

主な特徴

公開されている Web アプリや API に対する既知のリスクを発見し、AI 強化の分析情報を使用してテストの脆弱性を特定し、修復に役立てます。

  • アプリ開発フレームワークへのネイティブ統合により、市場投入までの時間とビジネスの俊敏性が向上します。
  • 幅広い脆弱性に対するすぐに使える保護により、リスクと運用の複雑さが軽減されます。
  • クラウドとアーキテクチャ全体の可視性と適用により、エンタープライズ アプリ ポートフォリオ全体を保護します。
  • 自己学習および自己チューニングポリシーにより、InfoSec、DevOps、AppDev チームの負担が軽減されます。
  • 動的な情報フィードにより、新たな脅威を迅速に修復
  • 宣言型ポリシーは、基礎となるインフラストラクチャを抽象化し、意図しないリスクや誤った構成を防ぎます。
  • 変化するアプリや攻撃者に対応するセキュリティにより、効果を最大化し、顧客体験を最適化します。
  • 自動化された保護と適応型セキュリティにより、企業は安全にデジタル変革を加速できます。
  • セキュリティは、アプリからエッジまで一貫した保護のために、必要に応じてオンデマンドで展開されます。

建築のスプロール化と AI の台頭

テクノロジーの急速な進化により、組織のビジネスのやり方が変化し、ビジネスの安全とセキュリティを維持するために必要な手順も変化しています。 現在、 88% の組織が SaaS、パブリック クラウド/IaaS、オンプレミス (従来型)、オンプレミス (プライベート クラウド)、コロケーション、エッジを含むハイブリッド モデルで運用しており、これらの組織では、手動による調整の負担を軽減し、検出された脅威に基づいてセキュリティ ポリシーの構築を自動化するために AI を活用するケースが増えています。 グリーンフィールド プロジェクトではクラウドの効率性を活用できますが、ほとんどのエンタープライズ ポートフォリオには、データ センター、クラウド、マイクロサービス内のさまざまなアーキテクチャにまたがるレガシー アプリと最新アプリの両方が含まれています。

アプリケーションの爆発的な増加と市場投入までのスピードも、リスク管理に根本的な変化をもたらしています。 ネットワーク エンジニアはインフラストラクチャを展開していない可能性があります。 DevOps チームは、ターンキー クラウド ソリューションでコンテナなどの新しいアーキテクチャを使用して仮想インフラストラクチャと一時インフラストラクチャを簡単に作成し、コードの構築からサービスの展開まですべてを自動化できます。 アプリケーション開発サイクルにおける役割、責任、作業方法のこうした変化により、セキュリティが無視されてしまうことがよくあります。

同時に、攻撃者は、すぐに利用できるツールやフレームワークを活用して攻撃を拡大するなど、その手法をより効率的にしており、基本的にはセキュリティ専門家がリスクを定量化して評価するために使用するのと同じ手法を採用しています。

さらに、ビジネス継続性のために複数のクラウド プロバイダーを導入する組織が増えています。 さらに、組織では、複数のクラウド環境にわたる特定のニーズに対応するための取り組みにより、ツールの無秩序な増加を経験するケースが増えています。 このため、セキュリティ担当者は何が保護されているか、何が保護されていないかについて混乱することが多く、その微妙な違いが脆弱性、つまりセキュリティの設定ミスにつながる可能性があります (例については、 AWS 共有責任モデルを参照してください)。

アプリの脆弱性を軽減する Marketecture ダイアグラム

図1: CI/CDパイプラインの自動化により、市場投入までの時間を短縮し、リスクを軽減してビジネス成果を向上させることができます。

左にシフトし、視点を変える必要性

アプリケーションの構築および展開方法により、リスクは変化します。 したがって、アプリケーションの脆弱性に先手を打つには、セキュリティを変革する必要があります。 可視性と一貫性はこれまでと同様に重要ですが、組織はアプリケーション セキュリティの実装方法にパラダイム シフトを起こす必要があります。 アプリケーションの起動後にセキュリティ ポリシーを作成し、誤検知を精査してポリシーを安定化および調整し、アプリを危険にさらす可能性のある新しくリリースされた脆弱性を監視するのではなく、アーキテクチャ、クラウド、フレームワークに関係なく、コードからテスト、運用まで、アプリケーション セキュリティをアプリケーション開発ライフサイクルに本質的に統合する必要があります。

侵入テストは、ソフトウェアが本番環境に導入される前に重大なリスクを発見し、セキュリティ チームに重要な洞察を提供することで、Web アプリケーション ファイアウォール ポリシーなどの重要な一時しのぎの対策を実装できるようにすることで、リスク軽減までの時間を大幅に短縮できます。

最も効果的なアプリケーション セキュリティは、自動化され、統合され、適応型です。 自動化により、運用コスト (OpEx) を削減し、アプリケーションのリリース、展開、メンテナンス中の重要なセキュリティ リソースへの負担を軽減できます。 自動化されたポリシー展開により、ソフトウェア開発ライフサイクル (SDLC) の早い段階でセキュリティ制御を実装および安定化することで有効性が向上し、手動介入を減らして有効性を高め、大量のアラートや誤検知の可能性から InfoSec を解放して、より戦略的なリスク管理の取り組みに集中できるようになります。 アプリケーション開発フレームワークと継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインへのネイティブ統合により、開発チームとセキュリティ チーム間の摩擦が軽減され、ビジネスの俊敏性と組織の連携が向上します。

API 駆動型の展開とメンテナンスを通じて開発者ツールに統合することで、インフラストラクチャの複雑さが抽象化され、運用上のオーバーヘッドが削減され、誤った構成が防止され、複数のアーキテクチャとクラウドにわたるポリシー管理と変更管理が簡素化されます。

さらに、セキュリティ緩和策は、顧客を苛立たせたり、攻撃者が検出を回避するためにキャンペーンをエスカレートしたりすることを避けるために、正確で回復力のあるものでなければなりません。 消費者はパーソナライズされ、厳選された体験を求めており、巧妙な攻撃者は簡単には阻止できません。

使いやすさに影響を与えない効果的なセキュリティは、競争の激しいデジタル経済において顧客を獲得し維持するための重要な差別化要因となります。 

結論

今日、アプリはビジネスそのものであり、アプリへの脅威と効果のないセキュリティはビジネスの可能性に対する最大のリスクとなります。 最新の分散型アプリケーション アーキテクチャによって脅威の対象範囲が拡大し、自動化によって意図しないリスクと攻撃者の有効性が高まり、サイバー犯罪による影響も拡大し続けています。しかし、安全なデジタル エクスペリエンスを一貫して提供している組織は、顧客と収益の成長を達成できます。

解決策は明らかです。 世界を変える可能性のある新しいコードのリリースを遅らせるのではなく、セキュリティをシフトレフトしてアプリケーションのライフサイクル全体にわたって保護を自動化し、セキュリティの観点を重要なビジネス差別化要因にシフトします。

脆弱性を積極的に軽減し、複雑さを軽減し、効果的で操作しやすいセキュリティでビジネスを保護することで、デジタル変革を加速し、顧客エクスペリエンスを最適化し、リスクを軽減してデジタル競争上の優位性を生み出すことができます。