application保護の現状と将来

今日のアプリケーション中心の世界では、あらゆるものに対応するアプリが本当に存在します。 組織は、従業員や消費者にデータ アクセスを備えたapplicationsを提供することで、生産性の向上、ビジネス ニーズへの対応、そして最終的には競争上の優位性を実現します。 しかし、組織がapplicationsを通じて提供する機密データが増えるにつれて、リスクもますます増大します。 これは、今日のユーザーがあらゆる場所に存在し、多くの場合は企業ネットワークの外部に存在し、ユーザーが利用するアプリもプライベート データ センターからパブリック クラウドまであらゆる場所に存在する可能性があるためです。 その結果、組織の可視性と制御性が低下します。 ファイアウォール、ウイルス対策ソフトウェア、TLS/SSL 暗号化などの従来のセキュリティ保護の範囲外にあるこれらのapplicationsを標的にして、サイバー犯罪者がこの脆弱性を利用していることは驚くことではありません。

大規模なサービス拒否 (DoS) 攻撃、ブラウザベースのマルウェア、高度な持続的脅威など、今日のapplication攻撃は、企業データを取得または侵害するための策略です。 暗号化されたトラフィックのデータが増えるにつれて、今日のセキュリティ ツールの大部分は盲目的に実行され、そのデータが悪意のあるものではないことを確認できるように復号化することができなくなります。

従来、applicationセキュリティへのアプローチはソフトウェア開発ライフサイクル (SDLC) に重点が置かれ、開発者が安全なコーディングのベスト プラクティスに従っていることを確認することに重点を置いてきました。 セキュアコードは依然として全体的なセキュリティパズルの中核を成すものですが、それがすべてではありません。 従来の企業ネットワークの範囲外となるエンドポイントやネットワークが増えるにつれて、古いセキュリティ境界は解消され続け、applicationsや機密性の高い企業データに対するリスクは進化し続けています。

アプリがあらゆる場所で安全であることを保証するために、セキュリティ対策を強化する必要があります。 今日の攻撃の大部分はapplicationレベルをターゲットにしていますが、企業はそのレベルで対応するセキュリティ投資を行っていません。 組織は新たな現実を受け入れる時が来ています。 セキュリティはアプリレベルでより重点を置く必要があります。

このリスクベースの観点からapplicationセキュリティを検討することで、組織はコンポーネントの障害に集中できるようになり、ほとんどの攻撃の最終的な標的となるデータに対して最も堅牢なセキュリティを提供できるようになります。 applicationを構成するすべてのコンポーネントを分析することで、組織はアプリ全体に最も強力で適切なセキュリティを提供する戦略を開発できます。 アプリの 1 つのコンポーネントまたはアプリを配信するネットワークが危険にさらされると (コードの脆弱性、ネットワークの可用性、DNS など)、application全体と、その中に格納されているデータが危険にさらされるからです。

アプリケーション レベルの攻撃によって機密データが侵害されるリスクを軽減するには、組織が可能な限り強力なapplicationセキュリティ制御セットを導入することが重要です。 application境界に対するプロアクティブな多層防御セキュリティ体制の主要コンポーネントには、applicationセキュリティ テスト、ファイアウォール サービス、アクセス制御、さまざまな種類の脅威に対する特定の保護が含まれます。

ソフトウェア セキュリティは、依然として全体的なapplication保護戦略の基礎となります。 組織は、新しい Web サイトやソフトウェアが安全にコーディングされていることを確認する必要がありますが、安全なソフトウェア開発ライフサイクルなしで構築された既存の Web サイトにすでに存在する無数の脆弱性にも対処する必要があります。 脆弱性を見つけて修正することは学術的な演習ではなく、知覚力のある攻撃者を企業システムから締め出し、そのシステムが保護するデータから遠ざけることがすべてであるということを覚えておくことが重要です。 しかし、敵とその戦術を明確に把握していなければ、セキュリティ専門家が敵を倒すための効果的な戦略を策定するのは困難です。 今後は、セキュリティ コミュニティで働くより多くの人々がソフトウェア、そしてソフトウェア セキュリティをより深く理解することが必須になります。

脆弱性スキャナーは、新しい Web サイトや Webapplicationsがオンラインで公開される前でも後でも、ソフトウェアの問題を特定して軽減するのに役立ちます。 ただし、組織は、強力な脆弱性スキャナーを完全なプロキシ Webapplicationファイアウォールと統合することで、最高の保護を実現できます。

今日では、堅牢で俊敏な Webapplicationファイアウォールは贅沢品ではなく、必需品です。 クラウドでホストされる Webapplicationsの増加に伴い、セキュリティ攻撃や企業データを脅かすリスクもますます高度化しています。

ハイブリッド Webapplicationファイアウォールは、applicationsがどこにあっても、企業が OWASP トップ 10 の脅威、アプリケーションの脆弱性、ゼロデイ攻撃から身を守るのに役立ちます。 強力なレイヤー 7 分散型サービス拒否 (DDoS) 防御、検出および軽減技術、仮想パッチ、きめ細かい攻撃の可視性により、最も高度な脅威であってもネットワーク サーバーに到達する前に阻止できます。 さらに、攻撃者が企業のデータセンターにアクセスする前に検出してブロックする機能があれば、大きな利点が得られます。 潜在的な攻撃の初期段階で悪意のあるアクティビティを阻止できる強力な Webapplicationファイアウォールにより、組織はリスクを大幅に軽減できるだけでなく、不要なトラフィックの処理に費やされるリソースを排除することでデータ センターの効率も向上できます。

企業は次のような Webapplicationファイアウォールを探す必要があります。

• 自動化された攻撃ネットワークに対する予防的な防御を提供します。
• 主要な動的applicationセキュリティ テスト (DAST) スキャナーと統合し、脆弱性を即座に修正します。
• 悪意のあるアクティビティと違反を関連付けることで、疑わしいイベントを識別します。
• 読みやすいレポートを提供し、PCI DSS (Payment Card Industry データ セキュリティ Standard)、HIPAA、Sarbanes-Oxley などの主要な規制基準へのコンプライアンスを効率化します。

今日、SSL はどこにでもあります。 アナリストは、暗号化されたトラフィックが、2015年のわずか29％から2016年には北米のオンライントラフィック全体の64％近くにまで増加すると予測している。¹ 組織は、電子メールやソーシャル メディアからストリーミング ビデオまで、あらゆるトラフィックの大部分を暗号化しようと躍起になっています。 SSL が提供するセキュリティのレベルは魅力的ですが、同時に、攻撃者が暗号化されたトラフィックを見ることができないセキュリティ デバイスからマルウェアを隠す手段として SSL を使用するため、SSL は脆弱性のベクトルにもなっています。

エンタープライズ セキュリティ ソリューションは、この暗号化されたトラフィックを可視化して、ネットワークにマルウェアが持ち込まれないようにする必要があります。 これらの暗号化された脅威に対抗する方法の 1 つは、可視性チェーンの両側にapplication配信コントローラ (ADC) を配置する SSL「エアギャップ」ソリューションを導入することです。 ユーザーに最も近い ADC は送信トラフィックを復号化し、復号化された通信をセキュリティ デバイス経由で送信します。 コンテンツを表示できるようになったこれらのデバイスは、ポリシーと制御を適用し、マルウェアを検出して無力化します。 チェーンのもう一方の端では、別の ADC がデータセンターから出るトラフィックを再暗号化します。 このソリューションは、セキュリティ デバイスを適切な状態に保ちながら、その目的どおりに機能することを保証できる柔軟性を提供します。

現在、ほとんどのアプリはインターネットベースであるため、ボリューム型 DDoS 攻撃によってapplicationが機能しなくなったり、停止したりする可能性があります。 DDoS 攻撃は規模と複雑さが増しており、世界中の企業の内部リソースを圧倒する恐れがあります。 これらの攻撃は、大量のトラフィックの詰まりと、アプリケーションを標的としたステルス的な手法を組み合わせたもので、すべて正当なユーザーに対するサービスを妨害することを目的としています。

組織は、重要なapplicationsの可用性を確保するために、強力な DDoS 保護戦略を導入する必要があります。 包括的で多層的な L3 から L7 までの保護を提供し、DDoS 攻撃がネットワークやデータセンターに到達する前にクラウド内で攻撃を阻止できるソリューションを検討してください。

applicationセキュリティの従来のセキュア コーディングの観点には含まれませんが、企業の DNS 戦略はapplicationsのセキュリティと可用性に大きな役割を果たします。 DNS はインターネットのバックボーンであると同時に、組織のネットワークの中で最も脆弱なポイントの 1 つでもあります。 組織は、DNS 増幅クエリ フラッド、辞書攻撃、DNS ポイズニングなど、増え続けるさまざまな DNS 攻撃から保護する必要があります。

企業は、グローバル トラフィックをインテリジェントに管理し、悪意のある IP ドメインへのアクセスをブロックすることで複雑な脅威を軽減し、実装、集中管理、DNSSEC キーの安全な処理のためにサードパーティapplicationとシームレスに統合するソリューションを使用することで、顧客や従業員が必要なときにいつでも重要な Web、アプリケーション、データベース サービスにアクセスできるようにすることができます。 一部のソリューションは、DDoS 攻撃をより効果的に吸収するために迅速に拡張できる高性能 DNS を提供します。

50年前、銀行強盗をしたいと思ったら、実際に銀行に行かなければなりませんでした。 今では、5,000マイル離れたところから銀行強盗をすることができます。 インターネットのグローバルな性質は、あらゆるものが敵対者から等距離にあることを意味し、金融機関はインターネット上で最も価値の高いターゲットの 1 つです。 詐欺の危険に効果的に対抗するために、インターネット上で金融サービスを提供する組織は、セキュリティ技術を組み合わせてビジネスを守る必要があります。

攻撃者がなりすまし、無効化、またはセキュリティ チェックをバイパスするのを防ぎ、あらゆる種類の詐欺の脅威ベクトルから保護するのに役立つソリューションを検討してください。 これにより、組織は財務および知的財産の損失のリスクを軽減し、新たな Web の脅威や詐欺に対するプロアクティブな保護によって安心感を得ることができます。

最近の最も重大なセキュリティ侵害の一部は、ユーザーおよび管理者の資格情報の侵害が原因でした。 これらの侵害は、適切な人物に適切な情報を認証および承認し、シングル サインオンと多要素認証テクノロジを使用してapplicationsへの安全な接続を確保することで阻止できた可能性があります。 さらに、企業によって集中管理される ID およびアクセス制御により、企業ネットワークとクラウド ベースまたは Software as a Service (SaaS) としてのapplications間の安全な認証を提供できます。

application保護は複雑性を伴い、モノのインターネットとそれに伴うapplicationsの急激な成長に伴い、問題は拡大する一方です。 2010 年には 2 億個の Web アプリがありましたが、現在では 10 億個近くあります。² 2020年には、その数は50億に達する可能性が高くなります。 これらすべてのapplicationsは脆弱性を生じさせるものであり、その多くには攻撃者の標的となる可能性のある重要なデータが含まれています。

applicationレベルに重点を置いたソリューションとサービスで既存のセキュリティ ポートフォリオを強化することで、組織は機密データを公開する可能性のあるapplicationsをより適切に保護できます。 applicationsがどこに保存されていても保護されていることを保証することは非常に重要であり、その重要性は高いです。

組織が重要なアプリケーションを構成するすべてのコンポーネントを効果的に保護し、データを保護し、ビジネスを保護できるように、applicationセキュリティの視点を広げる時が来ています。

¹ Sandvine、世界のインターネット現象スポットライト: インターネットトラフィックの暗号化, 2015。

² インターネットライブ統計