ソリューション概要
アプリケーションセキュリティ脆弱性対策
現在、アプリケーションがデジタルトランスフォーメーションを可能にし、競争上の優位性をもたらしています。そして、セキュリティ簡素化を推し進め、視点を変えるタイミングが迫っています。
アプリケーションの時代へようこそ
俊敏性を維持しながら市場投入までの時間を短縮するため、企業はアジャイル開発を採用し、AppDevおよびDevOpsチームに戦略的なビジネス課題実現を委ねています。開発者は、ボタンをクリックするだけで、世界を変えるかもしれない新しいコードのビルド、テスト、導入、運用、監視を自動化することが可能です。
主なメリット
シフトレフト
アプリケーションセキュリティは、アーキテクチャ、クラウド、フレームワークを問わず、アプリケーション開発のライフサイクルへ本質的に統合されます。
複雑性の低減
F5は、複数のクラウドやアーキテクチャに渡りセキュリティを合理化し、一貫したポリシー実施を実現します。
ユーザビリティの最大化
F5のソリューションは、煩雑さや誤検出を最小限に抑えて侵害を防止し、セキュリティのコストセンターをビジネスの差別化要因に変えます。
しかし、アプリケーションセキュリティについてはどうでしょうか。
アプリケーション開発は大きく変化し、そのほとんどが自動化されていますが、セキュリティは依然として手作業が多く残されています。開発者やDevOps担当者の数は、セキュリティ担当者の数を100倍も上回っています。市場投入までの時間の短縮を迫られることで、アプリケーションチームとセキュリティチームの間にフラストレーションが生じ、セキュリティがボトルネックになっているという認識が生まれています。これは深刻なジレンマであり、その多くでテストが十分に行われない、プロセスを省略する、監視が効果的に行われないなどの状況を引き起こしています。
一方、アーキテクチャ、クラウド、サードパーティ統合が急増したことで、多くの企業にとって脅威の対象が劇的に増加しています。クロスサイトスクリプティング(XSS)やインジェクションなどのアプリケーション脆弱性は、アプリケーションセキュリティの黎明期である20年以上前から存在していましたが、攻撃者は驚くべき速さでこれらの脆弱性を発見し、悪用し続けています。攻撃者は、インターネットをスキャンする自動化フレームワークを使用して脆弱性を迅速に武器化し、金銭的利益を得るために弱点を発見して悪用します。特にオープンソースソフトウェアは脆弱性に悩まされ、未知の大きなリスクを引き起こしています。
F5 Labsによると、最も深刻な攻撃の1つであるリモートコード実行の可能性がある重大な脆弱性は、9時間ごとにリリースされているとのことです。
複数のアーキテクチャ、クラウド、開発者のフレームワークにわたって複雑化するアプリケーションのセキュリティを効果的に管理するため、企業は戦略を転換し、視点を変える必要があります。
Open Web Application Security Project
Open Web Application Security Project(OWASP)は、効果的な脆弱性管理の必要性を、企業経営者や企業役員の方々にご理解いただくため、2001年に設立されました。セキュリティベンダーやコミュニティからのフィードバックを含む規律あるアプローチにより、最も一般的かつ重大なアプリケーション脆弱性をリストアップしたOWASP Top 10を公表しています。
XSSとインジェクションは、その当初から、すべてのOWASP Top 10リストに入っていますが、アプリケーションセキュリティの新時代の特徴としては、ソフトウェア サプライチェーンに対する脅威の増大、オープンソースソフトウェアの普及、さらには、レガシーアプリケーションと最新のアプリケーションの両方のセキュリティとアクセスを管理する、運用上の複雑さが挙げられています。ソフトウェアのアップデート、重要なデータ、CI/CDパイプライン整合性など、すべてが危険にさらされる可能性があります。オープンソースソフトウェアは開発スピードを大幅に向上させますが、静的コード解析(SCA)など、自社で開発したカスタムソフトウェアでは、一般的に行われている管理がサードパーティ製ソフトウェアでは必ずしも可能ではなく、実用的ではないため、リスク管理も変化します。
2021年に、何千ものWebサイトやアプリケーションで使用され、広く導入されているオープンソースソフトウェアライブラリの重大な脆弱性の詳細が公開され、その公開の直後から、攻撃者がこの脆弱性を悪用し始めました。この脆弱性を放置すると、リモートでコードが実行され、攻撃者がWebサイトやオンラインアプリケーションの乗っ取り、金銭の窃盗、データ侵害、顧客アカウントへの不正アクセスが可能となります。
F5 Labsでは、多数のソースを分析した結果、Webアプリケーションの悪用はセキュリティ インシデントで見られる最も一般的な手法の1つであり、発見までの平均期間が254日であることを明らかにしています。過去5年間に発生した最大規模のインシデントで報告された金銭的損失の57%が、国家に関連する攻撃によるものであることを考えると、攻撃者がアプリケーションを悪用し、ビジネスを危険にさらす前に、企業はアプリケーションを保護し、潜在的かつ壊滅的な脆弱性を軽減するための確実な応急処置を施す必要があります。
主な特長
- アプリケーション開発フレームワークへのネイティブな統合により、市場投入までの時間とビジネスの俊敏性を向上させます。
- 幅広い脆弱性に対して、すぐに使える保護機能により、リスクと運用の複雑さを軽減
- クラウドやアーキテクチャの垣根を越えて可視性を実現し、強制的に実施することで、エンタープライズアプリケーションポートフォリオ全体のセキュリティを確保
- 自己学習型、自己調整型のポリシーにより、InfoSec、DevOps、AppDevの各チームの負担を軽減
- ダイナミックインテリジェンスフィードにより、新たな脅威への迅速な対処が可能
- 宣言型ポリシーにより、基盤となるインフラを抽象化し、意図しないリスクや設定ミスを防ぐ
- セキュリティがアプリケーションや攻撃者の変化に対応することで、効果を最大限に高め、カスタマエクスペリエンスを最適化
- 自動化された保護機能と適応性のあるセキュリティにより、ビジネスは安全にデジタルトランスフォーメーションを加速させることができます。
- アプリケーションからエッジまで一貫した保護を実現するため、必要な場所にオンデマンドでセキュリティを展開します。
自動化とクラウドの増加
テクノロジの急速な進化は、企業のビジネスのやり方を変え、さらにビジネスの安全を確保するために必要な手順も変えつつあります。現在、4分の3以上の企業がアプリケーションのモダナイゼーションを進めており、市場投入までの時間を短縮することがますます重要視されています。未開発分野のプロジェクトではクラウドの効率性を最大限に活用できますが、多くの企業のポートフォリオにはレガシーアプリケーションと最新のアプリケーションがどちらも含まれ、それらはデータセンター、クラウド、マイクロサービスなど、さまざまなアーキテクチャにわたっています。
アプリケーションの急増と市場投入までの時間の短縮は、リスク管理にも根本的な変化をもたらしています。ネットワークエンジニアがインフラストラクチャを導入しなくても、DevOpsチームはターンキー クラウド ソリューションのコンテナのような新しいアーキテクチャを使用し、一時的な仮想インフラストラクチャを簡単に構築でき、コード開発からサービスの導入まで全てを自動化可能です。アプリケーション開発サイクルにおける役割、責任、作業方法がこのように変化すると、しばしばセキュリティが置き去りになります。
その一方で、攻撃者の手法はより効率的になり、容易に入手できるツールやフレームワークを利用して攻撃を拡大しています。攻撃者は基本的に、セキュリティの専門家がリスクを数値化して評価するのと同じ手法を使用しています。
さらに、企業は事業の継続性を確保するために複数のクラウドプロバイダを採用することが多くなっています。これにより、耐障害性が向上し、ダウンタイムのリスクが軽減されますが、意図しない副作用が生じています。つまり、これらのクラウド プロバイダには共通するセキュリティ対策がありません。このため、セキュリティ担当者は、何が安全で何が安全でないかについてしばしば混乱し、その違いが一般的にはセキュリティの設定ミスという形で脆弱性を引き起こすことになります(例えば、AWSの共有責任モデルを参照)。
図1:CI/CDパイプラインの自動化により、市場投入までの時間を短縮するとともに、リスクを低減し、より良いビジネス成果を創出
シフトレフトと視点の転換の必要性
アプリケーションの構築と導入の方法に応じて、リスクは変化しています。そのため、アプリケーションの脆弱性に事前に対処するようにセキュリティを転換する必要があります。可視性と一貫性はこれまでと同様に重要ですが、企業はアプリケーションセキュリティの実装方法をパラダイム シフトさせる必要があります。アプリケーションをリリースした後でセキュリティポリシーを構築し、誤検出を検証してポリシーを安定させ、調整し、さらにアプリケーションを危険にさらす可能性のある新たに公開された脆弱性を監視するのではなく、アーキテクチャ、クラウド、フレームワークを問わず、アプリケーションセキュリティをアプリケーション開発ライフサイクルに本質的に統合する必要があります。
自動化され、統合され、適応性を備えたアプリケーションセキュリティが最も効果的です。自動化は、アプリケーションのリリース、導入、およびメンテナンス時の運用コスト(OpEx)を削減し、重要なセキュリティリソースへの負担を軽減します。ポリシー導入の自動化により、ソフトウェア開発ライフサイクル(SDLC)の早い段階でセキュリティ対策を実装し安定させることで有効性を高め、手動での介入が少なくても高い効果が得られるため、InfoSecチームは大量のアラートや誤検出から解放され、より戦略的なリスク管理の取り組みに集中できます。また、アプリケーション開発フレームワークと継続的統合 / 継続的デリバリ(CI/CD)のパイプラインにネイティブに統合することで、開発チームとセキュリティ チームの間のフランストレーションを軽減し、ビジネスの俊敏性と組織的連携を向上させることができます。
APIによるデプロイメント入とメンテナンスによる開発者ツールへの統合により、インフラストラクチャの複雑さを取り除き、運用上のオーバーヘッドを減らし、設定ミスを防ぐことで、複数のアーキテクチャやクラウドにわたるポリシー管理と変更管理が簡素化されます。
さらに、セキュリティ対策は正確かつ弾力的であるべきであり、顧客を失望させたり、攻撃者が検知を逃れるためにキャンペーンをエスカレートさせたりすることを避けなければなりません。消費者はパーソナライズされ、キュレートされた体験を求めており、巧妙な攻撃者を簡単に阻止することはできません。
ユーザビリティを損なわない効果的なセキュリティは、競争の激しいデジタル経済において、顧客を獲得して維持するための重要な差別化要因となります。
まとめ
今日では、アプリケーションがビジネスの中心であり、アプリケーションへの脅威と効果的でないセキュリティがビジネスの可能性に対する最大のリスクとなっています。現代の分散型アプリケーション アーキテクチャは脅威の対象を拡大し、自動化は意図しないリスクと攻撃者にとっての有効性を増大させ、サイバー犯罪による被害は拡大し続けていますが、それでも安全なデジタル エクスペリエンスを一貫して提供する企業は、顧客と収益の増大を実現するでしょう。
解決策は明らかです。世界を変えるかもしれない新しいコードのリリースを遅らせるのではなく、アプリケーションのライフサイクル全体で保護対策を自動化するためにセキュリティをシフトレフトし、セキュリティの視点をビジネス上の重要な差別化要因に変えるのです。
脆弱性を事前に軽減、複雑さを減らし、運用しやすい効果的なセキュリティでビジネスを保護することで、デジタルトランスフォーメーションを加速させ、カスタマ エクスペリエンスを最適化することができ、リスクを軽減してデジタル競争力を高めることができます。