あなたの組織は、アプリケーション・セキュリティ・イベントに対する望ましい可視性を持っていますか?複数のプラットフォームで一貫したアプリケーション保護を実施できていますか?何個の API を使用していて、どのようなデータを処理していますか?アプリケーションセキュリティは、継続的なデプロイメントパイプラインにうまく統合されていますか?
これらの質問やその他の質問について、業界の専門家からのコメントをご紹介します。
ラドウェアはOsterman Research社と提携し、アプリケーション インフラストラクチャとデータセキュリティの分野における最近の動向を調査しました。このブログでは、従業員数1000人以上の企業から世界中の200人以上の専門家を対象に調査を行い、その主な洞察を共有したいと思います。
アプリケーション開発と配信の現状
アプリケーション開発と本番環境は、これまで以上にアモルファスで弾力性に富み、相互運用し、安全なアプリケーションの提供を容易にする多くの独立したコンポーネントが集まっていることが明らかになっています。これらの新しいアーキテクチャの基盤となるのは、データ交換、統合、自動化を可能にする API です。
パブリッククラウドへの移行
パブリッククラウド・インフラストラクチャへの移行が加速していることが話題になっています。当社の調査によると、運用中のアプリケーションの 70% は、企業のデータセンターではなく、すでにパブリッククラウドで実行されていることがわかりました。さらに、企業がアプリケーションやデータを複数のプロバイダ(およびデータセンター)に分散させる中で、アプリケーションのセキュリティ管理上の懸念事項のトップは、脅威のカバレッジ以外では、セキュリティ・ポリシーの一貫性とイベントへの可視性です。
コンテナ化されたアプリケーション
57%はすでにコンテナ化されたアプリケーションを使用しており、強固なアプリケーションとデータのセキュリティ(純粋なコンテナイメージのセキュリティと脆弱性スキャンに加えて)を必要としている。また、回答者の半数強がコンテナを使用することが財務効率にどのように貢献するかを見ていないことも興味深い結果となりました。
ADLCへのセキュリティ統合
このレポートで概説されている脅威にもかかわらず、アプリケーション開発の実践において、セキュリティは最優先事項ではありません。
- セキュリティが継続的インテグレーション/継続的デリバリ(CI/CD)パイプラインに十分に統合されていることに同意している、または強く同意している組織は、わずか45%にすぎません。
- 調査対象となった組織の約90%では、セキュリティ担当者は、アプリケーション開発のアーキテクチャや予算に影響を与える主な要因とはなっていません。ほとんどの場合、彼らは「与えられた」情報ネットワークのセキュリティを確保することを求められています。
そこで、現代のアプリケーション開発と配信グループにおける役割と責任を見てみると、43%の人が、セキュリティへの配慮がアプリケーションのリリースサイクルを中断させてはならないことに同意するか、強く同意していることがわかりました。さらに、DevOps チームとセキュリティスタッフが自分たちの責任をよく理解していることに同意するか、強く同意しているのは、42%にすぎません。
脅威の風景
APIは次の大きな脅威です。世界中の企業が、2021年のアプリケーションセキュリティにおける第1の脅威、第1の懸念事項(55%)、第1の投資優先度(59%)としてAPIを認識していると回答しています。
API は、今日のシステム、ネットワーク、アプリケーション、およびデバイスを相互に接続します。APIは、IoTデバイス、マイクロサービス、モバイルアプリ、イベント駆動型プロセス、さまざまなアプリケーション統合のユースケースで使用されています。
ラドウェアのレポートでは、さまざまな開発環境や本番環境におけるAPI活用のビジネス目的とセキュリティリスクを分析しています。ラドウェアの調査によると、半数近くの組織のアプリケーションのうち、半数以上のアプリケーションがAPIを介してインターネットやサードパーティのサービスにさらされていることがわかります。
企業はボットトラフィックを適切に管理する準備ができていません。ボットが生成するトラフィックは、インターネット利用全体の半分近くに達しているため、企業がボット管理を真剣に取り組むことが求められています。ボットは必ずしも悪いものではないということを覚えておくことが重要です。実際、ビジネスの生産性や意思決定を加速させるものもあります。しかし、洗練されたボットが人間の行動を模倣できる時代には、ボットと人間を区別し、良いボットと悪いボットを区別して、違法なボット活動を排除することが不可欠です。
さらに、調査対象者は、他の攻撃タイプと比較してボット攻撃が成功したことを認める可能性が高く、実際、調査対象者のうち、洗練された悪質なボットに対処することに自信を持っているのはわずか39%に過ぎませんでした。
しかし、当社の調査によると、ボットトラフィックに対処するための専用のソリューションを持っているのは、組織の4分の1にすぎません。言い換えれば、4つのうち3つは、まだ限られたボット検出機能を持つ他のアプリケーション・セキュリティ・ソリューションを頼りにしているということです。これが、多くのボット攻撃がレーダーの下に隠れている理由なのかもしれません。
サービス妨害(DoS)攻撃のほとんどはHTTPフラッドです。ネットワークレベルの攻撃と考えられているDDoSは、アプリケーションに対する最も一般的な攻撃ベクトルです。調査対象者の89%がウェブアプリケーションでこのような攻撃を経験したことがあり、そのうちの3分の1は毎週のように発生しています。アプリケーション層での DoS 攻撃は、HTTPS フラッドの形で行われることが多いです。その他のベクターとしては、アプリケーションサーバがこれ以上ユーザのリクエストを受け付けなくなるまで接続を開いたままにすることを目的としたローアンドスロー攻撃や、CPUやメモリを100%使用率にするためにリソースを枯渇させ、アプリケーションサーバにサービス拒否状態を引き起こす他の形態の攻撃があります。
モバイルアプリは設計上安全性が低い
2020年には、パンデミックの流行を考慮して、世界の人口は、仕事、学習、ショッピング、ゲーム、ソーシャルインタラクションなどのために、モバイルデバイスからの日常生活の管理を増加させました。
残念ながら、私たちの調査によると、モバイルアプリ開発のセキュリティははるかに低く、多くの組織では、Webアプリ開発用のものと同レベルのセキュリティ対策を維持していません。
モバイルアプリのうち、モバイルアプリの開発ライフサイクルにセキュリティを完全に統合しているのはわずか36%で、22%は全くセキュリティがないと認めています。企業の間で一般的に行われているのは、モバイルアプリケーションの開発と保守を第三者に依頼することです。しかし、彼らは機密データを所有する主体であり、その周りに構築されたバラックに亀裂が入っていないことを追求し、監督する必要があります。