ブログ

リスクとイノベーションのバランス: セキュリティのミッションは不可能?

F5 サムネイル
F5
2022年5月23日公開

セキュリティ リーダーとして、 IT エンタープライズ アーキテクチャの最新化、最新のアプリケーション設計の採用、新しいアプリケーションの導入、そして最終的には顧客にさらなる価値を提供するための迅速な取り組みによって生じるリスクを管理しながら、ビジネスを推進するイノベーションのフライホイールを最も効果的に実現するにはどうすればよいでしょうか。

リスクとイノベーションを効果的にバランスさせるのは本当に大変です。最新のF5 のアプリケーション戦略の現状調査の回答者の 76% が、パフォーマンス向上のためならセキュリティ対策をオフにすると答えています (比較的小さな改善のためでもそうする人が多いです)。 このようなトレードオフにより脆弱性が残る可能性があり、「十分な」セキュリティ ポイント ソリューションでは、事態が悪化した場合に顧客の信頼と評判を損なうことになります。 私たちは、オープンバンキングやサードパーティ API の使用によってアプリの保護がより複雑になる可能性がある金融サービスから、ホワイトハウスが発行したサイバーセキュリティに関する大統領令や EU の NIS2 法によって政府機関がサイバーセキュリティの強化に向けて真剣な措置を講じる必要のある政府機関まで、あらゆる業界の企業で、非常に効果的かつ使いやすいセキュリティを導入するという課題に直面しています。

変化する顧客ニーズへの対応

従来のセキュリティ境界はとうの昔に消滅しました。 アプリケーション アーキテクチャがより分散化されたモデルへと進化し、SaaS ソリューション (組織の 93% が何らかのクラウドベースの as-a-Service 製品を使用) やエッジ展開の採用が増加していることから、セキュリティはあらゆる場所で必要になります。 リモートワークの急増や遠隔医療やオンライン バンキングなどのサービスの需要増加など、製品のイノベーションを数多くサポートするために、これまで以上に迅速に行動する必要性が高まっていることも加わり、ビジネスにおけるセキュリティ組織の役割が根本的に変化したことは明らかです。

今日、セキュリティは、デジタル変革の実現者、顧客の信頼の管理者、組織の評判の防壁など、複数の役割を果たす必要があります。 また、セキュリティ組織がビジネスの成功において中心的な役割を担っていることを社内の全員が理解できるようにすることもあなたの責任です。 セキュリティの認識を機能から考え方へと変えることは、時間と労力を必要とする文化的変化です。

それでどうやってそこに行くのですか?

セキュリティをアクセスしやすく統合する  

組織全体に文化的変化を浸透させるには、全員がセキュリティ第一の考え方を採用する必要があります。 環境、アプリケーション アーキテクチャ、人員リソースに関係なく、セキュリティ ソリューションの導入を容易にすることで、この移行を加速できます。

オンプレミス、パブリック クラウド、エッジ環境全体でアプリケーション セキュリティ ポリシーの宣言と適用を統一すると、レガシー アプリケーションと最新のアプリケーションの両方でセキュリティの一貫性が保たれ、チームが問題の修復に費やす時間が短縮されます。 データセンターからエンドユーザーまでの保護を強化することで、顧客が常にスムーズで安全なデジタル体験を享受できるようになります。

そして、それを一人で行う必要はありません。 あるいは、大規模なセキュリティ チームを擁するクラウド生まれの企業になることもできます。 スコットランド政府の農業農村経済局(ARE)を例に挙げてみましょう。 同社は、環境全体で多層セキュリティを可能にするマネージド サービスを選択することで、セキュリティとデジタル変革の課題にうまく対応しました。

開発者がどこにいても会える

開発プロセスにおいて、セキュリティを後から考慮することはもはや不可能です。 DevOps チームが製品担当者と連携して開発と展開を効率化および加速するのと同様に、SecOps は開発チームと連携して宣言型アプリ セキュリティ ポリシーを定義および構築し、優先 CI/CD ツールチェーンにセキュリティを統合し、誰もがテレメトリを利用してアプリケーションを微調整および保護できるようにすることで、アプリケーションにセキュリティを組み込む手間を軽減できます。

使いやすいダッシュボード、ガードレール、ツールをアプリビルダーに提供することで、セキュリティ対策を回避したいという欲求を減らすと同時に、開発者が問題を解決し、ビジネスを前進させるのを支援できます。 Audi などの企業は現在、最新のマイクロサービスベースの環境でこれを実行しており、セキュリティがプラットフォームに組み込まれていることを確認しながらイノベーションを促進しています

ベンダーにさらなる挑戦を

これらの社内推奨事項に加えて、セキュリティ リーダーは外部に目を向け、ベンダーに厳しい質問をする必要があります。

顧客を保護し、リソースと人材の不足に対処しながらシームレスで満足のいくエクスペリエンスをビジネスが提供できるようにするために必要な機能を求めてください。現在のベンダーが要件を満たせない場合は、他のベンダーを検討してください。

次は何ですか?

セキュリティが役員会でより中心的な役割を果たすようになると、IT の近代化、クラウド移行、アプリケーションとネットワークのセキュリティ、ゼロトラスト アクセスなどの分野でベスト プラクティスを推進する機会が生まれます。 イノベーションに伴うリスクを軽減することで、顧客の信頼を犠牲にすることなく、企業がデジタル変革を進めることが可能になります。

今すぐ、組織全体のチームがセキュリティ第一の考え方を身に付けられるよう支援を始めましょう。 製品チームやカスタマー エクスペリエンス チームなどの他の機能グループと連携して、必要な機能を提供します。 また、実装と運用が簡単で、人的介入が少なく、エコシステム パートナーと統合し、新たな脅威や脆弱性に適応できるプラットフォーム ソリューションを採用します。

デジタル ビジネスを成功裏に保護するには、他の現実世界の目標を無視せずにさまざまなリスクを管理する必要があります。 つまり、許容できるパフォーマンス、顧客エクスペリエンス、コストと、許容できる保護およびセキュリティ コンプライアンスのバランスを取る必要があります。 セキュリティ ソリューションをより利用しやすくし、開発者に使いやすいツールを提供し、ベンダーにさらなる要求を課すことで、ビジネスを安全に保ちながら、成長を刺激し促進する魅力的な顧客体験を提供できます。