ブログ

自信の高い人のセキュリティ習慣

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2017 年 3 月 13 日公開

2017年のapplication配信の現状に関する洞察

経営幹部もセキュリティ専門家も、少なくともapplication層攻撃への耐性に関する自信のレベルという点では、現実的な集団です。

興味深いことに、どちらのグループも、こうした攻撃を撃退できる可能性については悲観的ではないようだ。 application配信の現状に関する調査では、アプリ層攻撃に対する組織の耐性に自信がないと答えたグループは各グループでわずか 5% でした。 しかし、だからといって彼らが自分たちのチャンスについて楽観的だというわけでもない。 セキュリティ専門家のわずか 10% と経営幹部の 13% だけが、悪者と戦い、アプリ セキュリティ ゲームに勝てると強く自信を持っていました。

幹部対セキュリティの信頼

実際、彼らの見解は、実用主義(現実主義)が根付く中間のどこかに大きく偏っていました。

セキュリティ担当者の 40% は、どちらとも言えず、自信があまりない状態でした。 同様の割合(37%)の幹部が同意した。 これは今日では合理的な姿勢であるように思われます。 あなたは、今、そこに存在するものに対して、耐えられると確信しているかもしれません。 しかし、それがセキュリティの問題であり、未知のものが脅威になりつつあるのです。

では、セキュリティ専門家や経営幹部の約 10% が、自社のセキュリティ体制に非常に自信を持っているのはなぜでしょうか? 彼らが知っていることのうち、他の人が知らないことは何でしょうか?

信頼によって展開されたサービスsoad17

それを知るために、私はデータを細かく分析し始めました。 完全なレポートでは、Webapplicationファイアウォールの導入と、それほどではないものの DDoS 保護の導入が、application層攻撃への耐性に関する回答者の信頼度の向上に貢献したようだと述べられています。 しかし、もちろん、これらは利用可能なセキュリティ サービスの 2 つだけではありません。現時点では、そのうち 8 つを追跡しています。

そうすると、他のセキュリティ アプリ サービスが、組織のセキュリティ体制に対する人々の信頼に影響を与える可能性があると考えるのが妥当と思われます。 データにざっと目を通すと、まさにその通りかもしれないことが分かりました。

私たちが追跡している 8 つのセキュリティ サービスそれぞれについて、最も信頼されているサービスが導入している割合が高いことがわかりました。 各サービスの信頼度レベルによる展開状況の違いは、全体的に劇的でした。 平均すると、自信が最も低い回答者は、アプリ セキュリティ サービスの導入状況が全体的に 24% 低いことがわかりました。 セキュリティサービスが減ると、信頼性も低下します。 偶然? 私はそうは思わない。

しかし、セキュリティ サービスを導入するだけでは、アプリ層攻撃に耐えられるという自信にプラス (またはマイナス) をもたらすわけではありません。 アプリのセキュリティを確保するために、これらのアプリ サービスをどのように活用するかも重要です。

信頼のソード17による表面保護

毎年、私たちは人々にアプリをどのように保護しているかを尋ねてきました。 保護が必要な主な攻撃対象領域として、クライアント、リクエスト、レスポンスの 3 つを特定します。 これは、アプリとその貴重なデータをより安全に保護するために、それぞれがさまざまなセキュリティ戦術 (およびサービス) を備えた独自の時点を提供しているためです。 回答者には、3 つの領域のそれぞれにセキュリティ ポリシーをどの程度一貫して適用しているか (常に適用する、まったく適用しない、ときどき適用する) を記述するよう求めます。 この時点で、最も自信のある人々が常に3 つの表面すべてを保護していることを知っても、誰も驚かないはずです。 逆に、最も低いレベルの人は、どの表面も保護しない傾向があります。 

明らかに、これが信頼度に影響を与える唯一の要因ではありません。 最も自信の低い少数の人々が常にこれらの攻撃対象領域を保護します。 逆に、最も自信を持っている人の中には、これらの表面を決して保護しない人もいます。 最も自信の低い人々が時々これらの表面を保護しなければならないという事実は、それが一因であることを示していますが、確かに唯一の要因ではありません。そうでなければ、表面を決して保護しないことと最も自信の低いことの間にはより高い相関関係があるはずです。 

それでも、最も信頼度が高い回答者の半数以上が、常にクライアント (60%)、リクエスト (61%)、応答 (57%) を保護しています。

偶然? もう一度言いますが、私はそうは思いません。

もちろん、セキュリティ アプリ サービスの展開とapplicationと信頼レベルの間に因果関係を導き出すことはできませんが、両者の間に相関関係があることは明らかです。

application層攻撃への耐性に最も自信を持っている IT プロフェッショナルは、悲観的な IT プロフェッショナルよりも、セキュリティ アプリ サービスを導入し、3 つの攻撃対象領域すべてを積極的に保護する可能性が高くなります。 明日何が起きても防御できるかどうか不安な場合は、検討してみてください。