アプリケーション戦略の現状: API セキュリティ戦略を推進すべきなのは誰ですか?
少なくとも 3 つの良い回答と、それほど良くない回答がいくつかあります。
特にテクノロジーに関しては、戦略は経営陣の肩にかかっていることが多いです。 セキュリティ関連の戦略に関しては、多くの場合 CISO が担当しますが、そのような役割がない場合は CIO が担当します。
しかし、一部の組織では、API セキュリティ戦略を推進する責任を他の役割に委任しています。 今日では、開発者、SRE、さらにはネットワーク専門家が、API を保護するための戦略を所有している可能性があります。
おそらくそれは、そうした決定の結果がどうなるかについての実際の研究が存在しないからでしょう。 結局のところ、開発者が API セキュリティ戦略を推進するのには十分な理由があり、開発、テスト、または運用中に何らかの方法で API に触れる可能性のあるすべての人にその責任を負わせるのにも十分な理由があります。
API セキュリティを詳しく調査した最近の調査では、回答者全員(すべて API セキュリティの意思決定者)に、組織内で API セキュリティ戦略の推進を担当する役割は何かと質問しました。 開発者からネットワーク専門家、組織横断的なアプローチまで、さまざまな回答が見つかりました。
しかし、私たちは組織が API を保護するために使用するセキュリティ サービスの種類に関する詳細な情報も尋ねました。 これらは、DDoS 保護、アクセス制御、mTLS、SSL などのサービスです。 これらのサービスは、セキュリティ戦略から導き出されたポリシーを適用するために必要な制御の一部であるため、戦略実行の具体的な表現としてこれらのサービスの展開を使用しました。 次に、API セキュリティ戦略を推進する人物に基づいて、どのサービスが展開されているかを調べました。
率直に言って、私たちはその結果に驚きました。
最も包括的なサービス セットが導入されたのは、API セキュリティ戦略が組織間の責任となっているときであり、それに続いて、より一般的なセキュリティ組織、そして CIO/CISO リーダーシップが導入されていることがわかりました。
さらに憂慮すべきなのは、SRE がセキュリティ戦略を推進する場合、API ライフサイクルのテスト段階まで API セキュリティが組み込まれないことです。 主要な API セキュリティ戦略について他の選択が行われた場合、API セキュリティの組み込みは主に設計フェーズまたは開発フェーズのいずれかで開始されます。 ネットワーク チームが API セキュリティ戦略を推進する場合でも、API セキュリティを組み込む段階は開発段階であると言われています。
幸いなことに、ほとんどの組織では、API セキュリティ戦略を定義する責任をこれら 3 つのうちのいずれかに割り当てています。 開発者に引き渡すのはわずか 8% で、ネットワーク専門家に処理を任せるのはさらに少なく (3%)、このタスクを SRE に割り当てるのはわずか 1% です。
これは、API セキュリティが割り当てられているドメインと密接に一致します。 なぜなら、その決定は誰が戦略を推進するかによって大きく左右されるからです。 API セキュリティ戦略が CIO/CISO のリーダーシップによって推進されるか、組織横断的に検討される場合、API セキュリティは次の 4 つの一般的なドメインに分散されることになります。 API 管理、アプリケーション セキュリティ、ネットワーク、セキュリティ内ですがアプリケーション セキュリティとは別です。 API を防御および保護するサービスが複数のドメインにまたがる可能性があることを考えると、これは理にかなっています。
したがって、組織が API セキュリティ戦略を CIO/CISO リーダーシップ、セキュリティに割り当てている場合、またはそれを組織間の責任とみなしている場合は、おめでとうございます。 戦略的なアプローチにより、さまざまな攻撃から API を防御および保護するセキュリティ サービスを通じて、包括的なセキュリティ制御が実現します。
本日のプレスリリースを読み、当社の最新レポートを入手することで、API の秘密の実態をさらに深く知ることができます。 この本では、さらに恐ろしい統計が紹介されていますが、企業内で API が実際にどのように使用されているか、また組織が API を安全に保つために重要だと考えているセキュリティ機能についても詳しく学べます。