ブログ

あらゆる場所でアプリと API を保護: 理由と方法

F5 サムネイル
F5
2022年9月29日公開

F5 は、適応型アプリケーションを活用して顧客へのサービスを向上させ、革新的な製品とサービスを通じて生産性を向上させることで、企業が業務のあらゆる側面をデジタル化できるよう支援します。 しかし、これらのアプリケーション(その構築方法、実行されるインフラストラクチャ、そしてそれらを動かすデータ)は常に進化し、適応し、変化しています。 その結果、さまざまな潜在的な新たな脆弱性が生じ、攻撃対象領域が拡大し、チームが解決するために支援を必要とする新たなセキュリティ要件が生じます。

したがって、F5 では、顧客の成功のために適応型アプリケーションを実現するため、あらゆる場所でアプリと API を保護する必要があります。 これは、F5 のアプリケーション セキュリティ戦略の基礎であり、このブログの焦点でもあります。

アプリが増えるとセキュリティも複雑になる

10年後には、モバイルアプリケーション市場だけでも2022年の2,067億ドルから5,654億ドル(USD)へと、175%近く成長すると予想されます

アプリの成長とビジネスのあらゆる分野における継続的なデジタル投資により、効率性の向上、差別化の強化、顧客関係の強化を図る機会が豊富にあります。

しかし、欠点もあります。アプリを構築することと、成功するデジタル化されたビジネスとそのエコシステムの高まるニーズを満たすためにアプリを拡張することは、まったく別のことです。

簡単な例を挙げます。 自動車保険会社のアプリでアカウントの詳細を簡単に確認して請求書を支払うことができたことを覚えていますか? 現在では、多くの自動車保険で、写真を撮ったり、保険金を請求したり、修理工場などの第三者とのやり取りを含めた保険金請求プロセスのフロントエンドを管理したりできるようになりました。

この種のデジタル環境の規模と複雑さ、つまりこの環境をシームレスに機能させて顧客を満足させるために必要な API とマイクロサービスの量を考慮し始めると、アプリのセキュリティ上の課題の規模と複雑さが明らかになり始めます。 企業が近代化し、新たなデジタル投資を倍増させる中、セキュリティ リーダーはセキュリティとコンプライアンスを維持する方法に取り組んでいます。

多くのことが変わりました…そしてそれを確保するのがずっと難しくなりました。

近年、アプリの構築、展開、管理の方法に変化が見られます。

ビジネス アプリはかつてモノリシック (単一で一意、かつ厳重に保護されたコード ベース) でした。 今日のアプリは、マイクロサービスやコンテナなどのモジュール化されたチャンクで構築されたジグソーパズルです。 一部のアプリは、オンデマンドの一時的なコンポーネントとしてのみ存在します。

エンタープライズ コンピューティングはかつてデータ センターで行われ、おそらく 1 つのクラウド プロバイダーによって行われていました。 現在、ほとんどの組織では複数のクラウドで複数のアプリが実行されています。 現代の組織は、複数のクラウド プロバイダーを活用し、特定のワークロードをその機能に優れた特定のプラットフォームに適用できるという利点があります。

通信プロトコルはかつては予測可能で簡単なものでした。 IT チームとセキュリティ チームは IP に集中して、ルーティング、セグメンテーション、ポートがすべて適切に調整されていることを確認できます。 現代の通信は API レベル (アプリ間およびアプリ内) で行われていますが、これはほとんどの組織のセキュリティ戦略ではまだ対処されていない現象です。

一方、レガシー アプリとインフラストラクチャは依然として存在しています。 多くの場合、それらはミッションクリティカルなままであり、慎重に保守および保護する必要があります。 実際、ほとんどの企業は現在、ハイブリッドのマルチクラウド環境でレガシーアプリと最新アプリの両方を運用していますが、どの企業もセキュリティポリシーを普遍的に適用したいと考えています。

一例を挙げると、 ログ4j

2021 年の冬のホリデー シーズン中に Apache Log4j/Log4Shell の脆弱性が話題になり始めたとき、多くの人は、IT チームと SecOps チームがパッチ適用と対応に必死に取り組み始めるだろうと予想しました。 この訓練は数週間、あるいはおそらく数か月(これまで何度も行われてきたように)続くと予想され、その話はやがて消え去るだろう。

しかし、多くの組織が、自社のテクノロジー スタック (またはサプライヤーやデータ パートナーのテクノロジー スタック) のどこにユーティリティが存在するか、あるいは存在するかどうかさえ判断するのに苦労していることがすぐに明らかになりました。 現在でも Log4j の脆弱性は残っており、攻撃は続いています。 実際、米国 国土安全保障省のサイバー安全審査委員会 (CSRB) は最近、Apache Log4j の脆弱性が今後 10 年以上にわたって組織にとって重大なリスクとなり得ると結論付けました。

Log4j は単なる例外、つまり一世代に一度の出来事なのだろうかと疑問に思う人もいるでしょう。 それとも、今後 Log4j のようなインシデントがさらに発生することを示唆しているのでしょうか? もしそうなら、組織やベンダーは今後どのような教訓を適用すべきでしょうか?

複雑さは依然として敵である

「複雑さはセキュリティの敵である」という格言が今でも真実であるならば、今日、その敵は実にうまくやっているということになります。 企業がますます多様化する環境やプラットフォームにわたって、より多くのアプリや API を保護しようとするにつれて、それらを追跡するために必要なツールやインターフェースが増え、セキュリティ専門家は対応に苦労することになります。 同じ仕事でも、より多くの時間とリソースが費やされ、人為的ミスのリスクも高まる可能性があります。

さらに、社内のセキュリティ ニーズを満たすだけでは不十分な場合、規制当局、監査、ビジネス パートナーからの監視などの要求が迫っており、データ プライバシーとコンプライアンスの状況は絶えず変化し、ますます困難になっています。

F5 がどのように役立つか

F5 のコア セキュリティ戦略である「あらゆる場所でのアプリと API の保護」は、デジタル化された組織があらゆる種類のサイバー脅威やデジタル詐欺からアプリと API を保護できるように支援することを目的としています。

私たちの焦点は次の 3 つの柱に要約されます。

1.       どこに保存されていても、レガシー アプリと最新アプリの両方を一貫して保護します。 クラウド、データセンター、エッジでは、全体にわたって一貫したポリシーと制御が必要です。 F5 は、サイロを解体し、従来のアプリケーション アーキテクチャと最新のアプリケーション アーキテクチャをつなぐアプリケーション セキュリティ ファブリックを提供します。

一貫性のあるポリシーと強制により、必要な場所にアプリを柔軟に展開できます (分散環境に通常伴う制限や矛盾はありません)。

2.       デジタル ビジネスのスピードに合わせて最新のアプリとその API を保護します。 アプリケーションと API が動的で俊敏な DevOps 環境で開発および導入される際、F5 は、担当者がいつセキュリティを「追加」しようと考えたとしても、適切な制御が自動的に導入、監視、適応されるように支援します。

チームは、新しいアプリやデジタル化プロジェクトの開発サイクルの高速化、保護の強化、コンプライアンスの簡素化を実現できるほか、クラウドネイティブのワークロードとインフラストラクチャに対するリアルタイムの脅威検出と修復も実現できます。

セキュリティ チームは、DevOps チームがアプリをこれまで以上に迅速に最適化およびアップグレードしても、リスク評価されたセキュリティ ポリシーが常に有効であることを知って安心できます。

3.       AI/データと接続されたインテリジェンスを使用して、防御を継続的に拡張します。 F5 の可視性の範囲は独特で、顧客のトランザクションやアプリとのやり取り、アプリ自体の機能、アプリが常駐して通信するインフラストラクチャを確認できるからです。

F5 の AI と人間のコンテキストおよび監視による膨大なデータ収集は、異常、脆弱性、エクスプロイトが発見されるたびに最善の行動方針を決定するのに役立ちます。 誤検知を減らすことで生産性を飛躍的に向上させながら、防御を拡張できます。

実際に、F5 の製品とサービスは、世界中の組織が自社のアプリの積極的な悪用を防ぐのに役立ちます。 ボット、OWASP Top 10、その他多くの種類の攻撃を軽減します。 API を検出し、制御します。 基盤となるアプリケーション インフラストラクチャを保護します。 また、エンド カスタマー アカウントの詐欺や悪意のある乗っ取りを阻止するお手伝いもいたします。 つまり、当社には、お客様の対応と保護を支援できる幅広いユースケースがあります。

今後数週間にわたり、これらのユースケースをどのように実現しているか、お客様が実現しているメリット、そしてアプリ主導のデジタル世界が進化し続ける中でアプリと API のセキュリティ保護が必須になると考える理由について、さらに詳しくお伝えし、共有していきます。