セキュリティに関しては重要でないアプリなど存在しない

テルモピュライの戦いでは、伝説によれば、レオニダスと彼の率いる300人のスパルタ軍が敗北したのは、予想されていた正面攻撃によるものではなかった。 いいえ、それはペルシャ軍が狭い山羊道を利用してこっそり回り込み、側面から攻撃したためです。この山羊道のおかげで、ペルシャ軍はホットゲート*を守るスパルタ軍の背後に足場を築くことができました。

おそらく、ヤギの通り道というあまり目立たない攻撃ルートを守らなかったのは戦略的な誤りだったのだろう。 後知恵は20/20であり、潜在的な侵入ポイントをすべて守らないと壊滅的な結果になる可能性があることがわかります。

では、私たちは歴史から学んだのでしょうか、それとも同じことを繰り返す運命なのでしょうか?

2018 年のアプリケーション配信の現状に関する調査結果に基づいて、私たちはそれを再現するために最善を尽くしています。

このグラフからわかるのは、2% の組織が WAF を使用して何も保護していないということです。 彼らのアプリケーションはどれもこの技術によって保護されていません。 逆に、13% の組織はすべてのアプリ (100%) を WAF で保護しています。

その中間に大部分の組織があり、34% の組織がアプリケーションの 4 分の 1 以下 (1 ～ 24%) を保護しています。 これらのアプリはおそらく Hot Gates に似ています。 これらは最も目立つものであり、宣伝および広告の対象となります。 これらは最も多くのトラフィックが発生し、論理的には攻撃のルートとなる可能性が最も高いものです。

残りはヤギの道です。 データセンターへの狭く草木が生い茂った道。ほとんど使用されておらず、攻撃を受ける可能性も最も低い。 あるいはそう願っている。

業界として、私たちは「重要な」アプリケーションという観点から話す傾向があります。 これらは、ビジネスが毎日毎分実行する必要があるアプリです。 それは、CRM、SFA、オンライン ストア、パートナーがビジネスを送信するために使用する API です。 これらは私たちが敬意を持って語るものです。 攻撃から保護し、需要に合わせて拡張し、パフォーマンスを向上させることで、最も要求の厳しい消費者でさえもユーザー エクスペリエンスへの配慮に満足してもらえるようにする必要があります。

私たちは「重要でない」アプリケーションを無視する傾向があります。 場合によっては、データや認証情報を安全に保つために必要なセキュリティ チェックポイントの設定を考慮せずに、それらをどこかのパブリック クラウドに押し込んでしまうこともあります。

今日私が言いたいのは、スパルタの防衛への非常に重要な侵入ポイントであることが判明したヤギの道と同様に、それらすべての「他の」アプリケーションも同様であるということです。 インターネットに接続している場合（ネットワークに接続しているということは、おそらくそうでしょう）、攻撃者の侵入口となる可能性があります。 これらのアプリケーションが「重要な」アプリケーションと同じプラットフォームやプロトコルを利用している場合 (おそらくそうでしょう)、同じ脆弱性を共有するため、すべてのアプリケーションにとってリスクとなります。

あらゆるアプリケーションを通じてネットワークに侵入する 1 つの狭いパスがあれば、組織全体 (ビジネス) が危険にさらされることになります。 1 つのアプリケーションまたはサーバーに足がかりを得ると、攻撃者が探索できるさまざまな手段が開かれます。 資格情報から接続まで、データセンター (パブリック クラウドかオンプレミスかに関係なく)内の単一の攻撃ポイントは、私たちが考えるよりも大きな脅威です。

セキュリティに関して言えば、「重要でない」アプリケーションを無視する理由はありません。実際、それらのアプリケーションに注意を払い、WAF による保護を提供する理由は数百、おそらく数千あります。 従業員の資格情報。 個人データ。 他のより魅力的なアプリケーションやサービスへのルート。

セキュリティに関しては、重要でないアプリというものは存在しません。

ホットゲートを優先してヤギの道を無視しないでください。

*はい、いずれにせよペルシャ人が勝っていた可能性が高いですが、今となってはどうなるかわかりませんよね？