道は一尺、鬼は十尺」ということわざは、常にサイバーセキュリティを如実に反映しています。実際、ソフトウェア・セキュリティとハードウェア・セキュリティの両方のアップグレードの背景には、常に新しい脅威の出現が直結しています。どのようなネットワーク脅威に対しても、真に「将来を見据えた」防御を実現することは、ほとんど「不可能な仕事」です。
F5ジャパン テクニカルディレクター 呉景涛
最近、決済システムを含む多くのIT製品やアプリケーションのセキュリティが不十分であるとの警告が報道されています。その理由は、第一に、セキュリティ問題の立ち遅れ、第二に、設計および実装段階に携わる人々に対する専門的なトレーニングの不足です。
F5の見解では、セキュリティの鍵はプロセスです。セキュリティの専門家が組織内のセキュリティとコンプライアンスを確保するためのポリシーを策定することが重要です。ソフトウェアがプログラマーによって開発されることも同様に重要です。しかし、この2つのタイプの人間はまったく異なります。
エンタープライズアプリケーションは、組織の重要な資産です。セキュリティは、結局のところ、セキュリティの専門家ではないソフトウェアエンジニ アの個別の作業であってはなりません。したがって、コードセキュリティの責任をソフトウェアプログラマから信頼できるセキュリティソリューションの専門家に移譲することが賢明です。
この観点からすると、セキュリティはエンド・ツー・エンドのプロセスであり、ポリシーは組織内でユーザとのやり取りが発生するあらゆる領域(デバイス、アクセス、ネットワーク、アプリケーション、ストレージ)を管理します。可動部分の複雑さを考慮すると、複数の別々のセキュリティ・ノードを統合ソリューションに統合する必要がある場合もあります。つまり、これはプロセスの簡素化と非常に似ており、ビジネス・コンサルタントが「BPR(ビジネス・プロセス・リエンジニアリング)」と呼ぶものと似ていません。いずれにせよ、CFOの観点からは、運用コストと資本コストの大幅な削減を意味します。
アプリケーション・セキュリティの場合、今後のトレンドは、アプリケーション・デリバリー・コントローラにアプリケーション・セキュリティを組み込むことです。アプリケーションデリバリコントローラは、ネイティブアプリケーションをエンドユーザに安全に配信するように設計されています。現在の環境では、ADC はアプリケーションのセキュリティツールとして使用できます。ADC は、不正アクセスを防止し、アプリケーション・レベルで高度な攻撃を軽減する機能を追加します。
しかし、そのシナリオはますます複雑化しており、CIOは、オフィスデバイスを自由に選択し、ソーシャルネットワークと企業ネットワークをシームレスに切り替えることを望む、より要求が厳しくパワフルな若い世代からの挑戦を受けるようになっています。CIOは、複雑化する脅威環境の中で企業資産を保護することが課題となっています。クラウド環境の低コストと拡張性を活用する必要がある場合、セキュリティの課題はさらに困難なものとなります。
セキュリティ環境の現実には、革新的なセキュリティ・ソリューションが必要です。エンタープライズ・アプリケーションの状態やユーザーの行動を理解し、ユーザー・エクスペリエンスへの影響を最小限に抑えながら、エンタープライズ・セキュリティ・ポリシーを効果的に実施できるソリューションが必要です。適切なプロセスとポリシーを選択することは、ベンダーを選択することよりも重要です。ポリシーとプロセスがソリューションを決定するのであって、ソリューションがポリシーとプロセスを決定するのではありません。
