セキュリティはプロセスである
昨今の新聞記事において、支払いシステムを含めたIT製品やアプリケーションの多くが十分なセキュリティ機能を有していないという警告がありました。理由として、まずセキュリティは後付けという考えがあるということ、二つ目にはセキュリティの専門知識を持った人は、デザインやそれらの製品またはアプリケーションの実施に関わっていないということが挙げられています。
F5は、セキュリティをプロセス(過程)と捉え、そのように管理されるべきであると考えています。組織の中でセキュリティとコンプライアンスを機能させるためのポリシーを築くセキュリティの専門家には重要な役割があります。それと同様に、ソフトウェアを開発するプログラマーにも需要な役割がありますが、二つの役割は性質が違います。
ビジネスアプリケーションにおけるセキュリティポリシーの決定は、ソフトウェアエンジニアに委ねられるべきではありません。なぜなら、彼らはセキュリティの専門家ではないからです。そのため、堅実な方法としては、ソフトウェアプログラマーからセキュリティポリシーのコーディング作業の負担を減らし、信頼できるセキュリティソリューションプロフェッショナルに託すということです。
つまり、セキュリティをエンドツーエンドのプロセスであると認識し、デバイスであれ、アクセスであれ、ネットワーク、アプリケーション、データの保存であれ、企業とユーザー間で交流があるエリアにはどこにでもセキュリティ管理のポリシーが必要です。それぞれのパートの複雑性を考慮すると、いくつかのセキュリティの懸念を共有のソリューションにまとめた方がいい場合もあります。要は、このような方法でセキュリティプロセスを簡素化することは、コンサルタントがビジネスの世界で使う “BPR” (business process re-engineering: ビジネスプロセス・リエンジニアリング)のようなものです。CFO(最高財務責任者)の観点からすると、運営面からも資本面から見ても、これは莫大なコスト削減につながります。
例えば、アプリケーションセキュリティの場合、トレンドなのは、アプリケーションデリバリコントローラー(ADCs)の中にセキュリティ機能を組み込むことです。ADCsはもともと、アプリケーションが安全にエンドユーザに届くように設計されています。今日の文脈では、ADCsはアプリケーションのためのゲートキーパーのような役割を果たします。権限のないアクセスを防ぎ、Open Web Application Security Project (OWASP)※により定義されるような複雑なアプリケーションレベルに対する攻撃を防御することができます。
しかし、状況はさらに複雑になってきていて、CIO(最高情報責任者)は、他の課題にも直面しています。近年の若い従業員は、従業員としての権利を主張し、要求が多くなってきています。自らが選択したデバイス(タブレット、スマートフォン等)を自由に選択して仕事がしたいという彼らの要求に応えつつ、自身のSNSと職場でのネットワークをシームレスに切り替えたいという彼らの要望にも答えなければなりません。CIOにとっての課題とは、脅威の増加と複雑化を前に、いかにして企業の資産を守るかということです。加えて、CIOはコスト管理のためにクラウドを積極的利用したいと考えています。このようなCIOの希望とセキュリティ上の配慮を両立することは難しく、管理不能な状況に陥る可能性もあります。
この状況に必要なのは、ユーザーの消費行動に加えて企業アプリケーションも理解するソリューションです。加えて、ユーザーの使用環境への影響を最小限にとどめつつ、企業のセキュリティポリシーを実施することが必要となります。F5はセキュリティを信頼のビジネスだと考えています。正しいプロセスとポリシーを持ったベンダーを選択することが非常に重要です。ポリシーとプロセスが必要なソリューションを決定するのであって、その逆ではないのです。
※Open Web Application Security Project (OWASP): ウェブアプリケーションセキュリティをとりまく課題を解決することを目的とする、国際的なオープンなコミュニティhttp://appsecapac.org/2014/owasp-appsec-apac-2014/about-owasp/
For an English version of this post, please click here.