ビジネス&テクノロジー

最新のアプリケーションセキュリティレポートでDevSecOps最大の課題が浮き彫りに

投稿者 Brian Schwarz | 2021年10月22日
利用しているアプリケーション数

アプリケーションは組織が社員や顧客、ビジネスパートナーに重要な機能を提供する方法の主流になりつつあります。ビジネスクリティカルなワークフローのために、組織はユーザーがインターネットに接続できるあらゆる場所やデバイスにアクセスを提供する必要があります。Web利用のビジネスアプリケーションが増加しているため、アクセスを簡略化することによって生産性が向上し、利用に対する抵抗感が解消されます。ただし、組織やユーザーが利用するこれらのミッションクリティカルなアプリケーションは多くの場合、信頼性の低いネットワークによってリスクが生じ、WebアプリケーションやAPIによってさらにリスクが高くなるため、セキュリティを強化する必要があります。

フォーティネットは最近、Cybersecurity Insidersとパートナーを組み、サイバーセキュリティの専門家を対象にした世界規模の調査を実施しました。この調査は組織が導入するアプリケーションの数が増え、アプリケーションを更新するペースが加速する現在、セキュリティの専門家が直面する課題を特定することを目的としています。このブログでは主な調査結果とレポートのポイントを解説し、フォーティネット セキュリティ ファブリックアダプティブクラウドセキュリティでこれらの課題に対応する方法について説明します。

アプリケーション保護の重要なポイント

Cybersecurity Insidersの『2021年 アプリケーションセキュリティレポート』では、フォーティネットの委託により世界中の300人以上のセキュリティの専門家に実施した調査をまとめています。過去1年間でこれまで以上にリモートワーカーが増え、ビジネスや重要なワークフローを中断させないために、アプリケーションに依存せざるを得なくなりました。そのため、回答者の48%が100種類以上のアプリケーションを利用し、500種類以上のアプリケーションを利用する回答者も26%に上ります。このようなアプリケーションの爆発的な増加によって、アプリケーションセキュリティでセキュリティチームが直面する既存の課題もますます複雑になっています。『2021年 アプリケーションセキュリティレポート』の重要なポイントは以下のとおりです。

  • 多くの組織は現在のセキュリティには信頼性が不足していると考えています。自社のアプリケーションのセキュリティについて「信頼できる」または「非常に信頼できる」と回答した組織は43%のみでした。また、セキュリティの最大の懸念については46%が「データ保護」と回答しています。大量のアプリケーションを導入している上に毎月平均25のアプリケーションが更新されるため、組織の攻撃対象領域は急速に拡大し、保護が追いつきません。
  • 侵害が頻繁に発生しても、多くの組織はすべてに気付いているわけではありません。組織の43%は過去にアプリケーションの侵害または情報漏洩を経験したと回答しています。それに対し、3分の1以上(35%)が直近の侵害の時期については「わからない」と回答しています。フォーティネットのFortiGuard Labsによる2021年上半期版のグローバル脅威レポートによると、過去数ヵ月でランサムウェア攻撃は10倍に増加しています。特に注目すべき点は、Drupal、vBulletin、PHPなどの広く利用されるWebアプリケーション技術が攻撃者の標的の上位10位に入っていることです。
  • 頻繁なソフトウェアアップデートも課題が増える原因です。毎月平均25回ソフトウェアアップデートが実施されるため、脅威と脆弱性のテストを頻繁に行うことが重要です。しかし、コードが変更されるたびにテストを実施しているのはわずか21%でした。
  • サイバーセキュリティとクラウドセキュリティのスキル不足が深刻です。調査回答者の多くは、増大する高度な脅威に対応できるリソースが不足していると考えています。Webアプリケーション保護の障壁を問う質問では、スキルのある人材の不足が46%と最多でした。

フォーティネットのアダプティブクラウドセキュリティによるアプリケーションの保護

フォーティネットは、セキュリティ ファブリックを通じて組織が最大のセキュリティ課題に対応するためのアプローチを提供しています。フォーティネット セキュリティ ファブリックでは自己修復型のセキュリティおよびネットワークが可能になり、あらゆる場所のユーザー、デバイス、データ、アプリケーションを保護できます。また、アプリケーションセキュリティに特化したFortiWebソリューションでは、WebアプリケーションとAPIを保護するために必要な機能がすべて提供されます。Webアプリケーションセキュリティ、感染防止、APIセキュリティに加え、機械学習による不正なアクティビティの検知などの機能も備え、他のWAFソリューションのように手動のポリシー調整も必要ありません。フォーティネットはミッションクリティカルなビジネスアプリケーションを攻撃から保護し、組織をビジネスの成功に導くアプリケーションセキュリティを提供します。

主な調査結果の詳細については、こちらのレポートにアクセスしてください。

クラウドインフラストラクチャ全体の可視化と制御を拡大し、アプリケーションとデータセンター / クラウド間の接続を保護する方法については、フォーティネットのアダプティブクラウドセキュリティソリューションをご覧ください。