避けられないアプリケーションセキュリティの問題に備え、より適切な計画を立てることの必要性
トピック: ネットワークおよびアプリケーションセキュリティ、Barracuda Web Application Firewall
2020年4月27日、Mike Vizard
セキュリティの分野では、誰もが知っている有名なアプリケーションに関わるデータ侵害ほど、損害の大きいものはありません。たとえば、SBA(Small Business Administration)は緊急救済融資を申請した7,913人の個人情報が漏洩したことを明らかにしました。この融資はコロナウィルス(COVID-19)パンデミックによる経済の悪化の間も雇用を維持するためのものです。
それ以降、SBAが作成したアプリケーションのバグは修正されています。しかし、この融資に関わる誰もが影響を受けています。SBAは、クレジット追跡サービスを1年間、無料で提供する必要があるだけでなく、この融資に関わるもう一つの信用の低下に対処しています。しかし、この問題は最終的にIT部門に行き着きます。
カスペルスキーが今週発表した調査結果からは、データ侵害による混乱が本当に大きいことがわかります。インシデントの影響を受けた従業員の30%が重要なイベントを見逃し、32%が徹夜で勤務する必要があり、33%がストレスを受けました。また、27%が休暇をキャンセルする必要がありました。侵害の程度に関係なく、在宅勤務している従業員が非常に多い場合は、特に、従業員が受けているストレスも多いです。このような環境に新しいアプリケーションを導入するには、かなりの勇気が必要です。
最悪の事態に備える
実際、企業は、アプリケーションを導入するたびに、何らかのセキュリティの問題が生じることを想定する必要があります。アプリケーションがさらに複雑になっている一方、アプリケーションが導入されているオンプレミスのIT環境のITインフラストラクチャは古い場合が多いです。もちろん、現在のITインフラストラクチャはパブリッククラウドによって簡単にアクセスできるようになっている一方、クラウドアプリケーションが誤設定される可能性が高いです。
ほとんどの企業は、新しいアプリケーションを導入する場合、ストレスを軽減するために、セキュリティインシデントの管理戦略を導入することが賢明です。IT部門のすべての従業員は、善意の仕事を行っていると思われますが、アプリケーションの導入をすべての側面で予測できるわけではありません。ほとんどの場合、テスト環境では実稼働環境を正確には再現できないため、実稼働環境では予測できない結果が生じる可能性があります。
もちろん、最良の方法は可能なかぎり常にアプリケーションを段階的にロールアウトすることです。問題は、ほとんどのアプリケーション開発プロジェクトが予定より遅れることです。当然、最初に軽視されることの一つは、特に、セキュリティの問題の可能性に関するテストです。ほとんどの開発者は、導入から数日以内に、最終リリースですべてのバグを修正できると考えています。しかし、マーフィーの法則によって、このようなバグが致命的なセキュリティインシデントの原因になる可能性が高いことは明らかです。期限が差し迫っていればいるほど、プロジェクトの重要な側面を見落とすか、無視する可能性がますます高くなります。
どれほど努力しても、完璧なセキュリティはありません。誰もが本質的に知っていることを否定するのではなく、最良の事態を願い続けながら、最悪の事態に備えることです。
製品のご紹介:Barracuda Web Applicaton Firewall (WAF)
原文はこちら:
Organizations need to plan better for inevitable application security failure
April 27, 2020 Mike Vizard
