サイバー攻撃のおよそ8割がアプリケーションレイヤー
フォーティネットと言えば、次世代ファイアウォールのFortiGateが有名だ。これは統合脅威管理(UTM)機器で、「ネットワークにFortiGateを置くだけで、セキュリティは何でも来いという製品です」と川原氏。FortiGateは次世代ファイアウォールとしてだけでなく、SD-WANとしても機能し、多くの企業が導入している。フォーティネットでは他にもアクセスポイントやスイッチ、エンドポイントセキュリティやクラウドセキュリティなど幅広いセキュリティソリューションを提供している。
これらで多様なセキュリティの課題に対し「何かしら答えを出せるのが、フォーティネットです」と川原氏。米国本社の企業だが、国内に300名以上のメンバーがおり日本語でのサポートサービスも提供する。このフォーティネットで最近力を入れているのが、今回のテーマでもあるアプリケーションセキュリティだ。
今や、人々の生活は膨大なソフトウェアで実装されている。多様な情報デバイスが使われており、それらがインターネットなどを介してつながるIoTの時代となっている。生活家電やPC、スマートフォンなどのスマートデバイスがあり、それらはソフトウェアの宝庫だ。また発電所などのインフラ設備、電車やバス、航空機などの公共交通機関の制御、工場の生産ラインなどもソフトウェアなしでは稼働できない。
さらにクルマの自動運転や医療現場の医師の診断補助など、より重要な領域にソフトウェアが入り込んでおり「今やソフトウェアがないと人々の生活が成り立ちません。ソフトウェアが社会基盤や人々の命をも担う存在となっています」と川原氏は言う。このような状況の中、さまざまなソフトウェアを狙ったサイバー攻撃が増えている。結果的にサイバー攻撃は、社会基盤の安全性を脅かしている。実際に発電所がサイバー攻撃の標的となり、公共交通機関やクルマを狙ったサイバー攻撃手法も明らかになっている。ウクライナ問題をきっかけに、この傾向はより顕著となっているのだ。
そして、サイバー攻撃のおよそ8割がアプリケーションレイヤー、つまりソフトウェアの脆弱性を狙った攻撃だと言われている。攻撃者は目的を達成するために日々ソフトウェアの脆弱性を探しており、脆弱性が修正される前に攻撃が実行されている。
アプリケーションレイヤーへの対策は重要だが、企業が考えるセキュリティ投資は、ファイアウォールやUTMなどのネットワークセキュリティ、もしくはアンチウイルスなどのエンドポイントセキュリティに多くの予算が割かれている。「アプリケーションのセキュリティには、あまりお金がかけられておらず、十分に対策が実装されていません」と川原氏。
とはいえアプリケーションの対策に予算を割けば、それで全てが解決できるわけでもない。昨今は、アプリケーションの開発と運用のサイクルを継続的に回す、DevOpsの手法が用いられるようになった。これはビジネスの変化にも柔軟、迅速に対応するためのもので、DevOpsの中にセキュリティが統合されていないのだ。その理由は予算をかけていないだけでなく、「残念ながら開発者の方々に十分なセキュリティの知識があるわけではないことと、プロジェクトの中でセキュリティに取り組まなければならないとの認識と重要性が共有できていないのです」と川原氏は指摘する。
今すぐeBookをダウンロード!
