先週発表されたばかりのレポートによると、組織内のアプリケーション数が増加するにつれて、ビジネスアプリケーションへのアクセス性と安全性を維持することがますます難しくなっています。この調査によると、情報セキュリティの専門家は、企業のビジネス側の管理者がアプリケーションのリスク管理プロセスにもっと積極的に関与することを望んでいます。
サイバーセキュリティ・ポリシー管理サービスを提供するAlgoSecは、2014年RSAカンファレンスにおいて、142名のセキュリティおよびネットワーク運用の専門家を対象に「2014 State of Cybersecurity(サイバーセキュリティの現状)」レポートを発表しました。この調査は、ビジネスクリティカルなアプリケーションのセキュリティ要件とアクセス要件のバランスを取る際に、回答者が直面する課題を明らかにするために行われました。調査によると、組織内に導入されるアプリケーションの数は劇的に増加しており、回答者の60%は、組織で管理するアプリケーションの数が50を超え、20%は500を超えるアプリケーションを担当していると回答しています。
報告書によると、これらの巨大なアプリケーションは、セキュリティやサイバーの専門家にとってさまざまな課題を生み出しており、回答者の約半数が、最大の課題は単に重要な脆弱性を特定し、優先順位をつけることだと答えています。
さらに、回答者の 21%は、これらのアプリケーションを担当するビジネス部門を非難し、特定された脆弱性に対処する気がない、または対処できないと主張しました。また、24%の回答者は、組織がセキュリティリスクのビジネス面を理解していないため、脆弱性をタイムリーに修正する手段がないと述べています。
全体として、AlgoSecのレポートの回答者の90%以上が、ビジネスの利害関係者は、アプリケーションに関連するリスクをセキュリティやネットワークのチームだけに任せるのではなく、「自分たちでリスクを取る」べきだと考えています。
AlgoSecのマーケティングおよび戦略担当副社長であるNimmy Reichenberg氏は、ビジネスリーダーが最終的にリスクマネジメントの適用に責任を持つ必要があることに同意し、これらの利害関係者を家庭の長に例えています。例えば、セキュリティ・コンサルタントのアドバイスは、塀を作る、警報システムを設置する、あるいは堀を掘ってワニを飼うというものです。それぞれの防犯対策にかかる費用と利点を天秤にかけ、実際の侵入リスクと比較しなければならない、と。
同じ意味で、ライヘンバーグ氏は、「セキュリティ担当者は、このリスクを分析し、リスク選好度とは何か?より良い保護を得るために、どれくらいの投資をしたいですか?結局のところ、企業のアプリケーション所有者は、自社のアプリケーションのリスクレベルを理解し、どのような対策を導入するかを決定する必要があります。
OpenSSLの脆弱性「Heartbleed」に直面した場合、脆弱性の深刻さとタイムリーな修正の必要性を強調することは非常に重要ですが、セキュリティ専門家は、意思決定者に対して、脆弱性がビジネスクリティカルなウェブサーバに存在するのか、それともそれほど大きな影響を与えないサーバに存在するのかを知らせる必要があります。ライヘンバーグ氏によれば、大組織には何百ものウェブサーバーが存在する可能性があるため、このような情報を提供することで、ビジネスリーダーはより多くの情報に基づいたセキュリティ上の意思決定を行うことができ、Heartbleedの場合は、セキュリティチームが脆弱性のあるサーバーに対するパッチのインストールを優先することが可能になるとのことです。
「脆弱性は1つだけです。脆弱性スキャナの結果を見たことがあれば、何十万もの脆弱性が表示され、ほとんどキャパシティを超えるでしょう」とライヘンバーグ氏は言います。そのリスクがビジネスの許容閾値を超えたら、何らかの対策を講じる必要があります。
