アプリとAPIのセキュリティにおける3つの高コストなミスとその回避方法

10月はサイバーセキュリティ啓発月間であり、組織を守ることは単に適切なツールを持つことだけでなく、それらに賢く戦略的に投資することを思い出させるものです。脅威が進化し、予算が逼迫する中、セキュリティリーダーにとって、リソースの行方を把握し、ソリューションが真に価値を提供しているかどうかを理解することは、これまで以上に重要です。

サイバーセキュリティ支出は今後10年間で大幅な成長が見込まれています。ガートナーによると、情報セキュリティおよびリスク管理の世界市場は2026年までに2,673億ドルに達すると予測されています。しかし同時に、経済的および世界的な不確実性が続く中で、ビジネスリーダーはより選択的になり、コスト削減とサイバーセキュリティ投資の最適化に注力しています。

この現実は、セキュリティリーダーを重要な局面に立たせます。彼らは、新旧のセキュリティソリューションが正確なコスト見積もり内で効果的に機能することを確認する必要があります。しかし、セキュリティソリューションの仕組みを正しく理解していないと、当初の予想よりも多くの時間、お金、リソース、人員を費やすことになりかねません。

これらのコストを事前に正確に予測できないと、重要な時期に予算をめぐる争いが起こる可能性があり、翌年の予算配分にも影響を与える可能性があります。

セキュリティリーダーはどのようにしてセキュリティコストを保護し、財政的な問題を回避できるのでしょうか？その一つの方法は、予期せぬ過剰支出につながるベンダー選択の一般的なミスを理解することです。では、これらのミスのうち3つを見て、それを避けるためにチームができることを見てみましょう。

ミス #1: 評価とデプロイのスケジュールを延長すること

セキュリティベンダーの採用やアップグレードに際して、企業はビジネスを危険にさらす重大な課題に直面します。それは、特に機密データを処理し、カスタマーエクスペリエンスに影響を与えるWebアプリケーションファイアウォールなどのソフトウェアの評価とデプロイにおける、長くて負担の大きいプロセスです。テスト、デプロイ、さらには調達の延長に伴う機会費用は急速に積み重なる可能性があります。

この評価を長期にわたる概念実証（POC）にまで拡張すると、問題はさらに複雑になるだけです。多くの場合、AIや機械学習に依存するWAFはさらに遅延を生みます。学習期間にはトラフィックパターンを観察し、理解するための時間が必要です。構成によっては、この段階での遅れが不十分なセキュリティカバレッジのために、アプリケーションを潜在的な攻撃や脆弱性にさらす可能性があります。

POCフェーズを無事に乗り越えた後でも、調達やデプロイはさらなる障害を引き起こす可能性があります。複雑な価格設定構造や調達プロセスは、両者が目標を一致させるのに苦労すると、重要な時点で導入を遅らせたり、停止させたりする可能性があります。また、WAFの「モニタリングモード」を調整する場合でも、広範囲にデプロイすると、人員の時間とリソースが無駄になる可能性があります。

推奨事項：WAF 評価とデプロイの効率化

組織は、明確に定義された目標と成功基準に基づいて導かれる評価およびデプロイプロセスを優先しなければなりません。

評価を効率化するために、チームは平均デプロイ時間、技術要件、法的および調達の見積もりを早い段階で確認する必要があります。また、技術的または組織的な障害については、事前にベンダーと調整し、両者が遅延を引き起こす前に潜在的な障害に対処できるようにすべきです。

これらの詳細を早期に明らかにし、協力して合意することで、企業は無駄なサイクルを減らし、デプロイ期間を短縮し、不必要なコストや人的負担をかけずにアプリケーションを保護することができます。

ミス#2: 総保有コストを過小評価すること

WAFの総保有コスト(TCO)を過小評価すると、重大な影響を及ぼす可能性があります。契約価格以外にも、手数料、人件費、サイトのダウンタイム、超過料金などのさまざまな要因が全体的なTCOに寄与します。

WAFの継続的な有効性を確保することは、誤ったソリューションを選ぶと高くつく可能性があります。一部のWAFは、ルールを管理し、偽陽性に対応し、アラートをモニタリングするために複数の人員を必要とします。他には設定が難しく、プロフェッショナルサービスやサポートチームに大きく依存して変更を実現しているものもあります。アプリケーションやサービスが独自のデジタル体験を通じて差別化され続ける中、必要な保護レベルを達成するためだけに、これらの予期せぬコストが急速に増加する可能性があります。柔軟性のないデプロイオプションは、エッジコンピューティングやサーバーレス機能などのコスト削減機会を制限します。

平均以下の顧客サービスが問題をさらに悪化させます。長いサービスレベル合意書（SLA）やチケットへの遅いレスポンスは、タイムリーな攻撃の軽減や脆弱性の仮想パッチ適用を遅らせたり、サイトがオンラインに復帰するのを妨げたりする可能性があります。このことは、セキュリティが脅威にさらされるだけでなく、サポートチケットの増加、インシデントレスポンスの時間外労働、超過料金などによって、総保有コストを増加させます。

推奨事項：クロスファンクショナルなステークホルダーと共にTCO（総保有コスト）を見積もる

契約価格を超えた正確なTCO（総保有コスト）を見積もるのは、孤立した環境ではできません。セキュリティリーダーは、部門横断的なチームと影響を議論し、ベンダーに関する一次情報や第三者コンテンツを確認することで、WAFプロバイダーの潜在的なコストをより正確に見積もることができます。

WAFはビジネスの多くの部分に関与しているため、サイト信頼性、DevOps、カスタマーサポート、インシデント対応など、影響を受けやすい部門横断チームにインタビューすることで、効果のないWAFの影響を明らかにすることができます。

評価段階では、セキュリティリーダーは、潜在的なコストを見積もるために、明確なSLAと超過料金ポリシーを持つWAFプロバイダーを探す必要があります。また、Gartner Peer Insightsのようなレビューサイトや、Total Economic Impact™ (TEI)のような委託調査を活用して、さまざまな企業規模や業界のユーザーエクスペリエンスを読むこともできます。

投資から価値を得るために実際に何が必要かを考慮することも同様に重要です。一部のWAFは、効果的に設定する、調整、または保守するためにプロフェッショナルサービスを必要とします。これらのコストは、ソリューションが社内で簡単に管理できるように設計されていない場合、時間の経過とともに再発し、すぐに積み重なる可能性があります。TCO予測の範囲を広げることで、ビジネス全体に影響を及ぼす高額な波及効果を防ぐことができます。

ミス#3: アジャイル開発と DevOps プロセスの妨げ

アジャイル開発は組織にイノベーションを促し、競争力を維持させます。しかし、ソフトウェア開発ライフサイクル（SDLC）を遅らせるプロセスは、開発時間の無駄や売上の損失につながる可能性があります。収益目標が達成されない場合、セキュリティ予算はしばしば追加の精査を受けます。これにより、ソフトウェア開発ライフサイクル (SDLC) の遅延はビジネスに打撃を与えるだけでなく、セキュリティチーム自身が利用できるリソースを減少させる可能性があります。

残念ながら、セキュリティは「否定ばかりの部門」という汚名を着せられることが多く、レガシー WAF が意図せず進歩を妨げることがあります。WAFルールの更新は、アプリケーションが壊れるリスクがあり、開発時間が増加し、人件費が高くなるため、繊細で時間のかかる作業となります。さらに、頻繁な偽陽性は、WAFルールの過剰な調整を招き、実際のユーザーをブロックし、潜在的な利益を低下させる可能性があります。

DevOpsの台頭は開発チームに革命をもたらし、より迅速で効率的なワークフローを実現しました。しかし、多くのWAFには、ペースに追いつくために必要な自動化、正確性、柔軟性が欠けています。これは開発サイクルを遅らせるだけでなく、チームがトラブルシューティングやルールの書き直しに時間を費やすため、人件費の増加にもつながります。FastlyのSmartParse技術は、アプリケーションを壊すことなく、チームがWAF保護をオンデマンドでデプロイできるようにすることで、その摩擦を解消します。SmartParseは、WAFのデプロイにしばしば伴う試行錯誤を排除することで、開発者が速度を維持し、コストを削減し、セキュリティのボトルネックを招くことなく新機能を配信できるようにします。

推奨：アジャイル開発を受け入れるWAFを選んでください

ビジネスのスピードは、開発者が「常に出荷する」という哲学を採用することを要求しており、セキュリティもそのペースに合わせて進化しなければなりません。セキュリティインシデントを防ぐだけでは予算を守るには不十分な場合、リーダーは最新のWAFを採用することで、より迅速かつ安全なプロダクト開発が可能になることを示すことができます。

WAFを評価する際、組織は、DevOpsツールやプラクティスと統合する、ルールの自動更新、デプロイオプションやアーキテクチャのサポートなど、企業の運営を継続するソリューションを優先し、より良いワークフローを構築して非効率を削減する必要があります。レガシーWAFを選択したり、そのまま使用し続けると、機能開発やイノベーションが妨げられる場合、負の価値をもたらす可能性があります。

WAF投資の最適化：一般的な落とし穴を避ける

これらの間違いを見ていくと、セキュリティチームがWAFに当初の計画や必要以上に多くの費用を費やしたり投資したりすることがいかに容易かが明らかになります。これにより、リーダーが少ないリソースでより多くのことを求められる予算計画中に難しい議論が生まれることがあります。これらの潜在的な落とし穴は必ずしも明らかではなく、運用上の非効率性、部門の評判の低下、さらには本番環境の安全性の低下につながる可能性があります。

セキュリティリーダーは、セキュリティのパフォーマンスを損なうことなく、財務的に健全な意思決定を行う力を持っていると感じる必要があります。現代的なNext-Gen WAFを選択することは、予算の超過を避けるだけでなく、ビジネス全体でリソースをより効率的に配分し、組織全体の人々が自信を持って革新し、運営できるようにします。

サイバーセキュリティ啓発月間中は、現在のWAF戦略を見直し、セキュリティと効率性を両立するために特化してビルドされたソリューションを検討する絶好の機会です。これらのよくある落とし穴を避けることで、貴方のチームは今月だけでなく、一年中、脅威に先んじて目標を達成することができます。今すぐ Fastly にご相談ください。WAF 戦略を合理化し、組織全体で価値を引き出す方法をご確認ください。