組織が「エンタープライズセキュリティー」について語るとき、それはしばしば抽象的に聞こえます。ダッシュボード、ポリシー、コンプライアンスチェックリストなどです。Vishnu Gatlaにとって、それははるかに具体的なものです。過去10年間、彼は重要な意思決定が行われる場にいて、銀行、大学、重要インフラプロバイダーと協力し、デジタル業務の安全性と円滑な運営を維持してきました。F5 BIG-IPとウェブアプリケーションファイアウォール自動化を専門とするシニアインフラストラクチャおよびアプリケーションセキュリティーコンサルタントとして、Gatlaは強力だが複雑なセキュリティーツールを、実世界で実際に機能する実用的な防御に変えることでキャリアを築いてきました。
TechBullionとのこのインタビューで、彼はミッションクリティカルなシステムを保護することが実際にどのようなものか、経験豊富なチームがリスクとレジリエンスについてどのように考えているか、そして効果的なアプリケーションセキュリティーがテクノロジーと同じくらい人とプロセスに関するものである理由について振り返ります。
ご自身と、専門分野でもたらしている影響について詳しく教えていただけますか?
私の名前はVishnu Gatlaです。エンタープライズアプリケーションセキュリティーとインフラストラクチャを専門とするシニアプロフェッショナルサービスコンサルタントで、米国の高度に規制された組織(大手金融機関、大学、重要インフラ環境を含む)を10年以上サポートしてきた経験があります。
私の仕事は主に、ウェブアプリケーションファイアウォール(WAF)戦略、アプリケーションセキュリティー自動化、レジリエントなアプリケーション配信に焦点を当てています。特に、セキュリティーコントロールは存在するものの、実際の本番環境で確実に動作しない環境においてです。私は、検証、自動化、リスクベースの意思決定を通じて、セキュリティーコントロールを運用上効果的で測定可能な防御に変換することで、組織がコンプライアンス主導の実装を超えて前進するのを支援しています。
私の仕事の影響は、本番インシデントの削減、セキュリティーイベント時のアプリケーション可用性の向上、ダウンタイムや設定ミスが重大なリスクをもたらすミッションクリティカルな環境におけるより予測可能なセキュリティー運用に反映されています。
高度に規制されたセクターでの10年間の仕事から、組織のアプリケーションセキュリティープログラムが真のリスク管理ではなくコンプライアンスによって推進されていることを示す実用的な指標は何ですか?
コンプライアンス主導のプログラムは通常、運用上の成果ではなく静的な指標への依存によって識別できます。一般的な兆候には、技術的には展開されているが実際のトラフィック条件下でテストされることがほとんどないセキュリティーコントロール、学習モードまたは監視モードに無期限に留まるポリシー、インシデント削減ではなく監査に結び付けられた成功指標などがあります。
もう1つの指標は、検証よりもドキュメンテーションを優先する意思決定です。チームがどの脅威が積極的に軽減されているかを明確に説明できない場合、または構造化されたリスク評価なしに稼働時間を維持するためにコントロールが日常的にバイパスされる場合、それはプログラムが実際のリスクを管理するのではなく、規制チェックリストを満たすように設計されていることを示唆しています。
セキュリティーコントロールがミッションクリティカルなサービスを中断する場合、経験豊富なチームはどのように調整すべきもの、ロールバックすべきもの、そのままにしておく必要があるものを決定しますか?
成熟したチームは、コントロールの失敗とコントロールの摩擦を区別します。最初のステップは、中断が誤った仮定、不完全なベースライン化、または保護とアプリケーション動作との間の真の対立によって引き起こされているかどうかを特定することです。
既知の影響の大きい脅威に対処するコントロールが完全に削除されることはめったにありません。代わりに、経験豊富なチームは、ベースライン保護を維持しながら、スコープ、実行しきい値、または自動化ロジックを調整します。ロールバックは、システム的な不安定性をもたらす変更のために予約されており、単に改良が必要なコントロールのためではありません。
このアプローチには、テレメトリ、変更履歴、トラフィック可視性への信頼が必要です。これらがなければ、チームは過剰に修正し、不必要にセキュリティーを弱める傾向があります。
エンタープライズがハイブリッドオンプレミスおよびクラウド環境でWAFプラットフォームを運用する際に、最も頻繁に過小評価されるレジリエンスリスクは何ですか?
最も過小評価されているリスクの1つは、環境間での設定のずれです。オンプレミスで正しく動作するポリシーは、トラフィックパターン、スケーリング動作、アップストリーム統合の違いにより、クラウド展開では大きく異なるパフォーマンスを示す可能性があります。
もう1つのリスクは、所有権の断片化です。クラウドチームとオンプレミスチームが独立して運用する場合、実行の一貫性とインシデント対応の調整が損なわれます。この断片化は、応答パスが不明確な停止またはアクティブな攻撃中にのみ目に見えるようになることがよくあります。
最後に、環境を認識しない自動化は、大規模な障害を増幅し、小さな設定ミスを広範な中断に変える可能性があります。
大手銀行や大学において、効果的なWAF展開と修復を最も妨げるガバナンス障壁は何ですか?
最も一般的な障壁は、不明確な説明責任です。WAFプラットフォームは、インフラストラクチャ、アプリケーション、セキュリティーチームの間に位置することが多く、成果を所有する単一のグループがありません。これにより、修復が遅くなり、保護よりも安定性を優先する保守的な設定が生じます。
変更ガバナンスもう1つの課題です。長い承認プロセスは、リスクがよく理解されている場合でも、タイムリーなポリシー更新を妨げます。時間の経過とともに、これにより、進化するアプリケーション動作や脅威モデルと整合しなくなった時代遅れの保護が生じます。
効果的なプログラムは、所有権を成果と整合させ、セキュリティーの決定を例外として扱うのではなく、運用ワークフローに組み込むことでこれに対処します。
運用上の摩擦を生み出すことなく、組織を反応的なインシデント対応から積極的なアプリケーション防御へどのように導きますか?
移行は、イベントのブロックからパターンの理解へ焦点を移すことから始まります。個々のアラートに反応するのではなく、チームは繰り返される動作、攻撃パス、アプリケーションの感度を特定することから利益を得ます。
自動化は役割を果たしますが、検証された仮定に基づいている場合にのみです。積極的な防御は、保護を段階的に実施し、影響を継続的に測定し、理論的なリスクではなく観察された結果に基づいてコントロールを調整することによって達成されます。
同様に重要なのはコラボレーションです。セキュリティーチームは、持続的な採用を得るために、コントロールを障害ではなく可用性の実現要因としてフレーム化する必要があります。
WAF自動化が実際のインシデントを真に削減しているかどうかを判断するために、どのような測定可能なシグナルに依存していますか?
意味のあるシグナルには、繰り返しインシデントタイプの削減、攻撃中の手動介入の減少、誤検知の増加なしでの平均解決時間の改善が含まれます。
もう1つの重要な指標は予測可能性です。自動化されたコントロールがリリースやトラフィック変更全体で一貫して動作する場合、運用上の信頼が高まります。逆に、変動性や説明のつかない動作をもたらす自動化は、検証が不十分であることを示すことがよくあります。
アラート量のみに関連するメトリックは不十分です。焦点はインシデントの影響と運用の安定性に置かれるべきです。
最新のWAF機能でレガシーアプリケーションを保護する場合、アプリケーションチームやプラットフォームチームと通常どのような妥協を交渉しますか?
主な妥協は、長期的な改善と引き換えに部分的な実施を受け入れることです。レガシーアプリケーションは、多くの場合、厳格なセキュリティープロファイルを直ちに許容できないため、保護は段階的に導入されます。
チームは、誤検知を引き起こすアプリケーション動作を修正する時間を許可しながら、重要な攻撃ベクトルを最初に保護することに同意する場合があります。重要なのは、強制力の低下が恒久的な例外ではなく、一時的で測定可能であることを確実にすることです。
明確なタイムラインと共有された説明責任は、レガシー制約が恒久的なセキュリティーギャップになることを防ぐのに役立ちます。
重要インフラ環境での経験に基づいて、セキュリティー成果の改善においてテクノロジーよりも重要な文化的変化は何ですか?
最も影響力のある文化的変化は、非難回避から共有責任への移行です。チームがセキュリティーインシデントを個人の過ちではなくシステムの障害と見なす場合、根本原因はより効果的に対処されます。
もう1つの重要な変化は、仮定よりも運用フィードバックを重視することです。実際のトラフィックと実際のインシデントに対してコントロールを定期的に検証するチームは、設計時のモデルのみに依存するチームを上回ります。
最終的に、文化は、テクノロジーが静的な保護手段として使用されるか、継続的に改善される防御として使用されるかを決定します。
今後、クラウドまたはアプリケーションアーキテクチャのどの変革が従来のエンタープライズセキュリティーモデルに最も挑戦し、その理由は何ですか?
マネージドサービス、サーバーレスプラットフォーム、分散アプリケーションアーキテクチャを通じたインフラストラクチャの抽象化の増加は、集中管理ポイントを中心に構築されたセキュリティーモデルに挑戦します。
実施がアプリケーションに近づき、よりダイナミックになるにつれて、従来の境界中心のアプローチは効果を失います。エンタープライズは、静的なルールセットではなく、可視性、自動化、インテントベースのポリシーを強調することによって適応する必要があります。
最新のアプリケーションアーキテクチャとともに進化しないセキュリティーチームは、ツールが技術的に洗練されたままであっても、関連性を失うリスクがあります。
