本番アプリケーションの信頼性評価がいまだに手動のアンケートに頼っているなら、自動化に踏み切る時が来ているかもしれません。
多くのCISOにとって、エンタープライズの本番アプリケーションに対する信頼性の分析は、いまだに手作業です。アプリを管理するチームへのアンケート送付、回収の督促、集計、そして内容の分析——こうした一連の作業を手動でこなしています。目的は脆弱性や脅威を数え上げることではなく、自社が運用する本番アプリケーションを信頼できるかどうかを評価することにあります。CISOにとって重要な業務であり、取締役会からも要求される事項です。
この作業は煩雑で、多くの時間を要します。四半期ごとに実施できれば上出来で、年次業務になることも珍しくありません。結果として得られるのは、現代のビジネスが日々変化する実態を反映しない、特定時点における主観的な判断に過ぎません。10年前には数百本のアプリケーションを運用していた企業が、今や数千本の本番アプリケーションを抱え、明日にはさらに増え続けています。手動のアンケートによるデータ収集では、もはやこの規模には対応できません。
TrustCloudの共同創業者兼CPOであるTejas Ranadeは次のように述べています。「長年にわたり、CISOはリーダーシップに対して特定時点のスナップショットをリスクの全体像として提示せざるを得ない状況に置かれてきました。それが不完全だということはCISO自身も分かっています。取締役会も分かっています。しかし業界には、それに代わるより良い解決策がなかったのです。」
TrustCloudは、この状況を変え、旧態依然とした慣行をAI主導の自動化の時代へと移行させるための製品を開発しました。それがApplication Assuranceです。Ranadeはこう説明します。「私たちはアプリケーションを動かすエコシステム全体に接続します。」
「接続対象には、アプリを監視するセキュリティツール、ランタイムを構成するインフラツール、ポリシーや手順を格納するドキュメントリポジトリ、チケットシステムなどが含まれます。私たちはCISOのために、これらすべてを継続的に監視します。アプリケーションの内部を直接覗くのではなく、アプリケーションに関するあらゆるデータを監視するのです。これにより、CISOはそのアプリケーションが十分にセキュアかどうか、リスクはどの程度かを把握できます。」
データは、エンタープライズ全体に展開された数百のTrustCloudコネクターによって収集されます。これらのコネクターが社内のデータソースに接続し、データを集約・正規化した上で自動的に分析します。このプロセスには2つの目的があります。1つは、手動による特定時点のデータ収集を継続的な自動監視へと完全に置き換えること、もう1つは、主観的な解釈をAIによる客観的な解釈へと転換することです。
ただし、データの自動収集・集中管理・分析には、新たな課題も2つ生じます。データレジデンシーと、TrustCloud自身への信頼です。データレジデンシーについてRanadeは、「私たちは製造業、製薬、政府機関など、多くの業界で高度に規制された企業と取引しています」と説明します。
「データレジデンシーに関して非常に具体的な要件を持つ企業もあります。そのため、私たちはさまざまなレジデンシーモデルに対応したアーキテクチャを採用しています。データはセキュアなマネージドサービスとしてTrustCloudのクラウドに保存することもできますが、顧客の環境内に保持し、分析に必要な選択されたデータのみをTrustCloudに送信する形も可能です。顧客ごとの要件に応えるため、多様なデータレジデンシーオプションをサポートしています。」
2つ目の課題は、TrustCloud自身への信頼です。TrustCloudは本番アプリケーションに関する情報を収集・集中管理します。そうした情報は攻撃者にとって価値が高いため、TrustCloud自身のセキュリティが懸念される可能性があります。
同社はこの点を十分に認識しており、できる限り透明性の確保に努めています。自社のセキュリティは見込み顧客による監査を頻繁に受けており、必要なデータのみを使用・保持する最小権限の原則に基づいて運用されています。また、顧客が保持を許可するデータを指定できるようにしており、セキュリティプログラムはすべての規制ガイドラインに準拠しています。「結局のところ、私たちは顧客と同じ立場です」とRanadeは言います。「顧客は敏感で高度に規制された業界に属しており、彼らが自社のために実践していることを、私たちはTrustCloudのために実践しています。同等またはそれ以上の基準で自分たちを律しています。」
アプリケーションの信頼性を実証するために第三者機関を活用することには、さらなる利点もあります。アプリケーションは数が増え複雑化するだけでなく、種類も変化しています。手動プロセスでは対応しきれないほど複雑化した現状は、今後さらに悪化していくでしょう。新たに登場し、容易に生成できるバイブコーディングによる社内製・サードパーティ製の本番アプリケーションが増えるにつれ、状況はいっそう困難になります。エージェント型システムも新たな問題をもたらしています。
「今日のCISOにとって最大の関心事の一つは、エンタープライズ内でどのようなエージェント型アプリケーションが構築されているかを把握することです」とRanadeは説明します。「そうしたエージェント型アプリに対してどのようなセキュリティガードレールを設けるべきか、エージェント機能を持つベンダーを新たに採用する際にどう評価するか——これらを理解することが急務となっています。私たちはすでに顧客と協力してエージェント型アプリケーションの評価を実施しており、CISOが環境内に存在するエージェントを把握し、必要なセキュリティガードレールを特定し、各エージェントのセキュリティ確保と企業ポリシーへの準拠状況を示すために監視すべきデータポイントを明確にする支援をしています。これは単に私たちが可能なことではなく、すでに実践していることです。」
新たなアプリケーションの種類が登場・進化していく中で、第三者によるアシュアランス監視は、CISOがどの程度の信頼性を維持できるかを迅速に把握するための有力な手段となります。アプリケーション自体を直接保護するわけではありませんが、各アプリの周辺に適切なレベルの保護が確保されているかをCISOが確認するための支援を行います。
TrustCloudは、信頼性評価に使用するデータの収集と分析を自動化することで、CISOのプロセスに革新をもたらすことを目指しています。工数を大幅に削減しながら、より正確で客観的な評価を実現し、本番アプリケーションのセキュリティ向上と、取締役会への信頼性のオンデマンドな提示、その両方に活用できるソリューションを提供します。
