この集合体あるいはマッシュアップの複雑さが増すに従い、その安全性を確保するという課題は対数的に難しくなります。われわれがシステムを組む度に、それらの間で起こる可能性のある相互作用、それらの間生じる可能性のある問題をすべて安全なものにしていく必要があります。全体を安全なものにする唯一の方法は、各コンポーネントを監視し、データ転送を管理し、ファイアウォールを設置し、そして最終的にはそのアプリケーションを鵜の目鷹の目で観察し続けることです。これらはすべて標準的なアプローチであり、新しいことは1つもなく、これらすべてはわれわれが既にやっていることです。問題は、これがますます複雑になっていることで、われわれは以前と比べてより積極的にこれに取り組み、より素早く、アプリケーションのより細かいレベルでこれを行っていく必要があります。
その結果、ベンダーはアプリケーションの異なるレベルに焦点を当ててコードのレビューを行い、アプリケーションの脆弱性をスキャンし、テストし、アプリケーション体系を継続的にスキャンとテストし続ける商品やサービスを出してきています。これはすべて、われわれ組織の安全を確保し続けるためにこれらの仕事をどう自動化できるかという自己防衛であり、ますます大きくなっていくアプリケーション環境の複雑さをどう管理するかという問題です。プロセスはこれまでと同じものですが、それをより素早く、より多く行う必要があります。
そのためにより多くの予算を得られることなど稀であり、今ある資源でできることをやっていかなくてはなりません。自分のスタッフとツールを育て、ベンダーとの関係を作らなくてはなりません。最近では、セキュリティ管理を行うには、非常に熟練し、洗練された管理者である必要があります。
――セキュリティ管理は悪意を持った人たちにどこまで迫れるのでしょうか。
このギャップはある程度までは縮めることができますが、常に少しは遅れを取ることになります。これは、警察が直面している状況と同じです。政府は一般に、まだ悪いことをしていない人を逮捕することはできません。
