AI時代に向けたアプリケーションの最新化
妨げとならないセキュリティを実現するための5つの柱
アプリケーションのモダナイゼーションとは、重要なアプリケーションを現代のセキュリティやビルド基準に合わせてアップデートすることです。アプリケーションのモダナイゼーションには、DX化の一環としてオンプレミスアプリケーションをパブリッククラウドにリホストする、サポート対象のOSに移行できるようにアプリケーションのコードを更新する、コンテナ化の拡張性や高い��耐障害性を活かすためにアプリケーションを完全にオーバーホールするなどの方法がありますが、いずれの場合もレガシーソフトウェアに革新をもたらします。
こうしたアプリケーションをモダナイゼーションすることの利点は、パフォーマンスと耐障害性の向上、ユーザーエクスペリエンスの向上など数多くありますが、最大のメリットは、安全な環境で稼働する安全なアプリケーションを実現できることです。ただし、これを実現するためには、IT部門、セキュリティ部門、アプリ開発部門が互いに連携し合うことが不可欠です。部門横断的なチームを立てることで、アプリケーションのモダナイゼーションプロジェクトをベストな形で成功させることができます。プロジェクト開始からソリューションにセキュリティを組み込むことで、納期直前になってから発生する高コスト・長時間の見直しや修正作業を防ぐことができます。
単純ですよね?
チーム間の足並みをそろえる上での課題
アプリケーションのモダナイゼーションを進める上で、実際には、IT部門、セキュリティ部門、開発部門がそれぞれ矛盾する優先事項を主張するなど、いくつかの問題によっ��て困難が生じます。さらに組織全体としては、既存のアプリケーションの更新作業よりも、組織に新しい機会をもたらすイノベーションを優先する傾向があります。
2026年のCloudflareアプリイノベーションレポートの調査では、ITリーダーの79%が「既にセキュリティチームとアプリケーションチームの足並みは揃っている」と回答していますが、私はこれを玉虫色のように捉えており、セキュリティを最優先にして常に完全に一体となって動いているチームは、ごく一部にすぎないと考えています。多くの組織では、特に時間が限られている状況で、足並みをそろえ続けることは簡単ではありません。
ひとつだけ確かなことは、企業はモダナイゼーションに取り組むと決めた場合、どの部門も「できるだけ早く進めたい」と考えるということです。
AIはその一助となる可能性があります。AI支援による開発は、多くの企業で急速にニューノーマルになりつつあり、開発者はかつてない速さでコードを生成できるようになりました。IT部門やセキュリティ部門にもAIツールはありますが、開発スピードが一気に上がることでソフトウェアの納期が短縮され、返って調整が大幅に複雑になる可能性があります。
AIツールは開発をスピードアップする一方で、モダナイゼーションを複雑化するものもあります。業務の細部にまでAIを急速に組み込むことで、攻撃対象領域が拡大し、人間と非人間IDのアイデンティティ(NHI)だけでなく、エージェントにまで波及します。その結果、単純に見えるモダナイゼーション案件でも、セキュリティ部門が追いつくのが難しいほど複雑になることがあります。
CISOは、アプリケーションのモダナイゼーションにセキュリティが不可欠であることを認識しています。コードから基盤となるインフラストラクチャ、セキュリティコントロールに至るまで、セキュリティ・バイ・デザインを採用する組織には、明確な競争優位性があります。
「競争優位性」という用語はよく使われます。アプリケーションが高可用性を念頭に設計されておらず、障害が発生しやすい場合、システムがダウンした時に収益や機会を失うことになりますが、セキュリティ対策の不備により顧客データの機密性や完全性を保証できない場合、さらに重要な「顧客の信頼」を失うことになります。よく言われるように、信頼を得るのは難しく、失うのは簡単です。ユーザーを保護しない安全でないアプリケーションが許容される時代は終わりました。業界をリードし、サービスにプレミアム価格を求めるのであれば、安全で、可用性が高いテクノロジーは最低�限必要な要素です。
古いアプリ、新たな問題
状況を見極めることが重要です。従来型のデータセンター内で動いているレガシーアプリ(今でも存在します!)は、パブリッククラウドで動かすには、ほぼ確実に大幅な改修が必要になります。サポート終了したOS、脆弱性を含んだライブラリ、10年以上にわたって継ぎ足し修正されてきた設定は、クラウド上で単に分離したり、ファイアウォールで囲ったりするだけでは安全にはなりません。さらに、現代のアプリケーションは、APIを介して他のシステムやサービスと連携しており、APIのそれぞれが脆弱なシステムへの潜在的な侵入口となっています。
さらに、クラウド利用では、コスト管理も大きな課題です。従来のデータセンターでは、初期の設備投資(CAPEX)と比較的低い運用コストで構築できたアーキテクチャでも、クラウドでは費用の考え方がまったく変わります。実際、Cloudflareの調査によると、企業の52%が「クラウド移行により予算増加が予想される」と回答しています。
クラウドの良い点は、コンテナ、マイクロサービス、オブジェクトストレージなど最新のソリューションを、低コストで利用しやすい点です。クラウド環�境が最適に構成されていれば、比較的手頃な価格で導入できます。
反対に、こうした素晴らしい最新のオプションや多数のAPIは、攻撃対象領域ももたらします。
セキュリティとイノベーションをセットで考える
レガシーアプリケーションをクラウドに移行する際、IT部門、セキュリティ部門、開発部門の連携が不可欠であることは明らかです。新しい、モダナイズ後のアプリケーションの「ルール(基本方針)」を設定する上で、各部門が、それぞれの専門知識や既存の基準に関する理解を持ち寄ることが非常に重要です。IT部門が所有、開発者が機能設計、セキュリティ部門が強固な基盤(土台)を担うことで、強固なアプリケーションが出来上がります。
家のリフォームを経験したことがある人なら分かるように、プロジェクト開始時に、全員が理解している明確な計画を立て、「誰が何を担当するのか」をはっきりさせておくことが大切です。家をリフォームのために解体する時と同様に、レガシーアプリもその機能を紐解いていくと予想外の問題が次々と出てきます。こうした問題、予期せぬ障害、そして思わぬ落とし穴は避けられません。
モダナイゼーションの課題にどう対応するかという判断は、成果に直接影響します。そこで、経営陣�が考えるべき最優先事項は、セキュリティ・バイ・デザインのアプローチです。開発チームがアーキテクチャに関する決定を下した後で、セキュリティチームが慌ててセキュリティ面をレビューすることは避けなければなりません。同様に、開発チームもIT部門を最初から意思決定プロセスに組み込み、既存の標準内で作業しながらシステムのサポート可能性と耐障害性を確保する必要があります。「チームスポーツ」だということを認識しながら進める必要があります。
セキュリティとモダナイゼーションを連携させるメリット
Cloudflareの調査では、調査回答者の14%が、「アプリのモダナイゼーションの取り組みが予定より遅れている」と回答しています。特に問題となるのは、企業の90%が「過去1年でセキュリティインシデントを経験した」と報告していることです。これらの多くの企業は、いまだに「後手対応型」のセキュリティに追われ、アラート対応や、ボット攻撃、不正行為などの一般的な脅威への対処に、時間とリソースの大半を費やしています。
一方で、13%の企業は「アプリのモダナイゼーションが予定より進んでいる」と回答しています。このグループは、「イノベーションの進みが速い」、「柔軟で合理化された意思決定文化�が整っている」、「有意義なAI導入が進んでいる」ことも報告しています。この違いは、セキュリティ・バイ・デザインのアプローチと関係部門の緊密な連携にあります。特に、従業員2,500人以上の大企業やテクノロジー企業では、意識的に連携を取らないと意思決定が分断されやすいため、この連携はより重要になります。
足並みが揃っていないまま進めると深刻な結果を招くことになります。セキュリティ、IT、アプリケーションの優先順位の合意に苦労する組織は、特にAI導入において競争上の不利を抱えます。優先順位付けに関する統一されたアプローチと経営陣の合意がない組織のうち既存のインフラと人材が「完全に十分である」と回答したのはわずか10%強に留まり、AI開発への準備がはるかに不足していると感じています。
しかし、セキュリティ・バイ・デザインのアプローチを採用し、アプリのモダナイゼーションプロジェクトを実現すれば、ほぼ即座に、そして長期的なメリットが得られます。2026年のCloudflareアプリイノベーションレポートによると、主要な組織(モダナイゼーションが予定より進んでいる企業)の95%が、「社内の連携が強いほど、AI活用に有利になる」と感じており、実際にAIの導入率も高い傾向にあります。
「セキュリティ・バイ・デザイン」でモダ�ナイゼーションを加速
以下の5つの戦略的柱を採用しているテクノロジーリーダーは、組織がアプリケーションのモダナイゼーションプロジェクトの投資効果を最大化できるようにしています。
1. セキュリティ第一のマインドセットを浸透させる。
セキュリティは選択肢ではないことを全員が理解することで、軋轢が生じることを避けることができます。開発チーム内では、DevSecOpsアプローチを採用し、セキュリティ・バイ・デザインを開発パイプラインに組み込み、承認ゲートとして個別に扱わないようにします。
このセキュリティ第一の考え方には大きなメリットがあります。アプリのモダナイゼーションとセキュリティへの取り組みを整合させた企業は、AI開発において業界で先行していると自認しています。実際、この調整が「非常に簡単」であると感じた組織は
「困難」と答えた組織に比べて、AI活用の成熟度が約4倍高い傾向があることがCloudflareの調査で明らかになっています。
2. テクノロジーとビジネスの優先事項を理解する。
経営層(C-suite)と協力し、優先事項を明確にして、リソースと期待を適切に管理します。積極的な調整には、年次計画の実施、部門横断チームの立ち上げ、プロジェクト管理リソースの共有、指標の共有などが含まれます。
3. ��ベストプラクティスを実践する。
多くの大企業には、標準的な構築プラクティス、コード標準、レビュープロセスがあります。セキュリティ担当者は、これらの基準と実践を熟知し、より大きなチームの枠組みの中で業務を行う必要があります。
4. モダナイズ後のアプリケーションに適切なセキュリティツールを使用する。
ツールは新しいアプリケーションのプラットフォームに適したものである必要があります。理想的には、ツールは従来の制御と同等の機能を提供するだけでなく、セキュリティ体制を改善するものが望ましいです。
5. 本番稼働前に制御をテストする。
アプリを公開する前に、ライブ環境やシミュレーション環境でペネトレーションテストやレッドチーム演習を行い、制御機能が期待通りに動作するか確認します。AI支援のコーディングツールでコードの脆弱性を防ぎ、構成管理ツールで標準設定を確認することも有効ですが、本番環境にデプロイする前の実地テストに勝るものはありません。
セキュリティは後付けにするものではありません
セキュリティを中核的な設計原則として浸透させる組織は、リスクを軽減するだけでなく、イノベーションを加速する能力を高め、AI活用能力を強化し、ますます複雑化する脅威環境の中でステークホルダーの信頼を維持できるようになります。モダナイゼーションの過程でセキュリティを後回しにすることは高いリスクを残すことになります。
Cloudflareは、セキュリティ・バイ・デザインを実装することで、アプリケーションのモダナイゼーションとセキュリティの両立を支援します。Cloudflareを活用すれば、アプリ開発、配信、セキュリティをひとつのプラットフォームに統合して、リスクをコントロールしながらイノベーションを加速するDevSecOpsモデルを確立できます。この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
2026年Cloudflareアプリイノベーションレポートで、アプリケーションモダナイゼーションの価値について詳しく知り、企業が成功を維持するための行動をご覧ください。
著者
Liz Morton — @liz-morton-543b014
CloudflareフィールドCISO
記事の要点
この記事では、以下のことがわかるようになります。
サイロ化はモダナイゼーションの最大の足枷
セキュリティとイノベーションを別々に考えるべきでない理由
セキュリティ・バイ・デザインを実装するための5つの戦略的柱