every nation 211214

Every Nation Philippines

Every Nation Philippines

Every Nation Philippinesはキリスト教関連の活動をしている非営利団体です。日本ではEvery Nation Japanという名前で関東・東海・北海道で宗教活動しています。

 

WAFを導入したきっかけ

「WAFはより積極的なサイバー攻撃への防御戦略」

NPOやNGOは支援者の寄付によって運営されているため、会員情報や個人情報など様々な情報を取り扱ってはいますが、 安全に対しての意識はいまだに低いと思います。個人情報を保管しているということは、情報流出という大きなリスクを抱えていることを意味します。個人情報保護法の改正以後、弊社の場合も個人情報のガイドラインに従って厳重に取り扱っているつもりですが、セキュリティ面で常に不安を抱えていました。意図的にハッカーに狙われ不正アクセスや情報漏洩などが起きてしまってからではもう手遅れになる可能性が非常に高いからです。そして、近年NPOを狙ったサイバー攻撃も報告されており、Webセキュリティ対策への課題を解決したいと感じたのが、クラウドブリックを導入したきっかけでした。

 

クラウドブリック(Cloudbric)を選択した理由

「十分な機能を持ちつつも、導入及び運用の手間やコストを大幅に削減」

クラウド型WAFの導入を決めてから、いくつかの製品を選び各製品が提供している無償トライアルを申し込んで実際に使用してみました。WAF導入当時、組織内にはセキュリティに詳しい担当者が存在しなかったため、WAFの機能などをいかに詳しく説明してもらえるか、セキュリティ担当者が不在でも運用や管理がスムーズにできるのか、限られた予算の中で、最大限のパフォーマンスを実現できるのかなどの項目をリスト化し点数をつけ、最も点数が高かったクラウドブリックを選択しました。無償トライアル期間の間、約1週間にかけて弊社のWebサイトを狙い、集中的にサイバー攻撃が発生していることが分かりました。クラウドブリックのダッシュボード上で攻撃のタイプ、攻撃ターゲットのURL、検知ログなどの詳しい情報がリアルタイムに確認できたので、即時に対応することができました。また、気になるところなどはサポートチームにお問い合わせし、即対応してもらえたのはリソースが少ないNPOにとって、非常に助かっているところです。

 

クラウドブリック(Cloudbric)の導入効果

「サイバー攻撃の対処だけではなく、情報の共有と意見交換まで」

WAF機能に関しては様々な導入実績が証明していると思いますが、実際使ってみて最もよかったのはユーザフレンドリーなダッシュボードでした。また、サイバー攻撃動向や最新のセキュリティトレンド情報などがメールマガジンにて定期的に送られるので、セキュリティ動向の把握に非常に役立っています。メールマガジンを読んで気になるところをクラウドブリック担当者に質問すると、親切に教えていただけたり、意見交換ができたりする部分がよかったです。役に立つ情報は社内で共有し、全社的にセキュリティ意識を高めるきっかけともなりました。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

NPOやNGOにとって、サイバーセキュリティ対策を導入するために予算を策定することは決して簡単なことではありません。それにも関わらずクラウドブリックを導入した決定的な理由は、高度化し続けるサイバー攻撃がどうしても他人事に思えなかったからです。今の時代、どこでも誰でもサイバー攻撃に遭う可能性が十分あります。Webサイトのセキュリティ対策を検討中である方なら、セキュリティ専門企業の技術力とコストパフォーマンスを両立できるクラウドブリックを積極的にお勧めしたいです。

DDoS攻撃

DDoS攻撃はその場しのぎで対応?DDoS攻撃の実態と、企業で必要な対策をご紹介

DDoS攻撃

代表的なサイバー攻撃の1つとして「DDoS攻撃(分散型サービス拒否攻撃)」があります。昨今、日本国内ではランサムウェアによるサイバー攻撃が頻発していますが、DDoS攻撃も決して見逃すことのできない油断禁物なサイバー攻撃のひとつです。DDoS攻撃は巧妙なため対策が難しいとも言われていますが、今回は日本国内におけるDDoS攻撃の実情と対策方法について解説します。

 

DDoS攻撃とは

DDoS攻撃とはサーバなどのシステムに大量のデータを送り付けることで、システムをダウンさせたり、アクセスしにくくさせるサイバー攻撃です。システムのダウンはサイトダウンにつながるため企業の営業活動等に大きな被害を与えかねません。
DDoS攻撃を仕掛ける目的としては、嫌がらせや脅迫などとありますが、最近では金銭を要求するランサム型DDoS攻撃も頻発しています。そのためDDoS攻撃の目的はさまざまと言えるでしょう。

 

時代と共に進化しているDDoS攻撃

DDoS攻撃は攻撃手法が比較的シンプルなため、サイバー攻撃の中ではよく目にする定番のサイバー攻撃と言えるでしょう。以前はDoS攻撃が主流でしたが、現在はDDoS攻撃をよく見かけると思います。DoS攻撃とDDoS攻撃はどのような違いがあるのでしょうか。

DoS攻撃:一台の機器(PC)から大量のデータを送り付ける
DDoS攻撃:複数の機器(PC)から大量のデータを送り付ける

最近ではDoS攻撃はほぼ見かけなくなり、DDoS攻撃が主流となっています。従来のDoS攻撃の場合、一台の機器(PC)から攻撃を仕掛けるということは、IPアドレスも1つのためそのIPアドレスを遮断すれば棒業できました。ただし昨今、主流となっているDDoS攻撃の場合、複数機械(PC)=IPアドレスも複数となるため攻撃を仕掛けてくるIPアドレスを全てブロックするというのは非常に難しいです。

 

DDoS攻撃の実例

対策が取りにくいDDoS攻撃ですが、実際に攻撃を受けるとどのような被害があるのか例を見ていきたいと思います。

 

東京メトロ・大阪メトロ

9月に東京メトロと大阪メトロが親ロシア派ハッカー集団「キルネット」によりDDoS攻撃を受けました。またSNSには犯行声明として「東京の地下鉄を止める」などといった声明が出されています。これにより東京メトロや大阪メトロのホームページにアクセスしにくくなるなどの被害が報告されました。

 

政府サイト

こちらも9月に政府が運営するサイトでアクセス障害が発生しました。デジタル庁が所管する行政情報のポータルサイト、「eーGov」など一部でアクセス障害が発生し、こちらも「キルネット」によるDDoS攻撃と見られ、また当ハッカー集団がSNS上にてサイバー攻撃を行った旨の投稿をしました。

 

自治体サイト

2月に広島県や県内自治体が運営するWebサイトが閲覧しにくい状態が発生しました。広島県が使用しているセキュリティクラウドに対し、30分から1時間ごとにDDoS攻撃が行わました。広島県はDDoS攻撃の影響を受けていないメールやLINEなどを活用し、対応を追われました。

 

DDoS攻撃は一時的な攻撃という認識から対策を後回しにしがちですが、DDoS攻撃を一度受けた企業は再度DDoS攻撃を受ける傾向があったりや、またDDoS攻撃を本格的なサイバー攻撃を仕掛ける前段階の攻撃として様子見として仕掛けてくる場合もあります。またサイトに接続しずらくなるため、ユーザの離脱や企業に対する信頼度の低下などにもつながる恐れがあるため、被害を最小限に食い止めるためにもしっかりと対策を講ずることがポイントとなります。

 

DDoS攻撃にもさまざまなタイプがある

増幅型(Volumetric)攻撃

増幅型攻撃は、攻撃のターゲットとなるサーバで処理できるネットワーク・トラフィックの限界を超過するトラフィックを伝送し、すべての可用帯域幅を枯渇させる攻撃手法です。非常に単純な攻撃方式ですが、ボットネットの規模によっては非常に致命的な攻撃方式であるため、現在でも多く利用されています。 特にDRDoS(Distributed Reflection Denial of Service)反射型 DDoS 攻撃は、攻撃者の存在を隠蔽して、より深刻な攻撃を誘導することができるため、注意が必要です。

リソース消耗型攻撃

リソース消耗型攻撃は、ネットワーク帯域幅やシステムの CPU、セッションなどのリソースを消耗させ、通常のユーザのアクセスを妨害させる攻撃形態です。存在していないクライアントがサーバに接続しているように偽り、接続可能なリソースを消耗させ、通常のユーザではサービスを利用できなくなります。

アプリケーション層攻撃

〇HTTP Flooding
HTTP Flooding は、アプリケーション攻撃の代表的な手法であり、大量の HTTP リクエストを発生させ、 攻撃対象サーバのリソースを枯渇させる攻撃です。正常なリクエストと類似のリクエストを利用して攻撃を発生させるため、事前に備えることが難しく、小規模のボットネット(botnet)でもターゲットとなるサーバの運用を妨害することもできます。

〇RUDY Attack
RUDY(R-U-Dead-Yet)Attack は、POST メソッドを利用した代表的な Slow 攻撃です。POST メソッドのリクエストで送信するデータのサイズ(Content-Length)を非常に大きく設定し転送します。サーバは、当該リクエストを受信し Content-Length 分の転送が完了するまで待機しますが、一定時間の間隔で 1 文字ずつ送信し、長時間接続を維持させます。結果的に通常のユーザからのリクエストは拒否され、ターゲットとなるサーバの運用を妨害します。

まとめ

一言にDDoS攻撃対策といってもDDoS攻撃の構造は非常に巧妙であり、CDNでの対策にも限界があり対策がなかなか難しいのが現状です。そこでお勧めなのが「Cloudbric ADDoS」です。Cloudbric ADDoSは全世界に設置されたエッジ・ロケーションにて大規模トラフィック(最大65Tbpsまで対応)を分散処理し、WebサイトをDDoS攻撃から安全に保護します。またDNSの変更だけでお手軽に導入ができ、また導入から導入後の運用までセキュリティ・エキスパートが担当しますので、専門知識は不要です。ぜひDDoS攻撃にはCloudbric ADDoSの導入をご検討ください。

ランサムウェア

盲点を突いてくるランサムウェアの脅威認知と企業での対応策を解説

ランサムウェア

日本国内では連日サイバー攻撃による被害が報告されていますが、その中でも特にランサムウェアによる被害が急増しています。警視庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの被害は21年上半期が61件だったのに対し、22年上半期は114件と倍近く報告されています。そこで今回はランサムウェアの被害の実態とその被害から学び取れるセキュリティ対策について解説します。

 

ランサムウェアとは

昨今、日本国内で多くの企業に被害を及ぼしているランサムウェアとはそもそも何でしょうか。
ランサムウェアとは、企業のシステムなどへ不正に侵入し、重要なデータやファイルを暗号化し、暗号解除のためのパスワードを知りたければ身代金の支払いを要求するサイバー攻撃の一種で、日本語では身代金要求型ウイルスとも言います。ランサムウェアに感染してしまうと、会社システムに多大な影響を及ぼし、業務全体がストップしてしまう可能性もあります。また身代金を支払ったとしてもパスワードを教えてくれる確証はないため、感染後の対応が非常に困難なサイバー攻撃の1つです。最近ではDDoS攻撃の脅威を追加した「三重脅迫型」攻撃も増加しており、企業としても避けたいサイバー攻撃と言えます。

 

日本国内でのランサムウェアの被害状況

前述のとおり、日本国内ではランサムウェアによる被害報告が前年度と比べ、倍近く報告されています。また全世界に目を向けてみると全サイバー攻撃中、ランサムウェア攻撃が占める割合が20%と高い比率をしめており、その被害総額も200億ドルと甚大な被害を及ぼしています。ランサムウェアに感染してしまうと、業務にも多大な影響を及ぼしかねず、最近ですと、日本国内でも複数の医療機関がランサムウェアのターゲットとなり、甚大な被害を被っています。次の内容で実例を紹介しながら、どのような被害があったのか見てみましょう。

大阪急性期・総合医療センター

大阪急性期・総合医療センターとは、大阪市住吉区にある地方独立行政法人の医療機関です。病床数は865床と多く、急性期医療から高度な専門医療に対応しています。この施設は大規模で幅広い医療に対応していて、かつ大阪府内に3ヶ所しかない高度救命救急センターであり重要な施設になります。

サイバー攻撃の内容

この施設は、2022年10月31日に、ランサムウェアによるサイバー攻撃を受けました。
当時、サーバ上の画面に英文脅迫メッセージが確認されており、脅迫文には暗号化したファイルを復号したければビットコインでの支払いを要求する旨が記載されていたとのことです。同センターは要求には応じず、今後の対応については厚生労働省などと協議するとし、また政府からもソフトウェア協会の専門家3名を現場に派遣し、調査を実施しています。この攻撃の影響で 1週間経過しても、電子カルテシステムが復旧できず、緊急以外の手術や外来診療は一時停止する事態となりました。完全復旧のめどとしては2023年1月を予定しているとのことです。

なぜランサムウェア攻撃を仕掛けられたのか?

ランサムウェア攻撃の被害調査にあたり、同センターが委託していた給食提供サービス「ベルキッチン」の事業者であるデータセンター内サーバーを通じ、侵入された可能性があることが判明しました。同センターの電子カルテのオーダリングシステムで食事内容等の食事情報に関係する発注が行われ、院内の給食関係システムに情報集約後、ベルキッチン宛てに送信される構造でした。サーバ間はベルキッチン側の仕様で、攻撃自体はVPN機器に対して行われており、ソフトウェアの更新も行われていない脆弱な状態が悪用された可能性が指摘されています。同センターは徳島県つるぎ町立半田病院と同一機器を使用しており、半田病院もランサムウェア攻撃の被害を受けるに至りました。

徳島県つるぎ町立半田病院も標的に

前述のとおり大阪急性期・総合医療センターでの事件に付随して、2021年10月に徳島県のつるぎ町立半田病院 でもランサムウェアによる被害が報告されています。同じく電子カルテシステムで患者情報を確認出来なくなり、診療報酬の請求も止まりました。大阪市の病院と同様に、新規患者受け入れ停止など業務の大幅な制限を余儀なくされ、対策を比較検討した結果、新規のサーバーに同様のシステムを構築する対策を実施しました。その対策に要した概算費用は2億円にのぼりました。

 

2つの被害の共通点

こちらの2つの事例にはある共通点があります。それは両病院とも同じ会社が提供するVPNを使用していた点です。システムがアップデートされておらず、その脆弱性をつかれ攻撃の対象となりました。VPNは低コストで拠点間通信が可能であることから、企業のセキュリティ対策の一環として広く普及しています。ただし、VPNの種類によっては、セキュリティレベルに差があるため、今回の事例のように情報漏洩のリスクが完全にゼロではありません。VPNの構造自体にはセキュリティがある程度確保されていますが、企業がVPNを導入し利用するにあたり、利用方法が難しく正しく活用できていなかったり、アップデートの不十分やVPNの認証が1段階などの要素がサイバー攻撃の抜け穴となる可能性があります。そのためVPNを導入して終わりではなく、ユーザが簡単に利用でき、また多要素認証を導入しセキュアなシステム構築などが企業に求められます。

 

まとめ

ランサムウェアは企業に多大な被害をもたらすため、企業等では事前に対策を講じ、回避することが重要なポイントとなってきます。そこでお勧めしたいのが「Cloudbric RAS」です。Cloudbric RASはVPNを構築せず、 DNS情報の変更のみで手軽に導入 ができ、安全な社内システムへのアクセスを提供します。またユーザは特別な操作をする必要はないためトレーニングなどは必要なく、また Google OTP及びメールアドレス認証を行うことで「二要素認証」を実現し、よりセキュアな環境を提供します。外部からの社内システムアクセスに係わるセキュリティ懸念点の払拭には、ぜひCroudbric RASの導入をご検討ください。

MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

 

MFA、MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

クラウドサービスやテレワークが普及し、企業や従業員が外部から社内の機密情報にアクセスする機会が増えつつあります。利便性が高まっていることは確かですが、不正アクセスなどのリスクについても考え直さなければなりません。アプリケーションやシステムにおいて、情報へのアクセス権限を確かめる認証機能は、セキュリティ対策として最も基本的な仕組みの1つです。ここでは、認証の方式として近年注目されているMFA(「多要素認証」)について解説し、なぜMFAが必要なのか、MFAを使ってセキュリティをさらに強化するためのポイントについて解説します。

 

MFAとは

MFAは、複数の要素を組み合わせて認証を行うことでなりすまし等の被害を防ぐセキュリティ対策の1つです。ここではMFAの概要について、より詳しく解説していきます。

MFAの定義

MFAは「Multi-Factor Authentication」の略称で、日本語では「多要素認証」と言われます。アプリケーションやシステムにおいて、アクセスを試みているユーザが正規のユーザかどうかを確かめることを「認証」と言います。MFAはその認証の中でも、複数の要素を用いて認証する仕組みのことを指しています。

MFAが成立するためには、次の3つの要素のうち、2つ以上を組み合わせる必要があります。
・知識情報(パスワードや秘密の質問など)
・所持情報(ICカード、スマートフォンなど)
・生体情報(指紋、声紋、虹彩など)

「知識情報」は、その人が「知っている」情報のことです。パスワードや秘密の質問への答えなど、正規の利用者しか知らないはずの情報を使って認証します。

「所持情報」は、その人が「持っている」情報のことです。ICカード内のチップや、スマートフォンのようなモバイル端末など、正規の利用者しか持っていないはずの情報を使って認証します。

「生体情報」は、その人が「どのような身体的特徴を持つか」を示す情報です。指紋や虹彩といった、人によって異なる身体的特徴を使って認証します。

MFAは、これら3要素のうち2要素以上を使った認証を指します。異なる要素を2つ以上必要とするため、なりすましのリスクが大きく下がるのが特徴です。

二段階認証との違い

「MFA(多要素認証)」と似た言葉として、「二段階認証」という認証方式があります。二段階認証は、要素の違いを問わず、2回のチェックを行う認証方式のことです。例えば、「パスワード」の入力を求めた後で「秘密の質問」による認証を行う、という仕組みは「二段階認証」です。パスワードも秘密の質問も同じ「知識情報」のため、多要素ではありません。多要素認証は、あくまでも異なる要素を組み合わせなければなりませんが、二段階認証は要素の違いは考慮せず、ただ「2回認証する」ということだけに着目した認証方式です。

ゼロトラストとの関係

MFAは、ゼロトラストによるセキュリティを実現するための認証方式として採用され始めています。近年では、「ゼロトラスト」というセキュリティの考え方があります。「ゼロトラスト」とはネットワークの内外やデバイスを問わず、「何も信頼しない」ことを前提としてセキュリティ対策を講じる、という考え方のことです。内部のネットワークやデバイスを信頼しないため、より厳格な認証方式としてMFAが利用されているのです。MFAはゼロトラストによるセキュリティを実現するための方策の1つとして、多くの場面で採用され始めています。

 

MFAで使われる認証方式の例

MFAには様々な例があります。実際にMFAでよく使われる認証方式の例について解説します。

ワンタイムパスワード(知識情報・所持情報)

1つ目は「ワンタイムパスワード」です。IDとパスワードを入力した後で、ユーザのデバイス宛てにワンタイムパスワードを送信し、そのワンタイムパスワードの入力によって再度認証します。ID・パスワードという「知識情報」と、デバイスという「所持情報」を使った多要素認証です。

デジタル証明書(知識情報・所持情報)

2つ目は「デジタル証明書」です。あらかじめ特定の端末に証明書をインストールしておき、パスワード等の情報と共に認証を行います。特定の端末からしかアクセスできないため、より厳密な端末管理ができます。パスワードをはじめとする「知識情報」と、証明書をインストールした端末という「所持情報」を利用した多要素認証です。

リスクベース認証

3つ目「リスクベース認証」です。厳密には、リスクベース認証は多要素認証の一種ではありませんが、リスクベース認証のために多要素認証が使われるのが一般的です。リスクベース認証とは、普段と異なる場所や時間・デバイスでのアクセスが試みられた際に、パスワード等による通常の認証に加え、さらに追加での認証を要求する認証方式を指します。常に多要素認証を要求するよりも利便性が高い、というメリットがあります。追加での認証の際にはワンタイムパスワードを利用するなど、パスワード等の知識情報とは別要素での認証がより効果的です。

 

 MFAの必要性

そもそも、MFAはなぜ必要なのでしょうか。ここでは、MFAの必要性と役割について解説します。

なぜMFAが必要なのか

MFAは、セキュリティを強化するために必要な仕組みです。パスワードのみによる従来の認証方法は、パスワード管理の甘さやブルートフォース攻撃などによる不正アクセスのリスクが高く、扱う情報によっては不十分なセキュリティ対策でもあります。MFAは、1つの要素による認証を突破されただけでは情報漏えいに至らないため、特に扱う情報の重要性が高い場合は、強固なセキュリティを築くために必要と言えます。

MFAは企業の情報資産を守れる?

MFAは、企業の情報資産の保護につながることが期待されています。企業では、多くの重要な情報資産を扱うため、個人よりも強固なセキュリティを構築しなければなりません。近年ではリモートワークなどの普及に伴い、外部から企業内部のシステムやネットワークにアクセスする機会も増えています。そうした事態の変化に伴い、企業に求められるセキュリティのために、MFAの導入を検討すべき事例は増えているでしょう。

 

MFAでのセキュリティを強化するためのポイント

MFAがセキュリティ対策として効果があるとは言っても、ただMFAを導入すれば良いという訳ではありません。ここでは、MFAでセキュリティをさらに強化するためのポイントについて解説します。

パスワードポリシーの強化

MFAをはじめ、パスワードを使ったあらゆる認証方式では、パスワードポリシーを強化することが大切です。具体的には、「最低8文字以上」「英大文字小文字・数字・記号のうち3種以上を使用する」「IDと同一の文字列は利用不可」といった形で、推測されにくいパスワードポリシーを設定し、定期的な変更を義務付けることが大切です。

情報の使いまわしを避ける

パスワードのように、認証情報の使いまわしを避けることもポイントです。複数のサービスで同じパスワードを使いまわすと、一つのサービスから情報漏えいがあった場合に他のサービスでも不正アクセスにつながる可能性が高まります。企業では社員教育を徹底し、複数のサービスで認証情報を使いまわさないように注意すると良いでしょう。

端末やパスワード管理の徹底

MFAは、複数の要素での認証によって不正アクセスを防ぐ仕組みです。そのため、パスワードの流出や端末の紛失などが万が一あったとしても、即座に不正アクセスにつながるとは言い切れません。しかし、強固なセキュリティを維持するためには、パスワードや端末を厳重に管理しなければなりません。MFAだからと油断せず、厳重な管理や社員教育が大切です。

 

まとめ

MFA(「多要素認証」)は、知識情報、所持情報、生体情報の3つの要素のうち、2要素以上を組み合わせて認証する認証方式です。単一の要素のみでの認証に比べてセキュリティを強化できるため、機密情報へのアクセスの際などに導入することをおすすめします。
MFAを始めとするセキュリティ対策を施す際には、専門家の手によるサービスを利用するのがおすすめです。MFAを実現するのにおすすめのソリューションが「Cloudbric RASです。ゼロトラストを基盤としたセキュリティプラットフォームで、セキュアな認証を実現できます。また、ユーザも管理者もブラウザベースで利用できるため、利便性にも優れています。WAFソリューション「Cloudbric WAF+」との併用でさらにセキュリティを強化できるため、Webアプリケーションを利用している企業での導入が特におすすめです。

個人向けVPNはCloudbric VPN

個人向けVPNは必要?メリットからおすすめの使い方まで徹底解説

個人向けVPNはCloudbric VPN

近年「VPN」というネットワーク技術の利用が注目されています。安全な接続を確立するため、主に企業で利用されているVPNですが、個人での利用を勧める声もあります。しかし、そもそも個人でのVPNの利用は必要なのでしょうか?ここでは、個人向けVPNの概要と必要性、おすすめの使い方について解説します。

 

個人向けVPNとは

そもそも、個人向けVPNとはどのようなものなのでしょうか。ここでは、VPNの概要に加え、一般に企業で使われるVPNと個人向けVPNの違いについて解説します。

 

そもそもVPNとは

VPNとは「Virtual Private Network」の略称で、特定の人だけが利用できる専用のネットワークを指します。インターネット回線上に仮想的なトンネルを構築し、そのトンネル内を特定の人だけが利用できるように設定することで、通信を保護する技術です。VPNは、通信の暗号化やアクセス制御など、情報の窃取を防ぐ機能が備わっているため、セキュリティ上の理由で主に利用されます。フリーWi-Fiのように、多くの人が利用するインターネット回線を通じて機密情報にアクセスする際に重宝するため、リモートワークが普及する近年、様々な場面で利用されている技術です。

 

個人向けVPNと企業向けVPNの違い

VPNは個人でも構築できるものの、近年では簡単かつ安全に通信を利用できるVPNサービスが多数提供されています。以前は主に企業で利用されていたVPNサービスですが、個人が利用することを想定したVPNサービスもあります。企業向けのVPNと個人向けのVPNには、利用されている技術に関する大きな差はありません。企業でVPNを利用する場合、セキュリティ対策がより強固で細かい設定ができるVPNサービスを選ぶと良いでしょう。個人の場合は、セキュリティ対策以外に接続の手軽さやコストもポイントになります。

 

個人向けVPNは必要?

VPNは仮想的な専用回線を構築し、通信を保護できる技術ですが、「個人でインターネットを使うのにわざわざ必要?」と思う方も多いでしょう。実際、日常的に自宅のWi-Fiやキャリアの回線を利用している場合は、必ずしもVPNが必要ない場合もあります。しかし、個人でVPNが必要になる例や、VPNを使うことによるメリットも多数あります。ここでは、個人向けVPNの必要性と、VPNの利用が向いている方の特徴について解説します。

 

個人向けVPNが必要な理由とメリット

個人向けVPNが必要な最大の理由は、「セキュリティ対策が強化できるから」です。近年、サイバー攻撃や情報漏えいなどに関するニュースが多数報道されています。以前は大企業が被害に遭うことが主でしたが、最近では中小企業や個人がターゲットになる場合も増え、大きな被害に遭うこともあります。そのため、個人でもセキュリティ対策を強化できれば、それに越したことはないのです。もちろん、プロバイダーが提供しているセキュリティ対策だけで十分に対応できる場合もあります。しかし、個人向けVPNを利用することで、状況に応じたより適切なセキュリティ対策を施すことができるようになります。VPNを新たに導入する際のコストや設定の難しさが気にかかる方もいるかもしれませんが、近年では無料のVPNサービスや、操作が簡単なVPNサービスも提供されています。また、詳しくは後ほどご紹介しますが、VPNを利用することで特定のサービスを安く利用できる場合もあります。個人向けVPNには多くのメリットがあるため、一度ご利用を検討してみることをおすすめします。

 

個人向けVPNの利用がおすすめの人とは

それでは、どのような方が個人向けVPNの利用を検討すると良いのでしょうか。日常的にインターネットを利用している方であれば、どなたでも利用を検討してみることをおすすめしますが、特におすすめなのは「フリーWi-Fiを利用する方」「海外のコンテンツにアクセスする方」です。いずれも、セキュリティ対策がきちんとしていなければリスクの高い通信です。これらの通信を頻繁に利用する方は、特にVPNの利用が必要と言えるでしょう。

 

個人向けVPNの使い方例

ここでは、個人向けVPNの使い方例について解説します。安全に利用できるだけでなく、お得にサービスを利用できたり、国によって限定されたコンテンツにアクセスできたり、といった利点もあります。

 

海外のコンテンツへのアクセス

日本から海外のコンテンツを閲覧したくても、制限がかかってアクセスできない場合があります。居住地によってアクセスに制限を施す仕組みを「ジオブロック」と呼びますが、VPNを使うことでこのジオブロックを回避できる場合があります。海外のVPNサーバーを経由することで、その国特有のコンテンツにアクセスすることができます。

 

海外から日本へのアクセス

海外から日本にアクセスする際にも、VPNは役立ちます。先ほどと同じく、ジオブロックを回避して日本のコンテンツにアクセスする、という使い方だけでなく、セキュリティ対策としても有効です。海外のホテルや施設のWi-Fiを利用する際にも、日本の場合と同じくセキュリティ対策に気を配る必要があります。特に観光地などの場合、ホテルや施設が提供している正規のWi-Fiと並べて、紛らわしい名称のWi-Fiスポットを設置し、通信内容を窃取する、といった手口もあります。より安全性を高めるためにも、海外から日本のコンテンツにアクセスする際にもVPNを利用すると良いでしょう。

 

フリーWi-Fiの安全な利用

街中で手軽に利用できるフリーWi-Fiですが、基本的には重要情報の送受信に利用すべきではありません。通信が暗号化されておらず、傍受できる可能性があるため、個人情報等が窃取される恐れがあります。近年ではテレワークやフリーランスなど、働き方の多様化が進み、カフェなどでフリーWi-Fiを利用してインターネットにアクセスする方も多いでしょう。VPNを使うことで通信の匿名性を確保できるため、フリーWi-Fiを利用する際は必ずVPNを使うことをお勧めします。

 

Cloudbric VPN」を利用して韓国コンテンツへアクセス

弊社が提供している個人向け無料VPNサービス「Cloudbric VPN」の場合、アメリカ(アトランタ、フレモント)、ドイツ(フランクフルト)、インド(ムンバイ)、韓国(ソウル)、シンガポール、日本(東京)と国・地域を指定して利用ができます。例えば最近、日本でも大人気の韓国ドラマやK-popを視聴・閲覧したい時、日本からのアクセスには制限がかかっていることが多くあります。そういう時にCloudbric VPNを利用し、サーバーを韓国(ソウル)に設定することで、韓国国内でアクセスするのと同様の環境が構築され、日本にいながら韓国のコンテンツの視聴・閲覧が可能となり、韓国ドラマやK-popなどのコンテンツを楽しむことができます。

 

無料のVPNサービスと有料VPNサービス

個人で利用できるVPNサービスの中には、有料のものも無料のものもあります。ここでは両者の違いと、無料のVPNサービスを使う際のポイントについて解説します。

 

無料と有料どちらがおすすめ?

一般に、有料のVPNサービスの方が、通信速度や通信容量、セキュリティの面で優れている場合が多く、より安全かつ快適に通信を利用したい場合は有料のサービスを選ぶことをおすすめします。しかし多くの有料VPNサービスは月数百円程度のコストがかかるため、長期間利用する場合は大きな出費になるかもしれません。無料のVPNサービスの場合、コストがかからないという魅力はありますが、信頼できないベンダーが提供しているサービスは、通信速度やセキュリティの観点からおすすめできません。しかし、無料のVPNサービスの中にも、優れたセキュリティや通信速度を確保しているものがあります。無料だからこそ気軽に利用できる、という面もあるため、信頼できるベンダーのものであれば利用してみることをおすすめします。

 

無料のVPNサービスを選ぶ際のポイント

無料のVPNサービスを選ぶ際は、「セキュリティの強固さ」、「操作の簡単さ」といった機能面のポイントに加え、「ベンダーの信頼性」もポイントになります。いくら無料でも、信頼できるベンダーのサービスでなければ、逆に個人情報をはじめとする通信内容を窃取されてしまったり、サイバー攻撃に利用されてしまったり、といったリスクもあります。口コミ等を確認して、信頼できるベンダーかどうか、検討しておくことをおすすめします。

 

まとめ

個人向けVPNサービスは、企業向けのものと同じく、安全な接続の確立に役立ちます。特に海外のコンテンツにアクセスしたり、フリーWi-Fiを利用したりと、接続の匿名性や安全性に不安がある場合には利用を検討することをおすすめします。もちろん、家のWi-Fiから国内のコンテンツにアクセスするだけ、という場合には必ずしも必要ないかもしれません。有料のサービスでコストがかかるのも気になる、という方も多いでしょう。しかし、近年では無料のVPNサービスでも良質なものが提供されており、その中でも「Cloudbric VPN」がおすすめです。無料のサービスながら、高度な暗号化とゼロログで安全な接続を確立しつつ、VPN全般の課題でもある速い通信速度も確保しています。会員登録なしでも利用でき、操作が分かりやすいのも「Cloudbric VPN」の魅力です。ぜひご利用を検討してみてください。

▼Cloudbric VPNについて詳しくはこちら

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

2022年上半期のサイバー攻撃動向

2022年上半期のサイバー攻撃の動向~企業に求められるセキュリティ対策を解説~

2022年上半期のサイバー攻撃の動向

2022年上半期は世界情勢の不安定化によりサイバー攻撃が活発化し、日本国内でもその影響が色濃く残った時期でした。そこで上半期に日本国内でどのようなサイバー攻撃が発生し、実際にどのような被害があったのか、企業に求められるセキュリティ対策も含めわかりやすく解説していきます。

 

2022年上半期のサイバー攻撃について

2022年上半期におけるサイバー攻撃は世界的に見ても増加傾向にあり、企業のみならず、一般市民においても注視するべき脅威の一つとなりました。特に国内ではランサムウェアによる感染被害が多発し、医療・福祉、建設、小売など業種問わず様々な企業において事業活動の停止や遅延等が発生し、社会経済活動に多大な影響を及ぼしました。また不正アクセスによる情報流出なども顕著に見受けられ、サイバー攻撃による影響はより一層、深刻な状態であると言えます。

 

2022年上半期の代表的なサイバー攻撃「ランサムウェア」の概要と被害実態について

前述の通り、2022年上半期の代表的なサイバー攻撃として「ランサムウェア」が挙げられます。ランサムウェアとはハッカーがパソコンやサーバのデータを暗号化し、その暗号解除の引き換えに身代金を要求するサイバー攻撃です。警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」の報告資料によると、2022年上半期のランサムウェアの被害の報告件数は114件に及び、2021年上半期の61件の2倍以上と右肩上がりで急増しています。また114件の被害報告の内、企業規模別に見てみると、36件が大企業、59件が中小企業と企業規模に問わず被害が発生しており、企業としても注視すべきサイバー攻撃の1つと言えます。

 

2022年上半期:企業や自治体を襲ったサイバー攻撃

〇自治体を襲ったサイバー攻撃:

広島県は2月16日から数日間、大量のデータをサーバに送り付けシステムをダウンさせようとするDDoS攻撃を受けていると発表しました。この影響で県や県内23全ての自治体のホームページ接続しにくい状態が続き、サイトの利用や自治体とのメールやりとりへ被害が生じました。

 

〇自動車関連企業を狙ったサプライチェーンに対するサイバー攻撃:

3月1日に国内大手自動車関連会社が国内にある全14工場28ラインを停止しました。原因は当該企業の関連会社を襲ったサイバー攻撃によるものでした。攻撃者は関連会社の子会社が独自に利用していたリモート接続機器に脆弱性があり、そこから子会社のネットワークに侵入後、さらに当社内ネットワークへ侵入し、ランサムウェアを仕掛けました。これによりサーバやパソコン端末の一部でデータが暗号化され、システムが停止するに至りました。サプライチェーンのため一社でもサイバー攻撃により関連システムが停止すると、関連会社すべてに影響を及ぼすため、サプライチェーンのより一層のセキュリティ強化が叫ばれた事件となりました。

 

〇大手菓子メーカー、サイバー攻撃で164万人以上の個人情報流出の疑い:

3月13日に大手菓子メーカーがランサムウェアにより、社内システムの一部がダウンするなどの問題が発生しました。これによりサーバーの一部データが暗号化され、またハッカーからのメッセージもあり、一部の商品の製造に影響が及びました。またこの攻撃により、当該企業が運営するサイトにおいて、2018年5月1日から2022年5月13日に商品購入をしたことがある顧客を中心に164万人以上の個人情報が流出した可能性があることを明らかにしました。

 

〇衣料品チェーン大手を襲ったサイバー攻撃:

全国に店舗がある衣料品チェーン大手が、5月11日に不正アクセスによりシステム障害が発生しました。ランサムウェアによる攻撃でグループ全店(約2200店舗)で在庫の取り寄せができない状態となりました。

このようにサイバー攻撃は業種や企業規模を問いません。企業がサイバー攻撃を受けた場合、サービスや製造停止などの実質的な被害はもちろん、調査にも多大な時間と費用が発生し、企業の信頼失墜にもつながります。また事例をみてわかるように、企業だけが被害を被るだけではなく、私たちの日常生活のすぐそばでサイバー攻撃は発生しているため、利用者にも大きな被害を及ぼします。

 

企業でのサイバー攻撃対策の在り方

企業において、サイバー攻撃を受けた後に対応を行う事後対応が一般的です。ただ上記でも述べたように、サイバー攻撃を受けてから具体的な対処・対策をするには手遅れです。日頃からサイバー攻撃に対しての正しい危機感を持ち、また企業に合ったセキュリティ対策が求められますが、セキュリティ対策は一概にこうすれば良いと言い切れないため、事前対応の観点での企業におけるセキュリティ対策は非常に難しいのが現実です。

 

頻発しているサイバー攻撃、企業はどうすればいい?

サイバー攻撃対策といっても対策方法は多種多様で、企業のセキュリティ担当者、またセキュリティ担当者がいない企業にとっては、何から取り組めばいいのか頭を抱えて悩むポイントになるかと思います。そのような状況の中でぜひご提案したいのが「Cloudbric WAF+」です。Cloudbric WAF+は2022年上半期に発生したサイバー攻撃に対する対策として、非常に効果的なサービスです。ランサムウェア対策に有効なWAF機能はもちろん、L3/L4/L7に対するDDoS攻撃も防ぐことができ、その他にもSSL証明書の発行、悪性ボット及び脅威IPの遮断など企業の情報セキュリティに必須な5つのサービスを提供しています。また導入前から導入後の運用までセキュリティ・エキスパートに任せることができるため、一人情シスや社内にセキュリティ専任担当者がいない企業でも手軽にご導入いただけます。Cloudbric WAF+を導入することで、企業セキュリティに「+α」の価値を付加し、より強固な企業情報セキュリティをご提供します。

 

DX概要から導入事例、時代に求められるセキュリティまで徹底解説

DXとは?概要から導入事例、時代に求められるセキュリティまで徹底解説

DX 、DX推進に必要なセキュリティ対策について

DXという言葉が様々な場面で使われています。しかし現状、デジタル化によって新しいビジネスモデルを確立し、企業の力を高めていくDX推進のためには、課題もまだまだ残っており、また DX推進に伴うサイバーリスクに対する各種セキュリティ対策も共に解決すべき課題の一つです。この記事では、DXの概要と現状、導入事例に加え、DX時代に求められるセキュリティ対策について解説します。

 

DXの概要

そもそもDXとは、いったいどのような言葉なのでしょうか。ここでは、DXの概要と、よく混同される「IT化」「デジタル化」との違いを解説します。

DXとは

「DX」とは、「Digital Transformation」の略称で、直訳すると「デジタル変革」という意味の言葉です。DXの定義については曖昧な部分もありますが、広義には「デジタル化によって社会や生活のスタイルが変わること」を意味しています。経済産業省は産業界におけるDXについて次のように定義しています。「企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること」(デジタルガバナンス・コード2.0)
ビジネスにおいてDXとは、「デジタル化によってサービスやビジネスモデル、業務、組織などを変革し、自社の競争力を高めていくこと」を意味します。単にITを導入するだけでなく、それによって企業として新しい価値を築いていくことがDXには求められます。

IT化、デジタル化との違い

「DX」という言葉は、しばしば「IT化」「デジタル化」といった言葉と混同されます。簡単に言えば、「IT化」と「デジタル化」はDXのための手段にすぎません。「IT化」とは、「既存のアナログな作業にITを用い、便利にする」といった意味で使われる言葉です。既存の業務プロセスを崩さず、情報を活用しやすい状態に整理することがIT化と言われます。「デジタル化」とは、一部またはより広い範囲での業務プロセスのデジタル化を指します。例えば、書類の電子化や口頭連絡に代わるチャットツールの利用がそれに当たります。
IT化やデジタル化を推進しただけでは、企業の業務効率化は進むかもしれませんが、自社の新しい競争力の獲得には至りません。IT化とデジタル化は、DXのための準備段階に過ぎません。

 

日本のDX推進

DXが叫ばれるようになって数年経ちますが、日本ではいまだにDXに未着手、または途上の企業が多いと言われています。2022年7月に発表された、経済産業省の「DXレポート2.2」によれば、DX推進指標を提出している企業の数は増加傾向にあり、スコアも上昇していることから、着実にDXの重要性は広まりつつあると言われています。対して、企業の予算におけるデジタル投資の割合は以前と大きな変化が見られないことから、既存のビジネスに予算を割く企業が多く、DX推進が思うように進んでいないという現状もあります。
日本のDX推進を阻む要因としては、「DXについての理解不足」「既存システムの老朽化・ブラックボックス化」「デジタル人材不足」といったことが指摘されます。DXについての理解が浅いために予算があてられなかったり、既存のシステムが老朽化しているため、そちらの改修に予算を割かねばならなかったり、といった課題があります。また、DXを推進するための専門家が自社におらず、優秀な人材確保が難しいという点から、DXの重要性は認知していても手を打てない、といった企業も少なくありません。
結論として、DX認知度は確実に高まってきてはいるが、まだまだ課題も多く、DX推進は思うように進んでいない、というのが日本の現状です。

DX推進の導入事例

日本のDX推進はまだまだ途上とは言え、DXに成功した事例も多数報告されています。ここでは、日本でのDX推進の導入事例をいくつかご紹介します。

ソニー損害保険株式会社

保険大手の「ソニー損害保険株式会社」では、自動車保険とAIを組み合わせてDXを成功させました。AIを活用して運転スキルや運転傾向に関するデータを収集して事故のリスクを判定し、安全運転と判定された場合に保険料を一定額返金する、というサービスです。運転スキルの判定、という難易度の高い業務にAIを活用した、DX成功事例と言えるでしょう。

SREホールディングス

不動産テック企業の「SREホールディングス」は、蓄積された取引データを元に、不動産取引価格の自動査定ツールを導入しました。不動産業界にこれまでなかったビジネスモデルを確立したとして、DXグランプリにも選ばれています。

トライグループ

教育事業の大手「トライグループ」は、オンラインで授業が受けられる「Try IT」でDXを実現しました。スマホやタブレットで効率的に映像授業を受講できるシステムで、100万人を超える会員や、オンラインに特化した教室の設立など、新しいビジネスモデルを確立しています。

 

DX推進とセキュリティ

DX推進の認知度が高まる中で、セキュリティ対策の重要性も主張されています。DX推進には、新しいツールやクラウドのようなプラットフォームなど、新しい技術を導入する必要があります。データやその利用方法が複雑化していくため、セキュリティ対策が不十分なままDXが進められてしまう、という事例もあります。リモートワーク推進のために導入したVPNの設定不備のためにネットワークを狙ったサイバー攻撃を受けたり、管理システムの設定不備で外部から機密情報にアクセス可能な状態になっていたり、といったインシデントが典型例です。新しいシステムの導入に伴って、従来のセキュリティ対策を見直してさらに強固なものにする必要が生じています。

 

DX時代に求められるセキュリティとは

それでは、DX時代に求められるセキュリティ対策とは、具体的にどのようなものなのでしょうか。ここでは、種類別にいくつか対策例をご紹介します。

デバイスのセキュリティ

1つ目はデバイスのセキュリティ対策です。DX推進に伴って、パソコンやタブレット、スマートフォンといったデバイスの活用場面がさらに増えると予想されます。社内で管理できるPCだけでなく、テレワーク用のノートPCや、個人のスマートフォンを業務に使うことも増えています。デバイスのマルウェア対策や、情報漏えい対策などが不十分だと、思わぬインシデントにつながるかもしれません。マルウェア対策ソフトの導入や、システムへのアクセス制御などのセキュリティ対策が必要です。

ネットワークのセキュリティ

2つ目はネットワークのセキュリティ対策です。ネットワークに関するセキュリティは、昨今「境界型」のセキュリティから「ゼロトラスト」のセキュリティへと移行しています。クラウドやモバイル端末などの普及に伴い、ネットワークの社内・社外といった境界が曖昧になったことで、従来の境界型のセキュリティでは対応しきれない場面が増えつつあります。アクセスの全てを信頼せず、その都度認証を行って対策する「ゼロトラスト」のセキュリティの導入が推奨されています。

導入するツール・システムのセキュリティ

3つ目は導入するツール・システムのセキュリティです。DX推進に伴って、新しいツールやシステムを開発・導入する場面も増えるでしょう。導入するツール・システムにセキュリティ上の不備があっては、インシデントにつながるリスクも高まります。ツールやシステムの導入に際しては、信頼できるベンダーのものを選択したり、事前にセキュリティテストを実施したり、また導入後の定期的な見直しも必要になります。

Webサービスのセキュリティ

最後に、Webサービスのセキュリティです。社内の業務などのために、Webサービスを利用する企業も増えつつあります。Webサービスは攻撃の種類も多く、日々インシデントも多数報告されています。WAFの導入や脆弱性診断の実施など、Webサービスのセキュリティを強固に保つ仕組みを考えなければなりません。

 

まとめ

「DX」は、「デジタル化によってサービスやビジネスモデル、業務、組織などを変革し、自社の競争力を高めていくこと」を指す言葉です。単なる電子化やシステム導入のことではなく、企業に新しい価値をもたらしていかなくてはなりません。日本のDX推進はまだまだ途上にあり、考慮すべき課題も多数残っています。DX推進を検討するうえで無視できないのがセキュリティ対策です。デバイスやネットワーク、ツールのセキュリティ対策に加え、重要性の高いのがWebサービスのセキュリティです。Webサービスのセキュリティ対策には、「Cloudbric WAF+」がおすすめです。WAFサービスに加え、SSL証明書発行、DDoS攻撃対策、悪性ボットや脅威IPの遮断と、企業における必須の5つのセキュリティサービスを、手軽に導入・運用できる魅力的なソリューションです。 DX時代に求められるWebサービスセキュリティには、ぜひ「Cloudbric WAF+」をご検討ください。

Cloudbric WAF+

7

C製薬会社

業種 医薬品製造業及び卸売業
規模 大企業

※本事例は、お客様のご希望により匿名で掲載しております。

今の時代、企業サイトはその企業の「顔」だと思っています。企業にとってWebサイトは、単に企業情報、サービスや製品情報などをお客様に周知させる役割だけでなく、企業のアイデンティティやビジョンを伝える役割も果たしています。まさに、企業イメージを向上させる重要な戦略となりました。だからこそ、Web攻撃によりアクセスが不可能になったり、セキュリティ事故につながったりすることだけは絶対に避けたい。巨大な金銭的損失にとどまらず、企業のイメージや信頼失墜に直結してしまい、回復するには相当な時間が必要となるでしょう。情報担当者としては、それを想像するだけで背筋がぞっとします。(C製薬会社 情報システム担当者)

 

WAFを導入したきっかけ

「Webサイトを24時間365日安全に運用・管理したい」

弊社のビジネスにおいて、Webサイトのセキュリティは極めて重要です。患者様とそのご家族、医療関係者様、株主様、投資家様への情報提供を筆頭に、臨床試験の参加者の募集や研究開発サイトの運用など、すべての作業がWebサイト上で行われています。よって、24時間365日絶え間なくWebサイトを安全に管理・運用することが我々にとっての最大な課題です。そこで、Webサイトのセキュリティ体制を整えるとともに、高度化が続くWeb攻撃をしっかりと防御できる対策でありながら、利便性を確保できるクラウド型WAFに興味を持つようになりました。

 

クラウドブリック(Cloudbric)を選択した理由

「高精度の検知能力で今まで見つからなかった攻撃パターンも検知」

クラウドブリックを導入する前には他社の製品を使っていました。広く知られている国産のクラウド型WAFサービスだったため、日本語の対応がしっかりとできるということがメリットで、利用する際も特に不便なところはありませんでした。
しかし最近にはWeb攻撃の手口がさらに巧妙化し攻撃回数も増回傾向にある反面、新規・検知漏れの攻撃パターンが検知できないという限界や例外処理の設定が難しい部分がありました。そのため現在のセキュリティ対策を再チェックした結果、新しいWAFの導入を検討する必要があると判断しました。その後、IT製品比較サイトでの調査を通じていくつかの候補製品を選定しました。その中でクラウドブリックの場合、無償トライアル制度を通じて機能などを十分にチェックしました。また製薬業界の導入実績の有無ところなど様々な観点から検討したので、最終的にクラウドブリックの導入を決定しました。

 

クラウドブリック(Cloudbric)の導入効果

「未検知の攻撃までしっかり検知・遮断 、業務効率も向上」

クラウドブリックの高精度の検知エンジンにより、未検知の攻撃を含め今まで検知できなかった様々な攻撃パターンがしっかり検知・遮断されるようになりました。これまで大きい事故が発生したことはありませんが、それは今まで気づいていなかっただけで、いつ何が起こってもおかしくない状況だったという怖さを感じると同時に、クラウドブリックの精度の違いを改めて実感し、安心しました。ダッシュボードにアクセスすると検知ログの詳細や攻撃現況まで一目で確認できるため、そのまま内部担当者に渡すことも可能になり、業務効率化の面でも非常に役立っています。以前使っていた他社WAFと比べ合理的な料金と高精度のセキュリティという点に加え、お問い合わせに対するフィードバックなど、サービス面でも大変満足しています。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

新しいWAFの導入を決して簡単に決定したわけではありません。以前使っていたWAFに対する信頼度が下がっていたため、様々な観点から慎重に検討を重ねた結果クラウドブリックの導入までに至りました。その分、高いセキュリティ機能と合理的な価格を両立した、素晴らしいコストパフォーマンスの WAFサービスに出会ったと思います。Webサイトセキュリティを高めていきたいセキュリティ担当者の方々に、クラウドブリックは自信を持っておすすめできるサービスだと思います。

cloudbric - press release

【情報】2022年第2四半期の最新Web脆弱性トレンドレポート(EDB/CVE-Report)リリース

2022年第2四半期の最新Web脆弱性トレンド情報

2022年4月から6月まで公開されたExploit-DBの脆弱性報告件数は33件でした。

報告された脆弱性の分析内容は、以下の通りです。

 

1. Web脆弱性の発生件数:2022年第2四半期の月平均Web脆弱性発生件数は11件で、5月には最も多い14件が報告されました。

2. CVSS(Common Vulnerability Scoring System)* 推移: 4月は14%、5月は21%で増加傾向にありましたが、6月には8%にまで減少しました。MEDIUM Level脆弱性は85%から41%まで減少しました。
*脆弱性を点数で表記するため、0から10まで加重値を付与し計算する方式です。点数が高いほど、深刻度が高いです。

3. 上位Web脆弱性の攻撃動向: 2022年第2四半期の場合、前期と同様でSQL Injectionが主な脆弱性として報告され、その次にCross SiteScripting、Remote Code Executionと続いています。

1) 4月: Other 42%(3件) / Remote Code Execution 28%(2件)

2) 5月: SQL Injection 71%(10件) / Other 21%(3件)

3) 6月: Cross Site Scripting 41%(5件) / Remote Code Execution 25%(3件)

4. Web脆弱性の攻撃カテゴリ: Web脆弱性の攻撃カテゴリ別に分析した結果、最も多く報告された脆弱性はSQL Injection(36%、12件)とCrossSite Scripting(18%、6件)で全体の約5割を占めます。したがって、この2つの脆弱性に対しては、更に注意を払う必要があります。

当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートの分析結果に基づいたパッチ適用やセキュアコーディング作業がお薦めです。しかし、完璧なセキュアコーディングは不可能であり、持続的なセキュリティのためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。

 

*EDB/CVE-Reportはペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が四半期毎に公表している最新Web脆弱性トレンドレポートです。本レポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」より公開されている情報を踏まえ作成されています。EDB/CVE-Reportは、各Web脆弱性に対する危険度及び影響度を詳しく分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でもWeb脆弱性のトレンド情報を理解することができます。

 

[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]

 

製品・サービスに関するお問い合わせはこちら

サービス体験はこちら

無償トライアル申請はこちら

パートナー制度お問合せはこちら

 

8

Bブロックチェーンメディア

業種 ソフトウェア開発・供給
規模 ベンチャー企業
導入時期 2020年
※本事例は、お客様のご希望により匿名で掲載しております。

弊社の提供しているブロックチェーン技術自体がいかに安全だとしても、ブロックチェーン基盤のサービス運用がITシステム上で行われる以上、Webやアプリケーションへのセキュリティ対策をしっかりとる必要があります。(Bブロックチェーン メディア担当者)

 

WAFを導入したきっかけ

「Webサイトを利用するユーザの個人情報を安全に守りたい」

弊社はブロックチェーン基盤のフィンテック決済ソリューションの開発及びビジネス統合プラットフォームを運営しております。ユーザの流入を拡大するために、昨年からWebやアプリケーションなど様々な経路を通じてサービスを提供してきました。そして、ブロックチェーン基盤のサービスがいかに安全だとしても、サービスがWebサイト上で行われる以上、ユーザとの接点になるWebサイトのセキュリティを確報することが最も重要な課題だと判断しました。そこで、Webアプリケーションに対する総合的なセキュリティ対策としてWAF(Webアプリケーションファイアウォール)を導入することになりました。

 

クラウドブリック(Cloudbric)を選択した理由

「高い評判とダッシュボード機能、そして信頼性」

知り合いのITベンダーから勧められた製品を含み、最終的に残った候補の中の1つがクラウドブリックでした。1ヶ月の無償トライアルを通じて実際使ってみた結果、セキュリティ専門家でなくても非常に使いやい、という結論を導き出すことができました。
リアルタイムで攻撃状況を一目に確認できるダッシュボード機能と、疑わしい攻撃に対し管理画面上での1回のクリックで即遮断できるという操作の容易さが印象的でした。また、2019年には有名なIT製品の比較・検索サイトでWAF部門の1位を獲得したこと、そしてすでにクラウドブリックを導入している企業から好評を受けていることなどを考慮しつつ、慎重に検討を進め導入を決定しました。

 

クラウドブリック(Cloudbric)の導入効果

「サイバー攻撃を即時に検知・遮断でき、再発も防げた」

弊社の場合、サービス拡大によるセキュリティ面での不安を抱えていました。弊社のプラットフォームもまた個人情報を取り扱っているため、情報漏洩が最大の懸念事項でした。クラウドブリックの導入3ヶ月後、1日間に約5,000件に及ぶ攻撃が試されたことを知りました。しかし、クラウドブリックによりこれを即時に検知・遮断できたので、大きな事故にはなりませんでした。レポートを通じ詳しい攻撃内容を確認でき、このような攻撃の再発を防げますので、これからも安心してWebサイトの管理ができると思います。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

「うちは、小さな企業だからサイバー攻撃を受ける可能性は極めて低い。なぜセキュリティ対策に予算と人的リソースを投入すべきなのか」と思われる方もいるかもしれません。自分の経験からいいますと、セキュリティ対策において企業規模はさほど重要ではありません。ハッカーらは企業規模によって攻撃を行うわけではなく、わずかな隙間を発見するとそれを狙って攻撃を行うからです。むしろセキュリティ対策がしっかりできていない小さな企業だからこそ、大きな被害につながる可能性が高いと言えるでしょう。

弊社のようなベンチャー企業は、たった1回の情報漏洩事故でも経済的な損失に加え企業としての信用も損なうことになりますので、絶好のビジネスチャンスを逃すという結果につながります。そういった意味では、クラウドブリックはWebサイトを安全に守るための、Webセキュリティ対策の初めの一歩だと思います。クラウドブリックの導入こそが、中小企業に合ったリーズナブルな価格で検証されたWAFを利用できる、最善の選択だと思います。