標的型攻撃

標的型攻撃とは?攻撃手法や対策方法をわかりやすく解説

企業の規模にかかわらず、標的型攻撃のターゲットとなるリスクがあります。標的型攻撃を受けると、機密情報を奪われたり、金銭的なダメージを負ったりとさまざまな不利益を被るため、企業は適切な対策を施さなければなりません。本記事では、標的型攻撃の概要や代表的な手口、具体的な対策方法などについて解説します。組織のセキュリティ強化を検討しているのであれば、ぜひ最後までご覧ください。

 

標的型攻撃とは?

標的型攻撃とは、特定の組織や地域をターゲットとするサイバー攻撃の一種です。インターネットを介してターゲットにアプローチし、データの破壊や詐取などを行います。

企業が標的型攻撃を受けることで被るダメージは小さくありません。攻撃の種類や規模によるものの、万が一顧客の個人情報や培ってきたノウハウが外部へ流出すれば、事業の存続すら危ぶまれる状況に陥るおそれがあります。

企業の規模にかかわらず、標的型攻撃のターゲットになりえます。上記のようなリスクを少しでも軽減できるよう、企業は標的型攻撃への適切な対策が必要です。

 

・標的型攻撃の目的・無差別型攻撃との違い

標的型攻撃の目的はさまざまです。特定の企業に対する嫌がらせや金銭の詐取、盗んだデータの悪用、転売などが考えられます。

無差別型攻撃との大きな違いは、ターゲットが明確であるかどうかです。サイバー攻撃は、ネットワークやシステムが脆弱な不特定多数をターゲットに実行されるケースが少なくありません。この場合、そもそも目的がないケースも見受けられます。

一方、標的型攻撃はターゲットや目的が明確であるため、より巧妙かつ悪質な手口を用いることがほとんどです。

 

標的型攻撃の種類

標的型攻撃で有名な手口は、メールを用いた攻撃です。また、ソフトウェアの脆弱性をつく手法や、水飲み場型攻撃と呼ばれる方法もあります。対策を練る前に、標的型攻撃の代表的な種類を把握しておきましょう。

 

・メールによる攻撃

メールを用いた標的型攻撃は、もっともポピュラーな手法です。メールにマルウェアを添付したり、本文のリンクを踏ませて別途用意したサイトへ誘導したりといった手口がよく見受けられます。

標的型攻撃はターゲットが明確であるため、メールの受信者が疑いなくメールを開くよう工夫しているケースが少なくありません。たとえば、実在する取引先の担当者名でメールを送ってくる、といった具合です。

「書類への修正が発生しました。至急、添付した書類データをご確認ください」のように、添付ファイルを開くよう工夫しているケースも珍しくありません。

 

・脆弱性を突いた攻撃

ソフトウェアの脆弱性(セキュリティホール)を狙った攻撃も代表的です。ソフトウェアに脆弱性が発生していると、そこから悪意をもつ第三者の侵入を招き、マルウェアへの感染リスクが高まります。

脆弱性を狙った攻撃には、潜伏型と速攻型の2種類があります。前者は、ターゲットとする機器やシステムへマルウェアを仕込み、長期間潜伏させておく手口で、後者は数時間から数日の短期間で情報を盗む手法です。

潜伏型の場合、機器やシステムに潜伏しつつ、より重要度の高い情報へアクセスできる端末へ感染を拡大させながらチャンスを待ちます。潜伏期間中は特にこれといったアクションを起こさないため、気づきにくいのも潜伏型の特徴です。速攻型の場合、パソコンの動作が遅くなるなどして異常に気づきやすいですが、短期間で情報が盗まれるため素早い対応が求められます。

 

・水飲み場型の攻撃

水飲み場型攻撃とは、ターゲットがよくアクセスするWebサイトなどを把握したうえで、模倣した偽サイトへ誘導し攻撃を仕掛ける手法です。砂漠で水を求めて水飲み場にやってきた動物が、待ち伏せしていた肉食動物に襲撃されやすいことから、このような名称がつきました。

実在するWebサイトの脆弱性を狙い、プログラムを改ざんするケースも見受けられます。アクセスしたユーザーがマルウェアに感染するようプログラムを書き換える手口です。

ターゲットユーザー以外には、これといって問題のないWebサイトに見えることが大半であるため、発覚しにくいのも水飲み場型攻撃の特徴です。

 

標的型攻撃の対策方法

企業がとるべき行動は、標的型攻撃を未然に防ぐための対策を行うことです。また、万が一攻撃されたとき、できるだけ被害が広がらないよう対処しなくてはなりません。

 

・ウイルス対策ソフトやメールのフィルタリングを使用する

ヒューマンパワーだけで、悪意をもつ第三者の標的型攻撃を完全に回避するのはほぼ不可能です。標的型攻撃を防ぐには、ウイルス対策ソフトやメールのフィルタリング機能などの活用が有効です。

ウイルス対策ソフトをインストールしておけば、脅威の検知からマルウェアの駆除まで一貫して行えます。スパムメールの自動仕分けやマルウェアの種類、被害内容の特定などができる製品もあります。

ウイルス対策ソフトを導入するのなら、常に最新の状態を維持しましょう。アップデートによってわずかな脆弱性も潰すことができ、新たなサイバー攻撃の手口から組織の資産を守れます。

 

・従業員への教育を徹底する

ウイルス対策ソフトやメールフィルタリング機能は、完全無欠の存在ではありません。結局のところ、こうしたツールを使うのは人であり、従業員の行動ひとつで組織を脅威にさらすおそれがあります。

従業員へのITリテラシー教育に注力することで、標的型攻撃のリスクを軽減できます。怪しいメールが届いたときどうすればよいのか、マルウェアに感染したおそれがある場合、どのような対応をとればよいのか、といったことを日ごろから指導しましょう。ITリテラシー向上を目的とした社内セミナー、勉強会を開催するのもおすすめです。

また、実際に被害を受けたときのシミュレーションをしておくのも対策として有効です。いざ被害を受けたとき、慌てることなくスムーズに行動できます。

 

・アクセスログを取得しておく

アクセスログを取得できる体制を整えておけば、外部からの不正アクセスにもいち早く気づけます。ログ監視ツールのようなツールを導入すれば、24時間365日体制でログをモニタリングでき、セキュリティ強化に有効です。

標的型攻撃によって実害が生じるまでには、少なくとも数時間が必要です。こまめにアクセスログを収集できる体制を整えておけば、すべてのデータを盗まれる前に気づけ、適切な対応ができます。

 

まとめ

特定のターゲットを狙った標的型攻撃は、金銭やデータの詐取、機器やプログラムなどの破壊が主な目的です。メールや脆弱性をついた攻撃、水飲み場型などの代表的な手口があるので覚えておきましょう。

標的型攻撃の手口は巧妙ですが、日ごろからの適切な対策で回避が可能です。ウイルス対策ソフトやメールのフィルタリング、従業員へのITリテラシー教育、アクセスログ取得環境の構築などを進め、迫る脅威に対抗できる環境を整えましょう。

 

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WAF+の無償トライアルはこちら

▼パートナー制度のお問い合わせはこちら

DoS攻撃とDDoS攻撃の違い

DoS攻撃とDDoSの違いは?攻撃を防ぐ対策方法まとめ

サイバー攻撃にはさまざまな種類があり、なかでもDoS攻撃やDDoS攻撃はよく知られた手法です。どちらも、ターゲットになると甚大な被害を受けかねないので、企業は適切な対策を行わねばなりません。
本記事では、DoS攻撃とDDoS攻撃の概要やそれぞれの違いなどを解説します。併せて、具体的な対策方法についてもお伝えするので、今からでも対策への取り組みを始めましょう。

 

DoS攻撃とは?

DoS攻撃(Denial of Service Attack)とは、特定のWebサイトやアプリへ意図的に負荷をかけるサイバー攻撃の一種です。1台の端末から大量のデータを送ることでサーバーに負荷をかけ、機能障害を引き起こします。

DoS攻撃のターゲットとなるのは、規模の大きなWebサイトばかりではありません。個人サイトや知名度が低いアプリであっても狙われることがあるため注意が必要です。

DoS攻撃の種類としては、通常を装って短時間に大量のアクセスを行う「フラッド(洪水)型」と、サーバーの脆弱性をついて膨大な処理を行わせたり、マルウェア感染を狙う「脆弱性型攻撃」の2つが代表的です。

 

DDoS攻撃とは?

DDoS攻撃(Distributed Denial of Service Attack)は、DoS攻撃をさらに強力にしたサイバー攻撃です。DoS攻撃が1台の端末から仕掛けるのに対し、DDoS攻撃は複数の端末からターゲットのサーバーへ負荷をかけます。

DDoS攻撃の特徴は、事前にマルウェアなどを用いて乗っ取った端末を攻撃に使うことが多い点です。マルウェアに感染した不特定多数の端末へ攻撃者が命令を出すと、ターゲットに対し一斉に攻撃を加えます。

なお、乗っ取られた端末の所有者が攻撃に気づきにくいことも、DDoS攻撃のおそろしいところです。特定のWebサイトを攻撃する意思などなくても、知らぬうちにDDoS攻撃に加担させられることがあります。

 

DoS攻撃とDDoS攻撃の違い

DoS攻撃とDDoS攻撃は、どちらもサーバーに大量のデータを送り、負荷をかけて機能障害へ追い込む手法です。
双方では、攻撃を仕掛ける端末の数に違いがあります。DoS攻撃は1台の端末で実行されますが、DDoS攻撃では複数の端末が使われます。

複数の端末で大規模な攻撃を行うDDoS攻撃は、1台のみのDoS攻撃より被害が大きくなりがちです。また、DDoS攻撃の多くはマルウェアなどで乗っ取った端末を用いることから、攻撃者が直接的に行うDoS攻撃と比べて攻撃元の特定が難しい点にも違いがあります。

 

・攻撃を行う理由・目的

これらの攻撃を行う目的のひとつとして、ターゲット企業のイメージダウンが挙げられます。サーバーに高負荷がかかると、機能障害によってユーザーがアプリやECサイトなどのWebサービスを利用できない、という状況に陥りかねません。被害を受けた企業は、セキュリティ対策が弱い、サービスが不安定で信頼性に欠ける、といったネガティブな印象をユーザーに与えます。

また、嫌がらせやいたずら、脅迫、抗議などを目的とすることがあります。「楽しいから」「困った様子を見てみたい」といった愉快犯的な犯行のほか、「金銭を支払えば攻撃を停止する」という脅迫などのために行われます。

 

DoS攻撃・DDoS攻撃で起こりうる被害とは?

DoS攻撃やDDoS攻撃によって、金銭的な被害を受けるおそれがあります。たとえば、ゲームアプリを運営している企業であれば、攻撃によって一時的に障害が発生すると、ユーザーがアイテムを買えない状況に陥るかもしれません。
このようなサービス・商品の販売機会の損失に加えて、不具合が発生する、一部サービスを利用できないといった機能不全の結果、ユーザー離れを招くおそれもあります。

ほかにも、サーバーに負荷がかかることで通常業務に支障をきたすかもしれません。業務が停止、混乱するほどの被害を受けた場合、原因究明や復旧までに時間がかかれば、その間に得られたはずの利益分の損害が発生します。

 

DoS攻撃・DDoS攻撃の対策方法3選

DoS攻撃やDDoS攻撃は、適切な対策によって防御が可能です。具体的な対策としては、同一IPや海外からのアクセス制限、対策サービスの導入、OSやアプリの常時最新化の3つです。

 

1.同一IP・海外からのアクセスを制限する

PCやスマートフォンといったネットワーク機器には、各端末を識別するためのIPアドレスが割り当てられています。
同じIPアドレスの端末からしつこく攻撃を受けているようなケースでは、特定のIPアドレスのアクセスを制限することで対策できます。なお、この方法はひとつのIPアドレスを使用するDoS攻撃に対しては有効ですが、多数の端末を用いるDDoS攻撃にはあまり効果がありません。

ほかには、アクセス分析して海外の一部の国から攻撃が多いと分かれば、その範囲でアクセス制限を実施するのも手です。ただし、グローバルに展開するサービスでは、アクセス制限した国や地域への提供ができなくなります。そのため、この方法は国内向けに限るようなサービスで有効です。

 

2.DoS攻撃・DDoS攻撃対策サービスを導入する

DoS攻撃やDDoS攻撃は、専用の防御サービスの導入によって対策が可能です。代表的なサービスとしては、WAFやUTMなどが挙げられます。

WAF(Web Application Firewall)は、Webサイトの保護に特化したセキュリティソリューションです。不正アクセスの検知機能によって、一般的な利用とDoS攻撃・DDoS攻撃を見分け、攻撃のみを止められます。ほかにも情報の搾取やシステム基盤の侵害といった脅威度の高い攻撃からWebサイトを守ります。

UTM(Unified Threat Management)は、日本語で統合型脅威管理と訳されます。コンピュータやネットワークを、外部からの脅威から守る管理手法のことです。ファイアウォールやIPS、アンチスパムなどのセキュリティツールを統合することで、効率的なセキュリティ強化を実現します。

DDos攻撃への対策としてCloudbric ADDoSがあります。Cloudbric ADDoSはDDoS攻撃の防御に特化したクラウド型セキュリティサービスです。全世界に分散配置したエッジネットワークを利用し、最大100Tbpsの大規模攻撃まで防御が可能です。
参考:Cloudbric ADDoS

 

3.OSやアプリを最新版に保つ

DoS攻撃・DDoS攻撃は、単純にアクセスを繰り返すだけでなく、セキュリティ対策を潜り抜けてアクセスを確立させられるよう、年々手口を巧妙化させています。一方で、OSやアプリもそれに対応し、見つかった脆弱性をカバーするために更新され続けます。

OSやアプリのバージョンが古いままでは、新たな攻撃手法に対応できず被害を受けるおそれがあります。こうしたリスクを軽減するため、OSやアプリは常に最新の状態で使用しましょう。定期的にアップデートを行い、最新の状態に保つことで攻撃を対策できます。

 

まとめ

DoS攻撃とDDoS攻撃は、どちらもターゲットのサーバーに過度な負荷をかけ、機能障害などを引き起こすサイバー攻撃の手口です。機会損失に伴う金銭的な被害をはじめ、顧客離れにもつながるため、企業には適切な対策が求められます。
具体的には、攻撃対策サービスの導入、OSやアプリを最新の状態で使用するなどの方法が有効です。これらの対策により、脅威から組織を守れる環境を整えましょう。

Cloudbric ADDoSは全世界70以上のエッジロケーションを活用した高度化されたDDos攻撃防御サービスです。常時トラフィックの監視がリアルタイムに行われ、発信元に近いエッジにて攻撃を分散処理することで、最大100Tbps以上のトラフィックを緩和することができます。詳細は以下のサービス概要をご確認ください。
参考:Cloudbric ADDoS

 

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WAF+の無償トライアルはこちら

▼パートナー制度のお問い合わせはこちら

ペンタ×ディーネット

ディーネットとパートナーシップ契約を締結

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、AWS WAFに特化した運用サービス「Cloudbric WMS(クラウドブリック・ダブリューエムエス)」において、株式会社ディーネット(代表取締役社長:髙橋 一男、本社:東京/大阪 二本社制、以下ディーネット)とパートナーシップ契約を締結したことをお知らせします。

ペンタ×ディーネット

 

近年、企業のみならず日本社会全体でDX(デジタルトランスフォーメーション:デジタル変革)が推進されています。中でも「クラウド化」は欠かせないもので、多くの企業がシステムをクラウドに移行する動きが加速しています。Amazonが提供するAWS(Amazon Web Services)は、グローバルにおけるクラウドインフラ市場で32%のシェアを占める*クラウドサービスで、クラウドブリックではAWS WAFに特化したサービスである「Cloudbric WMS」を展開しています。このサービスは、特許取得の高度な技術とサポート体制を備えており、AWS WAF利用の際に専門知識やリソースがない企業では運用が難しいという課題を解決できることから、今後もサービスの拡充および販路の拡大を目指しております。

ディーネットは、AWSをはじめとするパブリッククラウドの導入および運用保守、リセールサービスを提供しています。移行を含めた一気通貫の対応はもちろん、導入のみ、既存環境の運用保守のみの対応も可能です。レンタルサーバーやホスティング、クラウドの導入や運用経験から得た細やかなサポートの提供を強みとしています。

AWS WAF向けのマネージドルールは様々なものが公開されていますが、日々の運用(誤検知した場合の工数、固有の脆弱性への対応の難しさ)における負荷や、ルールの細かい内容の確認や修正ができないという課題があります。Cloudbric WMSはこういった課題を解消し、セキュリティレベルを高めつつWAFの自動運用が行えることから、今回のパートナーシップ契約締結に至りました。

このパートナーシップ契約を通じて、両社は今後多くの企業のサイバーセキュリティ対策の向上に貢献していきたいと考えております。

*Canalys 「Worldwide cloud infrastructure services spend, Q1 2023」 https://www.canalys.com/newsroom/global-cloud-services-q1-2023

cloudbric - press release

【情報】2023年第2四半期の最新Web脆弱性トレンドレポート(EDB/CVE-Report)発行

2023年第2四半期の「最新Web脆弱性トレンドレポート(EDB/CVE-Report)」を公開しました。このレポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」に公開されている情報を元に、ペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が各Web脆弱性に対する危険度及び影響度を詳しく分析したものです。特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていないお客様でもWeb脆弱性のトレンド情報を理解することができます。

 

[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]

 

2023年4月から6月までに公開されたExploit-DBの脆弱性報告件数は151件でした。
報告された脆弱性の分析内容は、以下の通りです。

 

1. Web脆弱性の発生件数:2023年第2四半期の月平均Web脆弱性発生件数は50件で、4月には最も多い64件が報告されました。

2. CVSS(Common Vulnerability Scoring System)* 推移:HIGH Level脆弱性は4⽉13%から6⽉47%まで増加傾向が見られましたが、CRITICAL Levelの脆弱性は4月34%から5月6%まで減少した後、6月47%%まで急増しました。
*脆弱性を点数で表記するため、0から10まで加重値を付与し計算する方式です。点数が高いほど深刻度が高いという意味です。

3. 上位Web脆弱性の攻撃動向:2023年第2四半期の場合、SQL Injectionが最も多く、次いでCross Site Scriptingの順でした。

4⽉: SQL Injection 56%(36件) / Cross Site Scripting 14%(9件)
5⽉: Cross Site Scripting 40%(13件) / Remote Code Execution, SQL Injection 21 %(7件)
6⽉: : SQL Injection 45%(25件) / Remote Code Execution 18%(10件)

4. Web脆弱性の攻撃カテゴリ:報告されたWeb 脆弱性を攻撃カテゴリ別に分析した結果、SQL Injection Injection(45% 、68件)が最も多く、次いでCross Site Scripting Scripting(19% 、30件)となり、全体の約6 割を占めています。この2つの脆弱性に対しては更に注意を払う必要があります。

 

当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートの分析結果に基づいたパッチ適用やセキュアコーディング作業がおすすめです。しかし、完璧なセキュアコーディングは不可能であり、持続的なセキュリティのためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。

 

 

2023上半期WATTレポートグラフ

【情報】2023年上半期 Web攻撃動向分析レポート(WATT Report)発行

2023年上半期の「Web 攻撃動向分析レポート(WATT Report)」を公開しました。このレポートは、全世界で運用中のアジア・太平洋マーケットシェア1位を誇るインテリジェント型WAF「WAPPLES」とクラウド型WAFサービス「Cloudbric WAF+」の検知データをもとにWeb攻撃データを分析し、その結果をまとめたものです。

 

2023上半期WATTレポートグラフ

 

攻撃目的別割合 、 OWASP TOP 10 Web 攻撃動向 、主要攻撃元攻撃動向および Malicious IP 数増減推移 、業種別割合 、発信元国別攻撃動向など、さまざまな観点からWeb 脅威を分析しておりますので、Webセキュリティ動向にご興味のある方はぜひ資料をダウンロードしてください。

 

 

[tek_button button_text=”Web脅威分析レポート ダウンロード” button_link=”url:report-download/#1620584379534-3db3488e-10e1″ button_position=”button-center”]

 

 

ペンタ×再春館システム

ペンタセキュリティ、再春館システムとパートナーシップ契約を締結

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、クラウド型セキュリティプラットフォームサービス「Cloudbric(クラウドブリック)」において、再春館システム株式会社(代表取締役社長:西川 正明、本社:東京都港区、以下再春館システム)とパートナーシップ契約を締結したことをお知らせします。

ペンタ×再春館システム

 

サイバー攻撃による被害件数および被害額は増加の一途をたどっています。ペンタセキュリティは、これまで企業の情報セキュリティ対策を支援するためのさまざまなサービスを提供しており、サイバー攻撃から企業のWebサイトおよびWebアプリケーションを防御できるWAF(Web Application Firewall)の必要性も年々高まっています。特にクラウドブリックのクラウド型WAFサービス「Cloudbric WAF+」は、サイバー脅威から自社を守るのに非常に効果的な対策のひとつです。

連日のように不正アクセス、DDoS攻撃等のサイバー攻撃により、企業が大きな被害に遭うケースがニュースで報道される一方、多くの中小企業は適切なセキュリティサービスを導入するための資金不足やセキュリティ人材不足問題等、企業情報を守るための課題も存在しています。再春館システムの強みであるEC、CRMの開発は、顧客情報やお客様の属性情報等、非常にセンシティブな情報を扱うことが多く、セキュリティ対策は必須事項のひとつです。

今回の販売代理店の契約締結を通じて、両社はWebセキュリティに対して中小企業が抱えている課題や多様なニーズに応えることができるように連携していきます。再春館システムの強みであるEC、CRMを中心としたシステム開発力を活用し、「Cloudbric WAF+」の販路確保と共に顧客別にカスタマイズされたWebセキュリティサービスを手軽に導入することが可能になります。

アイキャッチ_58810 中小企業の情報セキュリティ対策ガイドラインの改訂内容を解説

中小企業の情報セキュリティ対策ガイドラインの改訂内容を解説

適切な情報セキュリティ対策を行っていないと、情報漏えいにつながるだけではなく、事業停止や従業員のモチベーション低下、離職など、企業はさまざまな不利益を被ります。このような事態を回避すべく、「中小企業の情報セキュリティ対策ガイドライン」を活用しましょう。本記事では、2023年4月に第3.1版として改訂・公開されたガイドラインの内容について詳しく解説します。記事を参考に、本格的な情報セキュリティ対策への取り組みを始めましょう。

 

中小企業の情報セキュリティ対策ガイドラインの改訂

中小企業の情報セキュリティ対策ガイドラインは、企業経営者や実務の担当者が情報セキュリティ対策の重要性を正しく理解し、適切に対策へ取り組めるように知識や手法をまとめたコンテンツです。IT関連の資格試験、検定などを主催している、独立行政法人「情報処理推進機構(IPA)」が当該ガイドラインを作成しました。

当該ガイドラインは、2019年3月に第3版がリリースされましたが、それから4年が経過した2023年に内容が改訂されました。改訂された背景としては、急速に普及したテレワークが挙げられます。働き方改革の推進や新型コロナウイルス対策により、多くの企業がテレワークを導入しましたが、その結果、情報セキュリティリスクが高まりました。

また、サイバー攻撃の手口が年々巧妙化しているのも、ガイドライン改訂に至ったひとつの理由と考えられます。

関連記事:情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン

 

情報セキュリティ対策ガイドラインでの変更点

変更点として、テレワーク環境下における具体的なセキュリティ対策の追加が挙げられます。3.1版には、テレワークの方針施策とともに、具体的なセキュリティ対策の手法が追加されました。

また、セキュリティインシデント発生時における、具体的な対応方法を追加したのも変更点です。インシデントの予兆を察知したときにまず取るべき行動や、再発防止の取り組み方法なども盛り込まれました。さらに、付録として「中小企業のためのセキュリティインシデント対応の手引き」が追加されています。

 

第1部 経営者編で注意すべきポイント

情報セキュリティ対策ガイドラインは、1部と2部で構成されています。1部は経営者編となっており、対策の必要性や経営者が負う責任、やるべきことなどを記載しています。

 

・情報セキュリティ対策の必要性

情報セキュリティ対策を怠ると、企業はさまざまな不利益を被ります。金銭の損失や顧客の喪失、事業の停止、従業員のモチベーション低下、離職などです。

たとえば、情報セキュリティ対策を怠ったばかりに、顧客情報が外部へ流出し、顧客を失ってしまうかもしれません。一度失った信頼はなかなか取り戻せず、そのまま事業停止につながるおそれもあります。経営者は、組織のトップとして企業と従業員を守らなくてはなりません。そのため、当該ガイドラインで情報セキュリティ対策の必要性、重要性を正しく理解する必要があります。

 

・経営者が負う責任

当該ガイドラインには、経営者が負う責任についても記載されています。情報セキュリティ対策を適切に行わず、組織に何かしらの被害をもたらした際には、経営者にさまざまな責任が発生します。

たとえば、適切な安全管理措置を行わなかったがために、社員の情報が流出してしまい、法的責任を問われる場合があります。また、顧客情報や取引先との契約情報などが流出した場合、関係者や社会に対する責任も果たさなくてはなりません。

 

・認識すべき「3原則」

当該ガイドラインには、経営者がすべきことを3つの原則で紹介しています。

・原則 1 :情報セキュリティ対策は経営者のリーダーシップで進める
対策の推進がスムーズかつスピーディーに進むよう、経営者が先頭に立ちトップダウンで進めます。

・原則 2 :委託先の情報セキュリティ対策まで考慮する
外部へ重要な情報を提供するのなら、委託先が適切な情報セキュリティ対策を行っているかどうかも確認しなくてはなりません。

・原則 3 :関係者とは常に情報セキュリティに関するコミュニケーションを
日常的に情報共有とやり取りを行うことで、顧客や取引先、株主など業務上の関係者との信頼関係を構築・維持できます。

 

・実行すべき「重要7項目の取組」

当該ガイドラインで紹介されている「重要7項目の取組」は以下の通りです。

・情報セキュリティに関する組織全体の対応方針を定める
・情報セキュリティ対策のための予算や人材などを確保する
・必要な対策を検討し実行を指示する
・情報セキュリティ対策に関する適宜見直しを指示する
・緊急時の対応や復旧のための体制を整備する
・委託や外部サービス利用の際には、セキュリティに関する責任を明確にする
・情報セキュリティに関する最新動向を収集する

 

第2部 実践編の内容で注意すべきポイント

実践編では、情報セキュリティ5か条と組織的な取り組みの流れ、損害を防ぐための具体的な対策が記載されています。具体的な対策を立てる際の参考にしましょう。

 

・情報セキュリティ5か条

情報セキュリティ5か条は、必ず実行すべき5つの対策です。

・OSやソフトウェアは常に最新の状態にしよう!
・ウイルス対策ソフトを導入しよう!
・パスワードを強化しよう!
・共有設定を見直そう!
・脅威や攻撃の手口を知ろう!

同時にすべての項目に取り組むのは難しいと考えられるため、取り組みやすそうなものから手をつけてみましょう。

 

・組織的な取り組みの流れ

まずは、情報セキュリティに関する基本方針を定めましょう。軸となる方針がないと、対策にブレが生じるおそれがあります。また、基本方針を定めるだけでなく、従業員に周知しなくてはなりません。

次に、現状における対策の実施状況を把握します。当該ガイドラインの付録を活用すれば、容易に実施状況の把握が可能です。実施状況を把握したら、対策を決めて従業員への周知を進めましょう。

 

・損害を防ぐための具体的な対策

事業に深刻な損害を及ぼす事故を回避するための対策も、ガイドラインには記述されています。

・管理体制の構築
対策を推進し、万が一事故が発生したときスムーズに対応できるよう管理体制を構築します。

・DXの推進と情報セキュリティの予算化
DX推進によってより複雑化するリスクに対応するため、対策に必要な予算を確保しなくてはなりません。

・情報セキュリティ規程の作成
自社にマッチした規程を作成するには、対応すべきリスクを抽出したうえで対策を決定します。

・委託時の対策
委託時の対策が適切でないと、委託先と共有した機密情報が外部に流出する可能性があります。

・点検と改善
対策がきちんと実行できているか、効果を得られているか、改善の余地はないかなどを確認します。

 

まとめ

中小企業の情報セキュリティ対策ガイドラインが改訂となり、安全なテレワークを実現するための具体策やインシデント発生時に取るべき行動なども追記されました。情報セキュリティ事故が発生すると、情報漏えいや利益損失につながるだけでなく社会的な信頼を失い、事業停止にも追いやられかねません。こうしたリスクを回避すべく、当該ガイドラインを参考にしつつ適切な対策を進めていきましょう。

 

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WAF+の無償トライアルはこちら

▼パートナー制度のお問い合わせはこちら

GoldenBridgeAwards

クラウドブリック、Globeeの「第15回 2023年 ゴールデンブリッジアワード」を受賞

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)は、世界有数のビジネスアワードであるGlobee Awardsにおいて、「第15回 2023年 ゴールデンブリッジアワード」の銅賞を受賞したことをお知らせします。
※本資料は2023年7月13日にクラウドブリック株式会社(韓国ソウル)が発表したプレスリリースの抄訳です。

GoldenBridgeAwards

 

Globee Awardsは9つのプログラムから構成されており、そのうちのひとつであるゴールデンブリッジアワード(Golden Bridge Awards)は、多様な背景を持つ350人以上の専門家が厳格な審査を行い、さまざまな産業分野で優れた業績と革新性、卓越性を称える賞です。

クラウドブリックは、Cloudbric PAS(Private Access Solution/日本ではリリース時期未定)において、優れた技術力とビジネス成果が認められ、新型コロナウイルス感染症への効果的な対処と影響の最小化に貢献した(To Combat and Reduce the Impact of COVID-19)最高の製品と最高のサービス部門で銅賞に選ばれました。

Cloudbric PASは、ソフトウェア定義境界(SDP, Software Defined Perimeter)技術を活用したエージェントベースのゼロトラストネットワークアクセス(ZTNA, Zero Trust Network Access)ソリューションで、幅広いプロトコルへのアクセス制御機能を提供し、外部脅威から企業のネットワークを安全に保護します。なお、日本でのサービスリリース時期は未定です。

 

  • クラウドブリック代表 鄭 泰俊のコメント

クラウドと在宅勤務活性化でZTNAが注目されている中、SDP技術を活用したサービス型(SaaS)エージェント基盤ZTNAソリューションであるCloudbric PASの受賞を大変光栄に思います。Cloudbric PASを通じて、企業におけるゼロトラストネットワーク環境を実現し、より安全なリモート接続環境が構築されることを願っております。

 

Globee Awardsの詳細、および2023年の受賞リストは以下をご覧ください。
https://globeeawards.com/golden-bridge-awards/winners/

株式会社SIG

株式会社SIG

 

株式会社SIG

株式会社SIGは独立系IT企業として、様々な分野及び業種における情報システムや産業制御システムのようなシステム開発事業等に取り組んでいます。また、それらを支えるITインフラソリューション及びセキュリティなど幅広い分野でサービスを提供しています。

Cloudbric WAF+」の導入を検討したきっかけを教えてください。

Webサイトの構築や運営する方であれば、「WAF」という言葉を耳にしたことがあると思います。長引くコロナ禍で当社が運営するコーポレートサイトへのアクセスやお問い合わせが増加する中、Webサイトセキュリティの必要性を感じたこともあり、セキュリティ強化策として情報漏えいや脆弱性への対策としてWebアプリケーションレベルでのセキュリティ対策を最初にしておくべきだという意見も多く、WAFの導入を決定しました。

様々な選択肢がありましたが、他社と比べて費用が安く且つ性能の優れたWAFとして評価されている「Cloudbric WAF+」を導入することになりました。無償トライアル期間中においても、実際の運用環境を想定して自社環境に合ったセキュリティ対策で運用してみることができましたし、非常に使いやすかったので、そのまま実導入に至りました。

Cloudbric WAF+」選定時、最も重視されたポイントを教えてください。

導入のハードルが低く、必要な機能を必要な分だけ利用できるところが最も気に入りました。どれだけ多くの機能を搭載しているかも重要かもしれませんが、自分が考える「良いWAF」とは、新種や亜種の脆弱性をどれだけ精度高く検出できるかが左右すると思います。そういうところでいうと、「Cloudbric WAF+」を導入したのは最善の選択だったのではないかと思います。独自の「論理演算検知エンジン」を搭載して高い検知率を維持しながらも、Webサイトのトラフィック特性を学習する「特性学習AIエンジン」を用いて、最新の脆弱性にもいち早く対応できるということで、安心して任せることができました。

あとは費用面です。基本提供される機能だけでも十分で、追加費用を支払わなくともSSL証明書サービスなど様々なWebセキュリティ機能を利用できるので、無駄な支出を省くことができました。そして当社の場合、小規模のコーポレートサイトへのWAF導入であったため、プランによって受けられるサービスが異なるのではないかと多少心配な面もありました。しかし、利用プランに関係なく同じレベルの高いセキュリティを提供してもらえ、コストパフォーマンスの面で非常に満足しています。

Cloudbric WAF+」を利用した感想をお聞かせください。

よく考えてみると、個人情報や顧客情報、決済情報などを取り扱うサイトに対しては、Webアプリケーションの脆弱性対策としてWAFの導入が確かに効果的です。しかし、コーポレートサイトの場合、セキュリティ対策が比較的甘いケースが多く見受けられます。会員情報を扱っているわけでもないし、情報漏えいは心配ないということと、ECサイトや会員制サイトと比べてそんなに攻撃されることもないという認識がありますが、実際はそういうわけでもありません。Web改ざんであったり、お問い合わせフォームを利用した攻撃を行うなど様々なパターンで攻撃を仕掛けてくるため、コーポレートサイトに対しても細心の注意を払う必要があります。「Cloudbric WAF+」導入したことによって、当社サイトがこんなに攻撃を受けているという注意喚起にも非常に役立っていると思います。

Cloudbric WAF+」の導入後、効果はございましたか。

検知モードの際に、当社WebサイトにアクセスしたIPアドレス情報を共有して頂きましたが、その中から2つのIPアドレスによる大量のアクセスが確認されたことが分かりました。すぐに例外処理をして大きな問題にはなりませんでしたが、今まではこのような攻撃を受けているという意識がなかったため、正直攻撃が収まったということを実感しているわけではありません。しかし、セキュリティへの意識を高めるきっかけになったと思いますし、「Cloudbric WAF+」で明確に遮断されているという安心感もあります。

Cloudbric WAF+」を使用した際、最も気に入った機能を教えていただけますか。

セキュリティに詳しくない人にとっても、WAFを使ったことがない人にとっても、非常にシンプルで見やすく操作もしやすいところです。視覚的に飛び込んでくるダッシュボードなので、ダッシュボードにアクセスすると「Cloudbric WAF+」で実際にブロックした攻撃回数がグラフで表示され、発信国情報や攻撃目的なども一目で分かるようになっています。また、ボタンを押すだけで簡単にIPアドレスを遮断できるなど操作も簡単に行えて便利でした。

また、海外製のサービスではありますが、サポート対応がしっかりしているのもメリットだと思います。WAFの設定変更についてメールでお問い合わせしたところ、迅速且つ丁寧な対応をして頂きました。

最後に一言お願い致します。

企業インフラのクラウド化により、今まで以上にクラウド型WAFのニーズが高まると思います。数え切れないほどたくさんのWAF製品が存在しますが、中でも「Cloudbric WAF+」は競争力を十分備えた製品であると、個人的には確信しております。日本だけでも既に、7,000サイトを超える法人顧客に導入されていますが、それこそ、信頼できる確かな製品であるという何よりの証拠だといえるのではないでしょうか。WAF導入を検討される方なら、ぜひ参考にしてください。

アイキャッチ_58809 ペネトレーションテストとは?脆弱性診断との違いややり方を解説.png のコピー

ペネトレーションテストとは?脆弱性診断との違いややり方を解説

ITシステムやネットワークなどに脆弱性があると、サイバー攻撃の対象となりかねません。システムのセキュリティに懸念があるのなら、ペネトレーションテストの実施が有効です。本記事では、ペネトレーションテストの基礎知識や脆弱性診断との違い、具体的なやり方などについて解説します。実施によって得られるメリットや取り組み方を把握し、この機会にぜひ取り入れてみましょう。

 

ペネトレーションテストとは?

ペネトレーションテストとは、システムへ意図的に攻撃、侵入しセキュリティ能力を検証するテストです。ペネトレーション(penetration)は、侵入や貫通を意味する英単語であり、このことからペネトレーションテストは侵入テストとも呼ばれます。

システムに存在する特定の脆弱性や、攻撃を受けたときの被害レベルを把握するために行われるテストです。シナリオに基づきシステムへの侵入を試みるため、実施する際には専門の技術者が担当します。

なお、テストの調査対象は検証内容によって異なります。これは、悪意をもつ攻撃者が求める結果を出せるかどうか、テストによって確認するためです。

 

・ペネトレーションテストと脆弱性診断との違い

ITシステムなどのセキュリティをチェックする手法として、脆弱性診断が挙げられます。脆弱性診断とは、システム全体に存在する脆弱性を網羅するためのテストです。サイバー攻撃は、システムの脆弱性を狙ったものが多いため、どのような弱点があるのか把握し、適切な対策を行わなくてはなりません。脆弱性診断はそのために実施します。

脆弱性診断は、専門の技術者が行うこともあれば、ツールを利用するケースも少なくありません。診断によって、介在している脆弱性の特定や脅威レベルの設定、レポートへの記載などを行います。

ペネトレーションテストとの大きな違いは、目的と調査対象です。ペネトレーションテストの目的は、特定の脆弱性や被害レベルの抽出で、検証内容によって調査対象が変わります。一方、脆弱性診断はシステム全体が調査対象であり、侵入口となる脆弱性を網羅的に発見するのが目的です。

なお、目的に応じた脆弱性診断を実施したいのであれば、以下のサービスが適しています。

Cloudbric 脆弱性診断

Cloudbric脆弱性診断

 

ペネトレーションテストの種類

ペネトレーションテストは、大きく分けて内部テストと外部テストに分類されます。前者は、アプリケーションサーバやセキュリティシステムなど内部のシステム、後者は公開サーバや機器など、外部からアクセスできるシステムなどが対象です。

 

・内部ペネトレーションテスト

内部ペネトレーションテストは、アプリケーションサーバや認証サーバ、セキュリティシステム、DBサーバなど、外部とシャットアウトされた内部システムを調査対象としたテストです。これらは、外部からのアクセスが困難であるものの、攻撃の対象にならないわけではありません。

また、外部からの攻撃にしっかりと備えていても、すでに侵入されていた、内部に不正を働く者がいる、といった状況ではシステムを守り切れません。このような状況の回避や、ダメージ最小化を実現するためテストを行います。

 

・外部ペネトレーションテスト

外部ペネトレーションテストは、ネットワークを介して外部からアクセス可能な、公開サーバやシステム、機器などを対象に行うテストです。実際に専門の技術者が外部からシステムなどへ侵入を試み、脆弱性や被害レベルなどを可視化します。

外部からの代表的なサイバー攻撃と言えば、標的型メールが挙げられます。標的型メールとは、特定の対象をターゲットとしたメール攻撃です。主に、ターゲットとした組織が保有する重要な情報を盗むために用いられる手法で、マルウェアを仕込んだメールを添付して実行されるケースがほとんどです。

そのため、外部ペネトレーションテストでも、疑似マルウェアを用いて侵入を試みるテストがよく行われています。疑似マルウェアを添付したメールを送付し、侵入可能な領域などを抽出します。

 

ペネトレーションテストの手法

ペネトレーションテストには、ホワイトボックステストとブラックボックステストの2種類があります。双方に特徴があるほか、どちらを実施するかで費用が変わることも覚えておきましょう。

 

・ホワイトボックステスト

ホワイトボックステストは、システムの設計や仕様、ソースコードなどを共有して行われるテストです。すべてのロジックを対象にテストを行うため、表面化していない潜在的な脅威を検出できる可能性があります。

ホワイトボックステストを行う際、場合によっては思うような成果が得られないケースがあるため注意が必要です。当該テストは、システムの詳細設計書に基づき実施されます。そのため、詳細設計そのものに誤りがあると、正しく検証を行えず問題を抽出できません。

 

・ブラックボックステスト

ブラックボックステストは、システム情報を開示しないまま実施される侵入テストです。検証を実施する技術者に、システムの情報を何ひとつ教えないため、実際のサイバー攻撃に限りなく近いシチュエーションのもとテストを実施できる点が特徴です。

また、システム利用者の目線でテストを行えるため、システムの改善につながるヒントを得やすいのも魅力です。開発側では把握できていなかった、システムの使いにくさ、画面の見にくさなどに気づくきっかけとなりえます。

一方、システムの性能を評価するテストとしては優れていません。システムの設計や仕様といった情報を共有しないままテストを実施するためです。

 

ペネトレーションテストの手順

ペネトレーションテストを実施するには、まずシナリオを作成します。たとえば、「マルウェアが添付されたメールを従業員が開いてしまう」といった具合に、実際のサイバー攻撃を想定したシナリオを作成しましょう。

シナリオが完成したら、調査対象への攻撃を開始します。検査を行う技術者の技量によって、結果が大きく左右されることがあるため、その点に注意が必要です。

テストが終了したら、検証を担当した技術者や企業が報告書を作成し、提出します。外部に依頼する場合、報告は書面で渡されるだけのケースもあれば、結果内容について担当者が説明してくれることもあります。このあたりの対応は、依頼先によって異なるため、事前に確認しておきましょう。

 

まとめ

実際のサイバー攻撃を想定したペネトレーションテストの実施により、脆弱性の特定と適切な対策が可能です。各種システムのクラウド化が進む昨今では、クラウドセキュリティの重要性が高まっています。クラウドを含めたシステムの情報セキュリティに問題があると、機密情報の漏えいにつながり、社会的な信用を失いかねません。このような状況を回避するためにも、セキュリティ向上を実現できるペネトレーションテストの実施を検討してみましょう。

 

 

▼Cloudbirc 脆弱性診断の詳細はこちら

▼製品・サービスに関するお問い合わせはこちら

▼パートナー制度のお問い合わせはこちら