シャトレーゼ株式会社

株式会社シャトレーゼ

株式会社シャトレーゼ

株式会社シャトレーゼは素材にこだわった安全・安心なお菓子作りを行っています。自社工場近隣の契約農家から毎日新鮮な卵や牛乳、フルーツを使用し、ケーキや洋菓子、和菓子、アイスなど約400種類のスイーツを全国のシャトレーゼで販売しています。

Cloudbricの導入を検討したきっかけを教えてください。

シャトレーゼのホームページは十数年前に作られたものですが、比較的最近まではアプリケーションの脆弱性やセキュリティに関するところなどにあまり意識がありませんでした。それが、2015年に大規模な情報漏洩事件が国内外で続々と報じられたこともあり、「情報の管理体制を見直すべきだ」という声が上がってきました。数万人規模の会員を保有しているうちのホームページの場合、オンラインショップを通じての通信販売にも積極的で、沢山のお客様の個人情報を取り扱っていました。そういうわけで他社のWAFも含めて総合的に精査・検討した上で2018年、クラウドブリックのWAFの導入を決めました。そして、今回新しくロンチングしたYATSUDOKIという別ブランドのホームページに対しても、セキュリティを充実にさせたいというところでクラウドブリックを導入しています。

WAF選定時、最も重視されたポイントを教えてください。

コストです。費用対効果と言い換えられますが、クラウドブリックは非常にコストパフォーマンスに優れていると思います。企業規模に合わせて、エコノミーやビジネスなど様々なプランが用意されていたため、最適なプランで最高のセキュリティを導入することができています。

それに、無償トライアル期間中に実際使ってみてからずっと感じていたことでもありますが、管理画面のUIが使いやすくて機能面でも充実しているところがメリットだと思います。いくら良い機能がついていたとしても、使われない機能になってしまうと結局意味がないと思いますので、期間バーを少し調整するだけで特定の日の検知数を簡単に確認できるなど、必要な機能を分かりやすく、詳しく提供してもらえることは、ユーザの立場としてはかなり重要なポイントだと思います。

クラウドブリックを利用した感想をお聞かせください。

クラウドブリックの導入後、大変満足しておりまして感想を一言でいうと「導入しやすさ、運用のしやすさ、手厚いサポート」ですかね。普通、情報セキュリティに詳しくないと導入時の敷居も高くなりがちですが、クラウドブリックはその点について不便に思ったことは全くありませんでした。導入や運用のしやすさについては導入前にも説明していただきましたが、実際に導入・運用してみたらそれが思った以上に簡単でした。そして困ったことやお問い合わせに対して電話やメールで快速・丁寧に対応して頂きますし、導入時も、導入後も変わらない手厚いサポートを受けておりますので業務効率も高めることができました。Webサイトセキュリティはクラウドブリックに任せられるのでいつも安心して他の業務に取り組むことができます。

クラウドブリックの導入後、効果はございましたか。

大手企業N社のWAFがDDoS攻撃と間違えて正規のアクセスまで拒否してしまうということもあるらしいですが、他のWAFと違って基本ソフトが単純なパターンマッチングではないということで、ロジックを見極めて攻撃を検知・遮断するという方式だったのも導入時にクラウドブリックに決定した大きなきっかけでした。実際運用してみたら、シグネチャー型と違って攻撃パターンの更新がいらないため、非常に稼働率が高く手間がいらなかったです。そして、クラウドブリックWAFに採用されているAIエンジンにより誤検知がさらに軽減され攻撃だけを検知、遮断できるようになり、さらに高度なセキュリティを確保できたと思います。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

ダッシュボード機能です。これによりサイバー攻撃の見える化が実現できました。クラウドブリックではダッシュボード機能によりリアルタイムで攻撃状況を把握できます。それでITリテラシーの低い従業員でも視覚的に状況を確認することができています。そして、攻撃に関する詳しい情報やセキュリティ現況などをレポート出力できるため、関係者での情報共有や報告にも容易だと思います。

最後に一言お願い致します。

昨今、サイバー攻撃は激化の一途をたどっていると思います。ホームページについても連日、情報漏洩のニュースもあり、こうしたWebアプリケーションへの攻撃対策は必須です。クラウドブリックを導入することで安心してホームページを運用できるようになっております。弊社の場合海外にも店舗があって、それ用のWebサイトも構築するなど、今後も活発にビジネスに取り組みたいと思います。新規でホームページを立ち上げることになった場合は、積極的にクラウドブリックを活用していきたいと思います。

Interline2

INTERLINE株式会社

INTERLINE株式会社

INTERLINE株式会社は、ITサービス事業を基盤としてITソリューション事業、オンライン英会話サービス事業を展開し、業界をリードする高品質のITサービスを提供しています。

Cloudbric導入を検討したきっかけを教えてください。

まずは、セキュリティ対策に対するお客様からのニーズが強かったためです。お客様に安心してWebサイトを利用していただくためには徹底したWebセキュリティ対策が必要だと考え、解決方法としてWAFの導入を検討することになりました。その中でも手軽に導入できる上、高レベルのセキュリティを備えたクラウド型のWAFサービスを導入することで、弊社の目的を達成できると思いました。

様々なITソリューションや製品を取り扱っている弊社の立場としては、最適な選択肢をお客様に提供するべき義務があると思います。そこで、お客様に自信をもって提案できるような製品を選択するために、様々な企業のWAFサービスを価格、機能、サポートなど様々な角度から比較検討した結果、クラウドブリック(Cloudbric)を選択することになりました。

WAF選定時、最も重視されたポイントを教えてください。

セキュリティに関して最も重要視していたのは「技術力の高さ」でした。クラウドブリックを選んだ一番の理由は、グローバルから認められている独自の技術力があったからです。Webセキュリティに対する意識が高まっていることもあり、現在様々なWAFが出回っています。もちろん国産の製品も多かったのですが、サイバー攻撃というのは時間や場所を問わず全世界どこからでも来るため、世界で通用する製品を導入したいと思いました。クラウドブリックのロジックベースの検知エンジンは様々な受賞歴を持ち、55ヵ国にサービスされ高い評価を受けていることから、高い技術が証明されたと判断しました。コストパフォーマンスが良いという評価もあり、リアルタイムなサポート対応が可能だという点も選定を後押ししました。

クラウドブリックを利用した感想をお聞かせください。

一言でいうと、予想外に便利で驚きました。WAF導入の際に様々なポイントを考えながら真剣に検討したつもりではありますが、弊社としては初のWAF導入ということもあり、少々不安が残っていました。クラウドブリックがグローバルから認められていることが採用の決定的な理由でしたが、国産ではなかったので、日本語の対応や運用・サポート面での不安もありました。

しかし、実際クラウドブリックを導入すると、サポートチームによるリアルタイム対応体制がしっかりと整っていたので、無償評価の時から問題が発生してもスムーズに解決できました。また、ダッシュボードも完全に日本語化されていたので、Webサイトの状況確認も非常に容易でした。結果的に、クラウドブリックを選んで大変満足しております。

クラウドブリックの導入後、効果はございましたか。

「Webサイトがしっかり守られている」という安心感があります。サイバー攻撃の脅威にさらされていることを分かってはいましたが、目に見えないためその危険性を体感することはなかなか難しい状況でした。しかし、クラウドブリックのダッシュボード上でWebサイトへの攻撃を実際に確認できるようになったため、Webサイトの状況を正確に把握でき、快速な対応ができるようになったということが一番のメリットだと思いました。

そして、実際使用してみたからこそWAFの重要性や機能などを詳しく知ることができたと思います。導入当時から頻繁なお問い合わせへのリアルタイムでの対応や、定期的に行われるウェビナーを通じたクラウドブリックの新機能やアップデータなどの情報を通じ、運用に非常に役立てています。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

ダッシュボードです。ユーザフレンドリーで魅力的でした。特に、UIがシンプルで分かりやすく設計されていて非常に使いやすかったです。簡単な操作で様々な情報を確認することができました。例えば、期間バーを調整して自由に期間を設定することもできるし、どの国や地域から攻撃してくるのか、どのような攻撃が発生したのかなど、その期間に該当するWebサイト状況を確認できます。 日本語に完全対応しているため、セキュリティに詳しくない初心者であっても簡単に情報を把握することができると思います。

最後に一言お願い致します。

最近、在宅勤務の増加とともにWebサイトへのアクセスが増えているため、WAF導入はもはや必須といっても良いでしょう。クラウドブリックを導入し、実際運用してみたからこそ自信をもって言えることは、「価格とコストパフォーマンス」、「リアルタイムなサポート」、「運用・設定の容易性」など、クラウドブリックはどの面からみても非常に優れているWAFサービスだということです。

弊社としては、実際使用してみた経験やノウハウを活かし、今後ECサイトや個人情報を多数取り扱っているお客様に対してクラウドブリックを積極的に提案していきたいと思います。そして未来には、クラウドブリックがWAF市場をリードするトッププレイヤーになって頂きたい、と思います。

8

Bブロックチェーンメディア

業種 ソフトウェア開発・供給
規模 ベンチャー企業
導入時期 2020年
※本事例は、お客様のご希望により匿名で掲載しております。

弊社の提供しているブロックチェーン技術自体がいかに安全だとしても、ブロックチェーン基盤のサービス運用がITシステム上で行われる以上、Webやアプリケーションへのセキュリティ対策をしっかりとる必要があります。(Bブロックチェーン メディア担当者)

 

WAFを導入したきっかけ

「Webサイトを利用するユーザの個人情報を安全に守りたい」

弊社はブロックチェーン基盤のフィンテック決済ソリューションの開発及びビジネス統合プラットフォームを運営しております。ユーザの流入を拡大するために、昨年からWebやアプリケーションなど様々な経路を通じてサービスを提供してきました。そして、ブロックチェーン基盤のサービスがいかに安全だとしても、サービスがWebサイト上で行われる以上、ユーザとの接点になるWebサイトのセキュリティを確報することが最も重要な課題だと判断しました。そこで、Webアプリケーションに対する総合的なセキュリティ対策としてWAF(Webアプリケーションファイアウォール)を導入することになりました。

 

クラウドブリック(Cloudbric)を選択した理由

「高い評判とダッシュボード機能、そして信頼性」

知り合いのITベンダーから勧められた製品を含み、最終的に残った候補の中の1つがクラウドブリックでした。1ヶ月の無償トライアルを通じて実際使ってみた結果、セキュリティ専門家でなくても非常に使いやい、という結論を導き出すことができました。
リアルタイムで攻撃状況を一目に確認できるダッシュボード機能と、疑わしい攻撃に対し管理画面上での1回のクリックで即遮断できるという操作の容易さが印象的でした。また、2019年には有名なIT製品の比較・検索サイトでWAF部門の1位を獲得したこと、そしてすでにクラウドブリックを導入している企業から好評を受けていることなどを考慮しつつ、慎重に検討を進め導入を決定しました。

 

クラウドブリック(Cloudbric)の導入効果

「サイバー攻撃を即時に検知・遮断でき、再発も防げた」

弊社の場合、サービス拡大によるセキュリティ面での不安を抱えていました。弊社のプラットフォームもまた個人情報を取り扱っているため、情報漏洩が最大の懸念事項でした。クラウドブリックの導入3ヶ月後、1日間に約5,000件に及ぶ攻撃が試されたことを知りました。しかし、クラウドブリックによりこれを即時に検知・遮断できたので、大きな事故にはなりませんでした。レポートを通じ詳しい攻撃内容を確認でき、このような攻撃の再発を防げますので、これからも安心してWebサイトの管理ができると思います。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

「うちは、小さな企業だからサイバー攻撃を受ける可能性は極めて低い。なぜセキュリティ対策に予算と人的リソースを投入すべきなのか」と思われる方もいるかもしれません。自分の経験からいいますと、セキュリティ対策において企業規模はさほど重要ではありません。ハッカーらは企業規模によって攻撃を行うわけではなく、わずかな隙間を発見するとそれを狙って攻撃を行うからです。むしろセキュリティ対策がしっかりできていない小さな企業だからこそ、大きな被害につながる可能性が高いと言えるでしょう。

弊社のようなベンチャー企業は、たった1回の情報漏洩事故でも経済的な損失に加え企業としての信用も損なうことになりますので、絶好のビジネスチャンスを逃すという結果につながります。そういった意味では、クラウドブリックはWebサイトを安全に守るための、Webセキュリティ対策の初めの一歩だと思います。クラウドブリックの導入こそが、中小企業に合ったリーズナブルな価格で検証されたWAFを利用できる、最善の選択だと思います。

 

wizlynx group

クラウドブリック、wizlynx group社によるWebアプリケーションペネトレーションテストを実施、Web脆弱性に対する検知能力を検証

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)は9月28日、自社が提供するクラウド型WAF「クラウドブリック(Cloudbric)」(サービスサイト:http://139.162.127.206/jp)について、スイスのセキュリティ専門企業のwizlynx group社によるWebアプリケーションペネトレーションテスト(侵入テスト)で優秀な成績を納めたことを明らかにした。

一般社団法人JPCERTコーディネーションセンターによると、2020年4月から6月まで発生したサイバーセキュリティインシデント報告件数は10,416件で、前四半期の6,510件からおよそ60%増加したと報告され、Webセキュリティに対しさらに徹底したセキュリティ対策が求められている。

wizlynx group社はインフラ及びネットワーク情報セキュリティソリューション分野で豊富な経験を持っている。アメリカ、ドイツなど7か所の海外拠点を有し、全世界にサイバーセキュリティサービスを提供する企業である。特に、セキュリティ業界で認められた高いレベルのセキュリティ監査及びペネトレーションテストのサービスを提供している。

今回のテストは、クラウドブリックの性能を検証し、日本及びグローバル市場においての競争力をさらに強固にするために依頼したもので、セキュリティ教育機関の SANSトレーニングを修了し、CRESTやCIACなど、セキュリティ資格を獲得している専門家たちによる検証が行われた。また、オープンウェブアプリケーション・セキュリティプロジェクト(OWASP)テスティングガイドに基づき、オープンソースセキュリティテスト方法論マニュアル(OSSTMM)及びペネトレーションテスト実行基準(PTES)などのセキュリティ基準に沿ったペネトレーションテスト(侵入テスト)が行われた。

テストでは、合計1,738回の攻撃ペイロードを適用し、全ての攻撃がクラウドブリックにより検知・遮断されることを確認した。これにより、Webアプリケーションに対する最も重大なセキュリティリスクのOWASP Top10及び様々な脆弱性に対応可能であることが証明された。

ペンタセキュリティ日本法人代表取締役社長の陣は、「最高レベルのwizlynx社のペネトレーションテストで優秀な成績を納めることで、クラウドブリックの優秀な性能が検証されたと思う」とし「ハッカーの手口がますます高度化し巧妙化する中、我々は今回の結果にとどまらず、クラウドブリックのさらなる性能向上を目指して努力していきたい。また、18カ国28カ所のリージョンから、日本及びグローバル市場拡大に向けてクラウドブリックの競争力を強固にしていきたい」と述べた。

Main

WAFを選ぶ際、チェックすべき4つのポイントとは

近年、企業のWebアプリケーションの脆弱性を狙ったサイバー攻撃が多発し、その有用なセキュリティ対策としてWAF(ワフ)を導入する企業が増えています。現在色々な製品が市場にでていますが、どういった基準で選定すべきなのか、今回はWAFを選ぶ際に見るべき4つのポイントを中心にお届けします。

 

ウェブ脅威を可視化し遮断するWAF(ワフ)

WAFはWeb Application Firewallの略で、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。Webサーバーの前段に設置して通信を解析・検査してWebサイトを保護し、不正ログインを防ぐ役割で用いられます。Webサイトやインターネット上のサービスは今や重要な社会インフラとなっています。オンラインショッピング、ネットバンキングを始め、ゲーム、SNSなどエンターテインメントでの利用、企業間での受発注などビジネスでの活用等、Webサイトの活用はどんどん広がっています。そうした社会インフラとしての拡大に伴い、Webサイトはサイバー攻撃の格好のターゲットにもなっています。

引用:JPCERT/CC

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)による最新のインシデント報告対応レポート(2020年4月1日~2020年6月30日)によると、フィッシングサイトに分類されるインシデントが73.9%、スキャンに分類されるシステムの弱点を探索するインシデントが13.8%、Webサイトの改ざんによるインシデントが4.1%を占めています。ここで脅威の1位に位置するフィッシングサイトのインシデントは、この期間で3,839件発生しています。クロスサイトスクリプティング(Cross-site Scripting、XSS)攻撃やSQLインジェクション等を用いて信頼できるWebサイトに悪意のあるスクリプトを埋め込んだ後、フィッシングサイトへ訪問者を誘導し、マルウェアに感染させたり秘密情報・個人情報の漏えいを起こしたりします。また、対象のウェブサイトを改ざんすることも可能です。企業がもしこうした攻撃を受けた場合の被害はかなり深刻なものとなりますが、WAFを用いる事でこうした高度なサイバー攻撃を防御することも可能になります。

 

WAFを選ぶ際に見るべき4つのポイント

1. 初期費用・運用コスト

まずは、初期費用と運用コストを合わせた総合的なコストを考慮する必要があります。導入にかかる費用に関しては、導入時の初期費用だけに目を奪われないよう注意する必要があります。自社での運用が発生する場合や、稼動状況に応じてコストが膨らむケースも想定されます。そのため、コストは導入と運用のトータルでのコストを比較するようにします。オンプレミス型や複雑な製品等、自社での運用が前提のものは、自社内で人員リソースを確保する費用も発生します。クラウド型のWAFなら専用ハードウェアを必要としないため、導入が簡単で運用の手間も少ないと言われています。従業員の運用スキルの有無も考慮してタイプも選定しましょう。

2. セキュリティのクオリティ

自社に合わせたWAFを選ぶためには、最適なセキュリティレベルで稼動できるかどうかも重要です。セキュリティレベルが低いと、導入しても意味がありませんし、高度過ぎると場合によっては正常なアクセスを遮断してしまい、結果としてWebサイトやアプリケーションの利便性を損なう危険性があります。またセキュリティ強度が高くなるほど、誤検知率も高くなる可能性があります。検知率、誤検知率、性能面において総合的に優れた製品を選ぶようにしましょう。

3. サポート体制

緊急時のサポート体制が整った企業の製品であることは言うまでもありません。WAFを適切に運用するためには高度な知識が必要です。また、セキュリティ製品という性質上、未知の事象に遭遇する場面も多く存在します。何かあった時、しっかりしたサポートが受けられるのかどうかは事前にしっかり確認しておく必要があります。

4. 導入実績

導入実績が豊富な製品は最新のセキュリティに対応するノウハウ・経験が蓄積されています。実績に比例して、ノウハウやナレッジが十分蓄積されていると考えられます。多くの顧客に選ばれているということは、多種多様な業種のセキュリティニーズに応え、質の高い製品とサービスを提供できているという証でもあります。実績が多い製品は、セキュリティ製品として信頼されていると見ることができるため、確認すべきポイントの一つです。

 

さいごに

Webサイトを守るセキュリティ対策としてよく知られたものに、FW(ファイアウォール)やIPS(不正侵入防御)があります。すでにFWやIPSによる対策をしていても、対策は十分と言えません。FWはネットワークレベルでのセキュリティ対策です。送信元と送信先の情報(IPアドレスやポート番号など)を元にアクセスを制限します。ポートスキャンなどの外部公開が不要なサービスを狙った通信は制限できますが、通信の中身までは検査しません。80番ポートや443番ポートへの通信など、正常な通信を装った攻撃には対処できません。IPSはプラットフォームレベルでのセキュリティ対策です。OSやミドルウェアのぜい弱性を悪用した攻撃や、ファイル共有サービスへの攻撃など、さまざまな種類の攻撃を検査・防御します。しかし、Webアプリケーションへの攻撃は多種多様に増えており、アプリケーション固有の脆弱性を狙ったもの等、高度化した攻撃を防ぎきれないケースがあります。WAFはFWやIPSよりも上位のアプリケーションレベルでのセキュリティ対策で、Webアプリケーションに特化した防御対策です。WAFとFW、IPSはそれぞれ異なるネットワークレベルで機能します。WAFを導入すればFWやIPSが不要になるといったことではなく、どれが欠けてもセキュリティレベルが落ちるため、それぞれで補完しあうことが必要です。WAFを選ぶ際は、ここであげたポイントを基に、コスト、セキュリティ、サポート、導入実績で優れた製品を選ぶようにしましょう。

 

導入実績1万件を超えるクラウドブリック(Cloudbric)

クラウドブリック(Cloudbric)はクラウド型WAFサービスで、アジア・太平洋マーケットシェア1位のWAF「WAPPLES」のロジックベースの検知エンジンを搭載し、既知の攻撃パターンだけでなく高精度な新種の攻撃にも対応可能です。独自のロジックベース検知エンジンを使用し検知率、誤検知率、性能面にて優位性を確保しています。その技術力は世界の専門家にも認められ、全世界13,500以上、国内5,500以上のユーザに支持されています。
従来のシグネチャー基盤のWAFでは検知できない未知や亜種の攻撃に対応し、不審なトラフィックが発見されると事前に設定されたクラウドブリックの約26種の検知ルールをベースに攻撃を類型別に分析及び検知します。シグネチャーを使用しないため、頻繁なシグネチャーのアップデートなしに脅威を防止することができます。高セキュリティながらリーズナブルな価格で導入可能であり、追加料金不要でWAF・DDoS対策・無償SSL証明書が利用できます。24時間365日安心の監視体制と専門家による手厚いサポートも受けられます。既に導入実績も1万件を超え、高品質な独自セキュリティ、コスト、サポート体制と全てのポイントにおいて高い評価を得ています。

main

クラウドブリックの花形、ダッシュボード機能をご紹介します!

クラウドブリック(Cloudbric)は2015年からクラウド型WAFサービスを始めており、約4年ぶりとなる2019年には日本の某IT製品まとめサイトでWAF部門の1位を獲得するなど、日本のお客様から盛大な支持をいただいています。クラウドブリックはお客様の便利のための機能を多数提供させていただいておりますが、その中でも特に好評をいただいているのが、「ダッシュボード」機能であります。そこで今回は、そのダッシュボード機能の詳細を紹介させていただきます。

クラウドブリックは、サービスを利用されていない方でもダッシュボード機能を体験なされるよう、デモページを提供しております。まずは、こちらのリンクから2番目の「cloudbric-demo.site」をクリックしてください。すると、次のようなページが現れます。

これが、クラウドブリック ダッシュボードのメインページになります。もし、「日本語版ではなく英語版が出力される」という方は、お手数ですが、サイト最下段の右側にある言語設定にて、設定を日本語に変えていただければ幸いです。
それでは、詳細を紹介させていただきます。

 

サイトの状況を一目で瞬時に把握できるレイアウト

ダッシュボードでは、ユーザが設定した期間内のWebサイトのステータスや、攻撃数とその目的・手段など様々な情報を一目で把握することができます。今回は、期間を2020年6月に設定し、詳細を調べていきましょう。

まず、緑色のボックス(1)の部分を通じ、現在の月次及び直近の三か月の中で一つを選択した後、オレンジ色の矢印(2)の部分を操作することによって、ダッシュボードで確認する期間を決めることができます。それによって現れる「Webサイトのステータス」では、攻撃数、閲覧数、ハッカーの数、閲覧者数を確認できます。現在は青色のボックス(3)に攻撃数と閲覧数に関するグラフが表示されておりますが、赤色のボックスの部分(4)をクリックすることによって、ハッカーと閲覧者数に関するグラフを表示させることができます。

また、そこから下へスクロールしていただくと、攻撃数の詳細を確認していただけます。まず攻撃マップの場合、赤色のボックス(1)内にある移動・拡大・縮小機能を利用し、全世界からの攻撃を視覚的に認識することができます。次に、オレンジ色のボックス(2)の部分をクリックしていただくと、指定された期間内での攻撃頻度数によって上位に位置されたIPを即時に遮断、またはその解除をされることができます。

なお、緑色のボックス(3)をクリックしていただくと、攻撃頻度数によって整列された国家を下り順に閲覧することができ、それに対する遮断やその解除も即時に行われることができます。また、青色のボックス(4)をクリックすることによって、ハッカーの動向だけではなく、Webサイトに対する全閲覧数に関する情報をご覧になることができます。単純にWebサイトに対する接続動向を調べたい、という時に便利な機能です。

 

完全なローカリゼーションにより、全ての項目を日本語で確認可能

先ほど、ページ情報を閲覧数に設定したその左をクリックしていただき、設定を攻撃数に戻していただくと、指定された期間内の攻撃目的・攻撃ターゲット・最新の検知ログ及びその一覧を確認されることができます。

実は、この部分は「完全な日本語で構成されていて他のWAFのダッシュボードより理解しやすい」という好評を多数受けております。まず、赤色のボックス(1)では期間内で最も多かった5つの攻撃理由を、日本語にて提示しております。この情報は、そのすぐ上にある円型グラフでもご確認いただくことができ、発生した各攻撃理由が全体から占める割合を直観的に把握できるようになっています。また、青色のボックス(2)ではリアルタイムの最新検知ログのなかで発見された攻撃名を、日本語で提示しております。最後に、緑色のボックス(3)の部分をクリックしていただくと、すべての検知ログを一覧されることができます。是非、お試しください。

 

報告の手間を省く、月間レポート作成機能

最後にご紹介するのは、月間レポート作成機能です。ITシステムを担当されている方なら、誰にしろ一回は報告方法についてお悩みになったのではないでしょうか。クラウドブリックの場合、ダッシュボードを通じ月間レポートを自動で作成できるので、報告に掛ける手間を少しでも省けられると思います。ページの上段にお戻りいただき、「レポート」をクリックされると、次のようなレポートページが現れます。

ご覧の通り、ダッシュボードを通じて提供されるレポートは次の内容で構成されています。

  • 指定した月次の状況サマリー
  • ブロックされた攻撃の概要と、最も多かった攻撃の解説
  • 上位の攻撃元IPアドレスと、全世界で最も危険だと判断された攻撃元のIPアドレス
  • 上位の攻撃目的と、主な攻撃目的の割合
  • 上位の攻撃発信国

そして、特にご注目いただきたいのは、これらの内容を含む「直近3か月のレポートを作成できる」点と、PDFファイルにてそのレポートをダウンロードできるという点です。次のイメージをご覧ください。

赤色のボックスの部分を通じ、直近3か月の中でどの月次のレポートを作成するかを決めることができます。また、青色のボックスの部分をクリックしていただくと、現在ご覧になられているレポートをPDFファイルにてダウンロードすることができます。随時に最近の状況を確認できるだけではなく、参考資料として保存もできるとして、実際にお客様から高い評価を得ています。

 

さいごに

いかがだったでしょうか。このようなダッシュボード機能は、Web上だけではなくモバイルアプリという形でもご提供しておりますので、PCを使うことができない場合にも、Webサイトの状況を瞬時に把握することができます。

また、クラウドブリックのメインページからも、サポートの「無償評価お申込み」をクリックされた後、「サービス体験」と「cloudbric-demo.site」をクリックすることでダッシュボード機能をご体験できます。ご参照いただければ幸いです。
これからも、お客様の便利と安全のために、クラウドブリックは日々努力してまいりますので、これからもご関心を是非、お願いいたします。

6

A百貨店

業種 各種商品小売業
規模 大企業
導入時期 2019年

※本事例は、お客様のご希望により匿名で掲載しております。

ビジネスにおいて、一回失った信頼を取り戻すことは非常に難しいと思います。セキュリティ事故が発生した場合、莫大な被害が発生するだけではなく、お客様の信頼を失うことになるため、事前にしっかりとしたセキュリティ対策を整えることが非常に重要だと思います。特に、多数のお客様の個人情報を取り扱っている弊社としては、さらに強力なセキュリティ対策を取る必要があると判断しました。(A百貨店 ITインフラ担当者)

 

WAFを導入したきっかけ

「お客様の個人情報保護とリスクヘッジの実現」

弊社が運営している百貨店ECサイトはお客様を対象にする会員制サイトであるため、普段から個人情報の取り扱いには幾分気を使っていました。しかし、2018年から1日平均接続者数が増えるにつれ、管理すべきデータも急増してきました。お客様の個人情報をより安全に管理するために現在のセキュリティ対策が十分なのかを再検討した結果、Webサイトに対する新たなセキュリティ製品を導入することを決めました。その中で、「お客様の個人情報保護」と「リスクヘッジ」の両方を実現できるWAF(Webアプリケーションファイアウォール)が候補に挙がり、導入にまで至りました。

 

クラウドブリック(Cloudbric)を選択した理由

「導入の容易性、高い信頼性、合理的な価格」

数々のWAFを比較するにあたり、次の3つのポイントを考慮しました。

  • 簡単に導入や運用できるか
  • 性能面で信頼できるか
  • 合理的な価格で利用できるか

WAFを導入するとき、導入にかかる手続きが複雑だったり、要する時間が長い場合にはIT担当者に相当な負担がかります。クラウドブリックの場合、クラウド基盤で提供されるため、システムを停止せずDNS情報を変更するだけで導入できるという点が大きなメリットでした。
また、個人的にセキュリティソリューションで最も重要なのは「性能面で信頼できる製品なのか」という部分だと思いますが、クラウドブリックは特許技術を保有しており、グローバルから技術力を認められ受賞した履歴を持っていますので、この部分も意思決定に大きく作動しました。日本・米国・韓国で特許を持ち、グローバル受賞歴も持っているという事で、クラウドブリックに対する信頼がさらに増しました。
最後に、合理的な価格設定も大きなメリットだと感じた部分です。優れた技術を提供しながらも企業の状況に応じ多彩なプランを提供しており、柔軟な価格設定のおかげで思ったよりもコストを抑えることができました。

 

クラウドブリック(Cloudbric)の導入効果

「発生していたのかすらわかっていなかった、サイバー攻撃の存在を認知」

クラウドブリックを導入し間もなく、大量のサイバー攻撃を受けたという事を確認できました。クラウドブリックで提供されているダッシュボード機能を使い、サイバー攻撃状況をリアルタイムで確認し、遮断することが可能になったのです。このユーザインターフェースを通じ、三日間にわたった集中攻撃の中84.94%がSQL Injectionによる不正アクセスであり、個人情報の漏えいを目的としていたことを把握できました。もし、攻撃が起きていたこと自体を認知できない状況だったら、大きな事故が発生することは間違いなかったでしょう。事前に防止することで、大きな被害を防ぐことができました。
もう一点便利な部分を挙げるとすれば、クラウドブリックはダッシュボードを通じ把握できるサイバー攻撃の情報及びセキュリティ状況に関するレポートを毎月作成してくれます。一目で攻撃状況に目を通すことができ、またその報告書を社内報告にも使え、業務の手際を軽くするという点も自分にとっては大きなメリットです。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

大きな事故と化す可能性があったサイバー攻撃を経験した後、さらにWAFの必要性を痛感するようになりました。目にも見えず、いつ起こるか予想すらできないサイバー攻撃はまさに「潜在的な脅威」であり、そこに費用を費やすという事を疑問に感じられるかもしれません。今までよかったからこの先もよいだろう、と思う方も多数いらっしゃるでしょう。しかし今回クラウドブリックを導入して感じたことは、「Webサイトを持ち、個人情報を取り扱う」企業ならどの企業でもハッカーのターゲットになる、という事です。備えあれば患いなしという言葉通り、あらかじめ対策をとっておく必要があるでしょう。
WAFの導入を検討している企業の方なら、コスト、性能、便利性全てを満たすクラウドブリックを利用することをお勧めします。

 

Webアプリケーションに潜む脆弱性TOP10を分析! 『OWASP Top 10 2017』とその対策

最新のWebアプリケーション脆弱性 Top 10をまとめた「OWASP Top 10」とそのセキュリティ対策を紹介

『OWASP Top 10』をご存知でしょうか? これはOWASP(Open Web Application Security Project:オワスプ)が選定した最も重大なWebアプリケーションセキュリティリスクのリストで、2~3年に一度発表されています。その時期に特に流行していて大きな被害が続出しており、Webセキュリティの警戒をしなければいけない項目がリスティングされています。今回は最新の『OWASP Top 10 2017』の内容を精査し、流行しているWebセキュリティの危機とその対策をご紹介します。

 

OWASP Top 10とは

OWASPはアメリカ東部メリーランド州に本部を持つ非営利組織であり、Webアプリケーションのセキュリティに関する研究や、ガイドラインの作成、脆弱性診断ツールの開発、イベントの開催等、多岐に渡る活動を2001年から行っています。OWASPは Webに関する脆弱性やリスク、攻撃手法、事例、情報漏えい、悪性ファイルやスクリプト、攻撃コードやマルウェアなどを研究しています。そして『OWASP Top 10』はWebセキュリティ上で多発する脅威の中で、その危険度が最も高いと判断された10個のトピックがまとめられたものです。

『OWASP Top 10』では、「悪用のしやすさ」「弱点の蔓延度」「弱点の検出のしやすさ」「技術面への影響」「ビジネスへの影響」の観点で、それぞれに点数をつけリスクの高さを可視化し、危険度の高い10種類の脆弱性を整理しています。具体的にはそれぞれの指針を3段階で評価し、「悪用のしやすさ」「蔓延度」「検出のしやすさ」の平均を求め、その数値と「技術面への影響」の数値の積を求めたものを総得点としています。『OWASP Top 10』は2~3年に1回更新されており、2020年現在の最新版は2017年に発表された「OWASP Top 10 2017」となります。「OWASP Top 10 2017」は、アプリケーションセキュリティの専門企業から寄せられた40以上のデータと、500人以上の個人による業界調査に基づいており、数百の組織の10万以上に上る実際のアプリケーションおよびAPIから集められた脆弱性データをもとにしています。

OWASP 2017で挙げられているTop 10の脅威は次の通りです。

  • A1:2017:インジェクション
  • A2:2017:認証の不備
  • A3:2017:機微な情報の露出
  • A4:2017:XML外部エンティティ参照(XXE)
  • A5:2017:アクセス制御の不備
  • A6:2017:不適切なセキュリティ設定
  • A7:2017:クロスサイト・スクリプティング(XSS)
  • A8:2017:安全でないデシリアライゼーション
  • A9:2017:既知の脆弱性のあるコンポーネントの使用
  • A10:2017:不十分なロギングとモニタリング


引用:OWASP

上記は「OWASP Top 10 2013」と「OWASP Top 10 2017」のリストです。OWASP 2017で取り上げられた問題点のほとんどが2013でも見られ、その内容もまた酷似しています。これは WebアプリケーションのセキュリティがWebの進歩にまだ十分追いついていないことを示しています。次項ではTop 10の脅威について、1つずつ解説します。

 

OWASP 2017の10大脅威

A1: インジェクション

インジェクション攻撃(Injection Attack)とはソフトウェアへの攻撃手法の一つで、外部から文字列の入力を受け付けるプログラムに対し開発者の想定外の不正な文字列を与え、システムを乗っ取ったりデータの改ざんを行ったりする手法です。インジェクションは「悪用のしやすさ」が最高の3、「蔓延度」が2となっていて、依然警戒すべき脅威のひとつです。最も一般的でよく知られたインジェクション攻撃はSQLインジェクション(SQLi)で、攻撃者がデータベースのテーブルを公開するSQLステートメントを挿入することなどを指します。他にもディレクトリシステムを攻撃するLDAPインジェクション、不正なOSコマンドを送信するOSコマンド・インジェクションなどがあります。OWASPの脅威では1位になっていますが、「検出のしやすさ」としては3の評価で、コードを調べることで簡単に発見できるとレポートされています。

A2: 認証の不備

以前は「認証の不備とセッション管理」と呼ばれていました。認証やセッション管理に関連するアプリケーションの機能は、不適切に実装されていることがあります。不適切な実装により攻撃者はパスワード、鍵、セッショントークンを侵害でき、他の実装上の欠陥を利用して一時的または永続的に他のユーザの認証情報を取得します。強力な認証方式とセッション管理を実装し、ユーザが確実に本人であるかを検証しなければいけません。

A3: 機密データの露出

多くのウェブアプリケーションやAPIは財務情報、健康情報や個人情報といった重要な情報を適切に保護していません。攻撃者はこのように適切に保護されていないデータを窃取または改ざんして、クレジットカード詐欺、個人情報の窃取やその他の犯罪を行う可能性があります。OWASPは機密データについて、保存されているものも一時的なものもすべて暗号化し、できる限り早く廃棄することを強く推奨しています。

A4: XML外部実態参照(XXE)

XMLプロセッサはXMLドキュメントに指定された外部ファイルのコンテンツをロードするように構成されていることがよくあります。この脆弱性は、DoSやディレクトリトラバーサル(パストラバーサル)、SSRF(Server Side Request Forgery / サーバサイドリクエストフォージェリ)、Port Scan(ポートスキャン)といった攻撃にも繋がる脆弱性です。OWASPはXMLプロセッサのこの機能を無効化するよう推奨しています。

A5: アクセス制御の不備

アクセス制御の不備とは、ユーザが自分の権限以上の機能を実行できる場合や他のユーザの情報にアクセスできる場合を意味します。攻撃者はこのタイプの脆弱性を悪用して他のユーザのアカウントへのアクセス、機密ファイルの表示、他のユーザのデータの変更、アクセス権の変更など、権限のない機能やデータにアクセスすることができます。OWASPは機能へのアクセスを信頼したユーザに限定する「deny by default」ルールの徹底、アクセス制御チェックの実装等を推奨しています。

A6: セキュリティ設定のミス

不適切なセキュリティの設定は通常、安全でないデフォルト設定、不完全またはアドホックな設定、公開されたクラウドストレージ、不適切な設定のHTTPヘッダ、機微な情報を含む冗長なエラーメッセージによりもたらされます。すべてのオペレーティングシステム、フレームワーク、ライブラリ、アプリケーションを安全に設定するだけでなく、それらに適切なタイミングでパッチを適用することやアップグレードをすることが求められます。

A7: クロスサイト・スクリプティング(XSS)

クロスサイト・スクリプティングは、Webサイト閲覧者側がWebページを制作できる掲示板やTwitter等の動的サイトに対して、自身が制作した不正なスクリプトを挿入するサイバー攻撃です。攻撃者は信頼性の高いサイト上のページを変更することにより、信頼されていないサイトと通信して重要なデータを公開したり、マルウェアを拡散させたりする可能性があります。

A8: 安全でないデシリアライゼーション

安全でないデシリアライゼーション(Insecure Deserialization)は、リモートからのコード実行を誘発します。デシリアライゼーションの欠陥によるリモートからのコード実行に至らない場合でさえ、リプレイ攻撃やインジェクション攻撃、権限昇格といった攻撃にこの脆弱性を用います。OWASPはデシリアライズするオブジェクトの種類を制限するか信頼されていないオブジェクトを一切デシリアライズしないことを推奨しています。

A9: 機知の脆弱性を持つコンポーネントの使用

ライブラリ、フレームワークやその他ソフトウェアモジュールといったコンポーネントは、アプリケーションと同等の権限で動いています。脆弱性のあるコンポーネントが悪用されると、深刻な情報損失やサーバの乗っ取りにつながります。既知の脆弱性があるコンポーネントを利用しているアプリケーションやAPIは、アプリケーションの防御を損ない、結果的に様々な攻撃や悪影響を受けることになります。

A10: 不十分なロギングと監視

不十分なロギングとモニタリングは、インシデントレスポンスに組み込まれていないか、あるいは非効率なインテグレーションになっている可能性があります。その場合、攻撃者がシステムをさらに攻撃したり、攻撃を継続できたりするようにし、さらには他のシステムにも攻撃範囲を拡げデータを改竄、破棄、破壊することを可能にします。

 

OWASP Top 10の脅威へ対抗するWAF製品

多くの企業ではセキュリティ対策としてファイアウォールを導入しています。しかし、通常のファイアウォールは主にシステム及びネットワークを保護する機能であって、ここに挙げられているようなWebアプリケーションへの攻撃を保護するには限界があります。一般的にはWebアプリケーションファイアウォール(WAF)を導入することでWebアプリケーションに対する攻撃を防ぐことができます。

OWASPが発表した10大脆弱性にすべて対応した「Cloudbric WAF+(クラウドブリック・ワフプラス)」を導入することで、これらの脆弱性に対し対策を講ずることができます。さらに、クラウド型で提供されるため、企業の規模に関係なく簡単に導入することができます。システム及びネットワークを保護するファイアウォールと併せてWAFを導入しWebサーバーを保護することで、二重のセキュリティで昨今の脅威からWebサイトを保護し情報漏えい等の被害を防ぐことが可能です。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

image 2

【コラム】PCI DSSの核心、Webセキュリティとデータ暗号化

情報セキュリティ製品の広告によく登場する特定の’標準’が幾つかありますが、
その中でも「 PCI DSS 」は特によく登場します。
「弊社の製品はPCI DSSの要求事項を充足していて、PCI DSS基準の適合認証を保有しています。」
という広告用メッセージも見かけになっていると思いますが、
弊社も同じくCloudbric WAFに関して強調している内容の一つです。
‘重要な事っていうのは分かったけど、どういう事だろう?’と思っている方々もいらっしゃると思いまして、
今回はPCI DSSに対して簡単にご紹介致します。
PCI DSS

 PCI DSS とは

pci dss
PCI DSSはクレジットカード業界で共通的に使用されるセキュリティ標準です。
クレジットカード会社で会員のカード情報及び取引情報を安全に管理する為にカードの決済過程の全てにおいて遵守しなければいけない基準であります。
PCI DSSが標準として制定される前にはクレジットカード会社別に各自異なるセキュリティ基準を要求していたので、一般の業者は色んな基準に充足する為に多くの費用と努力をかけなければならなかったです。
こうした不便を解消する為にJCB・American Express・Discover・MasterCard・Visa等の国際的なクレジットカード会社が共同委員会を組織して「PCI DSS」という標準を制定しました。

PCI DSS規格の妥当性

pci dss NIST・ISO等の国際的な標準制定機関ではない民間企業が決めた規格を「標準」にしていいのか疑問を持たれた方もいるでしょう。
しかし、PCI DSSの場合、内容がとても詳細で細緻な規格で構成されていて標準として充分だといえます。
全般的なセキュリティ状態の診断及び審査過程、アプリケーションやシステム、ネットワーク等の領域別に実施する浸透テストの回数や時期などのセキュリティ政策だけではなく、不正ログインを何回試すとロックがかかるのか、顧客のPCに個人アプリケーションファイアウォールが設置されているかの確認などの些細な基準まで完備している規格であるからです。
このように具体的で厳しい基準を提示しているので、クレジットカード取引と関係の無い企業や組織でもPCI DSSを情報セキュリティ基準として採択している場合が多いです。

 creditcard

 

核心はWebセキュリティとデータ暗号化

クレジットカードのセキュリティといえば、カード端末機やネットワークのようなハードウェアが大事だと考えがちですが、データが移動してアプリケーションに到達したらその内容は全てアプリケーション(大半がWebアプリケーション)で管理されます。
従って、Webアプリケーション開発のプロセスの基準となる「PCI PA-DSS」の内容の大部分はWebセキュリティ関連内容であり、内容の核心はデータの暗号化です。
敏感な情報を扱う全般的なセキュリティ政策ともなる「PCI DSS」も、内容を見てみると多くがWebセキュリティとデータ暗号化に関連しています。どうしてでしょう。
IoT・フィンテック(FinTech)等の技術が登場してWebはもっと日常生活の一部になっています。
データはWebが主要環境であるアプリケーションを通じて移動し、これからはアプリケーションもWeb環境で開発されて運用する事になります。
データ保護の為には分野に関係なくWebセキュリティを重視するしかありません。
security

PCI DSSの究極的な目的は敏感な情報を安全に保護する事です。
昨今の情報セキュリティの中心はネットワークやサーバ等のハードウェアを保護するセキュリティ政策からデータとアプリケーションを保護するWebセキュリティに移っています。
クラウドブリックのWAFを導入したら複雑なプロセスも無くPCI DSSのセキュリティ基準を遵守出来ます。
今すぐWAFを導入してWebサイト保護とオンライン決済セキュリティ基準遵守を全て解決しましょう。
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら
パートナーに関するお問合せはこちら

【コラム】情報セキュリティの環境変化とWAFの位置づけの変化

情報セキュリティの環境変化とWAFの位置づけの変化

22ヵ国50社の企業経営者を対象に行ったアンケート調査結果のまとめによると、今日の企業経営における最大のリスクは、「経済の不確実性」が1位で55%を占めており、「サイバー脅威」が50%の2位となっています。
しかし、経営の一線からは、「サイバー脅威」を最大リスクだと訴える声が多数です。
経済の不確実性は常に言及されているリスクであるため、水があるのがあたりまえのように当然のこととされますが、新しく登場したサイバー脅威はなじみの薄いものでありながら、その勢いはますます強くなっています。
また一度事故が起きたらすべてのメディアが先を争って報道しており、事後処理も困難でどうしたらいいのかという困惑の声も多くなっています。
サイバー脅威における最も深刻な問題は、その概念自体があまりにも難しくて何を言っているか解らないということです。
関連書籍を探してみても熟練された技術者向けの技術書か理論とは言えないでたらめな経営書かであるため、学びたくても学べないのが現実です。
そのため、経営と技術の間のギャップはさらに広がり、その隙間を狙う犯罪者や詐欺師によるICTに関する各種事件が相次いでいます。
経営者とエンジニア、生産者と消費者、両方とも問題の解決策が全く見つけられません。
恐らく、今日の企業経営における最大のリスクは「サイバー脅威の不確実性」かもしれません。
「サイバー脅威に対する対応ガイドが必要!」という現場からの要求が強く求められます。
要求があれば、その解決策も出てくるはずですので、世界有数の経営諮問機関から定期的に発行されるICTの市場分析レポートが大変役に立ちます。
「ガートナー(Gartner, Inc.)」は、米国コネチカット州スタンフォードにあるICTの研究・助言を行う企業です。
1979年に設立され、それならではの鋭利な分析力を武器として目覚ましい成長を成し遂げ、今や全体従業員5,700人のうち1,500人余りがリサーチアナリストとコンサルタントという世界最高で最大の研究集団です。
不確実性という海の灯台、ハイプサイクルとマジッククアドラント「ガートナー」レポートのクオリティは、
昨今の市場分析の象徴のように広く通用している2つのグラフだけでも十分証明できます。
「ハイプサイクル」と「マジッククアドラント」、企業経営の意思決定に重要な資料であるだけに、簡単にそれについて探ってみましょう。
「ハイプサイクル(Hype Cycle)」は、特定技術の成熟度を視覚的に表現するためのツールです。
当該技術の研究開発水準や市場の反応など様々な条件によって各項目を下記の5つに分類しグラフ上に表示します。
1)黎明期(技術の引き金、Technology Trigger)
2)流行期(過剰期待の頂、Peak of Inflated Expectations)
3)幻滅期(幻滅のくぼ地、Trough of Disillusionment)
4)回復期(啓蒙の坂、Slope of Enlightenment)
5)安定期(生産性の台地、Plateau of Productivity)
1)成長の可能性を秘めている技術に対する世間の関心が高まり、2)概念-モデルへの過度な注目のおかげで製品も造ってみるものの、その殆どは失敗になり、3)数多くの失敗でその関心が失われます。
そこから生き残ったわずかの企業から成功事例が出はじめ、4)利益を設ける製品が生産されることにより、再び注目を集め、, 5)市場に一定のポジションを占めるようになり、品質を争っていく一連の過程です。
殆どの技術がこのプロセスで進められます。
それを基にグラフを見てみますと、非常に面白いです。
世の中に新しい用語が登場し、メディアでも大話題になるものの、すぐ冷めてしまいます。
激しい競争の中で極わずかがやっと生き残り、成功していく過程が目に見えませんか。実に面白いですね。
要するに、よくできたグラフです。
ハイフサイクルの変化像を参考にすると、複雑なIT業界の不確実性もある程度消えていきます。
冬場に車のフロントガラスの曇りをとるワイパーのように。
次は「マジッククアドラント(Magic Quadrant)」を探ってみましょう。
「ガートナー」に負けないぐらい有名な研究集団である「フロスト・アンド・サリバン(Frost & Sullivan)」のグラフを探ってみましょう。
「フロスト・アンド・サリバン」は40年の歴史を持つ企業成長のコンサルティング会社です。
世界各国にある現地支社ネットワークを通じて、800人余りのアナリストから収集した情報を基に作成された市場分析レポートは、バランスのよい国際的視点と鋭利な解析力が高い評価を受けています。
縦軸は現在ンの市場分布状況を意味し、横軸は将来に向いた成長戦略の優秀性と実行可能性を意味します。
消費者の立場からは、アーリーアダプターの戦略にするか、レイトアダプターの戦略にするかなど、自社の意思決定基準により、グラフの4分割面上の候補群の位置と変化から異なるインサイトを得られます。
もちろん、最終意思決定の段階ではなく初期検討の段階でそれを活用することが賢明でしょう。
グラフ上の企業の位置は、売上、流通ネットワークの規模と品質、従業員数、特に開発者の数とそのレベル、販売、サポートといった各事業分野別における従業員の割合などによって決定されます。
最終結果物が単純な絵の形になっただけで、その裏にはなぜこのようなグラフを描いたかその理由を説明する読み終えるのが困難なほど分厚いレポートがあります。
重要なのはグラフではなく、その分厚いレポートです。
そのため、ハイプサイクルやマジッククアドラントなど簡単に描かれたグラフは、あまりにも忙しくてその分厚いドキュメントを読む時間のない役員などいわゆる「重役用のサマリー(Executive summary)」とみてもかまいません。
要するに、グラフは非常に主観的にみえますが、それを裏付ける普遍性は備えているため、客観性まで認められているのです。
「ガートナー」や「フロストアンドサリバン」など誰もが知っている有名なコンサルティング会社のアナリストは、実情は何も知らずただ机の前に座って難しい言葉だけを言っているわけではありません。
現場の傾向を実質的に把握するための研究体制も充実していることも、業界を問わず彼らの分析結果を認める理由です。皆一応その専門性を認めてから見ているのです。
「その会社のアナリストより私の方がより詳しい!」 社内の当該専門家がアナリストより優れたエンジニアではあるものの、彼らのように業界全体を把握することはできず、業界内の人的ネットワークなどのため、客観性を失う場合も度々あります。
簡単に言うと、アナリストの方がはるかにスマートです。
不愉快でも仕方がありません。それは、彼らの「仕事」であり、彼らは公的に認められた専門家ですので、むしろ詳しくないのがおかしなことではないでしょうか。
したがって、経営陣はこれらのレポートを閲覧し沈思熟考したうえで、意思決定の過程でそれを参考にすると、大変役に立ちます。
技術は、特にICT関連技術は、新陳代謝が非常に活発な生物で常に変化しているので、一度見たから十分理解したと思ってはいけません。
定期的かつ持続的な観察が必要です。少なくとも毎年更新されるグラフだけでもみましょう。
問題は常に新たに発生し、技術的判断の基準も常に変化しているため、その解決策も常に異なっていきます。
実際に重要なのはある要素のグラフ上の位置ではなく、状況の変化によってその要素がどこからどこへと移動していくかです。
つまり変化や、その変化の理由と根拠です。その一例を挙げてみます。

企業情報セキュリティ環境の変化とWAFの位置づけの変化

最近「ガートナー」のレポート上のWAFの位置づけが変わりました。
去年までは、WAFを「クレジットカードのデータセキュリティ標準(PCI DSS: Payment Card Industry Data Security Standard)」など法的規制のため、仕方なく導入するものでしたが、その効用性を疑い、適者生存のルールにより市場からすぐ姿を消す商品」と定義しました。
しかしながら、最近のレポートを見ると、「WAFは企業の情報セキュリティに必須不可欠な要素」へとその内容が変化しました。
文章表現からみても、「Hype Cycle for Application Security, Gartner 2013」では、「WAFは、他の競合製品に比べ、その効用性や拡張性が低いため、いまだにも小市場をせいぜい維持している」と評価を格下げしましたが、「Hype Cycle for Application Security, Gartner 2014」では、「規制対象に該当しないという理由でWAFを導入していなかった企業も、今はWebアプリケーションセキュリティの重要性に気づき、WAF導入がただ規制を充実させるための決定ではないことに気付いている。」とより現実的な評価をしています。
WAFに対する態度が完全に変わりました。
何よりも、ある要素の位置づけがどう変化したか、その理由と根拠は何かが重要です。
WAFの位置づけの変化の理由を類推してみると、
● 法的規制があるので嫌々買うのではなく、導入してみたら実際にセキュリティ効果が高かった。
● WAFの代案として挙げられている「セキュアコーデイング」は、結果的に非現実な希望にすぎなかった。
● 確実にセキュアなコーデイングを行って、管理・維持することはWAF導入より、多くのコストがかかる。
それで、WAFの位置づけが急速に上がったのです。このように変化そのものより、変化の理由に焦点を合わせてみる必要があります。
企業の情報セキュリティ環境は常に変化しており、そのリスクは日々高まっています。
相次いでいるセキュリティ侵害事故をみてもICTリスクは、ビジネスの連続性を損ない、投資家の投資心理にも悪影響を与え、深刻な場合は社会混乱を招いて災害災難レベルの経済活動のマヒや企業活動の停止という結果につながる恐れがあります。
それでも企業現場では、情報セキュリティに対する総合的な理解不足による意思決定の難しさを訴えています。
その時、「ガートナー」や「フロストアンドサリバン」のレポートを活用してください。
不確実性という海の灯台のように、企業の意思決定に大変役に立ちます。
 
<製品に関するお問い合わせ>
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201