WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策

WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策

WordPressは世界で広く使われるオープンソースのCMSです。プログラミングの知識が無くても、Webサイトを作成できるため非常に人気がありますが、広く普及している分、脆弱性を突かれた攻撃を受けることもあります。WordPressのセキュリティを高めるためにはどのような対策をしたらよいのか、実際の攻撃事例も含めて解説します。

 

WordPressのセキュリティに関する問題点:脆弱性の指摘

WordPress(ワードプレス)はWebサイトを作成できるCMS(Contents Management System)の1種です。
2003年に誕生したWordPressは、基本無料で利用できるオープンソースのソフトウェアで、プログラミングの知識が無くても、ブログやWebサイトを簡単に作れます。
デザインのテンプレートが豊富で、追加機能を付与できるプラグインの種類も多いため、世界中で広く使われています。W3Techsの調査によると、全てのWebサイトのうち約43%はWordPressを用いており(2024年1月時点)、もっとも人気のあるCMSです。
(参照元:W3Techs 「WordPress の使用統計と市場シェア」)

多くのWebサイトで用いられているWordPressですが、その使用率の高さや、オープンソースであることから、サイバー攻撃の標的にもなりやすいといわれています。

 

WordPressのセキュリティ脆弱性を狙われた事例

2022年には、テーマ変更ができるプラグイン「OneTone」の脆弱性を狙ったSQLインジェクション攻撃がありました。データベースに侵入し、リダイレクトで他のサイトへ転送するコードが埋め込まれる被害が多発しました。このプラグインの開発者はアップデートを停止しており、脆弱性への対策がなされなかったため、OneToneを使用していたWebサイト管理者の多くは、他のプラグインへ変更せざるを得ませんでした。

2017年頃には、WordPressに搭載された「REST API」という機能の脆弱性を狙ったゼロデイ攻撃がありました。全世界で155万を超えるサイトが改ざんの被害に遭い、大きな問題となりました。
2019年にはプラグインの「WP GDPR Compliance」の脆弱性へのゼロデイ攻撃がありました。管理者ではなくても新規ユーザー登録や管理権限の付与が可能だったため、サイト内にマルウェアを組み込まれるなどの被害が多発しました。

2015年頃には、プラグイン「Fancybox」の脆弱性を突かれたクロスサイトスクリプティング攻撃が行われました。サイト利用者を他の不正なサイトへ誘導するものです。人気のあるプラグインであったため、被害の数も多くなりました。

「SQLインジェクション」、「ゼロディ攻撃」については、詳しくは下記関連記事もご覧ください。

SQLインジェクションとは? 攻撃の仕組みや被害例、対策方法を解説

ゼロデイ攻撃とは? 増加する背景や主な手口、企業として行うべき対策

 

WordPress利用の際に行うべきセキュリティ対策

WordPressは便利なものですが、セキュリティ対策を怠れば、サイバー攻撃の被害に遭う可能性もあります。以下に取り上げるセキュリティ対策を行い、リスクを減らしましょう。

 

・WP本体・テーマ・プラグインのバージョンを常に最新にする

WordPressの動作環境に関わる全てのものを最新のバージョンに保ちます。
WordPress本体や、テーマ・プラグインのアップデートには、バグ修正だけではなく、脆弱性への対応が含まれます。そのため、特に理由が無い限り、アップデートされたものはすぐに更新するのを習慣にしましょう。
自動アップデート機能もありますので、こまめにチェックする余裕が無い場合は、この機能をオンにしておくのもおすすめです。

 

・不要なテーマ・プラグインは削除する

前段で紹介したテーマ「OneTone」などは開発者がアップデート対応をしなかったことで被害が拡大しました。
有効化していないテーマやプラグインだとしても、インストールしたまま放置していると、その脆弱性を突かれる可能性があります。そのため、利用しないテーマやプラグインに関しては、削除しておきましょう。

 

・ログインページをデフォルトから変更する

WordPressのログインページは、初期状態のままだと簡単にログインページを特定できます。

https://ドメイン名//wp-admin/
もしくは
https://ドメイン名//wp-login.php/

そのため、デフォルトのログインページからURLを変更することも有効なセキュリティ対策です。ログインページのURLを変更することで、悪意のあるユーザーがログイン画面にたどり着きにくくなります。
WordPress本体には、ログインページを変更する機能はありませんので、専用のプラグインを用いる必要があります。

 

・ID・パスワードを強化(画像認証・二段階認証)にする

ログイン画面にたどり着かれた場合でも、簡単に突破されないよう、ID・パスワードを複雑にすることも重要です。ログインパスワードは、小文字、大文字、記号や英数字を混ぜ、簡単に思い浮かばないものに設定します。なるべく長く、複雑なものにすることが有効です。

また、画像認証や二段階認証を実装すると、より不正アクセスを防ぎやすくなります。WordPressの機能に、画像認証や二段階認証は無いため、セキュリティ対策関連のプラグインを導入して実装します。

 

・IP制限をかける

WordPressのログインページにIPアドレス制限をかけるのも有効です。例えば、自社オフィス以外のIPを受け付けないように設定を変更することで、不正なアクセスを防げます。

 

・定期的に国内外で発見された脆弱性を把握する

国内外で発見される脆弱性の情報に定期的に目を通すことも必要です。新たに発見された脆弱性に速やかに対応することで、セキュリティを高めることができます。脆弱性を確認できるサイトには以下のようなものがあります。

▼脆弱性を確認できるサイト

・WAFを導入する

WAFとは、「Web Application Firewall」の略です。外部からの攻撃を検知してWebサイトを防御できます。悪意を持った攻撃と判断された場合は、自動的に通信が遮断されるので、クロスサイトスクリプティングやSQLインジェクションなど、WordPressの脆弱性を突いた攻撃を防ぐ効果があります。WAFを導入することで、Webサイトの改ざんや個人情報漏えいのリスクを減らしましょう。

 

まとめ

WordPressは便利なCMSですが、脆弱性を突いた攻撃を受けることがあります。WordPress本体だけでなく、テーマやプラグインも常に最新の状態に保つことで、安全性を高められます。また、セキュリティ対策にはWAFの導入も有効です。
ペンタセキュリティの「Cloudbric WAF+」は、クラウド型のWebセキュリティプラットフォームです。CVEソース基盤に対応しており、新種や亜種の脆弱性にも速やかに対応できます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

アイキャッチ_SQLインジェクションとは 攻撃の仕組みや被害例、対策方法を解説

SQLインジェクションとは? 攻撃の仕組みや被害例、対策方法を解説

Webサービスが広く普及するなか、脆弱性が放置されているWebサイトやWebアプリケーションが少なくないのが現状です。この脆弱性をついて第3者がSQL文を挿入し、データベースへ不正にアクセスしたりデータを改ざんしたり、情報を盗み取ったりするSQLインジェクションの被害が増加しています。本記事では、こうしたSQLインジェクションの仕組みや被害例、効果的な対策について解説します。

 

SQLインジェクションとは?

「SQLインジェクション」とは、第3者がWebサイトの脆弱性を悪用し、データベースへの不正なアクセスやデータの改ざん、情報窃取などを企むサイバー攻撃です。

「SQL(Structured Query Language)」は、最も普及しているデータベース言語のひとつです。ISO(国際標準化機構)によって標準化されており、データベースを操作・制御します。

SQLインジェクションでは、脆弱性が放置されたWebサイトの入力フォームや検索ボックスなどの入力欄に、不正な操作をさせるためのSQL文を挿入することで、データの削除や窃取、システムの認証を回避して不正にログインといった被害を発生させます。

関連記事:2023年のサイバー攻撃における代表的な事例や被害額まとめ

近年SQLインジェクションは増加傾向にあり、2023年1~3月には前年同期比で1.5倍もの被害件数が報告されています。
(参照元:株式会社サイバーセキュリティクラウド「『SQLインジェクション』が前年同期比で+150%増加 ~2023年1-3月『Webアプリケーションを狙ったサイバー攻撃検知レポート』を発表~」)

また、IPAの調査によると、2023年の脆弱性の種類・影響別累計届出件数において、SQLインジェクションは2番目に多く報告されています。
(参照元:IPA「ソフトウェア等の脆弱性関連情報に関する届出状況[2023年第3四半期(7月~9月)]」)

 

SQLインジェクション攻撃の仕組み

ユーザーがWebサイトのフォームに情報を入力した際、通常は入力値に基づいて、サーバに送信される適切なSQL文が生成されます。そのSQL文に従ってデータベースが操作され、適切な結果がユーザーに返ってくる仕組みです。

しかしWebサイトに脆弱性がある場合、悪意を持った第3者が入力欄から不正なSQL文を挿入すると、そのSQL文によってデータベース内のデータの改ざんや個人情報の窃取といった不正な操作が行われてしまいます。

 

SQLインジェクション攻撃の被害例

 

・情報が盗まれる

情報漏えいは、SQLインジェクションの代表的な被害のひとつです。
例えば、顧客の個人情報や企業の機密情報などの漏えいも多数発生しています。IDやパスワードの流出によりアカウントが乗っ取られたり、クレジットカード情報が悪用されて不正送金の被害に発展したりする恐れもあります。

 

・データベースのデータが改ざん・削除される

SQLインジェクションによるデータの改ざんでは、ECサイトにおける商品の紹介文や価格が書き換えられてしまうといった事例があります。Webサイトに偽の情報が掲載されていると企業の信用が損なわれてしまいます。
また、データベース内のデータをすべて削除・破壊される攻撃を受けて、事業継続が難しくなるケースもあります。

 

・Webサイトを改ざんされる

不正なSQL文の命令によってサーバのファイルが書き換えられ、Webページが改ざんされてしまうこともあります。閲覧するとマルウェアに感染してしまう悪質なサイトのURLがページに埋め込まれ、ユーザーがその悪質なサイトに誘導されてしまうという被害も報告されています。

 

・攻撃の踏み台にされる

SQLインジェクションによって乗っ取られたメールアカウントからスパムメールを大量に送付するなど、攻撃に利用されてしまうこともあります。
また、SQLインジェクションでバックドアという侵入経路がサーバに仕掛けられることで、知らないうちに別のサーバを攻撃する踏み台にされてしまう事例もあります。

 

SQLインジェクションの対策方法

SQLインジェクションの被害を受けてしまうと、企業価値の毀損やブランド力の低下など、大きな影響を及ぼします。従ってセキュリティの強化対策は、企業の将来性を左右する重要なポイントです。以下で、SQLインジェクションへの対策方法4点を紹介します。

 

・1. プレースホルダを利用する

Webサイト画面の入力値がそのままSQL文として読み込まれると、悪意のある第3者が入力した不正なSQL文が、そのまま実行されてしまいます。この問題を解決するには、プレースホルダを使ってSQL文を組み立てるのが有効です。
プレースホルダとは、SQL文の変数部分に当てはめる記号のことです。プレースホルダを入れることで、変数部分と操作命令に関わる特殊な文字列の部分がそれぞれ確定します。こうすることで、変数部分に特殊な文字列が入力されて不正なSQL文を生成しようとしても無効化できます。

プレースホルダは、次に解説する「エスケープ処理」と組み合わせることで、さらなる安全性を目指せます。
(参照元:IPA「安全なSQLの呼び出し方」)

 

・2. エスケープ処理 を行う

エスケープ処理とは、プログラム言語で利用される特殊な文字列や記号を、ルールに従って別の文字列に置き換えることです。SQLインジェクション対策の場合は、「シングルクォート(‘)」や「セミコロン(;)」などの記号が対象になります。

第3者によって挿入された、不正なSQL文に含まれる特定の文字列や記号を変換・削除し、攻撃を無効化します。なお、データベースごとに特殊記号の扱いは異なるので、それぞれのデータベースに合わせた対策が必要です。

 

・3. 動作環境をすべて最新に保つ

Webサイトを構築するためのCMS(WordPressなど)やOS、Webアプリケーションなど、すべての環境を最新の状態にアップデートすることも効果的です。

これらのアップデートは、バグ解消や機能追加だけではなく、脆弱性への対応も含まれています。サイバー攻撃は脆弱性を狙うため、動作環境をすべて最新の状態を保つことで、セキュリティを強化できます。

WordPressのセキュリティについて、詳しくは関連記事「WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策」もご覧ください。

・4. WAFを導入する

「WAF(Web Application Firewall)」を導入すると、サーバに対して悪意のある通信が行われた場合は、自動的に通信をシャットアウトしてくれます。従来のファイアウォールでは防ぎきれなかった、Webサイトの脆弱性への攻撃防止が可能です。特にクラウド型のWAFであれば、常に自動で最新のセキュリティ環境を維持できます。

 

まとめ

SQLインジェクションの被害は近年増加しています。有効なセキュリティ対策方法としては、プレースホルダやエスケープ処理 の利用、動作環境のアップデート、WAFの導入などが挙げられます。

ペンタセキュリティのWAF、「Cloudbric WAF+」は、クラウド型のセキュリティプラットフォームです。常に最新のセキュリティ環境を維持できるので、SQLインジェクション対策にも役立ちます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

ASPICクラウドアワード2023_先進技術賞

総務省後援「ASPICクラウドアワード2023」にて先進技術賞を受賞

ASPIC Cloud Award 2023_先進技術賞

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(本社:韓国ソウル、日本法人代表取締役社長:陳貞喜、以下ペンタセキュリティ)は、第17回ASPICクラウドアワード2023(主催:一般社団法人日本クラウド産業協会、後援:総務省等)において、「Cloudbric WAF+」が支援業務系ASP・SaaS部門の「先進技術賞」、「Cloudbric WMS for AWS」がAI部門の「先進技術賞」を受賞したことをお知らせします。

 

■「Cloudbric WAF+」について

「Cloudbric WAF+(クラウドブリック・ワフプラス)」は、企業向けクラウド型WAFサービスです。日本・韓国・米国で特許を取得した論理演算検知エンジンを搭載したWAFはもちろん、DDoS攻撃、SSL証明書、脅威IP遮断、悪性ボット遮断サービスまで備えており、これひとつで多様化するサイバー攻撃から企業のWebシステムを保護します。また、マネージドサービス付きで、社内にセキュリティの専門家がいなくても手軽に運用・導入が可能です。

https://www.cloudbric.jp/cloudbric-waf/

Cloudbrick-WAF+

■「Cloudbric WMS for AWS」について

「Cloudbric WMS for AWS(クラウドブリック・ダブリューエムエス)」は、AWS WAFに特化した運用サービスです。高度な攻撃検知力、適切なルール作成と反映、新規脆弱性や誤検知の対応など、AWS WAFの導入から運用までをセキュリティエキスパートがサポートします。24時間365日のモニタリングとサポート体制も完備しており、 専門知識やリソースがない企業のWAF運用を支援します。また、Cloudbricは「AWS WAF レディプログラム」のローンチ パートナーに認定されています。

https://www.cloudbric.jp/cloudbric-wms/

 

■ASPICクラウドアワードについて

ASPICクラウドアワードは、一般社団法人日本クラウド産業協会(略称:ASPIC、所在地:東京都品川区、会長:河合 輝欣)が、日本国内で優秀かつ社会に有益なクラウドサービスに対し、総務大臣賞、アワード総合グランプリ、各部門総合グランプリ、他各賞の表彰を行います。これにより、クラウド事業者およびユーザー企業の事業拡大を支援し、クラウドサービスが社会情報基盤として発展・確立することの一助になることを目的としています。

https://www.aspicjapan.org/event/award/17/index.html

株式会社SIG

株式会社SIG

 

株式会社SIG

株式会社SIGは独立系IT企業として、様々な分野及び業種における情報システムや産業制御システムのようなシステム開発事業等に取り組んでいます。また、それらを支えるITインフラソリューション及びセキュリティなど幅広い分野でサービスを提供しています。

Cloudbric WAF+」の導入を検討したきっかけを教えてください。

Webサイトの構築や運営する方であれば、「WAF」という言葉を耳にしたことがあると思います。長引くコロナ禍で当社が運営するコーポレートサイトへのアクセスやお問い合わせが増加する中、Webサイトセキュリティの必要性を感じたこともあり、セキュリティ強化策として情報漏えいや脆弱性への対策としてWebアプリケーションレベルでのセキュリティ対策を最初にしておくべきだという意見も多く、WAFの導入を決定しました。

様々な選択肢がありましたが、他社と比べて費用が安く且つ性能の優れたWAFとして評価されている「Cloudbric WAF+」を導入することになりました。無償トライアル期間中においても、実際の運用環境を想定して自社環境に合ったセキュリティ対策で運用してみることができましたし、非常に使いやすかったので、そのまま実導入に至りました。

Cloudbric WAF+」選定時、最も重視されたポイントを教えてください。

導入のハードルが低く、必要な機能を必要な分だけ利用できるところが最も気に入りました。どれだけ多くの機能を搭載しているかも重要かもしれませんが、自分が考える「良いWAF」とは、新種や亜種の脆弱性をどれだけ精度高く検出できるかが左右すると思います。そういうところでいうと、「Cloudbric WAF+」を導入したのは最善の選択だったのではないかと思います。独自の「論理演算検知エンジン」を搭載して高い検知率を維持しながらも、Webサイトのトラフィック特性を学習する「特性学習AIエンジン」を用いて、最新の脆弱性にもいち早く対応できるということで、安心して任せることができました。

あとは費用面です。基本提供される機能だけでも十分で、追加費用を支払わなくともSSL証明書サービスなど様々なWebセキュリティ機能を利用できるので、無駄な支出を省くことができました。そして当社の場合、小規模のコーポレートサイトへのWAF導入であったため、プランによって受けられるサービスが異なるのではないかと多少心配な面もありました。しかし、利用プランに関係なく同じレベルの高いセキュリティを提供してもらえ、コストパフォーマンスの面で非常に満足しています。

Cloudbric WAF+」を利用した感想をお聞かせください。

よく考えてみると、個人情報や顧客情報、決済情報などを取り扱うサイトに対しては、Webアプリケーションの脆弱性対策としてWAFの導入が確かに効果的です。しかし、コーポレートサイトの場合、セキュリティ対策が比較的甘いケースが多く見受けられます。会員情報を扱っているわけでもないし、情報漏えいは心配ないということと、ECサイトや会員制サイトと比べてそんなに攻撃されることもないという認識がありますが、実際はそういうわけでもありません。Web改ざんであったり、お問い合わせフォームを利用した攻撃を行うなど様々なパターンで攻撃を仕掛けてくるため、コーポレートサイトに対しても細心の注意を払う必要があります。「Cloudbric WAF+」導入したことによって、当社サイトがこんなに攻撃を受けているという注意喚起にも非常に役立っていると思います。

Cloudbric WAF+」の導入後、効果はございましたか。

検知モードの際に、当社WebサイトにアクセスしたIPアドレス情報を共有して頂きましたが、その中から2つのIPアドレスによる大量のアクセスが確認されたことが分かりました。すぐに例外処理をして大きな問題にはなりませんでしたが、今まではこのような攻撃を受けているという意識がなかったため、正直攻撃が収まったということを実感しているわけではありません。しかし、セキュリティへの意識を高めるきっかけになったと思いますし、「Cloudbric WAF+」で明確に遮断されているという安心感もあります。

Cloudbric WAF+」を使用した際、最も気に入った機能を教えていただけますか。

セキュリティに詳しくない人にとっても、WAFを使ったことがない人にとっても、非常にシンプルで見やすく操作もしやすいところです。視覚的に飛び込んでくるダッシュボードなので、ダッシュボードにアクセスすると「Cloudbric WAF+」で実際にブロックした攻撃回数がグラフで表示され、発信国情報や攻撃目的なども一目で分かるようになっています。また、ボタンを押すだけで簡単にIPアドレスを遮断できるなど操作も簡単に行えて便利でした。

また、海外製のサービスではありますが、サポート対応がしっかりしているのもメリットだと思います。WAFの設定変更についてメールでお問い合わせしたところ、迅速且つ丁寧な対応をして頂きました。

最後に一言お願い致します。

企業インフラのクラウド化により、今まで以上にクラウド型WAFのニーズが高まると思います。数え切れないほどたくさんのWAF製品が存在しますが、中でも「Cloudbric WAF+」は競争力を十分備えた製品であると、個人的には確信しております。日本だけでも既に、7,000サイトを超える法人顧客に導入されていますが、それこそ、信頼できる確かな製品であるという何よりの証拠だといえるのではないでしょうか。WAF導入を検討される方なら、ぜひ参考にしてください。

株式会社ワールドスカイ

株式会社ワールドスカイ

 

株式会社ワールドスカイ

株式会社ワールドスカイは、お客様が本当に必要なICT技術は何か、その技術のセキュリティリスクに問題は無いかを常に考え、研究し、最高のご提案を行えるように取り組んでいます。創業より、海外セキュリティ製品にこだわり、良い技術・製品・サービスを探してまいりました。海外の特性を活かし、日本独自の風習に合うようにコーディネイトすることにより、多くの企業様へ安心してご利用いただけるICT技術を導入させて頂いております。これからも「セキュリティを活かしたICTでお客様の課題解決」をモットーに、お客様の最高のパートナーになれるように日々精進いたします。

Cloudbric WAF+」の導入を検討したきっかけを教えてください。

弊社は、SI(システムインテグレーション)ビジネスを展開する企業として、Webアプリケーションへのセキュリティ対策としてコンサルティング、脆弱性診断などを提供しております。Webサイト上に大幅な追加・修正が生じた際は、脆弱性診断で対策を取る方法もありますが、金額面・恒久的な対策という側面を考慮した際、24/365で運用をサポートしてくれるサービス兼セキュリティ専門チームを活用することが効果的であるという判断に至り「Cloudbric WAF+」を採択しました。実際に「Cloudbric WAF+」を使用してみたところ、アプライアンスタイプのWAFに比べて初期費用や運用コストが非常に安く、予算を抑えることができました。運用面におきましても、弊社側で常にログを分析せずとも、脅威IPや最新の脅威データベースに基づいた対策をメーカ側で行っているため安心して利用できます。結果的に運用負荷の軽減にもつながっています。「Cloudbric WAF+」は弊社で取り扱っている製品でもあるため、性能、さまざまなメリットについても詳細を把握していたため、金額面、機能面、運用面を考慮し、導入を決めました。

Cloudbric WAF+」選定時、最も重視されたポイントを教えてください。

実際に「Cloudbric WAF+」をご利用いただいているお客様、セキュリティ関連でお付き合いのあるSI企業様などの評価は大事にしました。様々なWAFサービスがある中で、あるサービスは「知名度は高いが検知率が低い」といった声や、あるサービスでは「性能は良いが運用後のカスタマイズ費用が高い」など、それぞれのサービスには一長一短あることが判りました。弊社の場合セキュリティビジネスをしていく上でお客様視点からの声が直接聞けるので、そういう評価を重視しながら選定しました。

また、費用面でのメリットというところも気になるポイントでした。他社サービスの価格表と比較しながら、弊社のシステム環境と合わせて総合的に検討してみると、トータル的には他社より「Cloudbric WAF+」の方が安くなるという結論に至りました。結局、他社の評価と費用面でのバランスというところが「Cloudbric WAF+」を選ぶ決め手となったのではないかと思います。

Cloudbric WAF+」を利用した感想をお聞かせください。

「Cloudbric WAF+」を導入すると、30日間検知モニタリングを行い、ログ分析の詳細や運用状況などをまとめたレポートを共有してもらえます。実際、不正アクセスではない管理者IPが不正ログとして検知されていたため例外処理をするなど、本格運用する前に自社環境に合わせてセキュリティポリシーを提案してもらい、カスタマイズできるところが印象的でした。他社の場合、例外処理やお客様に沿ったポリシー調整となるとそこに対する追加費用が発生するケースがありますが、「Cloudbric WAF+」のサービスは、そのような部分がプランに含まれているので、そういう点がメリットではないかと思います。

デメリットとしては、やはり国産製品ではないため、国内においては、他社と比べて知名度が低めであることは少し残念だと思います。しかし、海外では世界中から数々の賞を受賞し、実際ご利用頂いているお客様にもそのセキュリティ技術力も相当認められているので信頼をおき利用しています。

Cloudbric WAF+」の導入後、効果はございましたか。

「Cloudbric WAF+」の導入後、ダッシュボードでログの確認などが分かりやすく構成されているので非常に助かっています。担当者としてセキュリティは気にしなければいけませんが、どうしてもフロント部分やサービス部分をメインとして見るため、その部分の比重が高くなってしまう傾向があることも事実です。その点、ダッシュボードやレポートでサイバー攻撃や不正アクセスをひと目で把握できるため、現状を把握するまでの手間を省くことができたと思います。また、「Cloudbric WAF+」はWAF機能だけでなく、無償SSLや基本的なDDoS攻撃対策など、プラスアルファ的なサービスも提供しているため、その他セキュリティ対策を導入する必要はなく、一元管理できるという点も管理者としては大きなメリットであると思います。

Cloudbric WAF+」を使用した際、最も気に入った機能を教えていただけますか。

ダッシュボードが見やすいところが「Cloudbric WAF+」の大きなメリットだと考えています。ダッシュボードからは各種設定ができ、ユーザエクスペリエンスに相当気を使っていることが目に見てわかります。

「Cloudbric WAF+」の導入を検討されているセキュリティ担当者様は、無償評価版を使用し、ダッシュボードから操作性を見てみるのは如何でしょうか。又は、無償評価版を申込みせずともクラウドブリックのホームページにて提供されるダッシュボードで実際に体験いただけるようです。

https://www.cloudbric.jp/free-trial/

あとは、サポート面がしっかりしていることだと思います。海外企業だとサポート面で日本語対応ができていないところも多く、どうしても不安が生じてしまうところもあります。しかし、クラウドブリックは日本法人があるため、サポート面において完全日本語で対応してくれるところ、そしてWebからも24/365できちんとと問い合わせ回答してくれるため、安心して利用できると思います。

最後に一言お願い致します。

「Cloudbric WAF+」はグローバルで販売しているサービスで、現在95ヵ国の10万以上のレファレンス実績を上げています。ですので、最近だと世界中から収集した脅威インテリジェンス(Threat Intelligence)などを活用して、最新の脅威データベースにも対応していると思います。そして、機能改善とか、拡張というところも積極的に行っているところは、更なる製品の質の向上という観点から個人的に期待している部分でもあります。弊社としては、「Cloudbric WAF+」のメリットとそういうところを含め、「セキュリティ専門家でなくても安心して使えるWAFサービス」としてお客様に積極的に提案していきたいと思います。WAF導入を検討されている担当者様なら、まず30日の無償トライアルからお気軽にご利用されることをご検討ください。

nakajitsu_logo

株式会社不動産SHOP ナカジツ

株式会社不動産SHOP ナカジツ

愛知・福岡・千葉に30店舗展開し、不動産仲介業(おうち探し館!)の他にリフォーム(Asobi-リノベ)、新築住宅(Asobi-創家(すみか))など幅広く手掛ける「ワンストップサービス」が特徴の総合不動産企業「不動産SHOPナカジツ」。
不動産業界の既存モデルにとらわれず、ユーザーファーストのサービスを展開し、中古住宅+リノベーション事業においては全国3位の実績を誇るなど急成長を遂げている。

Cloudbric WAF+の導入を討したきっかけをえてください。

ずいぶん前のことになりますが、DDoS攻撃を受けて社内システムがダウンしたことがありました。幸いなことに、大きな被害は発生していませんでした。しかし、いつ、どこから仕掛けてくるか全く予測のつかないDDoS攻撃の恐ろしさを改めて実感する瞬間であったし、ホームページやWebサーバーへのセキュリティ対策を見直すきっかけにもなったと思います。DDoS攻撃は、攻撃対象に大量のトラフィックを送り付けてサービスを停止させることが一般的ですが、だからといって全てのトラフィックを遮断してしまうと、正常なトラフィックまで遮断されサービスが利用できない状況が生じてしまいます。うちのホームページに訪ねてくださるお客様に迷惑をかけるわけにはいかないので、我々には異常のあるトラフィックをしっかり遮断し、正常なトラフィックのみを通すことのできる性能の高いセキュリティ対策が必要でした。それでWAFを含め総合的なWebセキュリティ対策を探し始めたのです。

Cloudbric WAF+選定時、最も重視されたポイントをえてください。

誤検知をなるべく起こしたくない、もし起こしたとしてもなるべく速く対応したい、運用面ではそういったところを重視しました。 弊社の場合、ホームページからいらっしゃるお客様が多く、ホームページに障害が起きたり、なんらかの理由でアクセスできなかったりするなど、ホームページが使えなくなる状況がそのまま利益にも関わってくるんです。また、検知率がどんなに高くても、誤検知がそれほど多ければ台無しになってしまうので、検出力を高い水準に維持しながら誤検知率を減少できる製品にしたいなと思いました。
WAFはシグネチャー型とロジックベース型と2種類を検討させて頂きまして、検知率、誤検知率など検知能力が優れているロジックベース型のCloudbric WAF+に決定しました。海外の第三者機関から公認された結果などが非常に分かりやすく示されてあったので、そういうところが決め手になったのではないかと思います。あと、運用時に即時に対応できる仕組みになっていること、そして即対応してくれることもCloudbric WAF+を選択した理由の一つです。

Cloudbric WAF+を利用した感想をお聞かせください。

まず、弊社の場合Cloudbric WAF+の導入において、WAF機能を最優先で考えたのですが、SSL証明書サービスや、基本的なDDoS対策、脅威IPや悪性ボットの遮断など、様々なWebセキュリティ対策を一緒に提供して頂き非常に良かったです。コストパフォーマンス的にも非常に大きなメリットではないかと思います。
Cloudbric WAF+は導入後の約1ヶ月間、遮断モードで運用します。その期間に生成された検知ログをもとに、自社に合ったカスタマイズされたセキュリティポリシーを作成し、これからの運用に反映されるらしいです。実際、遮断モードで検知された約75,000件のログ情報など詳細レポートとして作成していただきました。そしてその情報をもとにセキュリティポリシーを提案して頂き、本当にうちに合ったセキュリティ対策で運用できることが印象的でした。

Cloudbric WAF+の導入後、果はございましたか。

導入後しばらくして、約7万件の攻撃が検知されて少し驚いた記憶があります。Cloudbric WAF+の管理画面上でロシアを発信国としたIPによる不正アクセスが多数発見され、全て遮断することができました。そして、レポートを見て分かったことですが、国家別に例外処理を行わなかった2つのサイトが新たに確認でき、すぐに例外処理を行ったこともあります。今まで気づくことのできなかったセキュリティ的な穴を見つけて対処できるなど、少しずつセキュリティ対策のレベルを高められていると感じております。うちの場合、導入してそんなに 経っていないですが、導入の効果がすぐ目に見えて、大変満足しています。

Cloudbric WAF+を使用した際、最もに入った機能をえていただけますか。

とりあえず、管理画面が相当使いやすくて見やすいです。国別にフィルタリングできたり、例外処理をこちら側でできたりすることがすごく便利でした。そして管理画面上でほぼ全ての操作ができることですかね。すぐに遮断したいってなったときに1回のクリックだけで処理できることは、使う側としてはすごく便利な機能の一つだと思います。
そしてレポート機能なんですが、攻撃の種類や詳細内容について、専門知識のない人でも理解できるように分かりやすく詳しく説明されているので常に参考にしています。

最後に一言お願い致します。

先にも言いましたが、ホームページからいらっしゃるお客様が多いこともあり、うちのWebサイト上で重要な資産情報やの個人情報などを扱っていることもあり、可能な限りの対策を取っていきたいです。先日、ログ情報を確認してみたんです。うちの場合基本日本とアメリカからのアクセスを許可しているのですが、検知結果を見たら結構ブロックされていて、ちゃんと検知できていると考えられます。基本的に運用面で安心してお任せできることは、Cloudbric WAF+の一番のメリットではないかと思います。
また、不正侵入が減っているところで、本当にホームページにアクセスしてくれるお客様がログとして残ってきて、ちゃんとしたログが取れるようになって、アクセス経路の分析により経営戦略にも役に立ってくるかなと思います。

サイバー攻撃

サイバー攻撃の有効な対策とは? 主な種類や事例も併せて解説

サイバー攻撃

膨大なデータを扱う必要がある昨今、企業の事業活動はネットワークなくして行えません。一方で、社内の機密情報を狙ったサイバー攻撃は年々増加傾向にあり、被害を受ければ経営にも多大な影響があります。この記事では、サイバー攻撃の種類や手口、重要な対策方法について解説するとともに、2022年に起きたサイバー攻撃の事例もご紹介します。対策を検討する際は、ぜひ参考にしてみてください。

 

サイバー攻撃と想定されるリスク

サイバー攻撃とは、悪意を持った第三者がインターネットを通じてPCやサーバーなどの情報機器へ侵入し、情報の窃取や改ざん、システムへの破壊工作などさまざまな攻撃を行うことです。

攻撃の目的はさまざまで、身代金を要求されることもあれば、愉快犯的な犯行の場合もあります。個人・企業を問わず標的となりえますが、企業が狙われた場合は特に甚大な影響が生じかねません。サイバー攻撃により想定される企業のリスクとしては、たとえば次のようなものが挙げられます。

  • 社会的な信頼の失墜
  • 企業イメージ低下による顧客離れ
  • 情報漏えいによる損害賠償などの金銭的な喪失
  • システムダウンなどによる事業継続の阻害

インターネットの利用が不可欠なものとなっている昨今、企業はサイバー攻撃のリスクをしっかりと理解し、適切に対策しなければなりません。

 

主要なサイバー攻撃の種類

一口にサイバー攻撃といっても、いくつかの種類があります。サイバー攻撃への適切な対策を講じるためには、どのような手口があるのかを押さえておくことが大切です。ここでは、サイバー攻撃の主な種類について解説します。

 

標的型攻撃

標的型攻撃とは、機密情報を盗もうとして特定の個人や組織を狙う攻撃で、「ランサムウェア」「サプライチェーン攻撃」「水飲み場攻撃」といった種類があります。

ランサムウェアとは、ユーザーのデータを暗号化し、データ回復のために高額な身代金を要求するソフトウェアのことです。一方、サプライチェーン攻撃は、セキュリティ対策が甘い関連企業などを足がかりに、本来標的としている大企業のネットワークに不正侵入することを指します。そして水飲み場攻撃は、標的としている企業や個人がよくアクセスしているWebサイトなどを改ざんするなどし、閲覧時にウイルス感染させる攻撃のことです。

このように標的型攻撃は、無差別というよりもある特定の企業や個人を標的として行われます。

【関連記事】盲点を突いてくるランサムウェアの脅威認知と企業での対応策を解説

 

不特定多数のターゲットを狙った攻撃

標的を設けず、不特定多数へ向けたサイバー攻撃も存在します。たとえば「フィッシング詐欺」は、送信者を偽ってメールを送り、メールに記載されたURLから偽のWebサイトへアクセスさせることで、クレジットカード番号などを盗み取ることです。

ほかにも「ゼロクリック詐欺」の被害に遭うと、スマートフォンなどでWebサイトを見ているとき、何も操作していないにもかかわらず、突然金銭の振込を求めるポップアップ画面が表示されます。

 

負荷をかける攻撃

相手のサーバーやWebサイトに対し、過剰な情報を送りつけて負荷をかけ、機能停止に追い込む「DoS攻撃」「DDoS攻撃」と呼ばれるものもあります。DoS攻撃は1対1で行われますが、DDoS攻撃は他人の複数台にわたるコンピュータを乗っ取り、標的となっているサーバーに攻撃するよう命令して実行させるため、より悪質です。不正アクセスによりWebサイトやサーバーがパンクすると、多大な損失となってしまいます。

【関連記事】DDoS攻撃の種類と企業がとるべき有効な対策とは?

 

サーバーやWebサイトの脆弱性に対する攻撃

ソフトウェアのバグなど脆弱性を狙ったサイバー攻撃も存在します。たとえば「ゼロデイ攻撃」は、情報セキュリティ上の脆弱性を発見してから、パッチの適用などの対策を打つまでの、わずかな期間を狙った攻撃です。

また「SQLインジェクション」も、脆弱性につけ込んだ攻撃の一種です。不当なSQL文を実行させることで、データベースのシステムを不正に操作します。

どのようなソフトウェアでもバグを防ぎきることは難しいため、脆弱性に対する意識を常に持っておく必要があります。

【関連記事】SQL Injectionとは?脆弱性に対する3つの対策について解説!

 

パスワードを狙った攻撃

ユーザーのパスワードを不正に取得する目的で行われる、「総当たり攻撃」というものもあります。やり方は至ってシンプルで、考えられるパスワードをすべて試していく方法や、パスワードに使われやすい言葉を組み合わせていく方法などがあります。パスワードを盗まれると甚大な被害につながるため、十分な対策が必要です。

 

 

サイバー攻撃の対策

では、企業がサイバー攻撃を防ぐには、どのような対策をすればよいのでしょうか。企業・従業員それぞれの観点から解説します。

 

企業として行う対策

企業が行える対策としては、次のようなものが挙げられます。

  • 社内で利用中のOSやソフトウェアを常に最新化する
  • OSシステムファイルやアプリケーション構成ファイルに変更がないか監視する
  • Webサーバーに対して不正な通信がないか検知を強化し、もしあれば遮断する
  • セキュリティポリシーを定め、ログ監視なども含めて社内の情報やアカウント管理を徹底する

ただ、手動や目視では実践するのが難しいため、多くの企業ではセキュリティソフトなどを導入し、対策を強化しています。

また、企業でサイバー攻撃への対策としてWAFの導入も効果的です。Cloudbric WAF+(クラウドブリック・ワフプラス)では、企業のWebセキュリティに必要な5つのサービスを総合的に活用できます。さらにセキュリティ専門家がいなくても手軽に運用・導入が可能です。

【関連記事】クラウド型WAFサービス cloudbric WAF+

 

従業員個人で行う対策

企業だけでなく、従業員自身による対策も重要です。たとえば、以下のようなものが代表的です。

  • サイバー攻撃の種類や対策方法、クラウドやネットワークの共有範囲を正しく理解する
  • パソコンやカメラなど、個人の機器のOSをアップデートし、常に最新化する
  • 身に覚えのないメールについては、リンクをたどる前に相手へ電話などで確認する
  • パスワードを設定する際は、英字(大文字・小文字)、数字、記号を組み合わせ、桁数を増やす

 

 

日本でのサイバー攻撃の事例

国立研究開発法人「NICT(情報通信研究機構)」が2022年2月に公開した「NICTER観測レポート2021」によると、2021年のサイバー攻撃を受けた関連通信数は2018年の約2.4倍、2016年との比較では約3.6倍に上っています。通信内容の内訳で最も多かったのが、IoT機器を狙った通信で、特に「その他のポート」への通信が増加傾向にあるとのことです。

最後に、2022年に企業が被害を受けたサイバー攻撃の事例について、2つご紹介します。

【参考記事】NICTER観測レポート2021

 

自動車メーカーへのサイバー攻撃

自動車メーカーのサイバー攻撃被害を見てみると、さまざまな企業が関連して、被害が連鎖する傾向にあります。たとえば、自動車製造にかかわる部品メーカーのネットワークがランサムウェアに感染したことから、サプライチェーンのリスクと鑑み、一斉に操業停止に追い込まれる事態がありました。これは、部品メーカーの子会社が利用していたリモート接続機器に不正侵入されたことが原因と考えられています。

自動車メーカーそのものが被害を受けたわけではありませんが、この件で約13,000台の生産に影響が出たと報告されており、サプライチェーンや子会社も含めたセキュリティの強化が求められます。

 

医療機関へのサイバー攻撃

2022年は、医療機関へのサイバー攻撃により診察受付ができなくなったことも、ニュースで話題になりました。ネットワークがランサムウェアに感染し、電子カルテを含む基幹システムに障害が起きた事例です。

これは、給食委託事業者のデータセンターにあったリモート接続機器からウイルスが侵入したことが原因と考えられ、システムの脆弱性が指摘されています。脆弱性診断やシステムのアップデートを行い、強固なセキュリティ体制の維持に努める必要があります。

こうしたサイバー攻撃を予防するためには、セキュリティ対策について経営層が積極的に関与することや、従業員全員がセキュリティに対する知識や意識を高めることが大切です。

 

 

まとめ

企業は多くの重要なデータを保持しており、それらを守るためにはサイバー攻撃への対策が不可欠です。自社に合ったセキュリティソフトを導入するほか、経営層を巻き込んで全社一丸となり、セキュリティへの意識を高めていくようにしましょう。

 

企業が行うべきセキュリティ対策

企業が行うべき情報セキュリティ対策とは?具体的な例とポイントを解説

企業が行うべきセキュリティ対策

企業が持続的に発展していくためには、損失につながる危険要因を適切に管理する、リスクマネジメントへの取り組みが欠かせません。そこで重要な役割を担うのが、事業活動を通じて収集された情報資産をさまざまな脅威から保護する「情報セキュリティ対策」です。本記事では、企業が実施すべき情報セキュリティ対策の具体例や押さえるべきポイントについて解説します。

 

情報セキュリティとは

情報セキュリティとは、事業活動において発生し得るセキュリティインシデントを多角的に評価・分析し、リスクの回避と損失の最小化を目指す施策の総称です。具体的には、「機密性」「完全性」「可用性」の3要素を対策基準の大枠として設定し、それぞれの観点から情報資産の安全性を強化します。そして、組織が保有する情報資産をマルウェアや不正侵入などの脅威から保護するとともに、ITシステムの恒常的な稼働を担保することが、情報セキュリティ対策の目的です。

  • 機密性
    情報セキュリティにおいて機密性とは、データベースに蓄積された情報資産が外部に流出しない状態を意味します。情報の機密性が低い状態では、外部からの不正侵入や、内部の人間による意図的な情報流出といったセキュリティリスクが懸念されます。
  • 完全性
    情報セキュリティの完全性とは、収集・蓄積された情報が正確かつ最新に保たれている状態を意味します。情報の完全性が保たれていない場合、データの改ざんや重複、ファイルの破損などを招く要因となり、データの正確性や信頼性を担保できません。
  • 可用性
    情報セキュリティにおける可用性とは、ITシステムの安定稼働を確保し、データを常時使用できる状態に保つことを意味します。ITシステムの可用性が確保されていない場合、ネットワーク障害やサーバーダウンなどによって、事業活動に多大な支障が生じる可能性があります。

【参考記事】情報セキュリティって何?|国民のための情報セキュリティサイト

 

 

情報セキュリティに対する脅威と対策

ここでは、事業領域において想定されるセキュリティインシデントと、主な対策について解説します。

 

ウイルス感染への対策

コンピュータウイルスとは、コンピュータのファイルに寄生して増殖する不正プログラムです。「トロイの木馬」や「ワーム」などと同じくマルウェアの一種であり、ウイルスに感染するとファイルのプログラムを書き換えられたり、情報を窃取される被害が想定されます。

代表的な対策として挙げられるのが、ウイルス対策ソフトウェアの導入です。ウイルス対策ソフトウェアは、既知のマルウェアに類似するプログラムを自動的に検出して無力化します。そのほかにも、アプリケーションを最新のバージョンに保つ、スパムメールの添付ファイルを開封しない、安全性が低いWebサイトをフィルタリングする、といった対策も有効です。

 

不正侵入への対策

不正侵入とは、不正な手段を用いてコンピュータやファイルにログインする行為を指します。不正侵入は、顧客情報の窃取や個人情報の流出といった被害につながることはもちろん、ほかのシステムを攻撃する踏み台として利用される事例も少なくありません。

不正侵入を防止するためには、ID/パスワード管理の徹底や、職務分掌規定に基づくアクセス権限設定などの対策が必要です。また、LANとインターネットの間でネットワーク層を保護するファイアウォールの設置や、アプリケーション層の脆弱性を狙う脅威から情報資産を保護するWAF(Web Application Firewall)の導入、といった対策も求められます。

代表的な対策一覧は以下のようなものです。

  • ID・パスワード管理の仕組み化
  • アクセス権限の設定
  • ファイアウォールの設置
  • WAFの導入
  • アクセスログの取得と監視

また、不正侵入への対策としてWAFの導入も効果的です。WAFはWeb Application Firewallの略称でWebアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。Cloudbric WAF+(クラウドブリック・ワフプラス)では、WAFサービスや脅威IP遮断サービスなどWebセキュリティに必要な5つのサービスを統合的に提供します。

【関連記事】クラウド型WAFサービス cloudbric WAF+

 

情報漏えいへの対策

情報漏えいとは、組織のデータベースに蓄積された情報資産が外部に流出することです。ウイルスや不正侵入による機密情報の漏えいや、内部の人間による意図的なデータの流出といった被害が想定されます。

情報漏えいを防ぐためには、情報管理における仕組みを整備し、そのルールを遵守する経営体制を構築しなくてはなりません。そのためには、ウイルス対策ソフトやファイアウォールなどを導入するだけでなく、顧客情報や製品開発情報といった機密情報の取り扱いに関するルールの策定が求められます。また、廃棄した物品から情報漏えいにつながるケースもあるため、PCやHDD、資料などの廃棄ルールを整備する必要があります。またWAFも情報漏えいの対策として効果的です。WAFでは個人情報の漏えいに繋がるOSコマンドインジェクションの脆弱性を悪用した攻撃に対して防ぐことができます。

代表的な対策一覧は以下のようなものです。

  • ウイルス対策ソフトやファイアウォールの導入
  • ID/パスワード管理やアクセス権限設定の最適化
  • データガバナンスの整備
  • 情報セキュリティに関する社員教育
  • 機器や資料などの廃棄ルールを徹底する

 

災害などによる機器障害への対策

地震大国と呼ばれる日本では、いかにしてITインフラの可用性を確保するかが重要課題です。たとえば、地震や火災などによってサーバーがダウンした場合、業務に支障をきたすのみならず、情報漏えいによる信用の失墜や損害賠償請求、売上機会の損失、株価の下落、ブランドイメージの低迷といった損害を招きかねません。

こうした事態を回避するためには、サーバーの冗長化やバックアップ環境の整備、ファイルサーバーのクラウド移行、予備電源の確保、データセンターの安全管理といった対策が求められます。また、災害発生時における復旧マニュアルを策定し、有事の際に柔軟かつ迅速に対応できる体制を整えることも大切です。

代表的な対策一覧は以下のようなものです。

  • サーバーの冗長化
  • バックアップ環境の構築
  • ファイルサーバーのクラウド移行
  • 予備電源の確保
  • データセンターの安全管理

 

 

情報セキュリティ対策のポイント

事業領域における情報セキュリティ対策を整備する際は、いくつか押さえるべきポイントが存在します。なかでも重要なポイントとして挙げられるのが、以下の3点です。

 

システムを最新の状態にする

現代はデジタル技術や情報通信技術の進歩・発展に伴い、マルウェアや不正侵入といったサイバー攻撃の手口も年々巧妙化かつ多角化していく傾向にあります。このような脅威から組織の情報資産を保護するためには、最新かつ最適なシステムを導入することが重要です。自社で導入しているシステムが適切か見直しを行い、それらが最新かどうかを確認しましょう。さらに導入したOSやソフトウェア、アプリケーションなどを常に最新バージョンに保つことが大切です。

 

テレワークへの対応をする

近年では、働き方改革の推進や新型コロナウイルスなどの影響により、テレワーク制度を導入する企業が増加傾向にあります。テレワーク環境では、オフィス外から社内ネットワークにアクセスする必要があり、リモート型の遠隔勤務に対応したセキュリティ体制を確立しなくてはなりません。安全かつ高速なファイル共有基盤を構築する必要があるため、ファイルサーバーのクラウド移行や仮想デスクトップ基盤の導入を検討するとともに、データガバナンスの整備やセキュリティガイドラインの策定といった施策が求められます。

 

従業員へ教育と管理を行う

情報セキュリティを強化するためには、マルウェアのような外部環境への対策だけでなく、人材のITリテラシー向上やデータガバナンスの策定といった内部環境の整備が欠かせません。そのためには、情報セキュリティに関する研修や教育制度を確立し、従業員一人ひとりが情報漏えいの事例やサイバー攻撃の手口などを学ぶ必要があります。そして、意図的な情報の持ち出しを防止する仕組みを整備し、そのルールを遵守する企業文化を醸成することで、組織全体における情報セキュリティの強化に寄与します。

 

まとめ

情報セキュリティとは、「機密性」「完全性」「可用性」の3要素に基づいてセキュリティリスクを分析し、組織の情報資産を保護するとともに、ITシステムの継続的な稼働を担保する一連の施策です。

事業活動ではIT化の進展に伴って、「ウイルス感染」「不正侵入」「情報漏えい」「機器障害」などのセキュリティリスクが想定されます。したがって、ウイルス対策ソフトやWAFの導入、アクセス権限設定の最適化、OSやソフトウェアのアップデート、サーバーの冗長化といった対策が必要です。

そして同時に、従業員への教育制度やデータガバナンスを整備することで、組織全体における情報セキュリティの強化につながります。

 

WAFの必要性_お知らせTOP

ホワイトペーパー公開!「多様化するサイバー攻撃から企業を守るWAFの必要性」

WAFの必要性_お知らせTOP

WebサイトおよびWebアプリケーションは、ビジネスシーンにおいて欠かせないものです。
一方で、Webアプリケーションを狙ったサイバー攻撃は激化の一途をたどっており、効果的なセキュリティ対策としてWAF(Web Application Firewall)が注目されています。

本資料では、企業のセキュリティを万全に保ちたいIT・セキュリティ担当者の方向けに、サイバー攻撃の事例からWAFの導入目的・効果までを解説しておりますので、ぜひ一度ご覧ください。

▼ホワイトペーパー「多様化するサイバー攻撃から企業を守るWAFの必要性」ダウンロードはこちら
https://www.cloudbric.jp/dl-wp-waf/

 

▼製品・サービスに関するお問い合わせはこちら
https://www.cloudbric.jp/inquiry/

▼Cloudbirc WAF+の無償トライアルはこちら
https://www.cloudbric.jp/free-trial/

▼パートナー制度のお問い合わせはこちら
https://www.cloudbric.jp/partners/

MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

 

MFA、MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

クラウドサービスやテレワークが普及し、企業や従業員が外部から社内の機密情報にアクセスする機会が増えつつあります。利便性が高まっていることは確かですが、不正アクセスなどのリスクについても考え直さなければなりません。アプリケーションやシステムにおいて、情報へのアクセス権限を確かめる認証機能は、セキュリティ対策として最も基本的な仕組みの1つです。ここでは、認証の方式として近年注目されているMFA(「多要素認証」)について解説し、なぜMFAが必要なのか、MFAを使ってセキュリティをさらに強化するためのポイントについて解説します。

 

MFAとは

MFAは、複数の要素を組み合わせて認証を行うことでなりすまし等の被害を防ぐセキュリティ対策の1つです。ここではMFAの概要について、より詳しく解説していきます。

MFAの定義

MFAは「Multi-Factor Authentication」の略称で、日本語では「多要素認証」と言われます。アプリケーションやシステムにおいて、アクセスを試みているユーザが正規のユーザかどうかを確かめることを「認証」と言います。MFAはその認証の中でも、複数の要素を用いて認証する仕組みのことを指しています。

MFAが成立するためには、次の3つの要素のうち、2つ以上を組み合わせる必要があります。
・知識情報(パスワードや秘密の質問など)
・所持情報(ICカード、スマートフォンなど)
・生体情報(指紋、声紋、虹彩など)

「知識情報」は、その人が「知っている」情報のことです。パスワードや秘密の質問への答えなど、正規の利用者しか知らないはずの情報を使って認証します。

「所持情報」は、その人が「持っている」情報のことです。ICカード内のチップや、スマートフォンのようなモバイル端末など、正規の利用者しか持っていないはずの情報を使って認証します。

「生体情報」は、その人が「どのような身体的特徴を持つか」を示す情報です。指紋や虹彩といった、人によって異なる身体的特徴を使って認証します。

MFAは、これら3要素のうち2要素以上を使った認証を指します。異なる要素を2つ以上必要とするため、なりすましのリスクが大きく下がるのが特徴です。

二段階認証との違い

「MFA(多要素認証)」と似た言葉として、「二段階認証」という認証方式があります。二段階認証は、要素の違いを問わず、2回のチェックを行う認証方式のことです。例えば、「パスワード」の入力を求めた後で「秘密の質問」による認証を行う、という仕組みは「二段階認証」です。パスワードも秘密の質問も同じ「知識情報」のため、多要素ではありません。多要素認証は、あくまでも異なる要素を組み合わせなければなりませんが、二段階認証は要素の違いは考慮せず、ただ「2回認証する」ということだけに着目した認証方式です。

ゼロトラストとの関係

MFAは、ゼロトラストによるセキュリティを実現するための認証方式として採用され始めています。近年では、「ゼロトラスト」というセキュリティの考え方があります。「ゼロトラスト」とはネットワークの内外やデバイスを問わず、「何も信頼しない」ことを前提としてセキュリティ対策を講じる、という考え方のことです。内部のネットワークやデバイスを信頼しないため、より厳格な認証方式としてMFAが利用されているのです。MFAはゼロトラストによるセキュリティを実現するための方策の1つとして、多くの場面で採用され始めています。

 

MFAで使われる認証方式の例

MFAには様々な例があります。実際にMFAでよく使われる認証方式の例について解説します。

ワンタイムパスワード(知識情報・所持情報)

1つ目は「ワンタイムパスワード」です。IDとパスワードを入力した後で、ユーザのデバイス宛てにワンタイムパスワードを送信し、そのワンタイムパスワードの入力によって再度認証します。ID・パスワードという「知識情報」と、デバイスという「所持情報」を使った多要素認証です。

デジタル証明書(知識情報・所持情報)

2つ目は「デジタル証明書」です。あらかじめ特定の端末に証明書をインストールしておき、パスワード等の情報と共に認証を行います。特定の端末からしかアクセスできないため、より厳密な端末管理ができます。パスワードをはじめとする「知識情報」と、証明書をインストールした端末という「所持情報」を利用した多要素認証です。

リスクベース認証

3つ目「リスクベース認証」です。厳密には、リスクベース認証は多要素認証の一種ではありませんが、リスクベース認証のために多要素認証が使われるのが一般的です。リスクベース認証とは、普段と異なる場所や時間・デバイスでのアクセスが試みられた際に、パスワード等による通常の認証に加え、さらに追加での認証を要求する認証方式を指します。常に多要素認証を要求するよりも利便性が高い、というメリットがあります。追加での認証の際にはワンタイムパスワードを利用するなど、パスワード等の知識情報とは別要素での認証がより効果的です。

 

 MFAの必要性

そもそも、MFAはなぜ必要なのでしょうか。ここでは、MFAの必要性と役割について解説します。

なぜMFAが必要なのか

MFAは、セキュリティを強化するために必要な仕組みです。パスワードのみによる従来の認証方法は、パスワード管理の甘さやブルートフォース攻撃などによる不正アクセスのリスクが高く、扱う情報によっては不十分なセキュリティ対策でもあります。MFAは、1つの要素による認証を突破されただけでは情報漏えいに至らないため、特に扱う情報の重要性が高い場合は、強固なセキュリティを築くために必要と言えます。

MFAは企業の情報資産を守れる?

MFAは、企業の情報資産の保護につながることが期待されています。企業では、多くの重要な情報資産を扱うため、個人よりも強固なセキュリティを構築しなければなりません。近年ではリモートワークなどの普及に伴い、外部から企業内部のシステムやネットワークにアクセスする機会も増えています。そうした事態の変化に伴い、企業に求められるセキュリティのために、MFAの導入を検討すべき事例は増えているでしょう。

 

MFAでのセキュリティを強化するためのポイント

MFAがセキュリティ対策として効果があるとは言っても、ただMFAを導入すれば良いという訳ではありません。ここでは、MFAでセキュリティをさらに強化するためのポイントについて解説します。

パスワードポリシーの強化

MFAをはじめ、パスワードを使ったあらゆる認証方式では、パスワードポリシーを強化することが大切です。具体的には、「最低8文字以上」「英大文字小文字・数字・記号のうち3種以上を使用する」「IDと同一の文字列は利用不可」といった形で、推測されにくいパスワードポリシーを設定し、定期的な変更を義務付けることが大切です。

情報の使いまわしを避ける

パスワードのように、認証情報の使いまわしを避けることもポイントです。複数のサービスで同じパスワードを使いまわすと、一つのサービスから情報漏えいがあった場合に他のサービスでも不正アクセスにつながる可能性が高まります。企業では社員教育を徹底し、複数のサービスで認証情報を使いまわさないように注意すると良いでしょう。

端末やパスワード管理の徹底

MFAは、複数の要素での認証によって不正アクセスを防ぐ仕組みです。そのため、パスワードの流出や端末の紛失などが万が一あったとしても、即座に不正アクセスにつながるとは言い切れません。しかし、強固なセキュリティを維持するためには、パスワードや端末を厳重に管理しなければなりません。MFAだからと油断せず、厳重な管理や社員教育が大切です。

 

まとめ

MFA(「多要素認証」)は、知識情報、所持情報、生体情報の3つの要素のうち、2要素以上を組み合わせて認証する認証方式です。単一の要素のみでの認証に比べてセキュリティを強化できるため、機密情報へのアクセスの際などに導入することをおすすめします。
MFAを始めとするセキュリティ対策を施す際には、専門家の手によるサービスを利用するのがおすすめです。MFAを実現するのにおすすめのソリューションが「Cloudbric RASです。ゼロトラストを基盤としたセキュリティプラットフォームで、セキュアな認証を実現できます。また、ユーザも管理者もブラウザベースで利用できるため、利便性にも優れています。WAFソリューション「Cloudbric WAF+」との併用でさらにセキュリティを強化できるため、Webアプリケーションを利用している企業での導入が特におすすめです。