Web攻撃と脆弱性

【必見】最新版!Web攻撃と脆弱性について10のパターンを紹介!

近年、Webサイトを対象とした悪意のある攻撃者からのサイバー攻撃が後を絶ちません。ペンタセキュリティ株式会社とクラウドブリック株式会社が共同で公開した2021年第2四半期のWeb脆弱性トレンド情報によると、Web脆弱性発生件数は上昇傾向にあり、2021年6月は70件が発生しました。Webアプリケーションの脆弱性を狙った攻撃が巧妙化し、セキュリティ対策の必要性はますます高まっています。 そのため、Webアプリケーションを利用したサービス提供をしているのなら、最新のWeb攻撃の動向や事例は、知っておくべきでしょう。

 本記事では、Webアプリケーションの脆弱性を狙ったWeb攻撃の動向や事例についてまとめました。

Web攻撃動向レポートのダウンロードはこちら

 

最新版!Web攻撃と脆弱性10選

Webアプリケーションとは、インターネット上で稼働するシステムの総称で、主に、Webサーバー上で動作し、ChromeなどのWebブラウザで操作します。それに対して、スマートフォンなどの端末やパソコンにインストールして利用するアプリケーションはネイティブアプリケーションと呼んでいます。ちなみに、これらの2つの大きな違いは、利用する際にインターネットアクセスの有無で、一般的には、Webアプリケーションはインターネットへアクセスする必要があるため、攻撃者からのサイバー攻撃に遭遇する危険性が伴います。 

それでは、最新のWebアプリケーションへ主に発生する10のWeb脆弱性について詳しく見てみましょう。

  • クロスサイトスクリプティング
  • サービス運用妨害(DoS)
  • メール不正中継
  • バッファオーバーフロー
  • 強制ブラウズ
  • ディレクトリトラバーサル
  • コマンドインジェクション
  • SQLインジェクション
  • URLパラメータの改ざん
  • ファイルアップロード

過去のWebアプリケーション脆弱性についての記事は、こちらをご覧ください。

 

クロスサイトスクリプティング(XSS攻撃)

「クロスサイトスクリプティング」とは、悪意のあるスクリプトが挿入されたWebサイト(ページ)を直接的なターゲットとしているのではなく、サイト利用者・閲覧者をターゲットとした攻撃のことです。例えば、攻撃者が悪意のあるスクリプトを埋め込み、それを利用者が閲覧し実行してしまった場合、利用者は偽サイトに移動(クロスサイト)してしまいます。

クロスサイトスクリプティングは、Webアプリケーションへ主に発生するWeb攻撃(脆弱性)の1つとされており、それに気付かずに情報を入力してしまい、フィッシング詐欺やセッションハイジャックに遭う危険性があります。

 

サービス運用妨害(DoS攻撃) 

「サービス運用妨害」とは、処理に時間のかかるアルゴリズムを採用しているなどの脆弱性を狙ったWeb攻撃です。一般的には、Webアプリケーションへ主に発生するWeb攻撃に起因することから、DoS攻撃とも呼ばれています。例えば、Webサーバーに対して通常の範囲を超えたアクセスメール送信などを行い、メモリやCPUを全稼働させて処理速度を低下させます。

 また最近、DoS攻撃の進化版でもあるDDoS攻撃(不正な方法で乗っ取った複数のマシンを使ったDoS攻撃)の攻撃・被害件数も増加傾向がみられます。

 

メール不正中継

メールサーバ(SMTP)はメールが送られてきた際、自身のドメイン宛てのメールではなかった場合、別のメールサーバに転送します。そして、この機能を利用して攻撃者が他人のサーバを使い、送信元の身元が分からない大量の迷惑メールを送信する攻撃のことを「メール不正中継」と呼びます。Webアプリケーションへ発生するWeb攻撃のポイントとしては、主に下記の2つがあります。

  • 使用している電子メール配送プログラムに、メール中継に関する制限を設定していない
  • そもそも設定がないなどの脆弱性がある

これらの脆弱性により、メール不正中継などのサイバー攻撃を受けてしまう危険性があります。

また、攻撃者から大量の迷惑メールが送られてくることで、サーバが本来必要のないメール配信処理をすることになり、提供しているWebアプリケーションを利用したサービスに影響が出ます。

 

 バッファオーバーフロー

「バッファオーバーフロー」とは、データの受け取りや保管のために用意された領域(バッファ)に想定以上の長さのデータを書き込んでしまうが原因で発生するWebアプリケーションにおけるWeb攻撃のことです。溢れたデータが隣接する領域を不正に書き換えてしまったり、それによって動作異常が発生したりします。

 バッファオーパーフローは、典型的なWebアプリケーションの脆弱性の1つで、攻撃者が外部から故意に想定よりも膨大なデータを送り込んでプログラムを異常終了させたり、攻撃用のコードを送り込んで実行させたりするということです。

 

強制ブラウズ

利用しているWebアプリケーションに、URLへのアクセスを適切に制御していない脆弱性がある場合、「強制ブラウズ」という攻撃に遭遇する危険性があります。強制ブラウズとは、Webページ上からリンクを辿るのではなく、アドレスバーからURLを直接入力して本来システム側では公開していないはずのディレクトリやファイルなどにアクセスを試みること、つまり、強制的にブラウザに表示させられてしまいます。

  • ディレクトリの配置ミス
  • ファイルの配置ミス
  • Webサーバの設定ミス

Webアプリケーションにおける矯正ブラウズの脆弱性発生の原因としては、主に、上記3つが挙げられます。

 

ディレクトリトラバーサル

「ディレクトリトラバーサル」とは、「../」のような文字列を使ってサーバのディレクトリ・パスを遡る攻撃のことです。Webサーバに置いたままにしている非公開ファイルにアクセスし、そこに保存されている情報を盗まれる危険性があります。

Webアプリケーションを利用して目的のデータを表示させるようなサービスを提供しているサイトに入力される可能性のあるデータに対する考慮不足があった場合、ディレクトリトラバーサルの被害に遭遇する危険性が伴います。

 

コマンドインジェクション

「コマンドインジェクション」とは、コマンド(コンピュータの利用者がOSのシェルに与える文字列による命令のこと)を利用し、Webアプリケーションの脆弱性を悪用する攻撃です。WebアプリケーションのコードにOSコマンドの呼び出し処理があり、ユーザーが入力したデータがコマンドの一部分を構成している場合に発生します。

  • 攻撃者がWebサーバ内に保存されているファイルを読み出す
  • システムに関係する操作、プログラムを不正に実行することが可能
  • 情報漏洩だけでなく、サーバー自体が乗っ取られてしまう危険性がある

コマンドインジェクションによって、上記のような危険性が伴います。

 

SQLインジェクション

「SQLインジェクション」とは、データベース言語(SQL)を利用して、Webアプリケーションの脆弱性を悪用する攻撃のことをいいます。コマンドインジェクションと同様に、攻撃者がWebサーバ内に保存されているファイルを読み出したり、システムに関係する操作、プログラムを不正に実行されたりします。

ユーザIDとパスワードを入力するサイトで、入力情報がアプリケーション内部でSQL文として解釈されてしまう脆弱性がある場合に、被害を受けてしまうため注意が必要です。

 

URLパラメータの改ざん

URLパラメータとは、URLにパラメータというプログラムを付け加えたシステムのことです。URL末尾に「?」が付け加えられ、「?」以降の文字列がパラメータとなります。

 このURLに付加されるパラメータ(URLパラメータ)をアドレスバーから直接改ざんして、不正アクセスを行う攻撃が「URLパラメータの改ざん」の手口で、Webサイトが改ざんされたり、Webサーバが誤動作するようにされてしまいます。

 

ファイルアップロード

「ファイルアップロード」とは、攻撃者がWebシェル(悪意のあるプログラム)をアップロードして、悪意のあるスクリプトを注入することです。Webサーバーなどに意図しない動作を引き起こさせたり、情報を抜き出されたりします。ファイルのアップロード機能のあるページの脆弱性を衝いてくる攻撃です。

 

Web攻撃による脆弱性に関する事例を紹介!

当社の「EDB/CVEレポート」で公開している通り、2021年第2四半期(4・5・6月)の脆弱性件数は合計169件でした。

ここでは、2021年第2四半期に脆弱性が観察されたWebアプリケーションの事例として、WordPress事例を紹介します。WordPressとは、Webサイトやブログを簡単に作成できるアプリケーションのことで、Webアプリケーションに起因するシステムの脆弱性により、Web攻撃を受けやすいことが特徴です。しかし、インターネット上の40.0%以上のサイト・ブログでWordPressが採用されていることを受け、WordPressの脆弱性を突いたサイバー攻撃が後を絶ちません。

2021年第2四半期で発生した、サイバー攻撃の手口といえばクロスサイトスクリプティングとSQLインジェクション。しかし、WordPressの事例では、ファイルアップロードなども確認されています。

概要について、下表にまとめました。

日付 脆弱性カテゴリ 脆弱性名
2021.5.19 クロスサイトスクリプティング WordPress Plugin Stop Spammers 2021.8 – ‘log’ Reflected Cross-site Scripting (XSS)
2021.5.24 クロスサイトスクリプティング WordPress Plugin ReDi Restaurant Reservation 21.0307– ‘Comment’ Stored Cross-Site Scripting (XSS)
2021.5.25 クロスサイトスクリプティング WordPress Plugin Cookie Law Bar 1.2.1 – ‘clb_bar_msg’ Stored Cross-Site Scripting (XSS)
2021.5.28 クロスサイトスクリプティング WordPress Plugin LifterLMS 4.21.0 – Stored Cross-Site Scripting (XSS)
2021.6.1 クロスサイトスクリプティング WordPress Plugin WP Prayer version 1.6.1 – ‘prayer_messages’ Stored Cross-Site Scripting (XSS) (Authenticated)
2021.6.7 ファイルアップロード WordPress Plugin wpDiscuz 7.0.4 – Arbitrary File Upload (Unauthenticated)
クロスサイトスクリプティング WordPress Plugin Smart Slider-3 3.5.0.8 – ‘name’ Stored Cross-Site Scripting (XSS)
2021.6.8 ファイルアップロード WordPress Plugin wpDiscuz 7.0.4 – Remote Code Execution (Unauthenticated
2021.6.9 クロスサイトスクリプティング WordPress Plugin visitors-app 0.3 – ‘user-agent’ Stored Cross-Site Scripting (XSS)
2021.6.23 SQLインジェクション WordPress Plugin Poll_ Survey_ Questionnaire and Voting system 1.5.2 – ‘date_answers’ Blind SQL Injection
クロスサイトスクリプティング WordPress Plugin WP Google Maps 8.1.11 – Stored Cross-Site Scripting (XSS)
2021.6.28 クロスサイトスクリプティング WordPress Plugin YOP Polls 6.2.7 – Stored Cross Site Scripting (XSS)

なかには、深刻度が緊急(Critical)および重要(High)の指標も存在し、悪用された場合、第3者に遠隔から任意のコードを実行される危険性(RCE)もあります。Web脆弱性が確認される度に修正はされていますが、今後も注意が必要です。

 

まとめ

今回は、Webアプリケーションへ主に発生するWeb脆弱性の種類と事例について解説してきました。攻撃者はさまざまな巧妙な手口で、Webアプリケーションへの攻撃(脆弱性)を狙ってきます。また、WordPressなどのWebアプリケーションはとても便利ですが、脆弱性については数多く報告されています。そのため、脆弱性を狙った攻撃から守るためにも、Webセキュリティは最新の状態に更新しておきましょう。

最新のWeb脆弱性の情報はこちらからご確認ください。

Web攻撃動向レポートはこちら

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

cloudbric - press release

クラウドブリック、Zero Networks社と販売代理店契約を締結

-セキュリティ人材不足の課題に応える一石五鳥のWebセキュリティ対策を提供

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(英文社名:Cloudbric Corp. 代表取締役:鄭 泰俊、http://139.162.127.206/jp)は8月19日、自社が提供するクラウド型WAFサービス「Cloudbric WAF+」の販売について、Zero Networks株式会社と販売代理店契約を締結したことを発表した。

昨今、クラウドインフラへのシフトおよび新型コロナウィルスの拡散により、セキュリティ対策に優先順位を付与する企業が増加している。一方、Webシステムを狙ったサイバー攻撃の手口は年々高度化する反面、セキュリティ人材が不足していることが深刻な問題となっている。経済産業省が今年の4月に公開した「サイバーセキュリティ体制構築・人材確保の手引き」によると、重要事項の一つとして挙げられるのが「不足しているセキュリティ人材の確保・育成」である。しかし、中堅・中小企業の場合は依然として専任の担当者がいなかったり、多くの予算を割けないなど、しっかりとしたセキュリティ対策が取られていないというのが現状である。

クラウドブリック株式会社は、サーバ・ネットワークインフラにおける設計、構築、運用を行っているZero Networks社と販売代理店契約を締結し、Webセキュリティ対策に対する中堅・中小企業のニーズに、より蜜にお応えできるよう連携していく。Zero Networks社は、東京に本社を構えているSierで、各種ソフトウェアや、ハードウェアの販売、保守も対応可能となり、企業状況に合わせて適材適所のシステム構築やセキュリティソリューションを柔軟に提案できるのが強みで、Cloudbric WAF+に対し、法人顧客に提案、設計、構築、運用保守までワンストップでサポートできるようになる。

「Cloudbric WAF+」は、社内にセキュリティ担当者がいなくても、サイバー脅威の可視化を実現するクラウド型WAFサービスである。今年、WAFサービスに加え、DDoS対策、SSL証明書、脅威IP遮断、悪性ボット遮断などWebセキュリティに必要な5つのサービスを1つのプラットフォームで提供することによって、セキュリティ性能の高度化と一貫性のあるユーザエクスペリエンスの実現に取り組んできた。「Cloudbric WAF+」は現在、日本国内550社超 7,180サイト以上を保護するなど成長を続けている。

クラウドブリック株式会社代表取締役の鄭は、「現在企業様が当面しているセキュリティ課題に対し、Cloudbric WAF+は見えないサイバー脅威を可視化し簡単に高度なWebセキュリティを実現できる最適なソリューションとなるだろう」とし、「これからは、高い技術力と柔軟な提案能力といった両社のそれぞれの強みを活かして、より一層日本のお客様のニーズに寄り添い、セキュリティ性能や利便性の高いソリューションを提案していきたい」と述べた。

 

クラウドマイグレーションとは?オンプレミス環境の違いについて

【企業向け】クラウドマイグレーションとは?オンプレミス環境との比較解説

総務省の「令和2年版情報通信白書」によると、企業によるクラウドマイグレーションの割合は64.7%(令和元年度:58.7%)でした。このことからも、自社で物理的なサーバを保有して管理・運用するオンプレミス形態の環境から、クラウドマイグレーションする企業が増加傾向にあることが分かります。クラウドマイグレーションによって、クラウド環境に移行すれば、コストの大幅カットが見込めるといわれていますが、他にもさまざまなメリットがあります。本記事では、クラウドマイグレーションとオンプレミス環境との違いについて解説していきたいと思います。

 

クラウドマイグレーションとオンプレミス環境との違いについて

ここでは、クラウドマイグレーションとオンプレミス環境との違いについて解説しています。その前に、クラウドマイグレーションについて詳しくみていきましょう。

クラウドマイグレーションとは?

クラウドマイグレーションとは、自社内に設置した物理的なサーバで運用してきたシステムを、外部の事業者のクラウド環境のサービスでのシステム運用に切り替えることです。和訳すると、「クラウド化」「クラウド移行」といった意味です。

 クラウド環境とは、従来、個々のストレージや自社の物理サーバに保存していたデータを、外部の一ヵ所で集約・管理し、必要なときにインターネットを経由して利用できる環境のことで、そのクラウド環境を提供しているサービスのことを総称して、「クラウドサービス」と呼んでいます。クラウドサービスは、利用者が場所を選ばずどの端末からでも利用することができることから、数年前から需要が高まっています。そして、このような社会的背景から、企業のクラウドマイグレーションへの移行が進む傾向にあるということがいえます。

 

オンプレミス環境との違いは?

もともと、大手企業を中心に導入が進んできたオンプレミス環境。オンプレミス環境とは、自社内に設置したサーバ-や情報システム設備で、社内のさまざまなシステムを運用する環境のこと。和訳するとは、「自社運用」という意味です。それでは、企業が導入するクラウドマイグレーションとオンプレミス環境には、どのような違いがあるのでしょうか。クラウドマイグレーションとオンプレミス環境との比較項目として、下記の5つを挙げることができます。

  • 品質
  • コスト
  • 調達スピード
  • カスタマイズ性
  • セキュリティ面

この5つの項目を下表にまとめてみました。

クラウドマイグレーション オンプレミス環境
品質 オンプレミス環境に比べて通信速度が劣る  通信速度は速く、安定している
コスト 基本、月額利用料以外の費用がかからない 初期導入費や維持・管理費など、さまざまな費用がかかる 
調達スピード 即日の利用開始が可能 利用できるまでに時間がかかる
カスタマイズ性 自由にカスタマイズできない 自由にカスタマイズが可能
セキュリティ面 自社での対策は必要ない 自社で対策が必要となる

<品質>

5G化などにより通信速度は年々向上しています。しかし、クラウドマイグレーションでは、ネットワークを介して離れたところにあるサーバへアクセスするため、回線の速度と質は安定していません。一方、オンプレミス環境は社内のネットワークを利用しているため、回線の速度と質が安定しています。ただし、オンプレミス環境の品質は、サーバ・システムを構築したエンジニアのスキルによって差異が生じます。

<コスト>

自社内に物理サーバを設置してシステムを運用するためには、必要となる機器の購入費や設置に関する工事費など、さまざまな初期費用がかかります。また、運用や管理にもコストがかかり、拡張となれば新たな購入費や工事費などが必要です。しかし、クラウドマイグレーションを導入すれば、自社でサーバー環境を保有する必要がないため、初期費用だけでなく、運用・管理に必要となる費用を大幅に抑えることができます。ただし、利用するサービスによっては月額利用料は利用した従量によって変動することがあります。そのため、月額費用が固定されるオンプレミス環境と比べて予算化が難しい場合もあります。

<調達スピード>

必要となる機器の購入や工事が必要になり、設置しても調整しなければ運用がスタートできないのがオンプレミス環境です。そのため、調達・導入・運用には相当な時間がかかります。クラウド環境はオンプレミス環境と比べてすぐに使用可能であることが特徴です。自社のシステムにマッチングするための調整時間は必要ですが、サーバ構築を自社内で行わないため、調達スピードはクラウドマイグレーションの方が圧倒的にスピーディーです。

<カスタマイズ性>

クラウドマイグレーションするデメリットとして、システムのカスタマイズが行いにくいことが挙げられます。一方、オンプレミス環境は、自社でサーバー・システムを管理・運用しているため自由にカスタマイズすることが可能です。しかし、クラウドマイグレーションをは、契約した他社が提供しているサービスを活用しているため、システム環境を自由に変更・カスタマイズすることは困難です。ただし、リソース面でのカスタマイズは可能なサービスが多く、リソースのカスタマイズ性でいえば、オンプレミス環境よりも優れています。

<セキュリティ面>

企業を狙った新たなサイバー攻撃の手法は年々増加しています。オンプレミス環境では、障害が起きたり、サイバー攻撃を受けた場合、自らでWebセキュリティ対策をしなければなりません。しかし、クラウドマイグレーションは提供する会社が基本的なWebセキュリティ対策を行うため、コストをかけずにセキュリティ対策を取ることは大きなメリットといえます。ただし、外部とのネットワークを利用するクラウドマイグレーションは、外部からのハッキングや情報漏れなどのリスクは高くなるため、WAF(Webアプリケーションファイアウォール)等を導入しセキュリティを更に強固にする必要もあります。

 

企業がクラウドマイグレーションに移行する3つのメリットとは?

次に、企業がクラウドマイグレーションに移行する3つのメリットについて解説します。

<低コストで導入可能>

一般的に、オンプレミス環境でシステム運用する場合は、下記のような費用がかかります。

  • サーバーの設置費
  • 付帯設備費
  • ハードウェアやソフトウェアの購入費
  • ライセンスの購入費
  • システムの維持・管理費

これらの費用は、場合によっては数千万円かかることもあり、企業運営にとって大きな課題でした。しかし、クラウドマイグレーションであれば、これらのコスト削減が可能です。さらに、システム運用や維持・管理のために、エンジニアなどの専門家を雇う必要もなくなるため、人件費も抑えることができます。

<障害時にかかる復旧が容易>

どんなに慎重にシステム管理していても、突然何らかの原因でシステムに障害が発生する危険性はあります。もし、オンプレミス環境で運営していれば、障害が発生した場合自らで対応しなければなりません。社内に専門チームがあればすぐに復旧できますが、そうでなければ復旧には相当な時間を要します。

 それに対してクラウドマイグレーションは、障害への対応は基本的に提供会社が行います。しかも、専門的な知識を持つ運用スタッフが対応するため、短時間で復旧することは大きなメリットといえるでしょう。

 また、障害時にサーバが破損して、会社の大切なデータが失われてしまうリスクも軽減できます。

<屈強なセキュリティ>

クラウドマイグレーションでは、経済産業省の「クラウドセキュリティガイドライン」をベースに、情報セキュリティ管理・対策を行っています。経済産業省が策定した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の通称で、クラウドという概念が広まった当初、運用にあたっての明確なルールは存在せず、多くの顧客情報や社外秘とされる情報が流出する危険性がありました。この問題に対処するべく策定され、発生した事例に対応できるように制定されたルールが「クラウドセキュリティガイドライン」です。詳細を見ると、企業のクラウドマイグレーション運用において、クラウドセキュリティガイドラインに則ってWebセキュリティ管理を行っているため、安心して利用できるということです。

ちなみに、クラウドマイグレーション事業者が適切なデータ保護やセキュリティ対策を実施していることをマークとして表示する制度もあります。実績のある会社のクラウドマイグレーションであれば、屈強なWebセキュリティ対策も可能でしょう。

しかし、クラウドを導入するにあたって、注意しなければならないこともあります。IaaS、PaaS、SaaSなど種類によって違いますが、ユーザ側にもセキュリティ面での責任はあります。例えば、SaaSの場合、クラウド上のデータ管理についてはユーザの責任範囲であることが一般的です。

だからこそ、オンプレミス環境であっても、そしてクラウド環境であっても、ユーザ自らセキュリティに対して徹底的な検討を行い、どのようなセキュリティ対策を導入するかを決定していくことが求められます。

詳しい内容は下の記事を参考してください。

https://www.cloudbric.jp/blog/2021/03/cloud_security_u_must_know/

 

さいごに

今回は、企業におけるクラウドマイグレーションをテーマに解説してきました。クラウドマイグレーションには、コスト面やセキュリティ面など、多くのメリットがあるため導入を検討している企業も増加傾向にあります。しかし、すべての面でクラウドマイグレーションがオンプレミス環境より優れているということではありません。

例えば、オンプレミス環境で利用できていたシステムが、クラウド環境にしたら利用できないこともあります。また、トラブルが発生したりするなど、クラウドマイグレーションに移行したことによって、既存システムとの連携が困難となるケースも報告されてます。

そして、十分な検討なく短期間でクラウド移行を進めることによって外部からのハッキング等に十分に対策を取っていない状況でセキュリティ事故が起きたりするケースもあります。

そのため、企業でのクラウドマイグレーション導入は、セキュリティ対策を含めて、慎重に検討しましょう。

 

クラウド型WAFサービス「Cloudbric WAF+」

Cloudbric WAF+

2021年度版サイバー攻撃の動向

サイバー攻撃の動向や事件・事故とは?セキュリティ問題について考察!

コロナ過を踏まえインタネットは個人だけでなく企業・法人にも欠かせない存在となり、2021年現在、企業におけるデジタル化への対策は待ったなしの状況となっています。インタネットを通じて日々膨大な情報が行き交っていますが、世界規模でみれば同時に悪意のある第3者によるサイバー攻撃事例が日々発生しています。

このようなサイバー攻撃に対抗する手段として、政府も「サイバーセキュリティ基本法」を策定するなど動きか活発化しています。サイバー攻撃を防ぐためにも、Webセキュリティ対策は最重要です。また、現代社会におけるサイバー攻撃に関する動向や、直近で発生した事件・事故、セキュリティ問題についても知っておく必要があります。

 本記事では、2021年度上半期に発生したサイバー攻撃の事件・事故などについて解説しています。

 

2021年度!セキュリティ問題と脅威ランキングTOP3

まずは、2021年度に発生した脅威やセキュリティ問題について、詳しくみていきましょう。

3位|テレワークなどのニューノーマルな働き方を狙ったサイバー攻撃 

2020年以降、新型コロナウイルスの感染防止を目的に、テレワークでの働き方が推進されています。このような社会的な背景から、テレワークなどのニューノーマルな働き方を狙った企業へのサイバー攻撃件数が増加しています。そもそも、悪意のある第3者がテレワークでの働き方をターゲットとする理由は、従業員の出社を前提とした従来のWebセキュリティ対策ではカバーできないことが挙げられます。つまり、企業努力によるWebセキュリティ対策を施していても、従業員個人では認識が甘く、穴を突いてサイバー攻撃を仕掛けてくるということです。また、突然の緊急事態宣言の発令で、セキュリティ対策に関する計画を立てる間もなくニューノーマルな働き方の導入をすることになった企業も少なくありません。そのため、ニューノーマルな働き方を推進している現代社会において、Webセキュリティの脆弱性が問題視されています。 

2位|標的型攻撃による機密情報の窃取 

機密情報を狙った標的型攻撃は、2021年度も継続して発生しています。標的型攻撃とは、明確な目的を持って特定の企業などに狙いを定めて仕掛けるサイバー攻撃のことです。悪意のある第3者が標的型攻撃を行う目的は、攻撃対象への嫌がらせが目的です。また、その際に機密情報を窃取するケースも少なくありません。

金額的被害だけでなく、顧客の個人情報など企業にとって致命的な情報が流出した場合、Webセキュリティが問題視され、取引停止や企業イメージの失墜など、間接的被害を受ける可能性もあるので要注意です。

 1位|ランサムウェアによる被害 

2020年度は5位だった、ランサムウェアによるサイバー攻撃が、2021年度は急増しています。ランサムウェアとは、コンピュータウィルスの1種で、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語です。パソコンだけでなく、タブレット端末やスマートフォンのOSにも感染する危険性が伴います。

ランサムウェアに感染すると、Webセキュリティ問題が発生して保存しているデータが、勝手に暗号化されて使えない状態にされたり操作できなくなったりしてしまいます。企業や店舗に嫌がらせをすることが目的の場合もありますが、復旧を条件に悪意のある第3者が金銭(身代金)を要求してくるケースも少なくありません。また、金銭を支払っても、ランサムウェアによる攻撃で窃取された情報やデータを暴露されてしまうケースも発生するため、このような事例では、絶対に身代金は支払わないようにしましょう。

 

2021年度!サイバー攻撃の動向や事件・事故の事例3選

次に、2021年度に発生したサイバー攻撃の動向や事件、事故の事例を紹介します。なお、GSX発表の「2021年ニュース一覧」を参考にしています。

ランサムウェア攻撃の事例(DearCryによる攻撃)|2021年3月

2019年後半以降、ランサムウェアによる攻撃は2重の脅迫を用いた手口での攻撃が増加しているだけでなく、新種・亜種のランサムウェアウィルスが続々と確認されています。

2021年3月16日にはMicrosoft社が、「Microsoft Exchange Server」のWebセキュリティの脆弱性を悪用した「DearCry」と呼ばれる新しいランサムウェアが確認されたことを発表しました。「DearCry」は、悪名高いランサムウェア「WannaCry」の亜種だとみられています。「Microsoft Exchange Server」 のオンプレミス版に存在している複数のWebセキュリティの脆弱性が、パッチによって修正されるまでにゼロデイを狙ってばらまかれました。

その後は、米国やカナダ・オーストラリアを中心に、多くのサイバー攻撃やWebセキュリティ問題が報告されました。

スマホ決済の不正利用の事例(PayPayを使った不正チャージ)|2021年3月

2021年3月18日、警察庁が、スマートフォン決済サービスを利用した不正チャージ事件についての情報を公開しました。事件が発生したのは2020年9月、確認された被害は全国11行で157件、被害額は2760万円に上っています(9月17日午前0時時点)。また、ドコモ口座とPayPayだけでなく、ゆうちょ銀行の口座と連携するメルペイやKyash・LINE Pay・PayPal・支払秘書などでも被害が確認されました。

警察庁はこの事件が悪意のある第3者がどのような手口でサイバー攻撃を行ったのかという内容を発表しましたが、主な手口のポイントは、下記の3つです。

  • 携帯電話販売代理店から不正入手した個人情報を無断で利用し、預貯金口座をスマートフォン決済サービスとひも付けてチャージを実施
  • 第3者の電子メールアカウントを無断利用して、スマートフォン決済サービスのアカウントを作成
  • アカウント作成から被害口座との連携を短期間で大量に行い、買い子が別の端末から連続して決済を実施

 いずれも、Webセキュリティの脆弱性を衝いたサイバー攻撃でした。

ニューノーマルな働き方を狙った事例(RDP総当たり攻撃)|2020~2021年

2020~2021年にかけて急増しているWebセキュリティ問題を衝いたサイバー攻撃が、テレワーク端末を狙った「RDP総当たり攻撃」です。テレワークの導入に取り組んでいる企業で、この攻撃を受けた事例が数多く報告されています。

 RDP(Remote Desktop Protocol)とは、導入したサーバに対してクライアント端末からリモートデスクトップ接続する機能を提供するマイクロソフトのサービスのことです。RDPを導入した端末をリモートデスクトップ接続するために利用する「ID/パスワード」に対して、不正アクセスを試みるために総当たり攻撃をしてくる手法を「RDP総当たり攻撃」と呼びます。近年、コロナ禍の影響で、企業によるテレワーク導入が急加速しました。そして、USBモデムやSIM内蔵端末を利用するためにグローバルIPを割り当てた端末が急増したことが、Webセキュリティ問題の増加に繋がったと考えられています。

 

さいごに

今回は、2021年度のサイバー攻撃の動向や事件・事故などについて、詳しく解説してきました。また、各事例に対するWebセキュリティ問題についても考察してきました。

Webセキュリティ対策の精度は年々進化していますが、それ以上にサイバー攻撃の手口は巧妙化しています。そのため、2021年上半期以上に、下半期はテレワークなどのニューノーマルな働き方を狙った攻撃、OSやアプリのWebセキュリティの脆弱性を狙った攻撃は激化すると予測されます。また、総務省発布の「平成30年度情報通信白書」によると、政府が積極的にセキュリティ問題に取り組んでいることが明確化されているため「サイバーセキュリティ基本法」の動向にも注目です。

そして何より、今後も引き続き、Webセキュリティ問題に警戒することが重要といえるでしょう。

web_攻撃_動向

2021年上半期Webアプリケーション脅威解析レポート公開

WATTレポート(最新Webアプリケーション脅威解析レポート、Web Application Threat Trend Report)はアジア・パシフィック地域のマーケットシェア1位を誇るWAFの「WAPPLES」とクラウド型WAFサービスの「Cloudbric WAF+」の検知ログをペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が共同分析した結果をまとめたものです。

セキュリティ担当者に向けた最新のWeb脅威情報を提供していますので、ぜひ参考にしてください。

 

WATTレポートのダウンロードをご希望の方は、以下のリンクをクリックしてください。

[tek_button button_text=”WATT Report ダウンロード” button_link=”url:report-download/” button_position=”button-center”]

 

ゼロデイ(Zero-day)攻撃

ゼロデイ攻撃とは?DDoS攻撃の標的となった際の3つの対処法を解説!

近年、中小企業が悪意のある第3者からサイバー攻撃を受ける事例が増加しています。悪意のある第3者からの攻撃にはさまざまな手口が存在しますが、ゼロデイ攻撃(Zero-day Attack)もその1つです。また、ゼロデイ攻撃だけでなく、DDoS攻撃の標的となる危険性もあるため早めのWebセキュリティ対策を心掛けておかなければなりません。

本記事では、ゼロデイ攻撃を受け、さらにDDoS攻撃の標的された場合のWebセキュリティ対策について解説しています。

 

ゼロデイ攻撃とは?DDoSの標的となる可能性も解説!

そもそも、 Webセキュリティ上の脆弱性を衝いたサイバー攻撃の一種であるゼロデイ攻撃(Zero-day Attack)とは、どのようなサイバー攻撃なのでしょうか。詳しくみていきましょう。

ゼロデイ攻撃とは?

悪意のある第3者から受けるサイバー攻撃といえば、導入しているOSやアプリケーションのWebセキュリティ上の脆弱性を狙った攻撃が一般的です。OSやアプリケーションの脆弱性が発見された場合、提供元はすぐにその脆弱性を改善した新バージョンのOSや修正プログラム・パッチを開発し対策を取ります。

しかし、脆弱性が発見されてからすぐに対策を取るのは非常に困難で、その脆弱性解消の対処・対策が確立されるまでには、どうしても期間が必要です。そして、脆弱性の発見から対策方法の確立までの期間のことを「ゼロデイ(Zero-day)」と呼び、その期間を狙って攻撃してくる手法を「ゼロデイ攻撃」と呼んでいます。

ゼロデイ攻撃は、対策ができていないWebセキュリティ上の脆弱性を狙ってくるため、取り得る防御手段が少なく大きな被害を受けるケースも少なくありません。

DDoS攻撃の標的となる可能性は?

ゼロデイ攻撃によって、顧客情報が盗み出されるなどの直接的な被害を受けるだけでなく、間接的な被害を受けてしまう可能性もあります。

間接的な被害とは、DDoS攻撃に利用するゾンビマシンの標的となることを意味します。そもそもDDoS攻撃とは、ターゲットとしている企業サイトやWebサーバに、複数のコンピューターから大量の情報を送り、サービスの遅延・停止を起こさせる攻撃方法を指します。また、ターゲット企業のサービスに影響を与える目的だけでなく、その攻撃を止める条件として金銭(身代金)を要求する目的でDDoS攻撃を仕掛けるケースもあります。

このDDoS攻撃には複数のコンピューターが使用されますが、そのほとんどが悪意のある第3者がこの攻撃のために別のサイバー攻撃で乗っ取った「ゾンビマシン」が使用されています。

ゾンビマシンとは、サイバー攻撃によって侵入したウィルスやプログラムの改ざんによって、悪意のある第3者が遠隔操作できるようにされたコンピューターのことで、このゾンビマシン化されたコンピューターは、Webセキュリティの脆弱性のあるOSやアプリケーションを使っているケースも珍しくありません。そのため、Webセキュリティ対策が未熟なゼロデイを狙って、DDoS攻撃を仕掛けてくる場合があります。

もし、ゾンビマシン化されたコンピューターでDDoS攻撃を仕掛けたターゲット企業が取引先だった場合、それによって取引が中止したり損害賠償を求められる可能性もあります。

 

ゼロデイ攻撃の事例

ゼロデイ攻撃によってコンピューターがゾンビマシン化され、DDoS攻撃に使用された可能性のある事例についてみていきましょう。

2014年11月4日、トレンドマイクロが、同社公式ブログでWebセキュリティの脆弱性「Shellshock」を利用した新たな攻撃を確認したことを発表しています。その発表は、Linuxなどで使用されているオープンソースプログラム「Bourne-again shell(Bash)」コマンドシェルに重大な脆弱性が見つかったことが発端で、その対策完了までに、DDoS攻撃などのさまざまなサイバー攻撃が確認されました。例えば、Webセキュリティの脆弱性「Shellshock」を利用してSMTP(Simple Mail Transfer Protocol)サーバを狙う、ゼロデイ攻撃もその1つです。このケースで被害を受けたコンピューターは、DDoS攻撃の目的で遠隔操作が可能となることもその発表に含まれていました。そのため、サイバー攻撃が確認された地域で、ゾンビマシン化目的でのゼロデイ攻撃を受けたコンピューターが被害に遭った可能性が高いといわれています。実際、日本国内でもゼロデイ攻撃を受けて、遠隔操作されたコンピューターが複数確認されています。

 

おすすめ!ゼロデイ攻撃でDDoS攻撃の標的となった場合の対策法3選

ゼロデイ攻撃で、Webセキュリティ対策が完了する前にDDoS攻撃が行われれば、取り得る防御手段の選択肢が少ないのが現状です。しかし、まったく対策法が存在しないということではありません。ここでは、ゼロデイ攻撃でDDoSの標的となった場合の3つの対策法を紹介しています。

  • クラウド型WAF
  • Cloudbric ADDoS
  • EDR

クラウド型WAF|導入しやすく低コスト

WAF(Web Application Firewall)とは、FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守れないWebアプリケーションの脆弱性を攻撃から守ることができるセキュリティ対策です。このWAFには、クラウド型・ハードウェア組み込み型・サーバインストール型の3種類が存在しますが、ゼロデイ攻撃対策として導入するならクラウド型WAFをお勧めします。また、ゼロデイ攻撃対策は、発覚してからすぐに施策する必要があります。

ちなみに、クラウド型WAFは機器の購入・ネットワークの構築などが必要なく、すぐに導入可能でセキュリティ担当者の負担を減らせます。また、初期費用・運用コストが低く、スポット利用もできるため、脆弱性のWebセキュリティ対策が完了するまでのゼロデイ攻撃の対策におすすめです。

 

Cloudbric ADDoS|DDoS攻撃対策

DDoS攻撃によるゼロデイ攻撃から被害を最小限に抑えるためには、Webセキュリティ上素早い対応が求められます。そのため、DDoS攻撃が防御できるサービスも、同時に導入しておいた方がよいでしょう。そんなDDoS攻撃対策におすすめのサービスといえば「Cloudbric ADDoS」です。導入しておけば、最大65Tbpsの大規模DDoS攻撃まで迅速かつ安全に遮断してくれます。

「Cloudbric ADDoS」についての詳細は、こちらの記事を参考にしてください。

https://www.cloudbric.jp/blog/2021/06/rddos/

 

EDR|ゾンビマシン化をいち早く検知

DDoS攻撃に利用するゾンビマシンの標的となることを、防止できるWebセキュリティ対策も重要なポイントです。

EDRを導入しておけば、ゼロデイ攻撃によってゾンビマシン化している際に、いち早く検知可能であるため、気づかないうちにコンビューターがDDoS攻撃に利用されたり、攻撃の踏み台にされるのを防げます。EDR(Endpoint Detection and Response)とは、パソコンやサーバの状況および通信内容などを監視し、異常あるいは不審な挙動があれば管理者に通知してくれるソリューションです。ゼロデイ攻撃による直接的な被害は防げませんが、導入しておけば、取引先へのDDoS攻撃に利用されて間接的な被害を防止できるためおすすめです。

 

今回は、ゼロデイ攻撃で、DDoSの標的となった場合のWebセキュリティ対策について解説してきました。ゼロデイ攻撃は気づいたときには手遅れになっているケースも少なくありません。そのため、いち早く気づき、早急にWebセキュリティ対策することが重要です。

現代では、悪意のある第3者によるゼロ攻撃やDDoS攻撃は増加傾向にあるため、いつサイバー被害を受けるか予測できません。本記事を参考に、いち早くWebセキュリティ対策に取り組みましょう。

クラウドサーバ-IaaS

IaaSとは?おすすめのクラウド・サーバ・プロバイダーを比較解説!

情報システムの稼動に必要なコンピュータや通信回線などのインフラを、インターネットを使って遠隔から利用できるクラウドサービスといえば「IaaS(Infrastructure-as-a-Service)」です。IaaSサービスは、必要なコンピューティングやストレージ、ネットワークなどのリソースを必要なときに利用できるため、企業でも導入を検討するケースがみられます。しかし、IaaSは他のクラウドサービスよりも自由度が高い分、IaaSサービスを提供するクラウド・サーバ・プロバイダー選びに迷っている企業もあることでしょう。

本記事では、おすすめのクラウド・サーバ・プロバイダーを比較解説しています。ぜひ、クラウド・サーバ・プロバイダーを選ぶ際の参考にしてください。

 

おすすめのクラウド・サーバ・プロバイダーの一覧!

おすすめのクラウド・サーバ・プロバイダー5社を、インターネット情報や口コミなどから、下記4つのポイントで比較しました。

  • コストパフォーマンス
  • ユーザーインターフェース
  • ネットワーク
  • セキュリティ

また、下表は各IaaSプロバイダーのおすすめ度を「☆~☆☆☆」で比較しながら評価しています。

名称 コストパフォーマンス ユーザーインターフェース ネットワーク セキュリティ
Linodeクラウド・サーバサービス ☆☆ ☆☆ ☆☆☆ ☆☆☆
Google Compute Engine ☆☆☆ ☆☆ ☆☆☆
Vultr ☆☆☆ ☆☆☆ ☆☆ ☆☆☆
アマゾンAWS ☆☆☆ ☆☆ ☆☆☆
DigitalOcean ☆☆☆ ☆☆☆

セキュリティに関してはどのIaaSサービスもおすすめできますが、その他の前述したポイントではサービスによって特徴が異なります。そのため、どのような特徴を重視するか、よく検討して選びましょう。

 

IaaSプロバイダーがクラウド・サーバで稼働する仕組みとは?

ここでは、IaaSプロバイダーがクラウド・サーバで稼働する仕組みについて解説しています。まずは、IaaSプロバイダーについて、詳しくみていきましょう。

IaaSプロバイダーとは?

IaaSとは仮想化技術を利用してハードウェアリソース(CPU/メモリ/ストレージ)などのITインフラをインターネット経由でオンデマンドで提供するサービスの総称のことです。IaaSはクラウド上で稼働する仕組みを構築するという特性から、IaaSプロバイダーの活用は必須です。

クラウド・サーバで稼働するIaaSの仕組み!

インターネットを通じて、オンライン上に設置されたサーバのことを「クラウド・サーバ」と呼びます。通常のサーバはパソコン自体の容量で保存・保管できるデータの容量が左右されてしまいます。しかし、必要なときに必要なデータをインターネットを活用して管理できるクラウド・サーバなら、データの保存・保管の容量を気にせず利用できるでしょう。また、クラウド・サーバなら、保管してあるデータを他のデバイスで共有できたり、外出先でもデータの確認や編集・修正が可能です。

そんなクラウドサービスは、アルファベット1文字+aaSを組み合わせた用語で用途別に分類されています。なかでも、IaaSはクラウドサービスのなかの1つで、主にサービスとしてのインフラを担います。

 

比較!おすすめのクラウド・サーバ・プロバイダー5選

ここでは、おすすめのクラウド・サーバ・プロバイダーを厳選して紹介しています。今回比較するクラウド・サーバ・プロバイダーは、下記の5つです。

  • Linode
  • GoogleCompute Engine
  • Vultr
  • アマゾンAWS
  • DigitalOcean

Linode|クラウドインフラをよりシンプルに

Linodeは、世界最大の独立系オープンクラウドプロバイダーでのLinodeが提供するサービスです。料金がリーズナブルなことに加えて、料金体系は従量課金制です。必要なときに必要な分だけ利用して支払えばよいため、パフォーマンスの最適化ともにコスト削減を実現できます。さらに、日本では、Linodeの公式ソリューションパートナーであるクラウドブリックによる日本のお客様向け最適化されたプランと手厚いサポート体制を提供していることも大きなメリットとなります。

名称 Linodeクラウド・サーバ・サービス
料金
  • エコノミー(~5Mbps):28,000円
  • ビジネス(~50Mbps):110,000円
  • ハイパフォーマンス(~1Gbps): 180,000円
提供元 Linode
公式URL https://www.linode.com/ja/

GoogleCompute Engine|業務滞りなく進行できる

Google Compute Engine(GCE)は、Googleが提供するクラウドサービスです。ライブマイグレーションの提供により、コンピューターで作動している仮想マシンを、稼働中のソフトウェアを実行させたまま別のコンピューターに移動処理が可能。また、バックグラウンドで透過的にデータを移行できるため、作業環境をスムーズにしたい企業におすすめです。

名称 Google Compute Engine(GCE)
料金 使用状況によって変動
提供元 Google
公式URL https://cloud.google.com/compute?hl=ja

Vultr|ローカルで開発しグローバルに展開

先進的なクラウドプラットフォームを提供しているVultr。世界各地に17箇所のデータセンターを戦略的に配置し、すべてを秒単位で展開可能な標準化された高可用性かつ高性能なクラウドサービスをすべてのサービス対象に提供しています。

名称 Cloud Compute (クラウド コンピューティング)
料金
  • ~280円/月: (メモリ:512MB、CPU:1コア、SSD:20GB)
  • ~561円/月: (メモリ:1GB、CPU:1コア、SSD:25GB)
  • ~1,122円/月: (メモリ:2GB、CPU:1コア、SSD:40GB)
  • ~2,245円/月: (メモリ:4GB、CPU:2コア、SSD:60GB)
  • ~4,491円/月: (メモリ:8GB、CPU:4コア、SSD:100GB)
提供元 VULTR
公式URL https://www.vultr.com/

アマゾンAWS|効率的にビジネスに活用できる

アマゾンAWSは、Amazonが提供している、世界各国のデータセンターから175以上のフル機能のサービスを世界に展開しているクラウドコンピューティングシステムです。コストやセキュリティ、機能・パフォーマンスなどさまざまな面で優れているのが特徴。さまざまな企業や政府機関に導入されており、コストの削減、俊敏性の向上、イノベーションの加速を実現させています。使用した分の料金のみで利用できる従量制料金を採用している点もおすすめするポイントです。

名称 Amazon EC2(Amazon Elastic Compute Cloud)
料金 従量制料金
提供元 Amazon.com
公式URL https://aws.amazon.com/jp/

DigitalOcean|高スペックなクラウド・サーバ

海外最大手VPSのDigitalOcean。利用可能なメモリ量・CPUは上限が他に比べて高いため、高スペックなサーバが必要な企業におすすめです。海外にしかデータセンターがないことや、インターフェースが英語で日本語非対応といったところはマイナスポイント。しかし、仮想サーバを55秒で起動でき、料金はすべて時間単位の課金であるなど、魅力的なところもみられます。

名称 DigitalOcean
料金 従量制料金
提供元 DigitalOcean
公式URL https://www.digitalocean.com/

今回は、IaaSをテーマに、おすすめのクラウド・サーバ・プロバイダーを比較解説してきました。クラウド・サーバは企業のニーズに柔軟に答えてくれる利便性の高いサービスです。しかし、クラウド・サーバにはいくつか種類が存在し、IaaSにも取り扱い時の専門知識やスキルが要求されるというデメリットもあります。そのため、自社に合ったサービスを選ぶためには、クラウド・サーバに関する正しい知識を身につけなければなりません。それぞれのサービスの特徴を理解して、自社にマッチしたクラウド・サーバ・プロバイダーを選びましょう。

 

Linodeの詳細はこちら

https://www.cloudbric.jp/linode-vps/

Japan-IT-Week-ブースデザイン

6月16日~18日 第1回 《Japan IT Week【オンライン】》 出展のお知らせ

この度、2021年6月16日(水)~18日(金)に開催される「第1回 Japan IT Week【オンライン】/情報セキュリティEXPO」に出展いたします。

当社ブースは、「Cloudbric Security Platform Service」、「Web Security」、「Data Security」、「Connected Car Security」の4つの製品カテゴリーで構成し、当社にて提供している幅広い製品ラインナップの情報をご覧頂けます。

ブースでは、超コネクテッド時代に企業価値を高めるために必要なクラウドセキュリティ対策として統合したプラットフォームにて選択導入ができるクラウド型・セキュリティ・プラットフォーム・サービスの「Cloudbric(WAF+、RAS、ADDoS)」をご紹介致します。他にも、インテリジェント型WAF「WAPPLES、WAPPLES SA」、データ暗号化ソリューション「D’Amo、MyDiamo」、 自動車セキュリティEnd to Endソリューション「AutoCrypt」など、企業様の多様なニーズに応える最適なソリューションをご提案します。

展示会の開催期間中、当社ブースにてチャットやビデオなどのお問い合わせに対応しておりますので、当社製品・ソリューションに関してご質問のある方や製品の導入をご検討の方はお気軽に当社ブースにお立ち寄りください。

なお、6月17日(木)に開催されるオンラインセミナーでは当社代表取締役の陳が「今こそ必要なセキュリティの取り組み方、「Data-Centric」なアプローチと企業のアカウンタビリティとは。」をテーマに、現在の企業セキュリティにおいて、従来の「Product-Centric」な取り組みではなく、企業として守るべきデータは?という根本的な観点からのアプローチ、「Data-Centric」な取り組みについて解説致します。

ぜひご登録の上、弊社出展ブースやセミナーをご覧いただきますよう、よろしくお願い申し上げます。

ブースURL:https://ol.japan-it-online.jp/entrance/zone/92

 

Japan IT Week【オンライン】 開催概要

  • 日時:2021年6月16日(水)~18日(金)
  • 主 催:リード エグジビション ジャパン(株)
  • 入場料:無料(※入場には来場者登録が必要です)
  • 公式Webサイト:https://www.japan-it-online.jp/

展示製品

  1. Cloudbric Security Platform Service:クラウド型セキュリティ・プラットフォーム・サービス「Cloudbric(WAF+、RAS、ADDoS)」
  2. Web Security:インテリジェント型WAF「WAPPLES、WAPPLES SA」
  3. Data Security:データ暗号化ソリューション「D’Amo、MyDiamo」
  4. Connected Car Security:自動車セキュリティEnd to Endソリューション「AutoCrypt」

セミナー概要

 

cloud-2812970_1280

3大クラウドAWS・Azure・GCPの特徴や違いについて比較

需要が高まっているクラウドサービスにはさまざまな種類があり、どのサービスを導入すべきか迷っている方も多いのではないでしょうか。本稿では、大手3大クラウドのAWS、Azure、GCPそれぞれの概要や特徴を解説しつつ、Linodeとの比較も行っています。クラウドサーバ選びの参考にしてみてください。

 

クラウドサービスとは

クラウドサービスとはクラウド上に作られたサーバで、インターネットを通じてITリソースを利用する仕組みです。物理的なサーバ購入し運用する場合に比べ、初期費用が無料であることが多く管理やメンテナンスの必要がありません。インタネットに接続できる環境であれば、いつでもどこからでもサーバにアクセスでき、データの共有も離れた場所から行えます。月額費用が固定ではなく従量課金制を採用しているところが多く、必要なときに使った分だけ利用ができるのが特徴です。代表的な大手クラウドサービスにはAWS(Amazon Web Service)、Azure(Microsoft Azure)、GCP(Google Cloud Platform)などがあります。

 

AWS(Amazon Web Service)

AWSはAmazon.com社が提供しているクラウドサービスです。2006年7月からと、早くからサービスの提供を開始しました。世界中で数百万人以上とクラウドサービスの中では最も多く利用されており、日本でもユーザは10万人を超えています。クラウドサービスを選択する際の基準となり、初めに検討する場合も多いでしょう。

特徴
歴史が長いため実績が多く、ユーザや利用事例が豊富で情報も出回っています。分からない点やこういうことはできないか、などは比較的簡単に情報を見つけることが可能です。また管理画面などを数クリック、数分で環境の構築ができ、ビジネス機会を逃さないタイムリーなシステム構築ができます。IaaSには豊富な種類があり、制限が少ないのも特徴です。インターフェースをデータセンターで統一しているため、海外展開の視察や契約の手間を省けます。セキュリティ・コンプライアンスの統制を実施しており、安全性が高く第三者監査による検証も行われています。インターフェースとAPIで多くの標準技術を持っており、ベースにアプリケーション開発が可能です。導入の初期費用は無料、従量課金制のため必要な分だけリソースを使うことができます。過去10年間で何度も値下げを実施し、コストダウンを図っています。

難易度
AWSは個人でも契約が可能で、クラウドを上手に活用できるよう支援の提供を行っています。書籍やセミナーなども豊富で、専門的な知識があまりない方でも始めやすいといえるでしょう。

 

Azure(Microsoft Azure)

AzureはWindowsを手掛けるMicrosoft社が提供するクラウドサービスです。Microsoft社製品との相性が良く、Windowsを使用している企業にとって使いやすいといえます。2010年にサービスを開始して以来、機能の追加やアップデートを行い200以上の機能を実装しています。

特徴
最大の特徴は、Windowsに対する親和性の高さです。Windows Serverを利用していた企業にとって、クラウドに移行しても容易に利用できるため、導入や移行をスムーズに行えます。Office365やActive Directoryのような、ツールとの連携もしやすいです。また好きなフレームワークやツールを使用し、アプリケーションをの構築、管理ができます。クラウド・エッジ・オンプレミス全てに対応し、ビルドの方法やデプロイ先を選びません。AWSと同じく初期費用は無料、従量課金制で費用は使用した分だけです。

難易度
利用者向けに支援の提供を行っていますが、AWSよりもユーザ数は少なく情報が豊富とはいえません。そのためある程度の専門的な知識を備えた経験者向けといえるでしょう。

 

GCP(Google Cloud Platform)

GCPはGoogleが提供するクラウドサービスです。GmailやYouTubeなど、確かな運用実績があります。Google社内で使用されている技術やインフラを利用でき、データ解析や機械学習系のサービスを用いて開発を行うことが可能です。

特徴
検索エンジンを運用するGoogleは、ビッグデータの解析が強く、高速処理の技術があるのが特徴です。GCPデータ解析の技術を利用できるため、データ分析を簡単に行えるインフラが備わっています。またGoogle Cloudサービスには豊富なサービスが掲載され、現在でも増加し続けています。急激なアクセス集中による高負荷にも耐えられるよう設計されており、すぐにトラフィックに対応可能です。

難易度
Googleのサービス利用経験がない方は少なく、同社サービスに慣れ親しんだ点では優位性があります。またトレーニングしやすい環境も整っており、初心者でも使いやすいといえるでしょう。

 

Linodeと3大クラウドを比較

機能 Linode AWS Azure  GCP
クラウドファイアウォール(無料)
DDoS対策(無料)
ベアメタルクラウドサーバー
マネージドKubernetes
ローカルSSD
ハイメモリVM
アプリマーケットプレイス
ヒューマンサポート(無料) X X X
ドキュメントライブラリ(100%以上)
シンプルなAPI・CLI・クラウドインターフェース X X X
フラットな価格設定(予測可能) X X X
無料バンドル転送 X X X
すべてのデータセンターで同価格 X X X
提供年数 18年 14年 11年 13年
データセンター地域 11 24 60 24
クラウド製品数 ~20 ~200 ~200 ~200
対象顧客
  • 開発者
  • スタートアップ
  • 中小企業
大企業 大企業 大企業

(出典:https://www.linode.com/ja/compare/

Linodeの提供開始はAWSよりも早く2003年からで、18年の長い歴史を持っています。データセンターの数は3大クラウドよりも少ないですが、対象となる顧客が開発者・スタートアップ・中小企業のため、大企業向けのデータセンター数より劣るのは普通でしょう。また価格設定もわかりやすく、必要な分だけ支払うことが可能です。スケールアップ、スケールダウンともに違約金も発生しません。料金が低いことでセキュリティ面の不安点が出ることもなく、信頼性・セキュリティ面ともに犠牲にせずに他社よりも低い価格設定を行っています。特定リージョンに対しての追加課金もなく、すべてのデータセンターで同一料金です。

 

クラウドサーバの導入はLinodeにお任せを

本稿では、3大クラウドの概要や特徴を解説しつつ、Linodeとの比較を行いました。Linodeは開発者・スタートアップ・中小企業を対象とした、クラウドサービスです。見やすく操作しやすいインターフェースを用いており、クラウドのコンピューティング、ストレージ、ネットワーキングをほんの数秒で導入できます。CPU専用で2vCPU・4GB RAM・80GB SSDの場合、Linodeでは月30ドルと他社サービスより40ドル以上も低い価格で利用が可能です。Linodeはアメリカに本社がありグローバル事業の展開をしています。クラウド型セキュリティサービスを日本で展開するクラウドブリック株式会社がLinodeの日本公式パートナーであり、24時間365日のサポートもあるため、わからない点はすぐに聞いて解決できるでしょう。今ならLinodeへの新規登録で、100ドルのプレゼントを行っています。開発者やスタートアップ・中小企業でクラウドサーバの導入を検討している方は、Linodeをぜひチェックしてみてください。

https://www.cloudbric.jp/linode-vps/

クラウドサーバ

クラウドサーバーとは?共用・専用との違いやメリット・デメリットを解説

クラウドサーバーはクラウド上に作られたサーバーです。物理的にサーバーを購入し運用する方法とは違い、利用したいと思ったときにすぐ利用できる、初期費用を抑えられるなどのメリットがあります。

本稿では、クラウドサーバーについての基礎知識と専用サーバーとの違い、利用するメリット・デメリットについてお伝えします。

 

クラウドサーバーとは

クラウドサーバーとはクラウド環境に作られたサーバーで、インターネット上での使用を前提としたサービスを指します。リソースを所有および保持しているサードパーティのプロバイダーが、利用ベースの料金で使用できるようにするコンピューティングリソースです。ネットワーク環境があればどこでもサーバにアクセスでき、離れた場所からでもデータの共有が可能です。自社でサーバーを保有しないため、導入の手間や初期費用を抑えられます。低価格で始められることから、急速に広まっています。クラウドサーバという用語は、IaaSまたはPaaSと密接に関連付けられる傾向がありますが、クラウドサーバーはSaaSを実現するインフラも提供しているのです。

 

クラウドサービスの種類

クラウドサービスには、3種類あります。

SaaS

インターネットを経由して、アプリケーションなどのソフトウェアを提供するサービスです。利用するソフトウェアを都度パソコンにインストールする必要がなく、ID・パスワードがあればタブレットやパソコンなど端末を問わずにどこからでも利用できます。代表的な例はGoogle Appsなどです。データの保存・共有ができるDropboxも、Saasに分類される場合があります。

IaaS

インターネットを経由して、回線のようなITインフラ基盤を提供するサービスです。仮想サーバーやストレージ、CPUメモリなどハードウェアの性能を自由に選択・利用できます。代表的な例はAWSなどです。

PaaS

インターネットを経由して、アプリケーション開発のための基盤を提供するサービスです。IaaSがインフラ基盤のみの提供であるのに対し、開発に必要なプラットフォームも利用できます。データベースやネットワークの設定が整っており、開発コストの削減が可能です。一般的にはあまり馴染みがないかもしれません。代表的な例は、Google App EngineやWindows Azureなどです。

 

共用サーバー・専用サーバーとの違い

共用サーバーや専用サーバーとの違いについて解説します。

共用サーバー

共用サーバーはサーバー提供事業者が所有する1つのサーバーを、複数のユーザーで共有して使うレンタルサーバーです。すでに存在するリソースを共有する仕組みのため、低コストかつ短期間で利用開始できます。サーバーの管理事業者が管理やメンテナンスを行うため、自社でメンテナンスを行う必要がありません。同じ共有サーバー上でほかのユーザーのサーバーにアクセスが集中すると、サーバーが重くなり自社サービスにアクセスしにくくなるデメリットがあります。またサーバーの設定は、基本的にカスタマイズできません。クラウドサーバーでは、設定やスペックをアクセス数などに応じてカスタマイズできる点が異なります。

専用サーバー

専用サーバーは、サーバー1台のリソースを占有して使用するレンタルサーバーです。同じサーバーをほかのユーザーが利用しないため、安定して高速なサイトを運営できます。管理者権限が付与されるため、自社のサイトに適したソフトウェアをインストールしたり自由に設定にカスタマイズしたりすることが可能です。共用サーバーに比べ初期費用や月額料金が高く、高いランニングコストがかかるため導入しにくいデメリットがあります。さらに専用サーバーでは自社でメンテナンスを行わなければならず、専門的な知識が必要です。サーバーの管理を代行するサービスを提供している会社もあるため、経験が浅く不安な方は検討してみるのもいいでしょう。

 

クラウドサーバーのメリット

クラウドサーバーの利用は、共用サーバーと専用サーバーのメリットを両立できます。クラウドサーバーのメリットを3つご紹介します。

初期費用を抑えられる

クラウドサーバーの導入は初期費用が無料であることが多く、導入のためのコストを削減できるのがメリットです。自社でサーバーを用意して運用する場合、高額なサーバーの調達や通信回線を整えるなど、初期費用が高額です。さらに環境構築やサーバーの設定にも、追加でコストがかかります。レンタルサーバーの場合では初期費用はかかるものの、専用サーバーのように数十万円を超えるようなことはありません。専用サーバー・レンタルサーバーは双方とも少なからず初期費用が発生するため、初期費用を抑えたい方には、クラウドサーバーがおすすめです。

運用コストを削減できる

クラウドサーバーでは自社でメンテナンスを行う必要がないため、運用コストの削減が可能です。専用サーバの場合には管理者権限が付与されているため、管理やメンテナンスを自社で行う必要があります。専門的な知識がなければ難しい上に、見えない人的コストも発生します。クラウドサーバーであればメンテナンスの心配がいらず、運用に注力できるのが利点です。

バックアップや復元対策になる

クラウドサーバーはクラウド上にサーバーが存在しているため、災害時などのリスクに備えることも可能です。自社でサーバーを用意して運用する場合、データセンターへ被害があれば稼働できず業務が停止する可能性があります。クラウドサーバーは複数のデータセンターに分散させているため、緊急事態に強いです。それぞれのデータセンターも停電対策や地震対策などが施されており、稼働停止になりにくいです。万が一データが消失した場合にも、バックアップを取っていれば容易に復元できます。災害時やデータ消失時の対策にも役立ちます。

 

クラウドサーバーのデメリット

多くのメリットがあるクラウドサーバーにも、デメリットは存在します。ランニングコストがかかる、セキュリティリスクがある点です。導入した後で「こんなはずではなかった」とならないよう、確認しておきましょう。

継続的な利用にはコストがかかる

クラウドサーバーの料金体系は、月額制であることが多いです。小規模なものでは月数千円と安く済みますが、規模が大きくなると数十万円ほどの月額料金がかかる場合もあります。サーバー会社によっては、使用したリソースの量に応じて金額が変わる従量制を採用していることもあります。従量制には必要な分だけ利用できるメリットもあります。運用している間払い続けなければならない点は、デメリットといえるでしょう。

情報セキュリティに注意が必要

ネットワークを経由しアクセスすることから、情報漏えいのリスクがあります。そのためセキュリティ対策に力を入れているサーバー会社を選ぶようにしましょう。クライアント側のセキュリティも暗号化するなど対策が必要です。サーバー側・クライアント側双方のセキュリティがどのようになっているか、安全性をきちんと確認することをおすすめします。

サーバーのセキュリティを高めるには、WAF(Web Application Firewall)の導入も有効です。ペンタセキュリティのクラウド型WAFサービス「Cloudbric WAF+」なら、WAFに加え、DDoS攻撃をはじめとするさまざまなサイバー攻撃への対策が可能です。また、AWSを利用している場合は、AWS WAF専用の運用管理サービス「Cloudbric WMS」を選択することも可能です。

 

▼クラウド型WAFサービス「Cloudbric WAF+」

▼AWS WAFに特化した運用管理サービス「Cloudbric WMS」