ransomware

ランサムウェア対策の重要性と具体的な対策方法とは?対処法も紹介

データやシステムを人質にとって身代金を要求するランサムウェアは、現代の企業にとって最も警戒すべきサイバー攻撃のひとつです。では、ランサムウェアへの感染を防ぐにはどのような対策を講じればいいのでしょうか。また、万一ランサムウェアに感染してしまったら、どのように対処すればいいのでしょうか。本記事では、ランサムウェア対策の予防対策や感染時の対処方法について解説します。

 

ランサムウェア対策の重要性

ランサムウェアとは、感染したパソコンやサーバーを使用不能にし、その復旧と引き換えに金銭を要求する不正プログラムです。ランサムウェアには主に以下の3種類があります。

  • 暗号化型:データを暗号化して使用不能にするタイプ
  • 画面ロック型:デバイスの画面をロックして使用不能にするタイプ
  • 漏えい型:盗んだデータを流出させると脅迫するタイプ

現代のビジネスにおいて、ITの活用は欠かせません。システムやデータにアクセスできなくなれば、業務が停滞し、多大な経済的損失や社会的信用の失墜を招く恐れがあります。したがって、ランサムウェアの予防・復旧対策を講じておくことは、企業にとって非常に重要です。

ランサムウェアの基本的な情報や被害事例については、以下のリンク先をご参照ください。

盲点を突いてくるランサムウェアの脅威認知と企業での対応策を解説

企業を狙ったランサムウェア攻撃から学ぶ、企業に必要なセキュリティ対策

 

ランサムウェア対策の具体的な方法

ランサムウェアへの感染を予防したり、万一の被害を軽減したりするためには以下の対策が有効です。

 

・安易にリンクのクリック・ファイルダウンロードを行わない

まずは信頼できないサイトを訪問したり、不用意にリンクのクリックやファイルダウンロードを行ったりしないことが重要です。信頼できないサイトとは一般に、セキュリティ証明がないサイトや、URLが「https~」で始まらないサイトなどが挙げられます。

こうしたサイトを訪問したり、リンクのクリックやファイルのダウンロードをしたりすると、そこからランサムウェアに感染してしまう恐れがあります。こうしたリスクを軽減するには、URLフィルタリングなどの活用が有効です。

 

・メールフィルタリングを活用し、不審なメールや添付ファイルを開かない

多くのメールサービスには、スパムメールやフィッシングメールを自動で検出し、受信トレイに届かないようにするフィルタリング機能が備わっています。こうした機能を使えば、危険なメールの多くを防ぐことが可能です。

とはいえ、危険なメールがフィルタリングをすり抜けてしまうリスクもゼロではありません。送信者に心当たりのない場合や文面に不自然な点がある場合などは、メールや添付ファイル、リンクなどを開かないようにしましょう。

詳しくはこちらをご覧ください。

なりすましメールとは? ランサムウェア被害を受けないための対策方法について解説

 

・ソフトウェアとOSをアップデートして最新の状態に保つ

ソフトウェアやOSの脆弱性を狙った攻撃を防ぐために、それらを常に最新の状態に保つことが重要です。セキュリティパッチやアップデートには、既知の脆弱性を修正するための重要な修正が含まれています。

定期的にソフトウェアやOSの更新を確認し、最新のバージョンを適用することで、ランサムウェアによる攻撃リスクを大幅に低減できます。アップデートを忘れずに実施するためには、自動更新機能を有効にしておくことがおすすめです。

 

・パスワードを複雑なものにし、多要素認証を導入する

システムの乗っ取りを防ぐため、複雑なパスワードを設定しましょう。基本的には、ランダム性が高く、大文字・小文字・数字などを組み合わせた長いパスワードほど破られにくくなります。逆に、「123456」などの単純なパスワードや、辞書に載っている単語は避けましょう。

また、多要素認証(MFA)の導入も有効です。多要素認証とは、パスワードに加えて生体認証やワンタイムパスワードなど、複数の情報を組み合わせた認証方法を指します。現在、主要なクラウドサービスは多要素認証に対応していることが多いので、確認して設定しましょう。あるいは、IAMやIDaaSなどの認証セキュリティツールを導入するのもひとつの手です。

 

・セキュリティ対策ソフトとファイアウォールを導入する

ランサムウェアを検知・駆除するためには、セキュリティ対策ソフトの導入が欠かせません。これらのソフトは、既知のマルウェアを検出し、感染を防ぐ防御機能を備えています。防御力を高めるには、NGAV(次世代アンチウイルス)やEDR(エンドポイント検出・応答)など、最新のセキュリティ対策も併用するのがおすすめです。

ファイアウォールもまた、重要なセキュリティ対策です。ファイアウォールは、ネットワークトラフィックを監視し、許可されていないアクセスをブロックします。社内ネットワークをファイアウォールの内側に置くことで、不正アクセスから守ることが可能です。

 

・ネットワークを監視し、不正アクセスはすぐに遮断する

ネットワークを自動監視するツールの導入もおすすめです。これによって、リアルタイムに不審なトラフィックを検出し、不正アクセスを即座に遮断できるようになります。

こうしたツールの一例として、WAFが挙げられます。WAFはWebアプリケーションの脆弱性を狙う攻撃からの保護に特化したツールで、Webリソースへの攻撃を自動検知し、ブロックすることが可能です。

 

・バックアップを取る

万一、ランサムウェアに感染した場合に備えて、データを定期的にバックアップしておくことも重要です。バックアップする際のポイントとしては、物理的な外付けドライブやクラウドストレージなど、自社のシステムやネットワークから切り離されたところにバックアップすることです。

ネットワークがつながっている場所にバックアップすると、バックアップデータにまでランサムウェアが感染する恐れがあるので注意しましょう。

 

ランサムウェア感染時の対処法と復旧手順

万一ランサムウェアに感染した場合は、慌てて身代金を払うのは避け、以下のように落ち着いて対処することが重要です。

・ネットワークからの感染端末の隔離
まずは他の端末に感染を広げないように、感染端末を確認し、ネットワークから切り離します。

・セキュリティソフトでスキャン
セキュリティソフトで、端末をスキャンして脅威を特定し、問題のあるファイルの削除または隔離を行います。

・暗号化したデータを復号
暗号型のランサムウェアの場合、データを復旧するためにランサムウェア用の復号ツールを使います。

・バックアップからの復旧
ランサムウェアに感染していないバックアップがあれば、それを基に感染以前の状態にデータの復元を行えます。定期的にバックアップを取っておくことで、被害を抑えることが可能です。

攻撃を仕掛けてきた側の脅迫に応じても、データを元通りにできる保証はありません。また、相手が渡してきた復号ツールに別の罠が仕掛けられている恐れもあります。被害に遭った場合、警察に通報しましょう。

 

まとめ

ランサムウェアの被害を防ぐには、「不審なリンクは開かない」といった日頃の注意から、「定期的なバックアップを取る」、「セキュリティツールを導入する」といった技術的なアプローチまで、多様な対策が求められます。また、ランサムウェアの攻撃を防ぐには、不審なトラフィックを自動で遮断する仕組みの構築が有効ですが、これにはWAFの導入が有効です。特に「Cloudbric WAF+」は、ランサムウェアを含めた多種多様なサイバー攻撃から企業のWeb資産を強力に保護できます。ランサムウェア対策の一環として、ぜひ導入をご検討ください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

SecWeek2024夏OGPred

「ITmedia Security Week 2024 夏」にて講演

 

このたび、ペンタセキュリティは2024年8月26日(月)~9月2日(月)に開催されるITmedia主催のセミナー「ITmedia Security Week 2024 夏」にて、講演を行います。

 

■セミナー概要

データ、システム資産、それらへのアクセスが社内外で入り乱れている今、 侵入前提の仕組みは全ての企業組織にとって不可欠なものとなっています。

特にランサムウェア被害に関する報道も相次ぐ昨今、ゼロトラストの各種構成要素への関心が改めて高まっている他、インシデント対応プロセスの再整備、セキュリティ人材不足などに対する一解決手段として生成AI/AIも注目を集めています。

ただし、手段は豊富にあるとはいえ、ビジネス、組織の在り方、その課題は各社各様。銀の弾丸はない以上、 各社が「自社に最適化した仕組み」を吟味、実装することが不可欠です。

ITmedia Security Week 2024 夏は、 検知→対処をより確実化、迅速化するノウハウと具体的手段にフォーカス。 「自社にとっての対策高度化」につながる最新かつ現実的な情報をお届けします。

 

  • 名称:ITmedia Security Week 2024 夏
    侵入前提時代、「自社にとっての対策高度化」に欠かせない 構成要素とロードマップ
  • 開催日時:2024年8月26日(月)~ 9月2日(月)
  • 形式:ライブ配信セミナー
  • 視聴参加費:無料(事前登録制)
  • 主催:@IT、ITmedia エンタープライズ、ITmedia エグゼクティブ
  • 対象者:経営者、経営企画の方、社内情報システムの運用・方針策定をする立場の方、企業情報システム部門の企画担当者、運用管理者、SIerなど

 

ペンタセキュリティの講演について

  • 日時:2024年9月2日(月)16:00~16:30
  • タイトル:AWS WAF専用マネージドサービスの選び方〜デジタルレジリエンス実現へ
  • 講演概要:
    昨今ビジネスの中心にあるクラウドとAI新技術によってサイバー攻撃も高度化し、企業では専門家やリソースが不足する中、デジタルレジリエンス実現のため奮闘しています。本セッションでは、導入が急増するAWS WAFの課題を明確にした上、担当者の努力に依存しない、マネージドサービスの選び方を3つのポイントから解説します。

 

視聴方法

下記のサイトにて事前登録をお願いいたします。

https://members05.live.itmedia.co.jp/library/NzMxMjQ%253D?group=SEC2024SMR&np_source=cl

 

ご登録のメールアドレスに視聴URLの案内が届きます。

イベント当日は、視聴URLにアクセスの上、事前登録にて登録いただいたメールアドレスでログインしてご視聴ください。

CWPP

CWPPとは?主な機能や導入のメリットをわかりやすく解説

クラウドサービスの普及に伴って、クラウドワークロードのセキュリティ対策に対するニーズも高まっており、CWPPへの注目が集まっています。本記事では、CWPPの概要や搭載する主な機能、導入によって得られるメリット、効果的な導入方法などについて解説します。最後にCWPPと併用したい、おすすめのWAFサービスも紹介しています。

 

CWPPとは

CWPP(Cloud Workload Protection Platform)とは、クラウドワークロードを監視・保護するためのセキュリティプラットフォームのことです。ワークロードとは、システムなどのリソースにかかる負荷のことであり、クラウドワークロードとは、クラウド上でリソースを消費するサービスやアプリケーションなどのことを指します。CWPPの主な機能には、脆弱性の管理、ネットワークやクラウドシステムの管理・保護、マルウェアや未承認アプリケーションなどの検出・排除といったことがあります。

 

CWPPが注目される背景

クラウドワークロードには具体的に、仮想マシン(VM:Virtual Machine)やIaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、コンテナ、サーバーレス環境などが含まれますが、セキュリティ要件はそれぞれで異なります。従来の画一的なセキュリティ対策では、すべてのクラウドワークロードに対して十分な安全を提供することは困難です。

近年では、クラウドサービスの普及が進んだことに伴い、これらを対象にしたサイバー攻撃やセキュリティ事故も増加しています。現在、CWPPが注目されている理由は、クラウド環境で懸念されるセキュリティ上の問題を解決するために必要だからです。

 

CWPPの主な機能

ここでは、主な機能である(1)脆弱性の管理、(2)マルウェアのスキャン、(3)ランタイム保護について解説します。

 

・脆弱性の管理

CWPPは、実行されているアプリケーションやソフトウェアなどを評価し、ワークロードに存在する脆弱性を検出・分析し、管理します。検出された脆弱性に関するレポートを作成してくれるため、事業所内で脆弱性情報を共有することが可能で、迅速なセキュリティ対策を実施できるようになります。

 

・マルウェアのスキャン

クラウドワークロード内をスキャンしてマルウェアを検出するとともに、検出されたマルウェアを自動的に防御・排除する機能も備えています。インフラストラクチャに入る前に排除できるため、悪意ある第三者からのサイバー攻撃の被害を防ぎます。

 

・ランタイム保護

ワークロード実行時(ランタイム)の保護機能も搭載しています。例えば、コンポーネントに含まれる脆弱性やクラウドの設定状況、マルウェアの含有状況などをスキャンし、異常が検知された場合には実行を停止して、クラウドワークロードを保護します。開発チームが作業に集中している間にもエラーを自動的に検出し、修正が必要なことを通知してくれます。

 

CWPPを導入する効果・メリット

CWPPを導入することによって、(1)コンプライアンスの遵守に貢献する、(2)セキュリティ管理の効率化を図れるといったメリットがあります。

 

・コンプライアンスの遵守に役立つ

CWPPには、自社が定めたセキュリティポリシーに準拠してクラウドワークロードが運用されているのか否かを監視し、ポリシー違反が検出された場合に通知する機能があります。さらにサイバーセキュリティ対策として世界中で広く採用されているCIS ControlsやGDPR(General Data Protection Regulation:EU一般データ保護規則)などのガイドライン・規則への準拠状況を管理する機能もあり、自社のコンプライアンス遵守に大きく貢献します。

 

・セキュリティ管理を効率化できる

CWPPが備えているセキュリティ状況の可視化・分析機能は、セキュリティ管理の効率化にもつながります。仮にリスクが顕在化した場合でも、対策作業に優先順位をつけることで、効率的な修正を実施できます。

 

CWPPを効果的に活用してセキュリティを高める方法

CWPPによってセキュリティを高めるには、導入前にセキュリティ要件を定義することはもちろんですが、インシデント対応の自動化やWAFサービスの併用も有効です。

 

・導入前に企業のセキュリティ要件を定義する

まず、重要なことが、求められるセキュリティ要件を明確にすることです。セキュリティ要件とは例えば、データ保護や自社が設定したセキュリティポリシー、アプリケーションのセキュリティ要件といったことです。「サイバーセキュリティ基本法」などの法令や業界固有の基準・規制を把握したうえで、要件を明文化しておきます。明文化することで、インシデントが発生した場合に取るべき行動がおのずと決まってきます。

 

・インシデント対応を自動化する

CWPPには、脅威やセキュリティポリシー違反が検知された場合、あらかじめ設定された手順に従って、脅威を隔離したり、ワークロードをシャットダウンしたりといった、インシデント対応の自動化機能があります。適切に設定することにより、機密情報の漏えいや不正アクセスなどのセキュリティリスクを低減できます。

 

・Webアプリケーション保護のためにWAFサービスも併用する

WAF(Web Application Firewall)サービスとは文字通り、サイバー攻撃から(Webサイトを含む)Webアプリケーションを防御するためのサービスです。冒頭で述べた通り、CWPPはクラウドワークロードの保護に特化しているため、Webアプリケーションの保護には限界があります。Webアプリケーションを保護するためには、CWPPとWAFサービスとの併用が効果的です。

 

WAFサービスなら「Cloudbric WAF+」がおすすめ

企業のWebセキュリティ対策に必須ともいえるWAFサービスですが、各社から数多くの製品がリリースされています。
その中でもペンタセキュリティが提供している「Cloudbric WAF+」は、脅威インテリジェンス分析機能により、スパイウェアやアドウェアのほか、スパムボット、Webクローラーなどの悪意のあるボットなどをブロックすることが可能です。「Cloudbric WAF+」にはWAFサービスだけでなく、DDoS攻撃対策サービス、SSL証明書サービス、脅威IPの遮断サービス、悪性ボット遮断サービスの計5つのサービスが含まれます。導入時および運用時のセキュリティエキスパートによるマネージドセキュリティサービスが付帯しており、セキュリティの専門家がいなくても導入・運用することが可能です。過去3カ月分のサマリーレポートを自動作成する機能なども搭載しています。

 

まとめ

CWPPは、クラウドワークロードの状況を監視し、異常を検知するとワークロードを保護するセキュリティサービスです。脆弱性の検知、マルウェアのスキャン、ランタイム保護などの機能でクラウドワークロードを脅威から守ります。ただし、Webアプリケーションのセキュリティも考えるのであれば、WAFサービスとの併用がおすすめです。「Cloudbric WAF+」を併用すれば、万全なクラウドワークロードの保護およびWebアプリケーションの保護環境を実現できます。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

ITトレンド2024上半期_サイバー攻撃

ITトレンドの上半期ランキング2024で第1位を獲得

 

法人向けIT製品の比較・資料請求サイト「ITトレンド」の上半期ランキング2024にて、Cloudbric WAF+が「サイバー攻撃対策」部門で1位を獲得しました。

▼ITトレンド 上半期ランキング2024
https://it-trend.jp/award/2024-firsthalf

このランキングは、2024年上半期にITトレンドでユーザーから最もお問い合わせが多かった製品を発表するものです。
※ランキング結果は2024年1月1日~5月31日までの期間の資料請求数をもとに集計しています。

 

ITトレンドに掲載されている製品・サービスは以下の通りです。

 

Cloudbricは企業のセキュリティ課題に応えるためのさまざまなクラウド基盤セキュリティサービスを取り揃えております。
詳しくはサービスページをご覧ください。

クラウド型WAFサービス「Cloudbric WAF+」

AWS WAFに特化した運用管理サービス「Cloudbric WMS」

 

SOC

SOCとは?仕事内容や設置・運用の課題をわかりやすく解説

現代のデジタル環境において、企業のセキュリティ対策としてSOC(Security Operation Center)は重要な役割を果たしています。本記事ではSOCの重要性やその背景、CSIRTやMDRとの違いを解説します。また、自社でSOCを導入する際に直面する課題と、SOCなしでのセキュリティ対策としてWAFサービスについても触れます。

 

SOC(Security Operation Center)とは

SOC(ソック)とは、24時間365日体制でネットワークやシステムを監視し、サイバー攻撃の検知や対応を行う専門組織・チームのことです。不正アクセスやサイバー攻撃、マルウェア感染などのセキュリティインシデントを予防し、それらが発生した場合には迅速かつ効果的に対処するための組織として機能します。

 

・CSIRTやMDRとの違いは?

CSIRT(Computer Security Incident Response Team:シーサート)は、セキュリティインシデントが発生した際に復旧活動やリスク評価、関係各所への連絡を行う組織です。SOCはインシデント発生前の予防を担当し、CSIRTは発生後の対処を担当します。

MDR(Managed Detection and Response:エムディーアール)は、SOCが行う監視や検知、CSIRTが行う対処などの役割を外部のサービスプロバイダーに委託できるサービスです。自社の専門的なリソースが不足している場合などに活用されています。

 

SOCが重視される背景

近年、IoTやDXの推進に伴い、データの生成と利用が急増しています。また、クラウドサービスやリモートワークが普及したことで、多様なデバイスや場所から企業の情報にアクセスするケースが増加しました。こうした中で、より高度化・巧妙化したサイバー攻撃が増えており、企業と従業員個人のセキュリティリスクは高まるばかりです。そのため企業はサイバー脅威に対する防御力を強化するとともに、セキュリティインシデントへ迅速に対応することが極めて重要な課題となっています。

このような背景から、インシデントを早期に検知し、迅速な対応を行うSOCが求められています。

 

SOCの主な仕事内容

インシデントの早期発見と迅速な対応を行うために、SOCは高度な専門性をもとに以下のような仕事に従事しています。

 

・ネットワーク・システム・デバイスの監視

ネットワークやアプリケーションなどを24時間365日体制で監視します。これには、ネットワークトラフィックのモニタリング、不正アクセスの検出、システムの異常な動作の監視などが含まれます。また、監視ツールやシステムログを活用することで、正常な動作から外れたアクティビティを検知し、潜在的なインシデントを特定して被害を事前に防ぎます。

 

・インシデントの検知とアラート発信

ネットワークやシステム上で異常なアクティビティを検知すると、ただちにSOCにアラートが発信されます。SOCはインシデントの発生時刻や種類、重要度、影響範囲、対処方法などの情報を調査するとともに、必要に応じて関係者への通知・連絡を行います。CSIRTなどほかのセキュリティチームとも連携し、被害を最小限に抑えるための適切な措置を講じるのも重要な仕事です。

 

・セキュリティ対応策の立案とアドバイス

インシデントが検出されると、SOCは詳細な分析を行い、攻撃の原因や影響を把握します。次に、分析結果をもとに対策を立案し、ソフトウェアの脆弱性の修正やセキュリティポリシーの強化などの措置を検討します。さらに、関係各所に対してセキュリティに関するアドバイスを提供し、将来への備えを支援します。

 

自社でSOCの設置・運用をする場合の課題

セキュリティ対策としてSOCを導入する場合、自社で構築するか外部に委託するかを選択することになります。ただし、自社で設置・運用する場合には、以下の事項に留意する必要があります。

 

・人材の確保が必要

SOCの運用には、セキュリティエンジニアやアナリストなどの専門的な人材が必要です。サイバー攻撃は国内・国外から昼夜関係なく実行されるため、24時間365日の体制で監視や対応を行う必要があり、二交代制や三交代制で監視するための交代要員も欠かせません。

しかし、総務省の「令和2年 情報通信白書」によれば、日本はアメリカやシンガポールと比較して、専門的なセキュリティ人材の充足状況にほとんど満足していないことがわかります。

参照元:総務省|令和2年 情報通信白書

セキュリティ人材が不足している理由としては、専門的な人材の教育・訓練に多大な時間やコストがかかることや、市場の競争激化、採用コストの上昇などが挙げられます。

 

・ログ分析の処理量が増大すると分析が難しくなる

大量のインターネットデータのやり取りに伴い、ログ分析の処理量も増大し、分析が困難になることがあります。この増大する処理量に対処するためには、いくつかの課題が生じます。まず、処理時間が増加し、リアルタイムな分析が困難になります。また、データの増加により可視性が低下し、異常の検出や対応に遅れが生じる可能性があります。さらに、誤検知や過検知のリスクが増え、アナリストたちの負担が増大します。

こうした課題に対処するためには適切なツールやリソースの確保が必要ですが、自社でSOCを構築する場合には多大なコストがかかります。

 

SOCなしでセキュリティを強化する方法

自社でSOCの構築が困難な場合、WAFサービスの導入を検討することもひとつの方法です。WAFはWebアプリケーションレベルでのセキュリティを強化するためのサービスです。クロスサイトスクリプティングやSQLインジェクションなど、従来のネットワークセキュリティ製品では防ぎきれないサイバー攻撃を防止できます。リアルタイムでトラフィックを監視し、不正なアクセスや攻撃パターンを検知します。

特にクラウド型WAFサービス「Cloudbric WAF+」は、直感的なインターフェースで誰でも使いやすく、専門的な人材が不在でも簡単に導入・運用できるため、おすすめです。

このサービスはSOCの機能も含んでおり、インシデントの詳細な分析や迅速な対応を行い、自動でレポートを作成します。さらに、シグネチャー基盤検知方式でインシデントを検知する従来のWAFとは異なり、ロジックベースの方式を採用して効果を高めています。

 

まとめ

SOCは24時間365日体制でネットワークやシステムを監視し、インシデントを予防・対処します。IoTやDXの進展、リモートワークの普及などに伴い、セキュリティリスクが増加し、SOCの重要性が高まっています。ただし、人材確保の難しさやログ分析処理量の増大などの課題があり、自社での構築は困難な場合もあります。そのようなときには、クラウド型WAFサービスの「Cloudbric WAF+」を利用することを推奨します。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

IVS2024

【イベント】「IVS2024 KYOTO」に出展

このたび、ペンタセキュリティは、2024年7月4日(木)~6日(土)に京都パルスプラザ他で開催される「IVS2024 KYOTO」に出展いたします。

 

■イベント概要

IVS2024 KYOTOは、起業家、投資家、事業家、技術者、研究者、そしてスタートアップやオープンイノベーションに関心を持つすべての人々を対象としたカンファレンスです。資金調達や事業成長の機会を求める経営者や投資家、新しい事業アイデアに興味がある人々にとって、新しい未来を築くための貴重な機会を提供します。

  • 名称:IVS2024 KYOTO
  • 主催:IVS KYOTO実行委員会
  • 開催日時:2024年7月4日(木)~6日(土)
  • 会場:京都パルスプラザ他
  • ブース番号:1F-S38
  • 申し込み:https://www.ivs.events/ja/2024

 

ペンタセキュリティのブースについて

ペンタセキュリティのブース(ブース番号:1F-S38)では、クラウド型WAFサービス「Cloudbric WAF+」やAWS WAFに特化した運用管理サービス「Cloudbric WMS」を中心に紹介します。スタートアップ向けのキャンペーンも用意しています。

 

ご来場をお待ちしております。

SIEM

SIEMとは?主な機能や導入のメリット・課題をわかりやすく解説

近年、ますます巧妙化しているサイバー攻撃や内部不正などのリスクに対処するためには、ログデータを自動で集積・管理・分析し、システム内の潜在的なセキュリティインシデントを早期発見できる仕組みが欠かせません。まさに、こうした要件を満たすセキュリティソリューションとして、注目されているものが「SIEM」です。

本記事では、企業のセキュリティ担当に向けて、SIEMの概要や機能、導入のメリットや課題をわかりやすく解説します。また、高度なセキュリティ機能を備えた、クラウド型WAFサービス「Cloudbric WAF+」も併せて紹介します。

 

SIEM(Security Information and Event Management)とは

SIEM(シーム)とは、「Security Information and Event Management(=セキュリティ情報・イベントの管理)」を略した言葉で、セキュリティインシデントを早期発見するソリューションです。

ネットワーク機器やセキュリティデバイス、サーバー、アプリケーションなどから出力される膨大なログデータを集積し、それらのデータを相関分析することで、脅威や異常な動きなどのインシデントを自動感知します。これにより、管理者は複数のソースから集積されたデータを効率的に管理し、インシデントへ迅速に対応できるようになります。

昨今は、クラウドの普及やサイバー攻撃の巧妙化などに伴い、従来の境界型防御によって、インシデントを完全に防ぐことは難しくなっている状況です。そのため、未然に防ぐだけではなく、早期発見・早期対応できる仕組みの構築が重要視されています。まさにSIEMは、こうした現代的なセキュリティニーズに対応した、新しいソリューションです。

 

SIEMの主な機能

SIEMの基本的な機能は、主に以下の3つです。

  • ログデータの集積・一元管理
  • ログデータの相関分析
  • セキュリティインシデントの自動感知

以下より、それぞれの機能の概要を解説します。

 

・ログデータの集積・一元管理

SIEMは、ネットワーク機器やセキュリティデバイス、サーバー、アプリケーションなど、複数のソースからログデータを自動で集積します。通常、これらのログは個々の機器に分散して、異なるフォーマットで保存されますが、SIEMの場合は一元管理が可能です。これにより、インシデントが感知された際にも、関連するすべてのログデータへ迅速にアクセスし、原因調査や早期対応がスムーズになります。

 

・ログデータの相関分析

集積したログデータの相関分析も、SIEMの主要な機能です。この分析を通じて、単独のログからは発見しにくいインシデントを感知しやすくなります。例えば、サーバー側に外部通信の記録があるのに対し、ファイアウォール側にはその記録がない場合、この不一致は何らかの異常を示しているおそれがあります。この相関分析にはAIの機械学習など、先進的な技術が活用されていることが多いです。

 

・セキュリティインシデントの自動感知

ログデータの相関分析を通じてインシデントを感知すると、自動的に管理者へアラートを通知します。この機能により、インシデントの発見と対応がスムーズになり、被害を最小限に抑えられます。

先進的なSIEM製品の中には、自動対応機能を持つものもあり、インシデントを感知した場合、指定されたプロトコルに従って、即座に対応措置を実行する仕組みです。

 

SIEMを導入するメリット

SIEMを導入することで、セキュリティ関連の業務を効率化し、インシデントへの対応を改善できます。

 

・セキュリティインシデントの早期発見につながる

SIEMは、複数のソースから出力されるログデータやイベントデータを、即時に集積および分析する仕組みです。これにより、標的型攻撃や内部不正などの、完全に防ぐことが難しいインシデントも早期発見できるようになるので、被害を最小限に抑えられます。

 

・分析にかかるコストを削減できる

セキュリティ関連のログデータは、複数の機器から絶え間なく出力されるため、これを人手でひとつずつ分析するのは、膨大な労力と時間を要します。しかし、SIEMを導入すれば、これらのログデータを自動で管理できるようになり、分析作業にかかる人的リソースの削減が可能です。

 

SIEM導入の課題

SIEMには大きな効果が見込まれる一方で、導入のハードルが高いとの課題もあります。例えば、大規模な環境や複雑なセキュリティ要件を持つ組織では、導入コストが大きくなりがちです。

また、組織内の多くの機器からログデータを集積するため、ネットワークトラフィックが増加し、ネットワーク全体のパフォーマンスに影響を与える可能性があることも懸念されます。

 

・導入コストが高い

SIEMの導入は、高額な費用を要することが一般的です。ツールの機能や規模、サポート体制などによっても変わりますが、初期費用だけでも数百万円、そして運用費用として約数十万円が毎月かかります。

 

・セキュリティに詳しい人材が必要

SIEMの安定した運用には、セキュリティに詳しい人材が欠かせません。SIEMはインシデントを感知するとアラートを発しますが、設定次第では誤感知や関連性の低いアラートが過多に発生するおそれがあります。そのため、担当者にはシステムの初期設定やカスタマイズ、アップデートを適切に行うスキルや、アラートが正しいかどうかを判断するスキルが必要です。

 

「Cloudbric WAF+」なら、専門的な知識がなくてもセキュリティを強化できる

上記のように、SIEMの課題として、導入のハードルの高さが挙げられます。この課題は特に、人材に限りがある中小企業にとって、自力での解決が難しいものです。SIEMによる分析を社内の人材だけでは行えない企業には、「Cloudbric WAF+」の利用をおすすめします。

Cloudbric WAF+は、「Webアプリケーションファイアウォール(WAF)」を中心に、複雑なセキュリティ要件に対応する高度なセキュリティ機能をクラウドベースで提供します。SIEMと同様に、大量のログデータの集積・管理・分析が可能です。

また、専門家によるマネージドサービスも付帯しているため、専門人材が不足している企業でも、安心して利用できるうえ、セキュリティレベルの向上を目指せます。

 

まとめ

SIEMは、複数のソースからログデータを集積・分析し、インシデントを即時に自動感知するソリューションです。セキュリティ担当者の負担を抑えつつ、従来ならば見逃しがちだった、異常や脅威の早期発見を可能にします。他方で、その導入と運用には、コストと専門人材を要することがネックです。その点、「Cloudbric WAF+」はSIEMと類似した機能を備えつつ、専門家によるサポートも付帯しているため、安心して利用できます。これを機に導入を検討してみてください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

【共同ウェビナー】7月4日(木)14:00~「AWSセキュリティ運用の現状と対策」

2024年7月4日(木)に株式会社ディーネット主催のウェビナー「AWSセキュリティ運用の現状と対策:~効果的なセキュリティフレームワークを今すぐ構築する方法~」にて講演を行います。

 

■概要

セキュリティ対策は、企業がクラウド運用を行う上で欠かせない要素です。特にAWSを利用する企業にとっては、最新のセキュリティフレームワークを理解し、実践することが求められます。本ウェビナーでは、AWSのセキュリティ運用の基本から、実際の運用に役立つ具体的な方法までを専門家が詳しく解説します。

 

■セッション内容


14:05~ 1部:アマゾン ウェブサービス ジャパン合同会社
AWS を利用するために抑えておきたいセキュリティの基本


14:20~ 2部:ペンタセキュリティ株式会社
押さえておきたい!AWS WAF活用時の課題とベストアンサーとなる運用管理サービスとは


14:35~ 3部:株式会社ディーネット
AWSのセキュリティサービスを活用したセキュアな運用方法のご紹介


 

■実施要領

日時:2024年7月4日(木)14:00~15:00
形式:ZoomによるWebセミナー
主催:主催:株式会社ディーネット
共催:ペンタセキュリティ株式会社
協力:アマゾン ウェブ サービス ジャパン合同会社
参加費:無料(事前登録制)
申込:https://www.denet.co.jp/event/2407_webseminar/?srcid=2000

guidline

3省2ガイドラインとは?制定の背景や医療機関への影響を解説

近年、医療現場でのデジタル化が急速に進展する中で、その安全性とセキュリティの確保がますます重要視されています。医療機関や医療データを扱う事業者にとって、行政が策定した3省2ガイドラインは重要な規範です。この記事では、3省2ガイドラインの概要、制定の背景、医療機関への影響について解説します。さらに、セキュリティ対策の一環としてWAFサービスについても詳述します。

 

3省2ガイドラインとは

医療情報を扱う事業者や医療機関が準拠すべき2つのセキュリティガイドラインの総称です。具体的には、厚生労働省が策定した「医療情報システムの安全管理に関するガイドライン」と、経済産業省・総務省が共同で策定した「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の2つが該当します。つまり、3つの省庁(厚生労働省・経済産業省・総務省)が制定した2つのガイドラインを指します。

以前は「3省4ガイドライン」として知られていましたが、2018年に「3省3ガイドライン」に改訂され、2020年にはよりわかりやすくするために見直しと統合が行われた結果、「3省2ガイドライン」となりました。

これらのガイドラインは、医療情報の電子化が進む中で、セキュリティ対策を含めた安全な管理と個人情報保護に配慮した運用を確保することを目的として制定されたものです。

 

・厚生労働省のガイドライン

「医療情報システムの安全管理に関するガイドライン」は、医療機関などにおいて医療情報を扱う責任者を対象に策定されています。2023年5月には第6.0版のガイドラインが公表されました。このガイドラインは、医療機関がシステムを適切に運用するために、患者の視点に立った基本的な枠組みと指針を提供しています。具体的には、情報セキュリティの基本的な考え方や責任者の設置、情報漏えいの防止策、システム設計・運用に必要な規程類と文書体系、災害・サイバー攻撃等の非常時の対応について記載されています。

このガイドラインに違反しても、それ自体に罰則はありません。ただし、ガイドラインが個人情報保護法、電子文書法、医療法、医師法などを根拠に策定されていることから、違反行為が法令にも抵触する可能性は極めて高くなります。つまり、これらのガイドラインは法令遵守の基準としても機能し、遵守することが実質的に法的な義務となる可能性があります。

 

・経済産業省・総務省のガイドライン

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は、事業者を対象に策定されています。2023年7月に、厚生労働省のガイドラインと足並みをそろえる形で第1.1版のガイドラインが公表されました。このガイドラインでは、事業者が医療情報における安全管理のために準拠すべき義務・責任について詳細に記載されています。さらに、医療機関と事業者の合意形成やその手法、提供すべき情報項目、および互いの役割分担についても具体的に述べられています。また、安全管理のためのリスクマネジメントに関するガイドラインも含まれています。

 

3省2ガイドラインが制定された背景

医療現場のデジタル化の進展とそれに伴う弊害が関連しています。

 

・医療分野のデジタル化の進展

正確な治療行為のため、医療機関では電子カルテの導入や予約・会計などの業務もデジタル化されています。医療情報には患者の病歴をはじめとする機密性の高い個人情報が含まれており、万が一情報が漏えいすれば患者の生命にも関わる可能性があります。そのため、医療情報の安全な管理および運用を確保するためにガイドラインが制定されました。

 

・医療機関へのサイバー脅威の増加

近年、あらゆる企業へのサイバー攻撃が頻繁に行われています。医療機関も例外ではなく、特に重要な個人情報を扱っていることもあり、年々高まるサイバー脅威は無視できません。このような状況下で、患者の安全とプライバシーを守るために、ガイドラインが制定されました。

 

3省2ガイドラインが医療機関に求めること

ガイドラインに記載されている主な要点を以下に紹介します。

 

・セキュリティ対策を強化する

医療情報システムの安全管理に関するガイドラインでは、特に医療機関の情報セキュリティ対策の強化に焦点を当てています。これは、医療情報の安全管理が極めて重要であるためです。具体的には、マルウェア感染を防ぐためのゼロトラスト思考の提案や、サーバー攻撃への対策などがまとめられています。

また、厚生労働省が公開している「医療機関におけるサイバーセキュリティ対策チェックリスト」では、医療機関や事業者が医療情報システムの構築や運用の際に優先的に取り組むべき事項がリストアップされています。このチェックリストを有効に活用することで、現状の把握と将来への備えに役立ちます。

参考:医療機関におけるサイバーセキュリティ対策チェックリスト|厚生労働省

 

・クラウドサービスの利用を見直す

電子カルテを含む医療情報データの管理を一部またはすべてをクラウドサービスに委託する医療機関が増加しています。このような背景を踏まえて、医療情報システムの安全管理に関するガイドライン第5.1版から、クラウドサービスの事業者の選定に関する記述がなされました。これは、事業者の情報管理が不十分であったり、財務状況が不安定であったりする可能性に備えるほか、国内法の適用外であるリスクを防ぐためです。そこで、委託先が情報処理の国際規格であるISMS認証(ISO27001)や日本国内のPマーク(プライバシーマーク)を取得しているかどうかを確認することが求められています。

 

・オンライン資格確認の環境を整える

2023年4月から、すべての保険医療機関や薬局において、マイナンバーカードなどのオンライン資格確認の導入が原則として義務化されました。この取り組みに対応して、医療情報システムの安全管理に関するガイドライン第6.0版では、オンライン資格確認を適切に運営するための導入方法や運用方法、セキュリティ対策について詳細に記載されています。

 

3省2ガイドラインの準拠に役立つ「WAFサービス」

3省2ガイドラインの記載からも見て取れるように、医療機関は患者の個人情報や医療データが不正にアクセスされるリスクを減らすために、セキュリティ対策する必要があります。この際に役立つのが「WAFサービス」です。WAFサービスは、クロスサイトスクリプティング(XSS)、SQLインジェクション、セッションハイジャックなどの攻撃を検出し、防御してくれます。数あるWAFサービスの中でも特におすすめなのは、「Cloudbric WAF+(クラウドブリック・ワフプラス)」です。高度な攻撃検知機能と防御を備えたCloudbric WAF+は、簡単に運用・設定できるよう設計されているため、専門知識を持ったスタッフがいなくても利用できます。

 

まとめ

3省2ガイドラインは医療機関と医療情報を扱う事業者向けの重要な指針です。医療データの安全管理や個人情報保護が中心であり、セキュリティ対策の強化やクラウドサービスの選定には特に注意が必要です。WAFサービスはセキュリティ対策において有効であり、特にCloudbric WAF+利用の検討をおすすめします。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

WebAuthn-image

WebAuthnは安全?メリット・デメリットを徹底解説

安全なWebサービスを設計・運用するためには、自社に適したセキュリティ対策を選択して導入することが重要です。本記事では、パスワード認証に代わるセキュリティ対策として注目されているWebAuthnの仕組みと特徴を解説します。Webサービスのセキュリティ強化に取り組むには、WebAuthnの安全性と課題についてもよく理解したうえで最適な対策を施しましょう。

 

WebAuthnとはFIDO2の一部

WebAuthnとは、FIDO2の一部として開発された、パスワードレス認証をWebサービスに実装するための技術です。WebAuthnの実態はJavaScript APIにあたり、Webサイトやアプリに搭載することでブラウザ上での安全な認証が実現します。

WebAuthnによる認証は、スマートフォンやPCのような外部デバイスを通じて行うことが特徴です。WebAuthnを実装したWebサイトやアプリでは指紋などの生体情報による認証も行えるため、パスワードを入力する作業の負担を軽減できます。

 

・WebAuthnの仕組み

WebAuthnではユーザーが作成する公開鍵と秘密鍵を利用してデータを暗号化する「公開鍵暗号方式」を採用し、安全な認証を実現します。WebAuthnが実装されたWebサイトで認証を行うためには、事前に認証器(指紋や顔などの生体認証で使用するデバイス)の登録を行う必要があります。

認証器への登録は、指紋や顔などを利用してユーザーの本人確認が終わると、公開鍵・秘密鍵・証明書が作成されます。作成された公開鍵・秘密鍵は、ローカル環境に保存される仕組みです。公開鍵はWebサイトやアプリ側のサーバーにも送信され、データベースへ保存されます。

認証時にはローカル環境に保存された秘密鍵によって署名を行い、Webサービス側のサーバーへと送信する仕組みです。サーバーはデータベースに保存した公開鍵を使用して署名を検証し、何も問題がなければ認証が完了します。

 

WebAuthnのメリット

WebAuthnは、認証を行うユーザーとWebサイトやアプリの運営企業の双方にメリットが多くある技術です。以下では、WebAuthnの代表的なメリット3点を紹介します。

 

・セキュリティの強化につながる

パスワード認証ではユーザー名やパスワードが第三者に知られた場合、認証を突破されるリスクがありました。WebAuthnを実装したWebサービスでは、ユーザー名・パスワードなどの知識要素を認証に使用しません。そのため、情報流出リスクそのものを回避でき、セキュリティを強化できます。

さらに、WebAuthnを実装したWebサービスでは認証情報のやり取りをブラウザ上で行う必要がありません。認証情報そのものはデバイス内に保存される仕組みであるため、情報漏洩の発生リスクも軽減できます。

 

・ユーザビリティを向上できる

WebAuthnを実装したWebサービスでは、生体認証に対応できます。このようなWebサービスにはユーザー名やパスワードを入力せずにログインできます。
パスワード認証においてセキュリティを強化するためには、複雑なパスワードを作成したり更新したり、さらにはそれらを記録・保管したりする手間がかかりました。WebAuthnでは複数の複雑なパスワードを覚える必要がなく、なおかつ安心してWebサービスを利用できます。

 

・管理の負担を軽減できる

生体認証などの認知度が高い認証方法に対応していれば、IT分野の専門知識を持たないユーザーも無理なくWebサービスを利用できます。ビジネス利用が前提のWebサービスでは従業員のIT教育にかける時間を削減でき、管理者の負担軽減を図ることが可能です。

さらに、WebAuthnでは、事前に登録した認証器の情報を他のWebサービスの認証においても使用できます。ユーザーはWebサービスごとにパスワードを作成・管理する作業から解放され、より快適にWebサイトやアプリが利用できます。

 

WebAuthnのデメリット

WebAuthnにはさまざまなメリットがある一方、いくつかのデメリットや課題もあります。WebAuthnをWebサイトに実装する際には、以下のデメリットを理解しておきましょう。

 

・対応サービスが限定されている

WebAuthnは、現在進行形で普及している技術です。リモートワークの普及やクラウドサービス利用の増加に伴ってWebAuthnへの需要は高まり、将来的には、より一層の普及が予想されるとは言え、現時点の日本における対応可能範囲は限定的です。

 

・デバイスの紛失時や破損時の対応が難しい

WebAuthnではデバイスのローカル環境に認証情報を保存するため、スマホやPCを紛失・破損した場合には認証を行えなくなるリスクがあります。デバイスを紛失した場合には、第三者に認証情報を悪用される恐れも否めません。

デバイスの紛失・破損に備えるためには、複数のデバイスを認証器として登録する方法が一案です。ひとつのデバイスを紛失・破損した場合には他のデバイスでログインし、保存した認証情報を削除すれば、第三者に悪用されるリスクを回避できます。
ただし、複数のデバイスを事前に登録したとしても、紛失・破損時の復旧には一定の時間と労力が必要です。復旧作業中はWebサービスにログインできず、不便を感じるリスクがあります。

 

まとめ

WebAuthnは、Webサービスのセキュリティ強化に役立つ注目度の高い技術です。しかし、WebAuthnは、現時点ですべてのWebサービスには対応していません。より手軽な手段でセキュリティを強化するためには、WAFを利用する方法があります。
WAFとは、アプリケーションの脆弱性を突く攻撃を検出してWebサービスを保護するセキュリティ対策です。クラウド型サービスであれば、ハードウェアの購入や専門人材の確保を行わなくても導入できます。

「Cloudbric WAF+」は導入・運用が容易なクラウド型WAFサービスです。Cloudbric WAF+ではWAF以外にセキュリティ対策上の重要度が高い四つのサービス(DDoS攻撃対策・脅威IP遮断、SSL証明書サービス、悪性ボット遮断サービス)も提供しています。Cloudbric WAF+の導入効果は、自動作成されるレポートで把握できます。Cloudbric WAF+の詳細は、お気軽にお問い合わせください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら