image_isecurity_trend_2024

情報セキュリティの最新トレンドは? 2024年の予測と行うべき対策

by ブログ

近年はサイバー攻撃の手段が巧妙化し、生成AIやディープフェイクを悪用したなりすましによる被害が報告されています。また、間近に迫るオリンピックや選挙などを前に、サイバー攻撃の脅威は増す一方です。本記事では、そうした攻撃から自社の情報を守るために、企業が講じるべき対策と、2024年の情報セキュリティのトレンドを解説します。

 

情報セキュリティ・サイバー攻撃の最新トレンドは?

サーバー攻撃の手口は巧妙化しており、攻撃者はあの手この手でさまざまな攻撃をしかけています。企業側も、サイバー攻撃の最新トレンドを把握して対策を講じることが必要です。そこで、ここからは近年新たに登場してきたサイバー攻撃の手口を紹介します。

 

・暗号化せず情報を窃取する

これまでは、不正に侵入した端末内やシステムのデータを勝手に暗号化して使用不可能な状態にし、身代金を要求するランサムウェアという手口が知られていました。しかし、近年新たに被害が確認されているのが、暗号化せずにデータを窃取する「ノーウェアランサム」という手口です。端末・システムの内部侵入後にデータを盗み、それを流出させない対価として身代金を要求する点ではこれまでと同様ですが、データの暗号化はしません。そのため、通常のランサムウェアよりも手間がかからず、警察庁では今後この手の攻撃が増える可能性があるとして警戒を呼びかけています。
また、暗号化されないため業務が中断されることもなく、被害の発生に気づきにくいのも特徴です。暗号化されてしまえば企業側は否応なしに被害の公表を余儀なくされます。ノーウェアランサムは被害に遭ったことがバレたくないという企業側の心理をついているといえるでしょう。
対策としては、アンチウイルスソフトやEDRといった通常のランサムウェア対策に加え、フィルタリングやアクセス制限、脆弱性の管理などによってセキュリティ対策を全社的に強化することが重要です。

参考:警視庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について

 

・クラウドを狙う

業務効率化を目的にクラウドアプリを利用する企業や組織が増えていますが、インターネットを経由したサービスであるためにセキュリティ面でのリスクも伴います。クラウド環境におけるアクセス権限の設定ミスやセキュリティの脆弱性によって、本来は公開されるべきでない情報が流出してしまう事例は珍しくありません。
近年ではクラウドの情報管理の甘さを狙って不正アクセスし、暗号資産のマイニングに悪用する「クリプトジャッキング」という手口も広がっています。端末の電源やクラウドの空き容量を第三者が勝手に利用して行われるため、業務での使用中に大量のリソースが消費され、端末の停止などを引き起こす恐れがあります。

 

・AIを悪用する

さまざまな分野で活用が進んでいるAIですが、残念なことにマルウェアの開発を加速する目的でも悪用されています。たとえば、フィッシング詐欺のメール文面をChatGPTなどの生成AIに代筆させることで、より説得力のあるメールが短時間で書けるようになるほか、動画に映る人物の顔を入れ替えるディープフェイク技術や音声合成技術を悪用して他人になりすまし、金銭を脅し取る犯罪などが実際に報告されています。こうした手口が大々的に広まると、企業や政府の社会的な信頼が損なわれる恐れもあり、近年の社会問題となっています。
AIを活用すればネットワークやシステムの脆弱性を検知することも可能です。これまでは企業側がセキュリティ対策に活用してきた技術ですが、これを悪用すればより高度な方法でのサイバー攻撃が可能になります。こうした脅威を完全に防ぐことは困難であるものの、AIを使った攻撃に対してはAIを活用し、機械学習によって必要な対策をその都度講じていくことが求められます。

 

・選挙やオリンピックに関連して攻撃する

サイバー攻撃は選挙やオリンピックなど社会的なビッグイベントを狙って増える傾向にあります。実際に東京オリンピック2020では、大会期間中、運営に関わるシステムやネットワークに対して4億5,000万回ものサイバー攻撃がありました。これはロンドン大会(2012年)の2倍以上の数字で、2024年のパリ五輪でも多くの攻撃が予想されています。具体的な攻撃の一例として、マルウェアが仕込まれた「サイバー攻撃の被害報告について」という名前のファイルを添付したメールが関係者に送られていたことや、運営委員会に大量のデータを送りつけるDDoS攻撃などが報告されています。
また、2024年には台湾総統選やアメリカ大統領選が控えており、AIやディープフェイクを使ったなりすまし、フェイクニュースの増加が想定され、混乱や分断を避けるための対策が必要です。

 

2024年のセキュリティ対策予測と行うべき対策

進化するサイバー攻撃による被害を防ぐために、企業や組織はどのような対策を行えばよいのでしょうか。

 

・AIを活用したサイバー攻撃対策が求められる

前述の通り、攻撃者はChatGPTのような生成AIをサイバー攻撃に利用していることがわかっています。ウイルスを仕込んだメールの自動送信なども普及しており、今後もAIを活用したサイバー攻撃が増えることが予想されます。影響を軽減するためには、インシデントレスポンスと復旧計画の強化が重要です。また、CSPMやCSPなどのツールを活用してクラウドの管理および監視を継続的に行う、機密情報を暗号化するなどの対策も求められます。

 

・サイバー保険が注目される

サイバー保険とは、サイバー攻撃によって生じる経済的な損失から、企業や個人を保護するための保険のことです。顧客情報の漏えいなどによって第三者に被害が及んだ場合の損害賠償責任や事故対応費用、訴訟費用、自社の損失利益などの補償が含まれています。
マーケッツアンドマーケッツ社の調査では、世界におけるサイバー保険の市場規模は2023年の103億ドルから2028年には176億ドルに成長すると予測しています。国内でも注目され始めており、大手保険会社を中心にサイバー保険の取り扱いが進んでいる状況です。

参考:マーケッツアンドマーケッツ社
https://www.marketsandmarkets.com/Market-Reports/cyber-insurance-market-47709373.html

 

・ゼロトラストセキュリティの考え方が普及する

ゼロトラストとは、文字通り「何も信頼しない」という考え方を前提としたセキュリティ対策のことです。ネットワーク内のすべてのデバイスやユーザーを信頼せずにセキュリティ対策を講じます。
従来は危険な外部と安全な内部のネットワーク間に境界を設け、境界の外側からくる脅威をブロックするセキュリティが主流でした。それが近年では、社内のユーザーであっても無条件に信用せず、その都度アクセスを確認し、認証を行う方法に変化しています。ゼロトラストを前提とすることで、不正アクセスや情報の持ち出しのリスクも最小限に抑えることが可能です。

 

まとめ

AIを活用したサイバー攻撃が増える中、企業側としてもAIを活用してセキュリティを強化する必要があります。近年のサイバー攻撃は手口が高度化しており、被害の発覚が遅れがちです。ゼロトラストの概念に基づき、社内外におけるすべてのアクセスをその都度、管理・監視する対策が必要です。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

ITトレンド2023年間

ITトレンドの年間ランキング2023で第1位を獲得

by お知らせ

 

法人向けIT製品の比較・資料請求サイト「ITトレンド」の年間ランキング2023にて、Cloudbric WAF+が「サイバー攻撃対策」部門で1位を獲得しました。

▼ITトレンド 年間ランキング2023
https://it-trend.jp/award/2023?r=award2023-top

このランキングは、2023年にITトレンドでユーザーから最もお問い合わせが多かった製品を発表するものです。
※ランキング結果は2023年1月1日~11月30日までの期間の資料請求数をもとに集計しています。

 

ITトレンドに掲載されている製品・サービスは以下の通りです。

 

Cloudbricは企業のセキュリティ課題に応えるためのさまざまなクラウド基盤セキュリティサービスを取り揃えております。
詳しくはサービスページをご覧ください。

クラウド型WAFサービス「Cloudbric WAF+」
脆弱性診断サービス「Cloudbric 脆弱性診断」

 

image_cyber_atack_2023

2023年のサイバー攻撃における代表的な事例や被害額まとめ

by ブログ

年々手口が巧妙化し、脅威が増すばかりのサイバー攻撃。企業側でもさまざまな情報セキュリティ対策を講じていますが、その被害は拡大傾向にあります。自社の機密情報や顧客情報の漏えい、業務システムの停止など、被害状況は深刻です。本記事では、2023年に発生したサイバー攻撃の事例や発生原因、サイバー攻撃の種類、対処法などを解説しています。自社で必要な対策を練る際の参考にしてみてください。

関連記事:2024年度版のサイバー攻撃の被害事例まとめ

 

2023年に国内で起きたサイバー攻撃の代表的な事例

ここでは、2023年に国内で発生したサイバー攻撃の代表的な事例を紹介します。

 

・クラウド環境の誤設定で、約215万件の顧客情報が漏えい

2023年5月、大手自動車メーカーのIT・通信分野を担う事業会社において、クラウド環境の誤設定により、車載IDや車台番号など約215万件の顧客情報が公開状態となっていたことが判明しました。社内におけるデータ取り扱いのルール説明が不十分だったことが主な原因とされています。同社では事件の判明後に外部からのアクセスを遮断する措置を講じており、流出した可能性のある顧客情報が第三者によって二次利用されるなどの被害は確認されていないとのことです。また、これを受けて同社ではクラウド設定を監査するシステムを導入するとともに、従業員への教育を徹底するなどしてセキュリティ機能を強化するとしています。

 

・リスト型攻撃で約25万件のWeb履歴書が流出

総合転職サイトを運営する、ある人材紹介会社では、2023年3月、外部からの不正ログインによって約25万人のWeb履歴書情報が漏えいしました。社内調査によると、外部から不正に取得したIDやパスワードを使用してさまざまなサイトにログインを試みるリスト型攻撃が原因であるとわかっています。これを受け、同社では全ユーザーのパスワードをリセットし、不正ログインを行っていた送信元のIPアドレス群からの通信を遮断するなどの被害拡大防止策を実施しています。また、今後はIDやパスワード認証以外の方法でのシステムセキュリティ強化を目指すとのことです。

 

・外部委託業者への不正アクセスがきっかけで、約69万件の顧客情報が漏えい

ある大手保険会社は2023年1月、自社が保有する顧客情報の一部が流出した可能性があることを発表しました。流出した恐れのあるデータは同社の車両保険に加盟中の顧客と、過去に加入したことのある顧客のもので、性別や生年月日、氏名など約69万件とされています。外部委託業者が第三者からの不正アクセスを受けたことが原因で、顧客情報が海外のサイトに掲載されていたことから判明しました。再発防止策として、同社では委託先における個人情報の取り扱いに関する要件の厳格化などを進めています。

 

・サーバーへの不正アクセスによって約104万件の顧客情報が漏えい

カジュアル衣料品を中心にSPAブランドを展開する大手アパレル企業では2023年1月、社内の業務システムのサーバーが外部からの不正アクセスを受けました。不正アクセスの確認直後にネットワークの遮断や業務システムの停止などの被害拡大防止策を講じましたが、氏名・住所・生年月日・電話番号などを含む約104万件の顧客情報が流出した可能性があるとのことです。その後、さらに約22万件の顧客情報が流出した可能性も判明しました。物流システムを停止したことにより、同社が運営するECサイトも一時休止を余儀なくされました。これを受け、同社では各種アカウントのリセットや管理ポリシーの見直し、社内ネットワーク通信のセキュリティ強化、端末のリアルタイム監視体制の構築といった対策を実施しています。

 

海外で発生した有名なサイバー攻撃の事例

海外では民間企業への攻撃にとどまらず、社会インフラを脅かすような深刻なサイバーテロも発生しています。ここでは、近年に海外で起きた有名なサイバー攻撃の事例を紹介します。

 

・ランサムウェア「WannaCry」により、約430万円の被害

イギリスでは地域医療連携システムを提供するための公的機関のコンピュータが、ランサムウェア「WannaCry」に攻撃された事例があります。ウイルスに感染したコンピュータからはシステムの利用者情報が盗まれたほか、アクセス妨害や身代金の要求などの被害が発生。コンピュータを立ち上げることで感染拡大が懸念されるために、多くの医療機関の業務に支障が出たとのことです。また、一部の医療機関ではこの攻撃の影響でカルテ・処方箋・予約などの管理システムが停止しました。BBCの分析によれば、データ復旧の身代金として日本円で約430万円が支払われたとされています。

 

・某SNSの脆弱性が攻撃され、540万人の名簿データが漏えい

2022年11月には、アメリカのIT企業が運営する有名SNSにて、システムの脆弱性を狙ったサイバー攻撃で漏えいしていた情報が、誰でもアクセス可能な掲示板に公開されるという事件が起きました。その情報は約540万人分の名簿データで、アカウントIDやユーザー名のほか、二段階認証に必要な電話番号やメールアドレスなどの情報も含まれます。
非公開の電話番号やメールアドレスが流出したことで、それらを使って匿名アカウントの個人が特定できる状態となっていました。

 

・サプライチェーン攻撃により、アメリカ政府機関の機密情報が流出

2020年にはアメリカの政府機関にて大規模なサイバー攻撃が発生しています。発端となったのは、ネットワーク監視ツールを提供している大手IT企業がハッキングされたことです。攻撃者は同社製品の自動更新時にマルウェアを仕込み、それによって政府機関を含む100弱の組織のサーバーが不正アクセスの被害を受けました。サーバー攻撃の被害が確認された組織の中には国務省、財務省、米航空宇宙局なども含まれています。この事件の当時には新型コロナウイルスの感染が拡大しており、リモートワークのため社内ネットワークにログイン可能な端末の登録プロセスが簡略化されていたことが事件発生要因のひとつとして挙げられています。

 

日本でよく起きる12種類のサイバー攻撃

ここからは、日本国内で頻発するサイバー攻撃の中から代表的な12種類を挙げて解説していきます。複雑化しているサイバー攻撃に対処するために、それぞれの特徴を把握しておきましょう。

1.マルウェア
ウイルスやワーム、トロイの木馬など悪意のあるプログラムやソフトウェアの総称。感染すると個人情報の流出や端末に保存されているデータの改竄、端末の強制ロック、外部との勝手な通信などの被害に遭う可能性がある

2.ランサムウェア
マルウェアの一種。感染するとシステムへのアクセスが制限され、制限解除のために身代金を要求される

3.標的型攻撃
特定の個人や組織を狙った攻撃。ターゲット宛にウイルスが添付されたメールを送付する手口が知られている

4.Emotet
メールの添付ファイルを感染経路とするマルウェアの一種

5.不正アクセス
アクセス権限を持たない第三者が個人情報の取得などを目的に不正にサーバーやシステムへ侵入する行為

6.脆弱性を狙った攻撃
プログラムの不具合や設計上のミスなどセキュリティの脆弱性を悪用したサイバー攻撃

7.サプライチェーン攻撃
業務上のつながりを悪用し、セキュリティ対策に弱点がある関連会社や取引先を経由して不正アクセスを試みるサイバー攻撃

8.SQLインジェクション
Webアプリケーションの不備を悪用してデータベースを不正に操作する攻撃

9.パスワードリスト攻撃
あらかじめ何らかの方法で入手したIDとパスワードを悪用し、第三者が本人になりすましてサービスやシステムに不正アクセスを試みる攻撃

10.ゼロデイ攻撃
セキュリティの脆弱性が発見されてから、それへの対策が講じられるまでの間を狙って行われるサイバー攻撃

11.DDOS攻撃
サーバーやネットワークに複数端末から大量の通信を発生させることで処理不能に陥らせ、サービスを停止させる攻撃

12.ブルートフォース攻撃
IDやパスワードの考えられるパターンを総当たりで入力し、認証突破を試みる攻撃

 

サイバー攻撃の平均被害額は?

セキュリティ対策製品を提供するノートンライフロック社が2022年に発表したレポートによると、2021年の1年間におけるサイバー攻撃の被害額は320億円にものぼったことがわかっています。また、トレンドマイクロ社が2023年に実施した調査によれば、過去3年間でのサイバー攻撃の被害を経験した法人の累計被害額は平均1億2,528万円、ランサムウェアの被害を経験した法人の累計被害額は平均1億7,689万円にも及ぶという結果となりました。ランサムウェアの被害はサプライチェーンの関連組織にも広がることから、被害額が大きくなりがちです。そのため、自社だけでなく関連企業や取引先企業全体でのセキュリティ対策の強化が求められます。

出典:株式会社ノートンライフロック「サイバー犯罪調査レポート2022

出典:トレンドマイクロ株式会社「サイバー攻撃による法人組織の被害状況調査

 

まとめ

リモートワークの推進やクラウドの利用機会の増加により、企業はこれまで以上にサイバー攻撃の危険にさらされています。また、サイバー攻撃の手口は年々高度化、巧妙化しており、自社の情報資産を守るためには、従業員教育の徹底やWAFの導入といったセキュリティ対策の強化が必須です。本記事を参考に、自社に必要な対策を検討しましょう。

 

関連記事:2024年度版のサイバー攻撃の被害事例まとめ

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼Cloudbricの製品・サービスに関するお問い合わせはこちら

情報セキュリティの資格とは?

情報セキュリティの資格とは? 取得するメリットとおすすめ資格の一覧

by ブログ

IT技術の発達とともに、サイバーテロや情報漏えいに対する情報セキュリティが重要視されています。専門的な知識も必要になるため、情報セキュリティに関する資格の取得することによって、サイバーセキュリティ等に対して適切な判断を下せるようになります。

情報セキュリティに関しておすすめな資格は7種類あり、取得するのであれば企業の方針や個々の立場、スキル、経験に合わせることが大切です。本記事では、資格の種類や概要、難易度について解説します。

 

情報セキュリティの資格とは?

近年のインターネットやIT技術の目覚ましい進化に伴い、情報漏えいやサイバーテロなどの悪意ある攻撃が急増しています。このような状況から、情報セキュリティの重要性がますます高まりました。

情報セキュリティの資格は、インターネット上に保管されているデータの適切な運営、保護に関する知識、対策、技術力などを証明するものです。データ漏えいやサイバー攻撃からの損失を最小限に抑えながら、「情報セキュリティに詳しい人材がいる」という事実が、個人のキャリアや組織の信頼性を向上させる効果も期待できます。

 

情報セキュリティの資格を取得するメリット

情報セキュリティの資格は専門的な知識やスキルを有する証明になります。資格を持つことにより、「自分は情報セキュリティに関して専門性の高い人材である」と自信を持ってアピールできることは大きなメリットです。

また、スキルを活かした実務の推進にも役立ちます。組織内で情報セキュリティの改革を進める際、資格保持者は最新の技術やベストプラクティスを考慮し、安全性を向上させるための施策を提案できるはずです。これは組織の信頼性を高め、顧客やパートナーからの信頼獲得に貢献します。

社内におけるIT人材の育成にも効果的です。組織内の従業員が情報セキュリティの資格を取得することでスキルアップが促進されるようになるとともに、組織全体のセキュリティ意識が高まります。このような変化は内部からセキュリティの専門家を育て上げることにつながり、長期的なセキュリティ戦略の成功をもたらす要因です。

 

おすすめの情報セキュリティ資格一覧

  1. 情報処理安全確保支援士試験
  2. 情報セキュリティマネジメント試験
  3. シスコ技術者認定
  4. 情報セキュリティ管理士認定試験
  5. 公認情報セキュリティマネージャー(CISM)
  6. (ISC)² 資格
  7. AWS認定セキュリティ

 

情報セキュリティに関する2つの国家資格

情報セキュリティは国家資格と民間資格に分かれます。国家資格は情報処理安全確保支援士試験と情報セキュリティマネジメント試験です。

 

・1. 情報処理安全確保支援士試験

情報処理安全確保支援士試験は、マネジメント・エンジニアの共通分野の試験であり、情報処理システムにおけるセキュリティ確保に関したスキルが問われる資格です。

情報セキュリティの専門知識や実務経験を活かし、システムの潜在的な脆弱性を特定しながら、適切な対策を講じるスキルが評価されます。

内容が高度なため難易度が高く、合格するためには幅広い知識と実践的なスキルが必要です。

 

・2. 情報セキュリティマネジメント試験

情報セキュリティマネジメント試験は、マネジメント分野に焦点を当てた国家試験です。情報セキュリティの基本的な知識やトラブル発生時の対応についての内容が問われます。

難易度は比較的低く、特にエンジニア職を目指す人に向いています。情報セキュリティを組織内で適切にマネジメントするためのスキルや知識を評価する内容になっており、情報セキュリティにおけるポリシーの策定、リスク評価、セキュリティ対策の計画立案などが含まれます。

 

情報セキュリティに関するおすすめの5つの民間資格

前述の国家資格のほか、情報セキュリティに関する民間資格の取得もおすすめです。

 

・1. シスコ技術者認定

シスコ技術者認定は、世界的なネットワーク開発メーカーであるシスコが提供するセキュリティ試験です。情報セキュリティ分野における専門知識とスキルを証明するための信頼性の高い資格として知られています。以下4種のシスコの情報セキュリティ資格が特に有名ですが、難易度が高いため、入念な準備が必要です。

  • CCENT:ネットワークの基礎知識が必要
  • CCNA Security:CCENTの上位資格で、ネットワークの保護に関する知識が必要
  • CCNP Security:CCNA Securityの上位資格でネットワーク環境の構築、トラブルへの対応力が必要
  • CCIE Security:CCNP Securityの上位資格で、国際的に認められている情報セキュリティの上級資格

 

・2. 情報セキュリティ管理士認定試験

情報セキュリティ管理士認定試験は、全日本情報学習振興協会によって実施されている試験です。主に事務系や管理系の職種向けの情報セキュリティ資格として知られています。この試験は、情報セキュリティの基本的な概念と実務的なスキルや習熟度に焦点を当てており、難易度は比較的低いとされています。

 

・3. 公認情報セキュリティマネージャー(CISM)

公認情報セキュリティマネージャー(CISM)は情報通信の国際団体ISACAが主催しています。情報セキュリティマネージャーとしてのスキルと知識を証明するための国際的な資格です。幅広い情報セキュリティ関連トピックスに関する知識やスキルが要求されます。日本語対応の教材が少ないため、難易度は比較的高めです。

 

・4. (ISC)² 資格

(ISC)² 資格は国際的な非営利団体(ISC)²が主催しています。国際的な評価を受けるこの資格は、情報セキュリティ分野のスペシャリストを対象としており、非常に高い難易度です。しかし、取得した資格は国際的に評価されます。情報セキュリティの専門家としての能力を示す強力な証明になることは間違いありません。

ただし、合格後も定期的な資格更新が求められるため、専門知識とスキルを継続的に磨き続ける必要があります。

 

・5. AWS認定セキュリティ

AWS認定セキュリティは、Amazonが提供するクラウドサービスであるAWS(Amazon Web Services)が実施している資格試験です。AWSのセキュリティサービスやベストプラクティスに関する深い理解を持つ専門家を対象にしています。

AWSは多くの企業や組織にとって重要なクラウドプロバイダーです。そのセキュリティに関するスキルと知識もますます求められるようになりました。技術者が注目するべき資格のひとつであることは間違いありません。

 

まとめ

情報セキュリティに関する資格は、昨今の情報社会において重要視されるようになりました。高度な知識やスキルが求められる資格が多いですが、取得の難易度には差があります。取得する際には自分の立場に求められる資格やキャリアパスを考慮し、適切な資格を選択しましょう。

 

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WAF+の無償トライアルはこちら

▼パートナー制度のお問い合わせはこちら

DL-AWS_WAFとは

AWS WAFの特徴と運用面の問題を解消する方法を紹介したホワイトペーパーを無料公開

by お知らせ

企業のIT・情報セキュリティ担当者に向けて「AWS WAFとは?特徴や運用面の問題点を解消する方法をご紹介」と題したホワイトペーパーを公開しました。

 

 

ホワイトペーパーの概要

コロナ禍以降、クラウドの活用が加速しています。企業においては、自社のシステムをオンプレミスからクラウド環境へ、中でもサーバーや回線などの環境をユーザー全体で共有する「パブリッククラウド」への移行が増加しています。そのパブリッククラウドの代表的なサービスが「Amazon Web Services(AWS)」です。AWS上に構築したWebシステムをサイバー攻撃から守るには、AWSによって提供されている「AWS WAF」をはじめとする、WAF(Web Application Firewall)の導入が欠かせません。

比較的簡単に導入できるAWS WAFですが、ユーザー企業は日々新たな脆弱性に対応する必要があるなど、運用の難しさがあるのも事実です。クラウド上のデータやアプリケーションなどはユーザー企業の責任範囲であるため、運用面での課題は早急に解決する必要があります。

本資料では、IT・情報セキュリティ部門の方向けに、AWS WAFの特徴や問題点を解説し、AWS WAF運用をサポートするサービス「Cloudbric WMS for AWS」のメリットなどを紹介しています。

 

このような方におすすめ

  • 万全なセキュリティ体制を構築したい方
  • 多発するサイバー攻撃に不安を感じている方
  • AWSに切り替えを検討している方
  • AWS WAFの運用に課題感を感じている方
  • AWS WAFに最適なソリューションを探している方

▼ホワイトペーパー「AWS WAFとは?特徴や運用面の問題点を解消する方法をご紹介」はこちら

https://www.cloudbric.jp/dl-wp-aws-waf/

 

サイバーレジリエンスとは?

サイバーレジリエンスとは?概要・必要な背景・注意点を紹介

by ブログ

サイバー攻撃の脅威がますます増大し、「ゼロトラスト」などの概念も注目を集めている今日では、単なる予防措置としてのセキュリティ対策を講じるだけでは十分ではありません。重要なのは、問題発生後の回復力までをも含めた、「サイバーレジリエンス」を高めることです。本記事では、サイバーレジリエンスの基本的な定義をはじめ、その重要性や注意点までわかりやすく解説します。

 

サイバーレジリエンスとは?

サイバーレジリエンスとは簡単にいうと、サイバー攻撃などの脅威に晒されても、事業の継続性を維持・確保するための能力を指します。レジリエンスとは、もともと日本語で「回復力」を意味する言葉です。つまり、サイバーレジリエンスの概念は、サイバー空間においても回復力や逆境への適応力が必要であることを意味します。

米国立標準技術研究所(NIST)は、サイバーレジリエンスを「システムの悪い状況、ストレス、攻撃、侵害を予測し、防ぎ、回復し、適応する能力」としています。ゼロトラストの概念にも示されるように、完全に安全なセキュリティ環境など存在しません。だからこそサイバーレジリエンスの概念では、攻撃や障害が発生することを一種の前提として捉えたうえで、その異常を早期検知して復旧するプロセス全体までを考える必要性が強調されます。
(参照元:https://csrc.nist.gov/glossary/term/cyber_resiliency

 

EUサイバーレジリエンス法とは?

サイバーレジリエンスに関する国際的な動きとして押さえておきたいのが、EUサイバーレジリエンス法の展開です。これは、EUで2022年に草案が提出された審議中の法案ですが、2025年後半の施行を目標に議論が進められています。この法案が実現した場合、EU圏ではデジタル要素を持つほぼすべての製品が適用対象となる見込みです

具体的な内容としては、SBOM作成や更新プログラムの提供といった、セキュリティ要件の充足などが求められることになります。デジタル製品の社会的重要性が増すとともに、サイバーリスクの増大も膨らんでいる中、EUとしてはこの法案によって、国境を越えて市場全体のサイバーレジリエンスを強化していく狙いです。
(参照元:https://www.meti.go.jp/policy/netsecurity/netsecurity/CRAdraft.pdf

 

サイバーレジリエンスが必要な背景

EUサイバーレジリエンス法の件からもわかるように、サイバーレジリエンスの重要性は世界的にも認識されつつあります。しかし、なぜ今、サイバーレジリエンスが必要なのでしょうか。以下では、その主な背景を解説します。

 

・サイバー攻撃が増加している

サイバーレジリエンスの重要性が増している理由のひとつは、ランサムウェアに代表されるように、サイバー攻撃の被害が増加していることです。現代のサイバー攻撃は非常に手口が巧妙化しており、ウイルス対策ソフトを導入していれば安全という状況ではなくなっています。

そこで重要性を増しているのが、「被害を受けたあと、どれだけ迅速かつ適切に復旧できるか」というレジリエンスの観点です。従来型のセキュリティ対策とサイバーレジリエンスを組み合わせることで、企業はより強固な防御と効率的な復旧体制を構築し、ビジネスへの影響を最小限に抑えることが可能です。

関連記事:サイバー攻撃の動向や事件・事故とは?セキュリティ問題について考察!

 

・内部不正による被害が増加している

外部からの攻撃だけでなく内部不正の被害が増大していることも、サイバーレジリエンスが求められている理由のひとつです。昨今では、顧客リストの窃盗や個人情報の漏えいといった内部不正が目立ち始めており、企業にとって無視できないリスクとなっています。実際、IPAが毎年発表している「情報セキュリティ10大脅威」の2023年版において、内部不正による情報漏えいは組織の脅威の第4位にランクインしています。
(参照元:https://www.ipa.go.jp/security/10threats/10threats2023.html

故意にせよ過失にせよ、内部不正のリスクを完全になくすことは実質的に不可能です。そのため、内部不正が発見したときに早期発見・早期対処し、被害を最小限に留めるためにもサイバーレジリエンスが重要視されています・

 

サイバーセキュリティフレームワークとは?

サイバーレジリエンスの導入や強化に取り組む際、参考になるのが「サイバーセキュリティフレームワーク」です。特に、NISTによるサイバーセキュリティフレームワーク「NIST CSF」は、その代表的なものとして知られています。

このフレームワークは、組織や業界を問わずに広く利用可能で、識別・防御・検知・対応・復旧という5つの基本機能に焦点を当てています。簡単にいえば、「リスクを識別(特定)して、防御を構築し、異常を検知したら早期の対応もしくは復旧を図る」という仕組みです。もちろん、個々のフェーズはより細かく細分化して考えることも可能です。

こうしたフレームワークを活用することで、サイバーレジリエンスを強化するためのアクションや方針を効率的かつ的確に考えやすくなります。

 

サイバーレジリエンスを高めるうえでの注意点

サイバーレジリエンスやサイバーセキュリティフレームワークについて理解を深めたところで、実際にサイバーレジリエンスを高めるための具体的なポイントについて考えていきましょう。その際、注意すべきポイントとして以下の3点が挙げられます。

 

・全社的に取り組みを行う

サイバーレジリエンスを確保するには、企業全体での取り組みが不可欠です。1人の従業員の無知や不注意から、ウイルスが会社中のシステムやネットワークに広がってしまうこともありえます。そのため、サイバーレジリエンスを強化するには、個々の従業員や特定の部署だけでなく、経営層から末端の従業員まで企業一丸となって取り組む意識が必要です。

 

・回復のためにデータバックアップを行う

サイバーレジリエンスは「攻撃を防ぐ」だけでなく、「被害発生後の迅速な復旧」も重視します。そこで重要となるのが、データのバックアップです。万一、サイバー攻撃でデータが失われたとしても、データバックアップがあれば、復旧の速度とコストを大幅に削減可能できます。適切なバックアップが可能なサービスを選定するのも、ここでは外せないポイントです。

 

・自社に合ったセキュリティサービスを使う

セキュリティリスクは企業規模や業種によって異なるため、どのような対策を講じるべきかについてはケースごとに変わります。そのため、自社のニーズやリスクに合致するセキュリティサービスを選定することが非常に重要です。また、セキュリティ環境は常に変わるため、サービス導入後も定期的なアップデートなどは欠かさず行わなければなりません。

 

まとめ

サイバーレジリエンスとは、サイバー攻撃や内部不正といったセキュリティリスクから、事業の継続性を守るための能力を意味します。この概念の特徴は、サイバー攻撃を受けることを前提にしたうえで、そこからの迅速な回復に焦点を当てていることです。

サイバーレジリエンスを強化するには、自社に適したセキュリティサービスを導入するとともに、全社的かつ継続的な取り組みが重要になります。本記事を参考に、ぜひサイバーレジリエンスの強化に取り組んでみてください。

 

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WAF+の無償トライアルはこちら

▼パートナー制度のお問い合わせはこちら

penta_logo

社名変更のお知らせ:「ペンタセキュリティ株式会社」へ

by お知らせ

penta_logo

ペンタセキュリティシステムズ株式会社は、2023年10月4日付で社名をペンタセキュリティ株式会社へ変更したことをお知らせいたします。

 

■社名変更の目的

ペンタセキュリティは1997年に韓国で設立以来、情報セキュリティ企業としてデータ暗号化やWAF(Web Application Firewall)などの製品を提供してまいりました。2017年にはクラウド型セキュリティプラットフォームサービス「Cloudbric(クラウドブリック)」を、2019年には自動運転セキュリティ「AutoCrypt」を独立法人化させ、サービスの競争力と専門性を高めてきました。現在では、国内外で135の特許技術を保有し、全世界で70万以上のWebサイトを保護しています。*

しかし近年、世界のセキュリティ市場では、クラウドベースのセキュリティサービスSECaaS(Security as a Service)へとセキュリティ環境の大転換が行われています。SECaaS市場は過去5年間に年平均25%以上の急成長を遂げており、2023年には約21兆ウォン(約2兆4,000億円)規模と予想されています。

こうした状況を踏まえ、クラウドセキュリティ分野のさらなる強化のため、ペンタセキュリティとCloudbricが合併し、「ペンタセキュリティ株式会社」へと社名変更することにいたしました。ペンタセキュリティは、今後もサイバーセキュリティ技術とクラウド技術のノウハウを融合させることで、より強力で高度なセキュリティサービスを提供してまいります。

* 日本では、Cloudbricは法人化しておらず、ペンタセキュリティが販売を行っています。

20231129_pentasecurity_banne

【ウェビナー】11月29日開催「専門外なのでわからない」では済まされないAWS WAFの課題をどう解決する?

by お知らせセミナー

 

2023年11月29日(水)にオンラインセミナー『「専門外なのでわからない」では済まされないAWS WAFの課題をどう解決する? 〜AWSインフラでAWS WAFを付帯したいSIer・開発会社向け〜』を開催いたします。

 

AWSの導入が進む現在、SIerやシステム開発会社もAWSの移行サービスや運用・メンテナンスを担当したり、提供するシステムのインフラとしてAWSを扱ったりするケースが増えています。顧客企業では、AWSへ移行の際に既存オンプレ環境同等、またはそれ以上のセキュリティレベルを求めており、WebベースのシステムをAWS上構築する際には、適切なセキュリティ対策が必要です。

特にAWS WAFの運用については、導入と運用が簡単そうで付帯するものの、意図しない過剰な遮断によるサービス障害や正確に攻撃を検出したり脆弱性対応のためにカスタムルールを作成し付加したりと、専門的な知識が必要となるため、対応に悩む企業が多く見られます。また、適切なセキュリティ対策を提供できないと、顧客企業との信頼関係が失われる可能性もあります。

本セミナーでは、AWS移行サービスや設計、構築、開発、運用等を行うSIerと開発会社が顧客企業に提案する際、Webセキュリティ対策で導入すべきAWS WAFにおいて考慮すべき3つのポイントを解説します。

また、具体的な解決策としてAWS WAFに特化した運用管理サービスの「Cloudbric WMS for AWS」をご紹介します。高度なAWS WAFのルールセットとセキュリティ専門家のマネージドサービスが付帯されており、直感的で情報性のあるユーザーフレンドリーなインターフェースを提供します。

AWS WAFの運用に困っている方、またはセキュリティ対策のご提案でお悩みのSIerやシステム開発会社の担当者の方など、AWS WAFをご検討されている方はぜひご参加ください。

 

■日時:2023年11月29日(水)15:00~16:00

▽お申し込みはこちら

AWS WAFとは?

AWS WAFとは? 特徴や料金、メリット・デメリットを解説

by ブログ

近年、WebサイトやWebアプリケーションの安全の確保がますます重視されています。AWS WAFは、Amazon Web Servicesが提供するセキュリティサービスで、Web上のリソースをさまざまな脅威から守るためのソリューションです。本記事では、このAWS WAFの特徴や料金、そして導入のメリット・デメリットについて詳しく解説します。AWS WAFの導入を検討する際の参考情報として、ぜひご覧ください。

 

AWS WAFとは? 特徴などをわかりやすく解説

AWS WAFとは、どのようなサービスなのでしょうか。AWS WAFを理解するために、AWSとWAFそれぞれについてはじめに解説します。

 

・AWSとは?

AWS(Amazon Web Services)とは、Amazonが提供するクラウドサービスの総称です。AWSを導入すると、ストレージ、アプリケーション開発、データ分析、機械学習など、多種多様な機能を必要なときに必要なだけ利用できます。さらに、AWSはクラウドサービスであるため、運用コストが低く導入しやすくなっています。このため、多くの企業がWebサービスの展開や開発環境の構築、データ活用などにAWSを活用しています。

 

・WAFとは?

WAFとは“Web Application Firewall”の略で、WebサイトやWebアプリケーションの防御に特化したセキュリティツールです。WAFは以下のように、さまざまな攻撃からWeb上のリソースを保護します。

【WAFで対処できる代表的な攻撃例】

  • SQLインジェクション
  • クロスサイトスクリプティング(XSS)
  • DDoS攻撃
  • ブルートフォース攻撃
  • バッファオーバーフロー

 

・AWS WAFとは?

AWS WAFはその名の通り、AWSが提供するWAFです。その大きな特徴は、セキュリティ機能や脅威の検知ルールを柔軟にカスタマイズできることにあります。このため、企業は自社のニーズに応じてセキュリティ対策を選択・調整できます。その他、AWS WAFに含まれる主な機能や特徴は次の通りです。

【主要機能および特徴】

  • Webトラフィックフィルタリング機能
  • AWS WAF Bot Control
  • アカウント作成詐欺防止
  • アカウント乗っ取り詐欺の防止
  • リアルタイムの可視性
  • フル機能 API
  • AWS Firewall Manager への統合

このような機能を組み合わせてコンテンツへのアクセスを監視・制御し、Webリソースの安全を確保します。

 

AWS WAFの料金体系

作成するWeb ACLの数、および作成するルール数、さらにWeb ACLによって処理された Web リクエストの数によって料金が決まります。使用分のみの支払いとなり、初期費用はかかりません。AWS WAFは非常にコストパフォーマンスに優れたWAFですが、通信量が多い場合には高コストになる場合もありますので注意が必要です。

課金体系は以下の通りです。

  • 作成したWeb ACL数:1ACLあたり5USD/月
  • 作成したルール数:1ルールあたり1USD/月
  • AWS WAFへのリクエスト数:0.6USD/100万リクエストごと

詳しくは、AWS公式サイトをご確認ください。

 

AWS WAFの4つのメリット

AWS WAFを導入することで、企業は具体的にどのようなメリットを得られるのでしょうか。AWS WAFの強みを4つ解説します。

 

・メリット1:導入が簡単

AWS WAFの特長のひとつが、非常に簡単に導入できることです。従来のアプライアンス型のソリューションとは異なり、AWS WAFでは特別なソフトウェアのインストールや複雑な設定が必要ありません。AWS内で運用しているAmazon CloudFrontやAmazon API Gatewayといったサービスの設定でWAFを有効にするだけで利用を開始できます。最小限の労力と時間でセキュリティを強化できるのは非常に魅力です。

 

・メリット2:低コスト

AWS WAFの料金システムは従量課金制なので、実際に利用した分だけのコストしか発生しません。利用料金は、設定するルール数などに応じて変動する形です。AWS WAFには最低使用料金や初期費用の設定もなく、無駄な出費が生じません。自社のセキュリティ予算に応じてコストコントロールがしやすい点は、企業規模を問わず大きなメリットです。

 

・メリット3:Webアプリへの攻撃対策

AWS WAFは、Webサイトを含むWebアプリケーションを狙った攻撃への対策に特化したソリューションです。AWSが提供する基本ルールセットとAPIを活用することで、SQLインジェクション、クロスサイトスクリプティング(XSS)、DDoS攻撃など、多様な攻撃からWebアプリケーションを守れます。防御の際、トラフィックをほぼリアルタイムで監視できることもAWS WAFの強みです。このため、セキュリティの強化を目的に行う分析・監査用途のログを取るといった用途にも活用できます。

 

・メリット4:マネージドルールの活用

AWS WAFはカスタマイズ性に優れており、セキュリティの知見やノウハウに乏しい企業でも安心して使えるよう、マネージドルールが提供されています。これは、ルールのセットをテンプレートとして利用できるもので、AWS純正のものや他のセキュリティベンダーが組んだものなど、幅広い選択肢があります。例えば、SQLインジェクションを含む攻撃に対処する際は、「SQL database managed rule group」を選択できます。ルールセットの中から自社が必要なものを選ぶことで、専門的なセキュリティ知識がなくても、必要なルールを選んで安全な環境を構築できます。
WAF専門のセキュリティベンダーが提供するマネージドルールとして代表的なものに、Cloudbric Managed Rules for AWS WAFがあります。

関連記事:AWS WAFマネージドルールの公式版からおすすめまで、5つの製品を紹介

 

AWS WAFのデメリット

AWS WAFは多くの利点があるものの、運用には一定の知識が求められます。ルールセットが提供されていますが、最適化するためにはユーザー自身が脅威や対策に関する情報を収集することが不可欠です。マネージドルールは便利ですが、自社に適したものを判断するための知識も必要です。
さらに、AWS WAFのルールセットの詳細やパラメータは非公開であり、検知した攻撃のパターンや痕跡についての詳細な解析を行いたい場合や誤検知に対処する際に、情報の不透明性が問題となることがあります。
このように、AWS WAFには、運用の難易の高さやルールセットの不透明性といったデメリットもあるため、導入を検討する際は、長所と短所を総合的に考慮して判断することが大切です。

 

まとめ

AWS WAFはWebサイトやWebアプリケーションのセキュリティ対策として強力なツールですが、いくつかのデメリットも存在します。しかし、導入のしやすさや高いカスタマイズ性など、魅力的な利点も多く備えています。AWS WAFを活用すれば、自社に適したセキュリティ対策が可能となります。導入を検討する際は、本記事で紹介した情報を参考にしてください。

 

▼AWS WAF専用のマネージドルール「Cloudbirc Managed Rules for AWS WAF」

▼AWS WAFに特化した運用管理サービス「Cloudbirc WMS for AWS WAF」

▼製品・サービスに関するお問い合わせはこちら

 

CDN

CDNとは?概要やメリット・デメリットをわかりやすく解説

by ブログ

コンテンツ配信で重要なのは、いかに迅速かつ安全にユーザーへコンテンツを配信できるかどうかです。魅力的なコンテンツであっても、配信速度が遅いとユーザーにストレスを与えてしまいます。このような課題の解決に有効なのがCDNです。本記事では、CDNに関する基礎知識やメリット・デメリットについて解説します。コンテンツ配信を検討している企業の経営者や担当者は、ぜひ最後まで目を通してください。

 

CDNとは?

CDNとは、Contents Delivery Networkの略であり、テキストや画像、動画などのコンテンツをユーザーへスムーズに配信するためのサービスです。画像や動画は容量が大きいため、ただでさえ配信に時間がかかります。人気のコンテンツであればあるほど、Webサイトへはアクセスが集中しやすくなり、さらなるレスポンスの低下を招きます。

また、物理的に遠く離れている場所からのアクセスも、レスポンスが低下しがちです。物理的な距離が長くなるほど、データのやりとりに多くの時間を要するためです。CDNの導入は、これらの課題解決に役立ちます。

 

CDNの基本的な仕組み

サーバーへの負荷が集中すると、対応しきれなくなり、コンテンツ配信にも時間がかかります。CDNは、配信するコンテンツをキャッシュし、サーバーの代わりに応答する仕組みです。ユーザーから要求があったとき、CDNがあらかじめコピーしておいたコンテンツをユーザーへ提供するため、スピーディーな配信が可能です。

CDNは、オリジンサーバーとキャッシュサーバー、ロードバランサーの3つで構成されます。オリジンサーバーから提供されたデータをキャッシュサーバーがコピーし、ユーザーへ配信する仕組みです。ロードバランサーはアクセスを複数のキャッシュサーバーへ振り分け、負荷を分散する役割を担います。なお、データをキャッシングする仮想サーバーは各地に設置されているため、ユーザーの居場所に近いデータセンターからスピーディーな配信が実現します。

 

CDNの利用によるメリット

CDNの利用によるメリットとして、表示速度向上と配信高速化が挙げられます。また、サーバーの負荷軽減、DoS/DDoS攻撃対策に有効である点もメリットです。

 

・表示速度向上・配信高速化につながる

CDNは、Webサイトの表示速度向上や配信高速化に有効です。いくつも展開したキャッシュサーバーから、最短距離で配信を行うことができ、コンテンツのスピーディーな提供を実現します。

また、最新のプロトコルを利用した配信ができるのも魅力です。HTTP/2やHTTP/3などの通信プロトコルは高速なウェブアクセスを実現できます。従来よりもコンテンツを効率的に転送できるため、表示速度の向上に有効です。

スピーディーにコンテンツを提供できれば、ユーザーはストレスフリーで利用でき満足度も高まります。

 

・サーバーへの負荷が減少する

サーバーへのアクセスが集中すると、負荷が増加しページ速度の低下を招きます。ページ速度が著しく低下すると、ユーザーはストレスを感じ、ページやWebサイトから離脱しかねません。

CDNを導入すると、本来サーバーへのしかかるはずの負担を分散できます。データを保有するオリジンサーバーに代わり、ユーザーのもっとも近くに存在するキャッシュサーバーが対応するため、負荷の軽減が可能です。

 

・DoS/DDoS攻撃の対策に使える

DoS攻撃とDDoS攻撃は、どちらもサーバーへ過度な負荷をかけ、機能障害などを引き起こすサイバー攻撃です。代表的な手口として、F5ボタンを連打して何度もリロードし負荷をかける「F5アタック」が挙げられます。

DoSやDDoS攻撃によってサーバーへ負荷がかかり、お客さまへサービスを提供できなくなるおそれがあります。自社の業務にも多大な支障をきたし、甚大な損失をもたらすかもしれません。状況の改善をエサに、金銭を要求してくる悪質なDoS/DDoS攻撃もあるため注意が必要です。

CDNの導入は、DoS/DDoS攻撃対策としても有効です。CDNはいくつも展開されるキャッシュサーバーが攻撃を受けるため、大量の同時アクセスを実行されても負荷を分散できます。トラフィック量によっては防御しきれずオリジンサーバーに到達してしまう可能性があるものの、被害の軽減には有効です。

 

CDNの利用によるデメリット

CDNにはいくつものメリットがあるものの、デメリットも複数あるため覚えておきましょう。アクセス元が特定しにくい、変更がすぐ反映されない、キャッシュ事故のリスクがあるの3点が主なデメリットです。

 

・アクセス元が特定しづらい

通常、ユーザーがオリジンサーバーへアクセスすると、ログが残ります。そのため、アクセス元がどこなのか特定可能ですが、CDNではログがキャッシュサーバーに残り、特定が困難です。

アクセスログが必要なら、CDNにログの記録ができる機能が備わっているか確認しておきましょう。近年では、CDNのなかにもアクセスログを残せるサービスがあります。

 

・変更がすぐ反映されない

オリジンサーバーのみを運用しているケースでは、コンテンツの変更点が速やかに反映されます。一方、CDNを導入していると、変更を行っても更新情報はすぐに反映されません。変更前にコピーしたコンテンツが、キャッシュサーバーに一定期間保管されるためです。

変更がすぐ反映されないことで、顧客に不利益を与えてしまうおそれがあるため、必要に応じてキャッシュ時間の調整が必要です。

 

・キャッシュ事故のリスクがある

CDNの運用によって、キャッシュ事故が発生するリスクがあります。本来は対象外のコンテンツをキャッシュすることで、配信すべきではない情報を配信してしまう事故のことです。

たとえば、顧客のマイページなどをキャッシュすることで、顧客の氏名や住所、クレジットカード番号といった情報が誤って他人へ配信されてしまうおそれがあります。こうした重大な情報漏えい事故が発生すると、企業としての信用は失われてしまいます。

こうした事故を起こさないよう、適切な設定が必要です。個人情報のようなページにキャッシュを設定しないよう注意してください。

 

まとめ

CDNは、さまざまなコンテンツをユーザーへスピーディーに配信できるサービスであり、表示速度向上やユーザーのストレス軽減などのメリットを得られます。また、DoS/DDoS攻撃の対策としても有効です。一方で、アクセス元を特定しづらい、変更がすぐ反映されないなどのデメリットがあることも覚えておきましょう。

安心して利用できる、高性能なCDNを求めるのなら、「Cloudbric CDN」がおすすめです。コンテンツを迅速かつ安全に配信でき、オンラインビジネスの成功率を高めます。

高性能コンテンツ配信サービス Cloudbric CDN

 

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WAF+の無償トライアルはこちら

▼パートナー制度のお問い合わせはこちら