11月9~18日「韓国 IT EXPO」出展のお知らせ

この度、11月9日(火)~18日(木)に開催される「韓国 IT EXPO 2021」に、クラウド型セキュリティ・プラットフォーム・サービス「Cloudbric」を出展いたします。

「韓国 IT EXPO 2021」では、韓国のセキュリティ、ニューノーマルとDX、AIスタートアップ等の精鋭ベンチャー企業33社を集め、セミナーとビジネスマッチングを行います。

当社は、 企業情報セキュリティにて必要とされているすべてのソリューションを統合された一つのプラットフォームで選択的導入できるクラウド型・セキュリティ・プラットフォーム・サービス「Cloudbric」をご紹介します。

韓国の最新IT情報をいち早く得たい方、韓国企業とのビジネスをお考えの方は、お気軽にお申込みください。
なお、  ビジネスマッチングをご希望の方は、ご都合の良いお日にち・お時間をお選びいただき、ご予約ください。

 

「韓国 IT EXPO」開催概要

■日時:2021年11月9日(火)~18日(木)

■場所:オンライン

■主 催:大韓貿易投資振興公社(KOTRA)

■お申込み:http://www.kotrait.or.jp/semina/entry/entry_etc2.html

 

出展製品

クラウド型セキュリティ・プラットフォーム・サービス「Cloudbric Security Platform」

  • Cloudbric WAF+:企業Webサイトを守る 一石五鳥のWebセキュリティ対策、クラウド型WAFサービス
  • Cloudbric RAS:テレワークを支える、認証基盤リモートアクセスソリューション
  • Cloudbric ADDoS:Edge Computingで実現された最適解、クラウド型DDoS攻撃防御サービス

 

製品・サービスに関するお問い合わせはこちら

サービス体験はこちら

無償トライアル申請はこちら

パートナー制度お問合せはこちら

コーポレートサイトにもWebセキュリティ対策が必要な3つの理由を徹底解説!

コーポレートサイトにもWebセキュリティ対策が必要な3つの理由を徹底解説!

コーポレートサイトとは、一般的には企業の公式サイトのことですが、「会社案内」「会社概要」「事業内容」などが記載されていることから企業の顔ともいえる存在です。他にも、企業理念や採用情報、プレスリリースなども掲載するケースも多く、さまざまなユースケースに活用されています。

ところで、国立研究開発法人情報通信研究機構(NICT)が発表した観測レポートによると、下図のとおり日本国内で観測された悪意のある第3 者からのサイバー攻撃は年々増加傾向にあります。

2020年には、WebサイトへのDRDoS攻撃(DoSリフレクション攻撃)の観測結果が1,820,722件とのことで、なかにはコーポレートサイトへの攻撃も含まれていました。このような背景にありながら、コーポレートサイトは顧客情報を取り扱っているECサイトと比べ、Webサイトセキュリティ対策が甘い傾向があります。本記事では、コーポレートサイトもWebセキュリティ対策が必要な理由と最適な対策方法について解説しています。

 

コーポレートサイトにWebセキュリティ対策が必要な2つの理由とは? 

冒頭でも説明したとおり、日本国内で観測された悪意のある第3者からのサイバー攻撃は年々増加傾向にあります。そのため、顧客情報や社内情報を守るためのWebセキュリティ対策をしている企業も少なくありません。

悪意のある第3者からのサイバー攻撃には、コーポレートサイトを集中的に狙うケースも珍しくありませんが、コーポレートサイトのWebセキュリティ対策を行っている企業は、実はそれほど多くないのが現状です。例えば、2021年5月にはマッチングアプリ「omiai」などで知られる株式会社ネットマーケティングのコーポレートサイトがサイバー攻撃を受け、顧客の個人情報が流出した事件もありました。

コーポレートサイトへのサイバー攻撃が増えている理由は何でしょうか。

 

理由|経営者側のWebセキュリティに対する認識が甘い

コーポレートサイトへのサイバー攻撃が増加している理由の1つが、経営者側のWebセキュリティに対する認識の甘さです。以前はサイバー攻撃といえば、国家や企業などの組織体の戦略変更やイメージダウン・株価操作などを狙う組織犯罪、産業スパイ活動を目的とした内容が多くを占めていました。そのため、当時経営者は、政府機関や大企業でなければ攻撃のターゲットにはならないという認識を抱えていました。

しかし、現代社会では大企業を狙って多額の詐欺を行ったり、政治的な目的を持ったサイバー攻撃ではなく、中小企業をターゲットにしたサイバー攻撃も増加しています。

そもそも、サイバー攻撃の目的も、下記のように多様化しています。

  • 情報の悪用
  • 顧客信用度やブランドイメージの低下
  • 事業やサービスの中断や停止

そのため、資産や機密情報の規模にかかわらず、どんな企業でも攻撃される可能性があるため、セキュリティ対策を経営戦略として行うことは経営者としての責務となっています。それにもかかわらず、Webセキュリティに対する認識が甘い経営者が多いため、経済産業省とIPA( 情報処理推進機構 )は2015年に「サイバーセキュリティ経営ガイドライン」を策定し、経営者に対してセキュリティ対策を推進するよう求めています。

 

理由②|企業としてのセキュリティ投資への割合が低い

企業のWebセキュリティ対策にかける予算(投資)の割合が低いことも、コーポレートサイトへのサイバー攻撃が増えている理由の1つです。現在、日本でも多くの企業が、DX(デジタルトランスフォーメーション)時代に向けてIT関連に予算を投じています。しかし、海外の企業と比べ、日本の企業はその予算に占めるWebセキュリティ関連の予算の割合は低いです。

NRIセキュアテクノロジーズ(NRIセキュア)が発表した「企業における情報セキュリティ実態調査2019」によると、IT関連予算に占めるWebセキュリティ関連予算の割合が10%以上と回答した企業は、米国企業は80%弱。一方で、日本企業は約30%に留まりました。

Webセキュリティ対策にコストをかける(セキュリティ投資をしている)企業の割合が低いことに加え、中小企業の場合、そのセキュリティ投資が間違った投資手段となっていることも珍しくありません。下記の内容が、間違ったWebセキュリティ投資例といえます。

  • 被害の発生確率と被害額に合った攻撃対策ツール等を導入していない
  • 個人情報の重要度を理解していない
  • 専門家や担当者の意見を聞かず、経営者の判断のみで行っている
  • 社外との情報共有ができていない
  • 最新もしくは高価格な製品・サービスを短絡的に選択して導入している

コーポレートサイトをサイバー攻撃から守るためには、正しい方法でWebセキュリティ投資を行うことが重要です。

 

コーポレートサイトのWebセキュリティ対策を成功させたい!3つのポイントで徹底解説!

日本の中小企業におけるセキュリティ投資が、間違った方向性で行われていることも少なくないことは前述しました。それでは、コーポレートサイトの正しいWebセキュリティ対策方法は、どのようにすればよいのでしょうか?

結論をいえば、コーポレートサイトのWebセキュリティ対策を成功させるポイントは、下記の3つです。

  • 経営側のWebセキュリティに対する理解度を上げる
  • 個人情報の重要度を再認識する
  • セキュリティ対策を導入してもすべてを委託企業任せにしない

 

経営側のWebセキュリティに対する理解度を上げる

コーポレートサイトにおいて、専門家や担当者の意見を聞かず経営者の判断のみで行ったWebセキュリティ対策は間違った対策になりやすいです。経営者の多くが「自社は大丈夫」と思い込んで、攻撃を受けたり情報が漏れて初めてセキュリティ対策の不備を自覚するケースも多いです。

また、自社に合った対策でなく、一般に良く知られているFW(ファイアウォール)やログの監視といった、現在ではそれだけでは不十分な対策のみ実施している企業も多いです。そのため、正しいWebセキュリティ投資を行うためには、まず経営陣に現在に適した対策方法を理解してもらうことが必至です。

 

個人情報の重要度を再認識する

コーポレートサイトがサイバー攻撃を受けたことで、個人情報が盗み出されたり、改ざんされたりする可能性があります。そもそも、コーポレートサイトだから個人情報を扱わないわけではありません。コーポレートサイトで個人情報は扱わず別システムで管理していても、サイバー攻撃によって、お問い合わせ入力フォームを改ざんされる危険性が伴います。また、そこから別システムに侵入して、情報を盗み出すという手口も存在します。

コーポレートサイトで個人情報は扱っていなくても、情報流出の危険性はあるため、個人情報の重要度は十分に理解しておくことが大切です。

 

すべてを委託企業任せにしない

最新もしくは高価格な製品・サービスを選べば、正しいWebセキリティ投資ができるわけではありません。正しいWebセキュリティ投資には、被害の発生確率と被害額に合った攻撃対策ツールを導入しなければいけません。

多くの企業がコーポレートサイトのWebセキュリティ対策のすべてを委託企業任せにするケースも少なくありません。しかし、突発的な事例に対処することが困難なためおすすめしません。コーポレートサイトのWebセキュリティ対策のすべてを委託企業任せにしていた場合、下記のようなリスクがあります。

  • セキュリティ面でのリスク
  • 品質低下のリスク
  • 自社内にノウハウが蓄積されない

Webセキュリティ対策をベンダーに委託するのなら、この3つのリスクは意識しておく必要がありますが、まずはすべてを委託企業任せにしないことをおすすめします。

 

コーポレートサイトにWAFを導入すべき理由を解説!

悪意のある第3者のターゲットとなりやすいコーポレートサイトを、サイバー攻撃から守る方法としておすすめなのが「WAF」です。WAFとは「Web Application Firewall」の略で、簡単に説明すると、Webアプリケーションの前面に配置される下記のような特徴を持つセキュリティ対策のことです。

  • Webアプリケーションの脆弱性を悪用した攻撃を防御できる
  • 複数のWebアプリケーションへの攻撃をまとめて防御できる
  • 脆弱性を悪用した攻撃が検出できる

そもそも、FWやログの監視といったWebセキュリティ対策のみで十分だという認識は間違いです。そして、経営陣のそのような認識を改めることが、正しいWebセキリティ投資を行うために必要だということは前述しました。確かに、それらも必要なWebセキュリティ対策の1つですがが、それだけではコーポレートサイトは守れません。しかしWAFであれば、FWやIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることができない攻撃も防御可能です。

WAFには、下記の3つのタイプが存在し、それぞれで導入および運用方法が異なります。大手企業の場合はアプライアンス型を、中小企業はクラウド型のWAFを採用することが多いですが、自社のシステム環境に合ったWAFを導入することが重要です。

  • クラウド型
  • アプライアンス型
  • ソフトウェア型

そのため、サイバー攻撃による被害の発生確率と被害額に合った対策が行えることも、コーポレートサイトを守る方法としてWAFをおすすめする理由です。

ペンタセキュリティでは、オンプレミス環境に合わせたアプライアンス型WAF「WAPPLES」、AWS、Azure等パブリッククラウドやプライベート環境に最適化されたソフトウェア型WAFの「WAPPLES SA」、DNS情報変更のみで簡単導入できるクラウド型WAFサービス「Cloudbric WAF+」など、企業環境に合わせて様々なタイプのWAFを提供しております。

Cloudbric WAF+の場合、基本的なWAF機能に加え、無償SSL機能、DDoS対策、悪性ボット遮断、脅威IP遮断など5つのWebセキュリティサービスを1つの統合したプラットフォームにて提供するクラウド型セキュリティサービスとして注目されています。

 

まとめ

今回は、コーポレートサイトにもWebセキュリティ対策が必要な理由について解説してきました。悪意のある第3者がターゲットとするのは、ECサイトのような顧客情報を扱うサイトだけではありません。また、データサーバーを直接狙わず、コーポレートサイトから情報漏洩を誘発させる手口も存在します。

そのため、企業経営者は、正しいWebセキリティ対策とはどういったことなのかを正しく認識しておくことが重要です。また、Webセキュリティ投資への割合が低いのであれば、それを見直し、正しい方法でWebセキュリティ投資を行ってください。

 

web_攻撃_動向

2021年上半期Webアプリケーション脅威解析レポート公開

WATTレポート(最新Webアプリケーション脅威解析レポート、Web Application Threat Trend Report)はアジア・パシフィック地域のマーケットシェア1位を誇るWAFの「WAPPLES」とクラウド型WAFサービスの「Cloudbric WAF+」の検知ログをペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が共同分析した結果をまとめたものです。

セキュリティ担当者に向けた最新のWeb脅威情報を提供していますので、ぜひ参考にしてください。

 

WATTレポートのダウンロードをご希望の方は、以下のリンクをクリックしてください。

[tek_button button_text=”WATT Report ダウンロード” button_link=”url:report-download/” button_position=”button-center”]

 

DDoS攻撃対策

実際に国内で発生したDDoS攻撃の被害と対策を紹介

Webサイトなどネットワークを利用したサービスの脅威となるのがDDoS攻撃です。DDoS攻撃を受けるとWebサイトなどのサービスが一時的に停止してしまい、サービスを利用しているユーザーの信頼を失うだけでなく企業イメージにも悪い影響を与えることもあります。

今回は日本国内で発生したDDoS攻撃の事例や対策方法について紹介していきます。

 

DDoS攻撃とは

DDoS攻撃の説明をする前にまずDoS攻撃について説明していきます。DoS(Denial of Services)攻撃とは1台のパソコンから行うサイバー攻撃で、パソコンからインターネットサービスに対して大量のデータを送ることで、サーバーに負荷がかかりシステムがダウンしてしまいます。DoS攻撃は複数の種類があります。F5攻撃という方法はWebサイトでF5を連続で実行してサイトに大量のリクエストを送りサーバーに負荷をかけます。メールを大量に送信してサーバーに負荷をかける手法もあります。

DDoS(Distributed Denial of Service)攻撃とはDoS攻撃を複数のパソコンから行うサイバー攻撃です。ウィルスやマルウェアなどで他人のパソコンを不正に乗っ取り、そのパソコンを利用してDDoS攻撃を行う場合もあります。厄介なのは不正に乗っ取ったパソコンを利用していると犯人を特定しにくくなります。

近年普及しているIoTがDDoS攻撃の被害を受けるケースもあります。

 

DDoS攻撃の種類とは

ここからはDDoS攻撃の種類を説明します。

1. SYNフラッド攻撃 / FINフラッド攻撃

SYNフラッド攻撃とは接続元IPを偽ったボットからSYN(接続要求)を大量に送る攻撃です。そしてFINフラッド攻撃とは接続元IPを偽ったボットからFIN(絶段要求)を大量に送る攻撃です。

2. ACKフラッド攻撃

ACKフラッド攻撃とは大量のACKパケットを送信してサーバーに負荷をかける攻撃です。

3. Slow HTTP DoS Attack

Slow HTTP DoS Attackとは少ないパケット数を長時間送信して他のユーザーがサービスを使えないようにする攻撃です。大規模サイトを少ないリソースで攻撃できます。

4. DNSフラッド攻撃

DNSフラッド攻撃とはDNSサーバーに対して大量のリクエストを送信して、他のユーザーからの名前解決を妨害する攻撃です。

 

国内でのDDoS攻撃の事例

ここからは日本国内で発生したDDoSの事例について紹介します。

東京五輪組織委へのサイバー攻撃

2015年11月パラリンピック大会組織委員会のホームページにDDoS攻撃がありホームページが約12時間閲覧不能になりました。

SONYへのサイバー攻撃

2014年8月SONYが運営するPlayStation NetworkにDDoS攻撃があり、これにより1億人以上の個人情報が流出した可能性があります。

ニコニコ動画へのサイバー攻撃

2007年ニコニコ動画がDDoS攻撃を受けて正常にサービスを提供できなくなり、一時的にサービスを停止しました。ニコニコ動画と同一ネットワーク上にあるドワンゴの携帯電話向けサイトにも影響が出ました。

2ちゃんねるへのサイバー攻撃

2010年に10万人規模のDDoS攻撃を受けてサーバーがダウンしました。

 

DDoSへの対策

ここからはDDoS攻撃への対策について紹介します。

特定のIPアドレスからのアクセスを遮断する

DDoS攻撃を仕掛けているIPアドレスからのアクセスを遮断します。アクセス自体を遮断することで攻撃を受けないようになります。DDoS攻撃は複数のIPから攻撃を受けるので問題の解消にはならないですが、継続することで被害を少なくできます。

 

海外からのアクセスを停止する

正規のユーザーが国内アクセスしていて、DDoSの攻撃元が海外の場合は海外からのアクセスを停止することでDDoS攻撃を防ぐことができます。DDoS攻撃は海外のサーバーを経由して実行されることがあるので、効果的な対策でしょう。

 

WAFを導入する

WAF(Web Application Firewall)とはWeb上のアプリケーションに特化したファイアウォールです。Webサイトの中でもユーザーが情報を入力するサイトやリクエストに応じて動的なページを生成するサイトを守ります。WAFはWebサービスへのアクセスを解析して正規のユーザーか不正な攻撃かを判断します。不正な攻撃と判断するとアクセスを遮断してWebサイトを守ります。

WAFはDDoS攻撃だけでなくSQLインジェクション・ブルートフォースアタック・クロスサイトスクリプティング・OSコマンドインジェクション・LDAPインジェクションなどさまざまなWeb攻撃からWebサイトを守ってくれます。

WAFにはアプライアンス型・ソフトウェア型・クラウド型の3つがあります。

アプライアンス型は独自のWAFシステムを構築可能でサーバー自体の性能に影響されません。デメリットとしては利用するために専門的な知識や技術が必要という点です。

ソフトウェア型はカスタマイズ性が高くて専用機器が必要ありません。デメリットとしては複数のサーバーを運用している場合は、サーバーごとにコストがかかるという点です。

クラウド型は他のタイプよりも簡単に導入できて専門的な知識や技術が必要ありません。デメリットとしてはカスタマイズ性が低いという点です。

▼WAFはもちろん、DDoS攻撃対策や脅威IP遮断など、5つの機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

 

IDS/IPSを導入する

IDS(Intrusion Detection System)とは不正侵入検知システムと呼ばれています。Webサイトへのアクセスを解析してDDoS攻撃など不正なログインと判断すると管理者に通知します。IDSには2つのタイプがありネットワーク型はネットに流れる通信パケットを検知します。ホスト型はサーバーに設置して通信で発生したサーバー上のデータやログを検知します。

IPS(Intrusion Prevention System)とは不正侵入防止システムと呼ばれています。Webサイトへのアクセスを解析して、不正なアクセスや攻撃を検知するとそのアクセスを遮断します。

IDS/IPSは主にネットワークやシステム面へのセキュリティ性能が高いです。DDoS攻撃に対する防衛は可能ですがSQLインジェクションやクロスサイトスクリプティングなどは防ぐことができないので注意しましょう。

 

UTMを導入する

UTM(Unified Threat Management)とは統合脅威管理と呼ばれています。ウィルス・スパム・キーロガー・スパイウェアなど、さまざまな攻撃に対応できるセキュリティシステムです。Webサービスへの攻撃方法は年々多様化しているので、総合的にWebサイトを守りたいならばおすすめです。

 

▼クラウド型WAFサービス「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

SQL Injection攻撃

SQL Injectionとは?脆弱性に対する3つの対策について解説!

WebサイトやWebアプリケーションのセキュリティに対する脅威の1つに「SQL Injection」という攻撃手法が存在します。ペンタセキュリティが公開した2021年第1四半期のWeb脆弱性レポートによると、1位はXSS(Cross Site Scripting)で44%、続いてSQL Injectionが26%で2位を占めています。WebサイトやECサイトの運営をしているのであれば、個人情報の漏洩やサイトの改ざん阻止のために「SQL Injection(SQL インジェクション)」についてよく理解しておかなければなりません。本記事では、「SQL Injection」による攻撃のセキュリティ対策のポイントについて解説しています。また、後半では「SQL Injection」の実例も紹介しています。

 

SQL Injectionとは?

Webのデータはすべてデータベース(DB)に格納されています。そもそも、SQLとは「Structured Query Language」の略で、データベース上で下記の操作を行うために使用される言語のことをいいます。

  • データの追加
  • データの更新
  • データの削除
  • データの検索
  • テーブルの作成
  • テーブルの削除
  • テーブルの主キーの設定
  • ユーザ権限の付与

SQLはプログラミング言語ではなく、データベースを操作するためのデータベース言語です。そして、「Injection」は、「注入」と訳せます。つまり、「SQL Injection」とは、不正なSQLをWebサイトに送り、そのサイトを改ざんしたり、情報を漏洩させたりする悪質なサイト攻撃のことを意味します。また、攻撃そのものだけでなく、その攻撃を許してしまう情報セキュリティの脆弱性のことも指します。

「SQL Injection」による攻撃を具体的に説明しますが、通常、WebサイトでユーザIDやパスワードを入力すると不正な文字列が入力されていないか入力エリアのチェックが行われます。しかし、脆弱性があるWebサイトの場合、悪意のある攻撃者が下記のような「SQL文を含む文字列」を入力すると、サイトにログインできてしまったり、ユーザ全員のメールアドレスなどのデータが取得できてしまったりします。

$name = ‘\’ OR 1 = 1;
OR ‘A’ = A
1 or ‘1’ = ‘1’;

 

SQL Injectionが悪用される理由とは?

一般的に、WebサイトのユーザID・パスワード入力では文字列しか入力しません。しかし、脆弱性があるWebサイトの場合、上記のようなSQL文を含む文字列を命令文として認識させることができるのです。そのため、データベースが自由に操作されてしまいます。そして、悪意のある攻撃者がSQL Injectionを悪用する理由は、データベースで個人情報を閲覧したり盗み出したり、データベースの変更・消去といった悪質な行為を行うためです。

 それでは、実際に社員データを出力するプログラムをもとに、SQL Injectionを実践してみましょう。

例えば、下記のようなテーブルがあったとします。

id name mail created
1 一郎 ichirou@example.com 2021-06-05 00:00:00
2 二郎 jirou@example.com 2021-06-05 00:00:00
3 三郎 saburou@example.com 2021-06-05 00:00:00

そして、下記のようなSQL文がプログラム内に書かれていたとします。

$id = $_POST[‘id’];
$sql = ‘SELECT id, name, mail, created FROM employee WHERE id = ‘.$id;

このSQL文は、POSTされたidの値を元にして社員のデータをすべて表示するプログラムです。

例えば、id=1をPOSTすると、下記のデータが出力されます。

id name mail created
1 一郎 ichirou@example.com 2021-06-05 00:00:00

しかし、POSTされたidに、下記のような値が含まれていた場合は、どのようになるのでしょうか。

1 OR 1 = 1

SQL文は、

$sql = ‘SELECT id, name, mail, created FROM employee WHERE id = 1 OR 1 = 1’;

と同様のものが実行されてしまいます。そして、このSQL文を実行すると、下のように他の社員の情報まで出力されてしまいます。これを悪用すれば、「SQL Injection」で個人情報を閲覧できます。

id name mail created
1 一郎 ichirou@example.com 2021-06-05 00:00:00
2 二郎 jirou@example.com 2021-06-05 00:00:00
3 三郎 saburou@example.com 2021-06-05 00:00:00

 

SQL Injection攻撃の脆弱性を2つのポイントで解説!

WebサイトがSQL Injectionによる攻撃を受ける場合、その目的として多いケースが「Webサイトの改ざん」と「個人情報の漏えい」の2つです。

Webサイトの改ざん

脆弱性のあるWebサイトにSQL Injectionを用いることで、そのコンテンツから接続するデータベースに、管理者・開発者の意図しないプログラムを書き込み、改ざんすることが可能です。SQL Injectionによって、Webサイト上に表示されるテキストが改ざんされたり、挿入した覚えのない画像が表示されてしまうなど、コンテンツが不正に変更されるケースも少なくありません。また、被害だけでなく、改ざんしたWebサイトを閲覧したユーザが、マルウェアなどの不正なプログラムに感染する被害が継続的に発生しています。Webサイト改ざんによる被害はそれだけではなく、不正改ざんによってGoogleに危険なサイトと判断されてしまえば、検索順位が大きく下がってしまったり検索結果からの除外されてしまったりする可能性があります。

個人情報の漏洩

SQL Injectionで、データベース内のユーザIDやパスワード・クレジットカードの番号などの重要な個人情報を抜き取ることも可能です。2011年にSONYのゲーム用のサービス「PlayStation Network」を利用しているユーザ情報が漏洩したことがありますが、「SQL Injection」攻撃によることが原因でした。抜き取られた情報のなかには、「会員の氏名」、「住所」、「メールアドレス」、「生年月日」、「会員ID」、「パスワード」などが含まれていたといわれています。

 

必須!SQL Injection攻撃を防止する3つの対策とは?

SQL InjectionによるWebサイト攻撃は、しっかりと対策をすれば防止できます。今回紹介する対策方法は、下記の3つです。

対策① WAFの導入

SQL Injectionを悪用した攻撃への対策の1つに、WAFの導入が挙げられます。WAFとは「Web Application Firewall」の略で、分かりやすくいえばファイアウォールの1種。その特徴は、直接管理・改修することができないWebアプリケーションを攻撃から守ってくれます。導入すれば、Webアプリケーションを用いたネットショッピングやゲーム、インターネットバンキングなどのWebサービスが保護できます

対策② 脆弱性診断によるチェック

Webサイトの脆弱性は、自分ではなかなか判断できません。そのため、セキュリティ診断サービス・脆弱性診断サービスなどを活用して、Webサイトやクラウドサービス上でさまざまなサービス提供を実現するWebアプリケーションの脆弱性の有無をチェックする必要性があります。ちなみに、脆弱性診断サービスには有償のものと無償のものがあります。無償だと費用をかけずに脆弱性診断ができますが、ある程度の知識が必要となります。

そもそも、脆弱性があるとSQL InjectionによるWebサイト攻撃は防止できないため、費用がかかっても脆弱性診断をしておくことはおすすめです。

対策③ エスケープ処理

エスケープ処理は、SQL Injection攻撃における対策の基本です。そもそもエスケープ処理とは、プログラム中で使用する特殊な記号を意味の繋がらない文字として扱う処理のことです。プログラム言語は、記号に特殊な意味を持っていることが多く、そのプログラム言語の特殊性が悪用されてSQL Injection攻撃を受けます。

エスケープ処理をしておけば、WebサイトがSQL Injectionによる攻撃を受けても、入力した言語がプログラム言語ではなく意味を持たない言語として認識されため、被害を防ぐことができます。

 

SQL Injectionにおける対策方法の実例

今回は、SQL Injectionによるデータベースへの問い合わせを実行するプログラムの実例です。プログラム内に脆弱性があり、そこからSQL Injection攻撃を受けますが、その対策方法についても実例で紹介しています。それでは、ユーザ名ごとに情報が分けられているデータベースから、指定したユーザ名に一致する情報を指定する下記のSQL Injectionを例に解説していきます。

SELECT * FROM items WHERE owner = <userName> AND itemname = <itemName>;

対象とするプログラムはこちら。「C#」でのコードを例にしています。

string NameA = ctx.getAuthenticatedUserName();
string valueA = “SELECT * FROM items WHERE owner = ‘” + NameA + “‘ AND toolname = ‘” + ItemName.Text + “‘”;
nsda = new SqlDataAdapter(query, conn);
DTd = new DataTable();
nsda.Fill(dt);


SQLで「USER」の情報を出力。しかし、下記コードには脆弱性がみられます。 

ここに「OR ‘z’=’z’」を追加することで、WHEREを常に真にして、正しいユーザIDとパスワードを入力することなく、データベースにアクセスが可能になります。

 SELECT * FROM items WHERE owner = ‘USER’ AND toolname = ‘name’ OR ‘z’=’z’;

また、「OR ‘z’=’z’」はtoolnameの値に関係なく、検索条件が真として成立してしまい、toolnameが常に返ってきます。そのため、ログインを許可されていないユーザでもログイン可能な状態になってしまいます。

これにより、USERの情報だけではなく、itemsテーブルに格納されているすべてのデータを操作が可能。結果として、下記のSQLと同じ処理が行われます。

SELECT * FROM items;

ちなみに、SQLでは、ユーザIDとパスワードの組み合わせは、次のような形でチェックされます。

SELECT*FROM tableA
WHERE user=’USER′ and pass=’PASSWORD′;

しかし、C#の例と同様に「’or’1’=’1」を使うことでユーザ認証を回避できます。

 WHERE user=’USER′ and pass=”PASSWORD”or’1’=’1′;

同じように、以下のようなSQL文を使うことでデータの消去も可能です。

 name’; DELETE FROM items; SELECT * FROM items WHERE ‘a’=’a

 

さいごに

今回は、「SQL Injection」の危険性とその対策方法について解説してきました。脆弱性のあるWebサイト「SQL Injection」による攻撃を受ける可能性が高く、被害にあった場合はコンテンツやユーザの重要な情報を守ることはできません。悪質な攻撃者による「SQL Injection」での攻撃は、現在も頻発しています。ユーザ情報を扱うWebサイトを運営するのであれば、必ずその対策はしておきましょう。

 

SQL Injection攻撃からWebサイトを守る方法! クラウド型WAFサービス「Cloudbric WAF+」

Cloudbric WAF+

不動産、賃貸情報サイトになぜWebセキュリティ対策が必要なのかについて

不動産、賃貸情報サイトになぜWebセキュリティ対策が必要なのかについて

不動産情報サイト事業者連絡協議会(RSA)が発表した「2020不動産情報サイト利用者意識アンケート」調査結果によると、不動産情報を調べる際に利用したものでは、スマートフォンの利用率が92%で2014年以来最高となっています。PC利用率も昨年より増加し約50%と増加傾向にあることから、不動産・賃貸情報サイトを運営する企業において、WAFのようなWebセキュリティ対策がますます重要となっています。しかし、不動産や賃貸物件の防犯対策はしっかりしていても、自社のWebサイトのセキュリティ対策をしていないケースも少なくありません。

Webサイトは、現代ビジネスにおいて必須のツールとして積極的に活用されていますが、現在多くのWebサイトがサイバー攻撃のターゲットとなっています。そんなサイバー攻撃から自社の不動産・賃貸情報サイトを守るためにも、WebサーバやWebサイトを保護してくれるWAFを導入するなど、Webセキュリティ対策は重要です。本記事では、動産・賃貸情報サイトでのWebセキュリティ対策をテーマに解説しています。ぜひ、最後までご覧ください

 

不動産・賃貸情報サイトの特徴とは?Webセキュリティ対策の重要性について考える

ここでは、不動産・賃貸情報サイトでのWebセキュリティ対策の重要性について解説しています。まずは、不動産・賃貸情報サイトの特徴から、詳しくみていきましょう。

不動産・賃貸情報サイトの特徴

近年、サイバー攻撃のターゲットとなるのは、大企業のWebサイトだけに留まりません。また、セキュリティ対策が不十分なWebサイトはターゲットにされやすく、不動産・賃貸情報サイトが標的となるケースも数多く報告されています。不動産関連の会社の営業は、不動産や賃貸物件を見つけたユーザからお問い合わせを頂くことから始まります。そのきっかけに、Webサイトを活用している企業もあることでしょう。不動産・賃貸情報サイトを利用するメリットには、「物件を探す人の利用率が高い」「物件情報を簡単に紹介できる」などが挙げられますが、実はサイバー攻撃から狙われやすい特徴もみられます。不動産・賃貸情報サイトは、下記のような特徴から金銭目的のサイバー攻撃を受ける可能性があります。

  • 入力フォームで個人情報を入力する
  • 高額な物件を取り扱っている
  • 不特定多数の方がWebサイトに訪問する
  • 個人たけでなく法人との取引がある

もし、不動産・賃貸情報サイトがサイバー攻撃を受けセキュリティ対策が不十分であった場合、顧客情報や取引相手の情報が漏洩してしまう危険性があるため注意しましょう。

Webセキュリティ対策の重要性

Webサイトへのサイバー攻撃は以前からありましたが、最近はシステムやアプリケーション脆弱性など、Webセキュリティの弱点を狙った攻撃が増えています。IPA(情報処理推進機構)が2021年1月に発表した「ソフトウェア等の脆弱性情報に関する届出状況」によると、2020年第4四半期 における脆弱性の届け出件数は303件。そのうち、Webサイトの脆弱性を狙われたことによる被害の届け出件数は、全体の約7割超を占めています。

また、最近のWebサイト制作には、Webアプリケーションが使用されているケースがみられますが、データ被害を受けた約5割がWebアプリケーションの脆弱性を狙った攻撃に由来。そのため、不動産・賃貸情報サイトを狙った攻撃は、今後さらに増えることが予想されます。

Webサイトによる集客を継続するのであれば、システム上の脆弱性を常にチェックしておくだけでなく、いつ起こるか分からないWeb攻撃にた対し常にWebサイトを保護するWAFを導入するなど、セキュリティ対策も強固にしておくことが重要といえるでしょう。

 

不動産・賃貸情報サイトでWebセキュリティ対策が必要な理由とは

不動産・賃貸情報サイトでWebセキュリティ対策が必要な理由には、下記の3つが挙げられます。

  • 個人情報の漏洩リスクの防止
  • フィッシング詐欺対策
  • ITリテラシーを向上させるため

理由①|個人情報の漏洩リスクの防止

Webセキュリティ対策が不十分だと、不動産・賃貸情報サイトから個人情報が漏洩してしまう危険性があります。個人情報は、個人情報保護法において下記のように定義されています。個人情報とは、生存する個人に関する情報であって、当該情報に含まれる以下の情報のこととなります。

  • 氏名
  • 生年月日
  • 特定の個人を識別できる内容
  • 個人識別符号が含まれる媒体

顧客や取引先の個人情報が漏洩した場合、相手から損害賠償を求められる可能性があります。そのようなリスクを防止するためも、Webセキュリティ対策が必要です。

理由②|フィッシング詐欺対策

不動産・賃貸情報サイトでメールでの「お問い合わせ」をしている場合は、フィッシング詐欺のリスクも発生します。フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法のこと。つまり、クレジットカード番号やアカウント情報(ユーザID、パスワードなど)といった、重要な個人情報を盗み出す詐欺行為を指します。

自身が被害にあうだけでなく、顧客にWebサイトを詐称したフィッシングメールが送信されて被害にあう可能性もあります。本物の不動産・賃貸情報サイトとほとんど区別がつかない偽造サイトを作るなど、フィッシング詐欺は手口が巧妙になっています。そのため、フィッシング詐欺対策のためにも、Webセキュリティ対策はしっかりしておきましょう。

理由③|ITリテラシーを向上させるため

ITリテラシーとは、通信・ネットワーク・セキュリティなど、ITに紐付く要素を理解する能力や操作する能力という意味。IT業界では、インターネットの正しい使い方やインターネットを利用するうえでのモラルといった意味でも用いられています。

不動産業界でも、不動産・賃貸情報サイトのインターネットを利用したサービスを提供しているのであれば、モラルとしてITリテラシーの向上に努める必要があります。

 

不動産テックの導入が加速化!Webセキュリティの増強が不可欠

Webセキュリティ対策強化は、不動産テックの導入が加速化している業界内全体として必要なものとなっています。そもそも不動産テックとは、近年のITの発達や規制緩和の動きとともに、IT技術を不動産分野に応用した新しい技術・サービスが導入が増えたことで作られた造語のことで、「不動産」と「Technology(技術)」が掛け合わさってできた言葉です。不動産テックの先進国であるアメリカをはじめ、イギリスやインド、中国などのアジア諸国でも不動産テックを活用した事業やサービスが活発に行われています。しかし、日本の不動産テック化はそれらの国々より大幅に遅れています。

そんな日本では、遅れを取り戻す動きや新型コロナウイルス感染症の発生による影響から、不動産業界でも業務のオンライン化などのデジタル化が進み、現代では日本国内の不動産テック化が急加速しています。しかし、不動産テックの導入が進むほど、不動産・賃貸情報サイトがサイバー攻撃を受ける可能性も高まります。

他の業種に比べて不動産業界は特にIT化が遅れていたため、不動産・賃貸情報サイトのセキュリティ対策に疎かった企業も多いでしょう。しかし、不動産テックの導入は今後ますます加速することが予想されます。もしそうなれば、ITリテラシーが業界により一層求められるでしょう。また、高いレベルでの個人情報保護やWebセキュリティ対策が求められます。将来的にみても、不動産・賃貸情報サイトにおいてWebセキュリティ対策の重要性はますます高まることから、セキュリティ対策の強化は今からでも意識しておくことが大切です。

 

さいごに

今回は、不動産・賃貸情報サイトのWebセキュリティ対策が必要な理由について解説してきました。不動産・賃貸情報サイトは、もともとサイバー攻撃に狙われやすい特徴が揃っていますが、不動産テックの加速が予想される日本の不動産業界において、Webセキュリティ対策は必須です。Webセキュリティに関して、早めの対策を心掛けましょう。

 

Webセキュリティ・プラットフォーム・サービス

Cloudbric WAF+

クラウドセキュリティリスク

オンプレミス環境とは違うクラウド環境に適切なセキュリティ対策とは? まずクラウド環境向けWAFを導入すべき


総務省調査の令和得元年通信利用動向の「クラウドサービス利用状況」からみると、国内企業の64.7%がクラウドサービスを利用していると答え、導入効果については「非常に効果があった」又は「ある程度効果があった」のような応答が8割を超えています。企業システムのクラウドシフトによって変化しつつあるIT環境に必要とされるセキュリティ対策にも変化があるはずです。そのため、クラウド中心に変化したIT環境に最も適切なセキュリティ対策は何かを把握することが、クラウド導入の前後を問わず解決すべき課題だと言えるでしょう。そこで今回は、従来のIT環境とは違うクラウド環境の特殊性を理解し、クラウド環境に適切なセキュリティとは何かをお伝えしたいと思います。

 

クラウド環境の特殊性を理解したセキュリティ

Accenture の調査によると企業のクラウド移行を妨げる障壁として「セキュリティ」が挙げられています。

 企業はクラウド導入の際、新たなIT環境がサイバー攻撃者の浸透経路にならないよう、クラウド環境に適切なセキュリティ対策に取る組む必要があります。そのためには、まず従来のIT環境とは違う「クラウド環境のみの特殊性」を理解しなければりません。

責任共有モデル

AWS、Azure等のCSP(Cloud Service Provider、クラウドサービス企業)は安全なクラウド環境のために、様々なセキュリティポリシーやサービスをビルトインさせました。

しかしそれだけでセキュリティが担保できるとは言い切れません。CSPの提供するセキュリティサービスはクラウドセンター自体を守ることに限定され、クラウドにて仮想的に結合された顧客のシステムやデータまで保護するものではありません。

AWSをはじめとしたCSPは、クラウドの情報セキュリティに関して一般的に「責任共有モデル」という考え方を採用しています。これは、CSPとユーザ(顧客)で責任範囲を明確にし、全体のセキュリティを担保しようという考え方です。こちらのイメージをご覧ください。


引用:AWS 責任共有モデル

こちらのイメージは、AWSの「責任共有モデル」を示した図であります。イメージの上半分はユーザ(顧客)が担う責任部分、下半分のオレンジ色の範囲はクラウド提供企業(AWS)が責任を負うクラウドのセキュリティ分担です。ネットワークやコンピューティングなどクラウドプラットフォームに対するセキュリティの責任はCSPにあり、クラウド内部のデータ、OS、トラフィックなどに対するセキュリティの責任は顧客にあります。

つまり、クラウドにて結合されたシステムやデータなどにおけるセキュリティの主導権はユーザ側にあるため、ユーザ自らセキュリティ対策を厳重に点検し、どのようなセキュリティ対策を導入するかを決定する義務があるとのことです。

仮想化と分散処理技術

クラウド環境もオンプレミス環境と同じくアプリケーション、システム、ネットワークレベルに分けられます。そして、クラウドといっても実は、クラウド環境にて使用されているデータは最終的に物理的サーバ上に保存されます。このように、クラウドの基本的な構造はオンプレミスと類似ていますが、「仮想化と分散処理技術」によってユーザビリティを高め、更に柔軟性の高い環境にてデータを活用できるというクラウドならではの特殊性もあります。

つまり、クラウド環境は従来のオンプレミス環境に仮想化・分散処理技術を加えたもので、セキュルティ対策もクラウド環境の特殊性に対応できる形態が求められます。WAF導入の例を挙げて

簡単に言いますと、「仮想化と分散処理」ができるWAFが、クラウド環境に最も適切なWAFであることです。
WAFの他にも、クラウド環境のために考慮すべきセキュリティ要素は多い、これらもまたクラウド環境のみの特殊性を理解してからセキュリティ対策構築に取り組む必要があります。

 

クラウド環境に必ず必要なクラウド型WAFサービス

それでは、クラウド導入の際に、どのような領域のセキュリティを優先すべきでしょうか。こちらはクラウドをアプリケーション、システム、ネットワーク3つのレベルで分類し、レベルごとにセキュルティ重要度のランクをつけた表です。

この表をみると、アプリケーションレベルは最も脆弱で、最も攻撃されやすい領域であることが分かります。そのため、アプリケーションレベルのセキュリティを最優先し、クラウド環境の基本的な安全性を確保しなければなりません。

情報セキュリティ専門企業ペンタセキュリティはクラウド環境の特殊性に対する理解を基にクラウドセキュリティを実現する「Cloudbric WAF+」を提供しております。

Cloudbric WAF + : 5つの必須セキュリティサービスをクラウド環境にて提供

安全なクラウドシフトのために、多くの企業がクラウド環境のセキュリティに投資していますが、セキュリティ担当者不在、コスト、クラウドに対する理解不足などによって対策に踏み切れない問題を抱えています。このようなセキュリティ課題を解決できる簡単かつ安全なセキュリティ対策がCloudbric WAF+です。

Cloudbric WAF + はクラウド型でWAFサービスを提供するSaaS型WAFサービスであります。該当サービスにはWAF機能のみならず、DDoS保護、SSL証明書、脅威IP遮断、悪性ボット遮断まで、必須的なセキュリティサービスを1つのクラウドプラットフォームにて統合し、ユーザのクラウドセキュリティをサポートします。特に全ての要素がクラウドにて起動するため、別途の設置や、メインテナンス過程の必要なく、簡単に利用できるというメリットがあります。

 

最後に

企業のクラウドシフトは、今までより拡大していくと見込められますが、セキュリティに対する十分な理解のないITシステムシフトは、サイバー攻撃者らの浸透を簡単に許すリスクを抱えています。クラウドセキュリティのリスクをカバーするためには、クラウド導入に先立ち従来のIT環境とは違うクラウド環境の特殊性への理解を基に、必要なセキュリティ要素は何かを把握することが最重要ポイントだと言えるでしょう。

Cloudbric WAF+

クラウド型WAF

企業における現在のWebセキュリティ問題と、クラウド型WAFによる対策

現在はクラウドサービスをはじめとしたWeb上のサービス・セキュリティの進化が目覚しく、多くの企業がそれらのサービスを利用しています。一方で、企業の機密情報を狙うハッカー達によるサイバー攻撃も同じように巧妙・複雑化し、セキュリティとのいたちごっこが続いていて、情報漏洩をはじめとする多くの被害が、企業の規模を問わず発生しています。

本記事では、2020年に起きたサイバー攻撃の傾向と、国内企業のWebセキュリティが脅かされた実際の事例を紹介し、その対策となるWebセキュリティ対策についても見ていきたいと思います。

 

2020年のサイバー攻撃の傾向

2020年上半期にはコロナウイルスの世界的な流行があり、ハッカー達はそれに便乗して、各国の政府や医療機関をはじめ、膨大な個人情報や機密情報を持つ企業などを標的にサイバー攻撃を行うケースが急増しました。不特定多数にばらまくスパムメールだけでなく、特定の企業を標的としたランサムウェアによる計画的な攻撃が急増し、より戦略的で高額の身代金を要求する事件が多発する結果となりました。

特定の法人企業を対象としたサイバー攻撃の特徴として「侵入経路の多様化」、「クラウド環境特有の脅威」、「侵入後の内部活動の常套化」の3つが挙げられます。メールによる攻撃はもちろん、テレワーク環境への移行に伴い、VPNによる通信の際、正規のユーザのアカウント情報を入手して本人になりすまして侵入したり、VPN装置の脆弱性を悪用する方法で攻撃がおこなわれたり、Zoomのインストーラーにバックドア型マルウェアとボットが含まれたものなどが確認されています。Zoom自体は正規の物を利用して正常に使用できるだけに、サイバー攻撃であることに気付くのが難しいという特徴を持っています。

以上のように、コロナ禍によるテレワーク環境の弱点をついた、「末端である従業員のモバイル端末を狙った攻撃」と、「クラウドサービスを狙った攻撃」が激化しているのが現在のサイバー攻撃の特徴だと言えるでしょう。

 

国内企業のWebセキュリティが脅かされた最新の事例

2020年はコロナ禍によってテレワークでの仕事が広く普及しましたが、それと同時に多くの企業が自社のセキュリティ面を見直し、強化していくことを余儀なくされました。現在の企業の機密情報を守るセキュリティは、自社内のみのクローズドな環境で完結するわけではなく、会社から離れた遠隔地からでも仕事をおこなえる、オープンな環境作りが必要となっています。しかし、テレワークで仕事を行うという試みは、日本ではまだまだ始まったばかりであり、末端の従業員のセキュリティに対する意識も含め、日本のセキュリティ対策はまだまだハッカーのサイバー攻撃に狙われやすい、多数の穴が空いている状態だといって良いでしょう。実際に2020年は数多くのサイバー攻撃が日本企業を襲い、多数の被害が出てしまう結果となりました。ここでそれぞれの被害の具体例を紹介していきますので、今後の為の参考にしてみましょう。

・電子決済サービスの不正利用

2020年もっとも被害が大きかったのは、電子決済サービスの不正利用です。2020年9月、銀行口座の情報を不正に入手した犯人がドコモ口座を開設しその銀行口座と連携し、被害者を装うことによって銀行からドコモ口座にお金を不正に出金するという、セキュリティの穴を突いた方法で多額のお金を騙し取った事件です。

最初にこの手口が露見したのはドコモ口座ですが、その後PayPay、Kyash、LINE Payにおいても同様の不正出金が確認されました。この事件による被害総額は2,800万円以上と言われています。

・ゲームメーカーの顧客情報流出

2020年11月には大手ゲームメーカーであるカプコンが「Ragnar Locker」と呼ばれるランサムウェアによってサイバー攻撃を受け、およそ35万件もの顧客情報が流出したとされています。

ハッカー達は盗んだデータを暗号化し使えなくさせ、データの復旧と引き換えに多額の金銭を要求し、さらには内部の機密情報をインターネット上で暴露するという脅迫でもお金を要求するという、「二重搾取型」の攻撃であった点がこの事件の特徴です。

コロナ禍によってオンラインゲームの需要が高まってる中、ゲームメーカーはサイバー攻撃に狙われた際のダメージが大きいと踏んで、カプコンがハッカー達の標的にされたと考えられています。

・特別定額給付金を装ったフィッシング詐欺

2020年5月に10万円の特別定額給付金が給付され始める中、自治体を装ったメール、ホームページによるフィッシング詐欺が大量に発生しました。

フィッシング詐欺によってアカウントIDやパスワードといった個人情報から、クレジットカードの番号や口座番号などの情報まで引出そうとしたり、ATMを用いて手数料を騙しとろうとするなど、悪質な手口での詐欺が横行することとなりました。

 

クラウド型WAFとは

現在、上記したサイバー攻撃に対するWebセキュリティ対策として、「クラウド型WAF」のサービスが注目されています。軽くクラウド型WAFの説明を行うと、まずはじめに「WAF(Web Application Firewall)」とは、Webサイト上のアプリケーションに特化したファイアウォールのことを指します。ユーザーからの入力を受け付けや、動的なページを生成したりするタイプのWebサイトを、不正な攻撃から守ることが WAFの役割となります。

通常のファイアウォールと違い、アプリケーションレベルでデータの中身を解析することができ、アプリケーションにセキュリティ上の問題があったとしても、それを無害化でき、ISMS(組織内の情報の機密性、完全性、可用性の3つすべてをバランスよく管理するための枠組み)の実現や、PCIDSS(クレジットカード情報保護を目的として定められた、情報セキュリティ基準のこと)に準拠しているため企業の情報戦略面としても需要が高く、注目されていました。

そして、クラウド型WAFとは、その名の通りクラウド上に設置するセキュリティ対策ツールとなります。現在ではWAFといえば、このクラウド型WAFが主流となっています。それでは何故現在クラウド型WAFに大きな需要があるのか、クラウド型WAFのメリットと、利用する上での注意点を交えて紹介していきましょう。

・クラウド型WAFのメリット

クラウド型WAFはクラウドサービスであるため、通常のWAFよりも安価で導入することが可能となっています。またサービス契約後日を待たずして利用できるため、トラブルに巻き込まれた際すぐに問題に対処することが可能になっています。

そしてクラウドサービスの特徴として、運用をベンダーに任せることができます。社内でセキュリティの専門家を直接雇用する必要がなく、メンテナンスも一任できるため、運用面でも大きくコストカットすることが可能となっています。

・クラウド型WAFを導入する際に注意すること

コスト面と利便性において大きなメリットを持つクラウド型WAFですが、導入する際に注意することがあります。まず先述したようにベンダー側に運営を一任できることがメリットのひとつと書きましたが、裏を返せば自社が運営に干渉することはほとんどできないため、サービスの質はすべて契約したベンダー次第ということになります。ベンダーに運営を一任する以上、トラブル発生の際すぐに対処できる専門家の人数や対応範囲など、そのサポートの質がどれくらいなのかが選定の際に重要となります。

またクラウド型であるため、自社のシステムに合わせたカスタマイズを行うことが非常に困難となります。そのため少しでも自社のシステムに沿った形のクラウド型WAFサービスを選んで、契約することが求められます。

他にクラウド型WAFはベンダーごとに料金形態が異なります。トラフィック量に合わせて料金が増減するものや、固定料金の場合もあるので、性能やサービスの質などと合わせて考慮しましょう。

 

さいごに

2020年以降、コロナ禍とクラウドサービスの増加による、セキュリティ環境の変化を突いたサイバー攻撃の特徴と、その対策となるクラウド型WAFのメリット・デメリットと注意点を見ていきました。

クラウド型WAFは安価で導入のしやすいことから、これからのセキュリティ対策として非常に利用されるようになるサービスですが、その特徴をきちんと踏まえた上で、自社に最適なベンダー選びを行うことが求められます。今回紹介した事例と特徴を踏まえて、より最適なセキュリティ環境を構築できたら幸いです。

Cloudbric WAF+は企業向けにカスタマイズされたセキュリティサービスを提供します。クラウドから仮想専用サーバー、オンプレミスまでお客様のシステム環境に合わせて提供できます。

Cloudbric WAF+の詳細はこちら

Cloudbric WAF+