株式会社SIG

株式会社SIG

 

株式会社SIG

株式会社SIGは独立系IT企業として、様々な分野及び業種における情報システムや産業制御システムのようなシステム開発事業等に取り組んでいます。また、それらを支えるITインフラソリューション及びセキュリティなど幅広い分野でサービスを提供しています。

Cloudbric WAF+」の導入を検討したきっかけを教えてください。

Webサイトの構築や運営する方であれば、「WAF」という言葉を耳にしたことがあると思います。長引くコロナ禍で当社が運営するコーポレートサイトへのアクセスやお問い合わせが増加する中、Webサイトセキュリティの必要性を感じたこともあり、セキュリティ強化策として情報漏えいや脆弱性への対策としてWebアプリケーションレベルでのセキュリティ対策を最初にしておくべきだという意見も多く、WAFの導入を決定しました。

様々な選択肢がありましたが、他社と比べて費用が安く且つ性能の優れたWAFとして評価されている「Cloudbric WAF+」を導入することになりました。無償トライアル期間中においても、実際の運用環境を想定して自社環境に合ったセキュリティ対策で運用してみることができましたし、非常に使いやすかったので、そのまま実導入に至りました。

Cloudbric WAF+」選定時、最も重視されたポイントを教えてください。

導入のハードルが低く、必要な機能を必要な分だけ利用できるところが最も気に入りました。どれだけ多くの機能を搭載しているかも重要かもしれませんが、自分が考える「良いWAF」とは、新種や亜種の脆弱性をどれだけ精度高く検出できるかが左右すると思います。そういうところでいうと、「Cloudbric WAF+」を導入したのは最善の選択だったのではないかと思います。独自の「論理演算検知エンジン」を搭載して高い検知率を維持しながらも、Webサイトのトラフィック特性を学習する「特性学習AIエンジン」を用いて、最新の脆弱性にもいち早く対応できるということで、安心して任せることができました。

あとは費用面です。基本提供される機能だけでも十分で、追加費用を支払わなくともSSL証明書サービスなど様々なWebセキュリティ機能を利用できるので、無駄な支出を省くことができました。そして当社の場合、小規模のコーポレートサイトへのWAF導入であったため、プランによって受けられるサービスが異なるのではないかと多少心配な面もありました。しかし、利用プランに関係なく同じレベルの高いセキュリティを提供してもらえ、コストパフォーマンスの面で非常に満足しています。

Cloudbric WAF+」を利用した感想をお聞かせください。

よく考えてみると、個人情報や顧客情報、決済情報などを取り扱うサイトに対しては、Webアプリケーションの脆弱性対策としてWAFの導入が確かに効果的です。しかし、コーポレートサイトの場合、セキュリティ対策が比較的甘いケースが多く見受けられます。会員情報を扱っているわけでもないし、情報漏えいは心配ないということと、ECサイトや会員制サイトと比べてそんなに攻撃されることもないという認識がありますが、実際はそういうわけでもありません。Web改ざんであったり、お問い合わせフォームを利用した攻撃を行うなど様々なパターンで攻撃を仕掛けてくるため、コーポレートサイトに対しても細心の注意を払う必要があります。「Cloudbric WAF+」導入したことによって、当社サイトがこんなに攻撃を受けているという注意喚起にも非常に役立っていると思います。

Cloudbric WAF+」の導入後、効果はございましたか。

検知モードの際に、当社WebサイトにアクセスしたIPアドレス情報を共有して頂きましたが、その中から2つのIPアドレスによる大量のアクセスが確認されたことが分かりました。すぐに例外処理をして大きな問題にはなりませんでしたが、今まではこのような攻撃を受けているという意識がなかったため、正直攻撃が収まったということを実感しているわけではありません。しかし、セキュリティへの意識を高めるきっかけになったと思いますし、「Cloudbric WAF+」で明確に遮断されているという安心感もあります。

Cloudbric WAF+」を使用した際、最も気に入った機能を教えていただけますか。

セキュリティに詳しくない人にとっても、WAFを使ったことがない人にとっても、非常にシンプルで見やすく操作もしやすいところです。視覚的に飛び込んでくるダッシュボードなので、ダッシュボードにアクセスすると「Cloudbric WAF+」で実際にブロックした攻撃回数がグラフで表示され、発信国情報や攻撃目的なども一目で分かるようになっています。また、ボタンを押すだけで簡単にIPアドレスを遮断できるなど操作も簡単に行えて便利でした。

また、海外製のサービスではありますが、サポート対応がしっかりしているのもメリットだと思います。WAFの設定変更についてメールでお問い合わせしたところ、迅速且つ丁寧な対応をして頂きました。

最後に一言お願い致します。

企業インフラのクラウド化により、今まで以上にクラウド型WAFのニーズが高まると思います。数え切れないほどたくさんのWAF製品が存在しますが、中でも「Cloudbric WAF+」は競争力を十分備えた製品であると、個人的には確信しております。日本だけでも既に、7,000サイトを超える法人顧客に導入されていますが、それこそ、信頼できる確かな製品であるという何よりの証拠だといえるのではないでしょうか。WAF導入を検討される方なら、ぜひ参考にしてください。

株式会社ワールドスカイ

株式会社ワールドスカイ

 

株式会社ワールドスカイ

株式会社ワールドスカイは、お客様が本当に必要なICT技術は何か、その技術のセキュリティリスクに問題は無いかを常に考え、研究し、最高のご提案を行えるように取り組んでいます。創業より、海外セキュリティ製品にこだわり、良い技術・製品・サービスを探してまいりました。海外の特性を活かし、日本独自の風習に合うようにコーディネイトすることにより、多くの企業様へ安心してご利用いただけるICT技術を導入させて頂いております。これからも「セキュリティを活かしたICTでお客様の課題解決」をモットーに、お客様の最高のパートナーになれるように日々精進いたします。

Cloudbric WAF+」の導入を検討したきっかけを教えてください。

弊社は、SI(システムインテグレーション)ビジネスを展開する企業として、Webアプリケーションへのセキュリティ対策としてコンサルティング、脆弱性診断などを提供しております。Webサイト上に大幅な追加・修正が生じた際は、脆弱性診断で対策を取る方法もありますが、金額面・恒久的な対策という側面を考慮した際、24/365で運用をサポートしてくれるサービス兼セキュリティ専門チームを活用することが効果的であるという判断に至り「Cloudbric WAF+」を採択しました。実際に「Cloudbric WAF+」を使用してみたところ、アプライアンスタイプのWAFに比べて初期費用や運用コストが非常に安く、予算を抑えることができました。運用面におきましても、弊社側で常にログを分析せずとも、脅威IPや最新の脅威データベースに基づいた対策をメーカ側で行っているため安心して利用できます。結果的に運用負荷の軽減にもつながっています。「Cloudbric WAF+」は弊社で取り扱っている製品でもあるため、性能、さまざまなメリットについても詳細を把握していたため、金額面、機能面、運用面を考慮し、導入を決めました。

Cloudbric WAF+」選定時、最も重視されたポイントを教えてください。

実際に「Cloudbric WAF+」をご利用いただいているお客様、セキュリティ関連でお付き合いのあるSI企業様などの評価は大事にしました。様々なWAFサービスがある中で、あるサービスは「知名度は高いが検知率が低い」といった声や、あるサービスでは「性能は良いが運用後のカスタマイズ費用が高い」など、それぞれのサービスには一長一短あることが判りました。弊社の場合セキュリティビジネスをしていく上でお客様視点からの声が直接聞けるので、そういう評価を重視しながら選定しました。

また、費用面でのメリットというところも気になるポイントでした。他社サービスの価格表と比較しながら、弊社のシステム環境と合わせて総合的に検討してみると、トータル的には他社より「Cloudbric WAF+」の方が安くなるという結論に至りました。結局、他社の評価と費用面でのバランスというところが「Cloudbric WAF+」を選ぶ決め手となったのではないかと思います。

Cloudbric WAF+」を利用した感想をお聞かせください。

「Cloudbric WAF+」を導入すると、30日間検知モニタリングを行い、ログ分析の詳細や運用状況などをまとめたレポートを共有してもらえます。実際、不正アクセスではない管理者IPが不正ログとして検知されていたため例外処理をするなど、本格運用する前に自社環境に合わせてセキュリティポリシーを提案してもらい、カスタマイズできるところが印象的でした。他社の場合、例外処理やお客様に沿ったポリシー調整となるとそこに対する追加費用が発生するケースがありますが、「Cloudbric WAF+」のサービスは、そのような部分がプランに含まれているので、そういう点がメリットではないかと思います。

デメリットとしては、やはり国産製品ではないため、国内においては、他社と比べて知名度が低めであることは少し残念だと思います。しかし、海外では世界中から数々の賞を受賞し、実際ご利用頂いているお客様にもそのセキュリティ技術力も相当認められているので信頼をおき利用しています。

Cloudbric WAF+」の導入後、効果はございましたか。

「Cloudbric WAF+」の導入後、ダッシュボードでログの確認などが分かりやすく構成されているので非常に助かっています。担当者としてセキュリティは気にしなければいけませんが、どうしてもフロント部分やサービス部分をメインとして見るため、その部分の比重が高くなってしまう傾向があることも事実です。その点、ダッシュボードやレポートでサイバー攻撃や不正アクセスをひと目で把握できるため、現状を把握するまでの手間を省くことができたと思います。また、「Cloudbric WAF+」はWAF機能だけでなく、無償SSLや基本的なDDoS攻撃対策など、プラスアルファ的なサービスも提供しているため、その他セキュリティ対策を導入する必要はなく、一元管理できるという点も管理者としては大きなメリットであると思います。

Cloudbric WAF+」を使用した際、最も気に入った機能を教えていただけますか。

ダッシュボードが見やすいところが「Cloudbric WAF+」の大きなメリットだと考えています。ダッシュボードからは各種設定ができ、ユーザエクスペリエンスに相当気を使っていることが目に見てわかります。

「Cloudbric WAF+」の導入を検討されているセキュリティ担当者様は、無償評価版を使用し、ダッシュボードから操作性を見てみるのは如何でしょうか。又は、無償評価版を申込みせずともクラウドブリックのホームページにて提供されるダッシュボードで実際に体験いただけるようです。

https://www.cloudbric.jp/free-trial/

あとは、サポート面がしっかりしていることだと思います。海外企業だとサポート面で日本語対応ができていないところも多く、どうしても不安が生じてしまうところもあります。しかし、クラウドブリックは日本法人があるため、サポート面において完全日本語で対応してくれるところ、そしてWebからも24/365できちんとと問い合わせ回答してくれるため、安心して利用できると思います。

最後に一言お願い致します。

「Cloudbric WAF+」はグローバルで販売しているサービスで、現在95ヵ国の10万以上のレファレンス実績を上げています。ですので、最近だと世界中から収集した脅威インテリジェンス(Threat Intelligence)などを活用して、最新の脅威データベースにも対応していると思います。そして、機能改善とか、拡張というところも積極的に行っているところは、更なる製品の質の向上という観点から個人的に期待している部分でもあります。弊社としては、「Cloudbric WAF+」のメリットとそういうところを含め、「セキュリティ専門家でなくても安心して使えるWAFサービス」としてお客様に積極的に提案していきたいと思います。WAF導入を検討されている担当者様なら、まず30日の無償トライアルからお気軽にご利用されることをご検討ください。

nakajitsu_logo

株式会社不動産SHOP ナカジツ

株式会社不動産SHOP ナカジツ

愛知・福岡・千葉に30店舗展開し、不動産仲介業(おうち探し館!)の他にリフォーム(Asobi-リノベ)、新築住宅(Asobi-創家(すみか))など幅広く手掛ける「ワンストップサービス」が特徴の総合不動産企業「不動産SHOPナカジツ」。
不動産業界の既存モデルにとらわれず、ユーザーファーストのサービスを展開し、中古住宅+リノベーション事業においては全国3位の実績を誇るなど急成長を遂げている。

Cloudbric WAF+の導入を討したきっかけをえてください。

ずいぶん前のことになりますが、DDoS攻撃を受けて社内システムがダウンしたことがありました。幸いなことに、大きな被害は発生していませんでした。しかし、いつ、どこから仕掛けてくるか全く予測のつかないDDoS攻撃の恐ろしさを改めて実感する瞬間であったし、ホームページやWebサーバーへのセキュリティ対策を見直すきっかけにもなったと思います。DDoS攻撃は、攻撃対象に大量のトラフィックを送り付けてサービスを停止させることが一般的ですが、だからといって全てのトラフィックを遮断してしまうと、正常なトラフィックまで遮断されサービスが利用できない状況が生じてしまいます。うちのホームページに訪ねてくださるお客様に迷惑をかけるわけにはいかないので、我々には異常のあるトラフィックをしっかり遮断し、正常なトラフィックのみを通すことのできる性能の高いセキュリティ対策が必要でした。それでWAFを含め総合的なWebセキュリティ対策を探し始めたのです。

Cloudbric WAF+選定時、最も重視されたポイントをえてください。

誤検知をなるべく起こしたくない、もし起こしたとしてもなるべく速く対応したい、運用面ではそういったところを重視しました。 弊社の場合、ホームページからいらっしゃるお客様が多く、ホームページに障害が起きたり、なんらかの理由でアクセスできなかったりするなど、ホームページが使えなくなる状況がそのまま利益にも関わってくるんです。また、検知率がどんなに高くても、誤検知がそれほど多ければ台無しになってしまうので、検出力を高い水準に維持しながら誤検知率を減少できる製品にしたいなと思いました。
WAFはシグネチャー型とロジックベース型と2種類を検討させて頂きまして、検知率、誤検知率など検知能力が優れているロジックベース型のCloudbric WAF+に決定しました。海外の第三者機関から公認された結果などが非常に分かりやすく示されてあったので、そういうところが決め手になったのではないかと思います。あと、運用時に即時に対応できる仕組みになっていること、そして即対応してくれることもCloudbric WAF+を選択した理由の一つです。

Cloudbric WAF+を利用した感想をお聞かせください。

まず、弊社の場合Cloudbric WAF+の導入において、WAF機能を最優先で考えたのですが、SSL証明書サービスや、基本的なDDoS対策、脅威IPや悪性ボットの遮断など、様々なWebセキュリティ対策を一緒に提供して頂き非常に良かったです。コストパフォーマンス的にも非常に大きなメリットではないかと思います。
Cloudbric WAF+は導入後の約1ヶ月間、遮断モードで運用します。その期間に生成された検知ログをもとに、自社に合ったカスタマイズされたセキュリティポリシーを作成し、これからの運用に反映されるらしいです。実際、遮断モードで検知された約75,000件のログ情報など詳細レポートとして作成していただきました。そしてその情報をもとにセキュリティポリシーを提案して頂き、本当にうちに合ったセキュリティ対策で運用できることが印象的でした。

Cloudbric WAF+の導入後、果はございましたか。

導入後しばらくして、約7万件の攻撃が検知されて少し驚いた記憶があります。Cloudbric WAF+の管理画面上でロシアを発信国としたIPによる不正アクセスが多数発見され、全て遮断することができました。そして、レポートを見て分かったことですが、国家別に例外処理を行わなかった2つのサイトが新たに確認でき、すぐに例外処理を行ったこともあります。今まで気づくことのできなかったセキュリティ的な穴を見つけて対処できるなど、少しずつセキュリティ対策のレベルを高められていると感じております。うちの場合、導入してそんなに 経っていないですが、導入の効果がすぐ目に見えて、大変満足しています。

Cloudbric WAF+を使用した際、最もに入った機能をえていただけますか。

とりあえず、管理画面が相当使いやすくて見やすいです。国別にフィルタリングできたり、例外処理をこちら側でできたりすることがすごく便利でした。そして管理画面上でほぼ全ての操作ができることですかね。すぐに遮断したいってなったときに1回のクリックだけで処理できることは、使う側としてはすごく便利な機能の一つだと思います。
そしてレポート機能なんですが、攻撃の種類や詳細内容について、専門知識のない人でも理解できるように分かりやすく詳しく説明されているので常に参考にしています。

最後に一言お願い致します。

先にも言いましたが、ホームページからいらっしゃるお客様が多いこともあり、うちのWebサイト上で重要な資産情報やの個人情報などを扱っていることもあり、可能な限りの対策を取っていきたいです。先日、ログ情報を確認してみたんです。うちの場合基本日本とアメリカからのアクセスを許可しているのですが、検知結果を見たら結構ブロックされていて、ちゃんと検知できていると考えられます。基本的に運用面で安心してお任せできることは、Cloudbric WAF+の一番のメリットではないかと思います。
また、不正侵入が減っているところで、本当にホームページにアクセスしてくれるお客様がログとして残ってきて、ちゃんとしたログが取れるようになって、アクセス経路の分析により経営戦略にも役に立ってくるかなと思います。

IPS

IPSとは?機能やIDSとの違いなどを解説

IPS

近年ますます巧妙化するサイバー攻撃に対応するには、侵入者に対する単一のセキュリティ戦略だけでは十分ではありません。従来のファイアウォールに頼ったセキュリティでは、侵入を許したが最後、組織の重要な情報資産を守ることは困難です。本記事では、ファイアウォールの穴を補完して組織のセキュリティをさらに強化するソリューションである「IPS」について分かりやすく解説します。

 

IPSとは?

IPSとは、ネットワークやサーバー上のトラフィックをリアルタイムに監視し、不正侵入を検知して、管理者への通知やブロックなどの対策を講じるセキュリティツールのことです。IPSは「Intrusion Prevention System」の略称で、日本語では「不正侵入防止システム」と訳されます。

 

・IPSとIDSとの違い

IDS(Intrusion Detection System)は「不正侵入検知システム」と訳されます。その名の通り、悪意あるアクセスを検知し、管理者にその異常を通知することを目的としたシステムです。一方のIPSは、IDSの機能に加えて、管理者の判断を待たずして自動的に不正アクセスをブロックする機能も持っています。これによって、IPSはIDSよりも迅速に攻撃を防ぐことが可能です。

 

・IPSとファイアウォールとの違い

ファイアウォールとは、ネットワークの外部と内部との境界に設置され、基本的に外部から内部へと侵入しようとする不正トラフィックを監視・ブロックするセキュリティです。ファイアウォールもIPSも、攻撃の排除を目的としている点は共通していますが、その仕組みが大きく異なります。

ファイアウォールが不正トラフィックを検知する際に参照するのは、IP アドレスやポートといった「どこからアクセスしているのか」という情報です。これに対してIPSまたはIDSは、疑わしいパターンやシグネチャー(兆候)を特定して攻撃をブロックします。それぞれで役割や監視対象が異なるため、ファイアウォールとIPSの両方を使って複数の方法で不正トラフィックを特定できるようにすることで、セキュリティをより強化することが可能です。

 

・IPSとWAFの違い

WAFとは「Web Application Firewall」の略称で、WebサイトやWebアプリケーションを防御するセキュリティのことです。IDSやIPS は、OSやミドルウェアといったプラットフォームに対する不正アクセスや攻撃を防御するため、WAFとIDS/IPSでは防御できる層が異なります。

ファイアウォールがネットワークの最前線に展開される防御網だとすれば、その背後にIDS/IPS、さらにWAFが展開される形です。強力な多層防御を構築するためには、ファイアウォールとIDS/IPSに加えて、WAFも導入すると良いでしょう。Webサイトは最も外部ユーザーにさらされている部分のひとつであるため、特にWebサイト運用している企業にとってWAFの導入は非常に重要です。

【関連記事】Cloudbric(クラウドブリック) Webセキュリティ

 

 

IPSの種類

IPSには複数の種類があり、セキュリティ対象や設置方法に応じて違いがあります。そこで以下ではIPSの種類ごとの違いを解説します。

 

・IPSの検知対象に関する違い

IPSには不正アクセスを検知する機能がありますが、「どのような方法で検知するのか」という点で、アノマリ型とシグネチャー型の2種類に分けることが可能です。両者の違いを簡単に説明すると、アノマリ型は「正常なトラフィック」を検知し、シグネチャー型は「不正なトラフィック」を検知するという点で分けられます。

 

ーアノマリ型

アノマリ型は、あらかじめ正常なトラフィックパターンを定義し、その定義から外れた挙動をすべて異常と検知する方法です。具体的には、プロトコルやトラフィック量が登録している値と異なる場合などに、不正アクセスと判断します。シグネチャー型と比べ、未知の脅威を検知しやすい点がアノマリ型の特長です。

 

ーシグネチャー型

シグネチャー型は、過去に経験した攻撃のシグネチャー(兆候)に基づいて正確に攻撃をブロックします。システムに登録された攻撃の不正パターンと照合して不正アクセスを特定するため、既知の攻撃に対して正確かつ自動化された防御が可能です。また、誤検知の発生を抑えられるメリットもあります。

 

・IPSの監視対象に関する違い

IPSは、設置する場所によってネットワーク型とホスト型に分けることが可能です。どちらに設置されるかによって、IPSの監視対象や監視範囲が異なります。

 

ーネットワーク型

ネットワーク型はその名の通りネットワーク上に設置され、そこを流れるトラフィックを監視するIPSです。設置された区画内のネットワークしか監視できない一方、ホスト型と比べて広範なトラフィックをカバーします。複数のネットワークを運用している場合は、その数だけIPSの設置が必要です。

 

ーホスト型

ホスト型は、サーバーなどのハードウェアにインストールして、そのハードウェア自体を監視するIPSです。ネットワーク型に対して監視できる範囲は狭いものの、個々のハードウェアを詳細に監視できる点に特長があります。単に不正アクセスを検知するだけでなく、ファイルの改ざん防止なども検知することが可能です。

 

まとめ

IPSとは、ネットワークやホスト上で不正アクセスを検知し、防御する機能を持ったセキュリティソリューションです。不正アクセスを検知するという点ではIDSと共通していますが、管理者に異常を通知するだけでなく、自動でブロックできる点に特長があります。

IPSは、ファイアウォールやWAFとは異常を検知する方法や、防御できる層が異なります。近年のサイバー攻撃はますます巧妙化しているため、ファイアウォールだけでなく、IPSやWAFを併用して多層的に防御する必要があります。複数のセキュリティツールを組み合わせることで、たとえひとつの防御網が突破されたとしても、他の部分で攻撃を検知・ブロックし、被害を抑えることが可能です。

 

コーポレートサイトにもWebセキュリティ対策が必要な3つの理由を徹底解説!

コーポレートサイトにもWebセキュリティ対策が必要な3つの理由を徹底解説!

コーポレートサイトとは、一般的には企業の公式サイトのことですが、「会社案内」「会社概要」「事業内容」などが記載されていることから企業の顔ともいえる存在です。他にも、企業理念や採用情報、プレスリリースなども掲載するケースも多く、さまざまなユースケースに活用されています。

ところで、国立研究開発法人情報通信研究機構(NICT)が発表した観測レポートによると、下図のとおり日本国内で観測された悪意のある第3 者からのサイバー攻撃は年々増加傾向にあります。

2020年には、WebサイトへのDRDoS攻撃(DoSリフレクション攻撃)の観測結果が1,820,722件とのことで、なかにはコーポレートサイトへの攻撃も含まれていました。このような背景にありながら、コーポレートサイトは顧客情報を取り扱っているECサイトと比べ、Webサイトセキュリティ対策が甘い傾向があります。本記事では、コーポレートサイトもWebセキュリティ対策が必要な理由と最適な対策方法について解説しています。

 

コーポレートサイトにWebセキュリティ対策が必要な2つの理由とは? 

冒頭でも説明したとおり、日本国内で観測された悪意のある第3者からのサイバー攻撃は年々増加傾向にあります。そのため、顧客情報や社内情報を守るためのWebセキュリティ対策をしている企業も少なくありません。

悪意のある第3者からのサイバー攻撃には、コーポレートサイトを集中的に狙うケースも珍しくありませんが、コーポレートサイトのWebセキュリティ対策を行っている企業は、実はそれほど多くないのが現状です。例えば、2021年5月にはマッチングアプリ「omiai」などで知られる株式会社ネットマーケティングのコーポレートサイトがサイバー攻撃を受け、顧客の個人情報が流出した事件もありました。

コーポレートサイトへのサイバー攻撃が増えている理由は何でしょうか。

 

理由|経営者側のWebセキュリティに対する認識が甘い

コーポレートサイトへのサイバー攻撃が増加している理由の1つが、経営者側のWebセキュリティに対する認識の甘さです。以前はサイバー攻撃といえば、国家や企業などの組織体の戦略変更やイメージダウン・株価操作などを狙う組織犯罪、産業スパイ活動を目的とした内容が多くを占めていました。そのため、当時経営者は、政府機関や大企業でなければ攻撃のターゲットにはならないという認識を抱えていました。

しかし、現代社会では大企業を狙って多額の詐欺を行ったり、政治的な目的を持ったサイバー攻撃ではなく、中小企業をターゲットにしたサイバー攻撃も増加しています。

そもそも、サイバー攻撃の目的も、下記のように多様化しています。

  • 情報の悪用
  • 顧客信用度やブランドイメージの低下
  • 事業やサービスの中断や停止

そのため、資産や機密情報の規模にかかわらず、どんな企業でも攻撃される可能性があるため、セキュリティ対策を経営戦略として行うことは経営者としての責務となっています。それにもかかわらず、Webセキュリティに対する認識が甘い経営者が多いため、経済産業省とIPA( 情報処理推進機構 )は2015年に「サイバーセキュリティ経営ガイドライン」を策定し、経営者に対してセキュリティ対策を推進するよう求めています。

 

理由②|企業としてのセキュリティ投資への割合が低い

企業のWebセキュリティ対策にかける予算(投資)の割合が低いことも、コーポレートサイトへのサイバー攻撃が増えている理由の1つです。現在、日本でも多くの企業が、DX(デジタルトランスフォーメーション)時代に向けてIT関連に予算を投じています。しかし、海外の企業と比べ、日本の企業はその予算に占めるWebセキュリティ関連の予算の割合は低いです。

NRIセキュアテクノロジーズ(NRIセキュア)が発表した「企業における情報セキュリティ実態調査2019」によると、IT関連予算に占めるWebセキュリティ関連予算の割合が10%以上と回答した企業は、米国企業は80%弱。一方で、日本企業は約30%に留まりました。

Webセキュリティ対策にコストをかける(セキュリティ投資をしている)企業の割合が低いことに加え、中小企業の場合、そのセキュリティ投資が間違った投資手段となっていることも珍しくありません。下記の内容が、間違ったWebセキュリティ投資例といえます。

  • 被害の発生確率と被害額に合った攻撃対策ツール等を導入していない
  • 個人情報の重要度を理解していない
  • 専門家や担当者の意見を聞かず、経営者の判断のみで行っている
  • 社外との情報共有ができていない
  • 最新もしくは高価格な製品・サービスを短絡的に選択して導入している

コーポレートサイトをサイバー攻撃から守るためには、正しい方法でWebセキュリティ投資を行うことが重要です。

 

コーポレートサイトのWebセキュリティ対策を成功させたい!3つのポイントで徹底解説!

日本の中小企業におけるセキュリティ投資が、間違った方向性で行われていることも少なくないことは前述しました。それでは、コーポレートサイトの正しいWebセキュリティ対策方法は、どのようにすればよいのでしょうか?

結論をいえば、コーポレートサイトのWebセキュリティ対策を成功させるポイントは、下記の3つです。

  • 経営側のWebセキュリティに対する理解度を上げる
  • 個人情報の重要度を再認識する
  • セキュリティ対策を導入してもすべてを委託企業任せにしない

 

経営側のWebセキュリティに対する理解度を上げる

コーポレートサイトにおいて、専門家や担当者の意見を聞かず経営者の判断のみで行ったWebセキュリティ対策は間違った対策になりやすいです。経営者の多くが「自社は大丈夫」と思い込んで、攻撃を受けたり情報が漏れて初めてセキュリティ対策の不備を自覚するケースも多いです。

また、自社に合った対策でなく、一般に良く知られているFW(ファイアウォール)やログの監視といった、現在ではそれだけでは不十分な対策のみ実施している企業も多いです。そのため、正しいWebセキュリティ投資を行うためには、まず経営陣に現在に適した対策方法を理解してもらうことが必至です。

 

個人情報の重要度を再認識する

コーポレートサイトがサイバー攻撃を受けたことで、個人情報が盗み出されたり、改ざんされたりする可能性があります。そもそも、コーポレートサイトだから個人情報を扱わないわけではありません。コーポレートサイトで個人情報は扱わず別システムで管理していても、サイバー攻撃によって、お問い合わせ入力フォームを改ざんされる危険性が伴います。また、そこから別システムに侵入して、情報を盗み出すという手口も存在します。

コーポレートサイトで個人情報は扱っていなくても、情報流出の危険性はあるため、個人情報の重要度は十分に理解しておくことが大切です。

 

すべてを委託企業任せにしない

最新もしくは高価格な製品・サービスを選べば、正しいWebセキリティ投資ができるわけではありません。正しいWebセキュリティ投資には、被害の発生確率と被害額に合った攻撃対策ツールを導入しなければいけません。

多くの企業がコーポレートサイトのWebセキュリティ対策のすべてを委託企業任せにするケースも少なくありません。しかし、突発的な事例に対処することが困難なためおすすめしません。コーポレートサイトのWebセキュリティ対策のすべてを委託企業任せにしていた場合、下記のようなリスクがあります。

  • セキュリティ面でのリスク
  • 品質低下のリスク
  • 自社内にノウハウが蓄積されない

Webセキュリティ対策をベンダーに委託するのなら、この3つのリスクは意識しておく必要がありますが、まずはすべてを委託企業任せにしないことをおすすめします。

 

コーポレートサイトにWAFを導入すべき理由を解説!

悪意のある第3者のターゲットとなりやすいコーポレートサイトを、サイバー攻撃から守る方法としておすすめなのが「WAF」です。WAFとは「Web Application Firewall」の略で、簡単に説明すると、Webアプリケーションの前面に配置される下記のような特徴を持つセキュリティ対策のことです。

  • Webアプリケーションの脆弱性を悪用した攻撃を防御できる
  • 複数のWebアプリケーションへの攻撃をまとめて防御できる
  • 脆弱性を悪用した攻撃が検出できる

そもそも、FWやログの監視といったWebセキュリティ対策のみで十分だという認識は間違いです。そして、経営陣のそのような認識を改めることが、正しいWebセキリティ投資を行うために必要だということは前述しました。確かに、それらも必要なWebセキュリティ対策の1つですがが、それだけではコーポレートサイトは守れません。しかしWAFであれば、FWやIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることができない攻撃も防御可能です。

WAFには、下記の3つのタイプが存在し、それぞれで導入および運用方法が異なります。大手企業の場合はアプライアンス型を、中小企業はクラウド型のWAFを採用することが多いですが、自社のシステム環境に合ったWAFを導入することが重要です。

  • クラウド型
  • アプライアンス型
  • ソフトウェア型

そのため、サイバー攻撃による被害の発生確率と被害額に合った対策が行えることも、コーポレートサイトを守る方法としてWAFをおすすめする理由です。

ペンタセキュリティでは、オンプレミス環境に合わせたアプライアンス型WAF「WAPPLES」、AWS、Azure等パブリッククラウドやプライベート環境に最適化されたソフトウェア型WAFの「WAPPLES SA」、DNS情報変更のみで簡単導入できるクラウド型WAFサービス「Cloudbric WAF+」など、企業環境に合わせて様々なタイプのWAFを提供しております。

Cloudbric WAF+の場合、基本的なWAF機能に加え、無償SSL機能、DDoS対策、悪性ボット遮断、脅威IP遮断など5つのWebセキュリティサービスを1つの統合したプラットフォームにて提供するクラウド型セキュリティサービスとして注目されています。

 

まとめ

今回は、コーポレートサイトにもWebセキュリティ対策が必要な理由について解説してきました。悪意のある第3者がターゲットとするのは、ECサイトのような顧客情報を扱うサイトだけではありません。また、データサーバーを直接狙わず、コーポレートサイトから情報漏洩を誘発させる手口も存在します。

そのため、企業経営者は、正しいWebセキリティ対策とはどういったことなのかを正しく認識しておくことが重要です。また、Webセキュリティ投資への割合が低いのであれば、それを見直し、正しい方法でWebセキュリティ投資を行ってください。

 

Webアプリケーションセキュリティ

2021年 企業が注目すべきWebアプリケーション・セキュリティ・トレンド  その2

ベライゾン(Verizon)の2020 DBIR Reportによると、昨今のデータ侵害の約5割がWebアプリケーションの脆弱性を狙った攻撃によって発生すると報告されています。Webアプリケーションに対する攻撃は益々増加し、関連規制も強化しつつあります。このような状況で企業が顧客の信頼を失わずにビジネスの持続性を保っていくためには、Webアプリケーション・セキュリティに対する最新情報を踏まえ、セキュリティ対策を強固にする必要があります。前回にご紹介した5つのセキュリティ・トレンドに続いて、今回も企業の信頼性とビジネス継続性を守れる最新のWebアプリケーション・セキュリティ・トレンドをまとめてお伝えします。

 

1. 個人情報保護強化

データ侵害による個人情報漏えいや個人情報不正利用など個人情報と関わるセキュリティ事故と被害が急増し、個人情報保護の重要性は年々高まっている現状です。

東京京商工リサーチによると2020年日本国内における個人情報漏えい被害の件数はおよそ2515万件に達するといいます。
また、外部からのサイバー攻撃による個人情報漏えいや不正利用等の他にも、企業が顧客の情報を無断収集・配布する行為によって顧客の個人情報が侵害された場合もあります。例を挙げると、2019年就職情報サイト「リクナビ」が、学生への説明が不十分なまま「内定辞退率」を企業に有償提供していた事件が代表的です。

被害拡大と共に個人情報保護法の改正により企業の個人情報収集・使用などに関する規制も強化され、2020年6月改正個人情報保護法は個人データを利用する企業の責任を重くした内容となっています。

顧客の個人情報侵害による信頼性の低下は長期的な観点からみると企業のビジネスに悪影響を与える可能性が高いです。したがって企業は顧客の信頼を失わないために個人情報と関わる規制に厳重に準拠するなど、個人情報保護に関するあらゆるイシューをWebアプリケーション・セキュリティに反映する必要があります。

 

2. ビルトインセキュリティbuilt-in security

ソフトウェア、サービスなどITシステムの企画·開発·運営のライフサイクルの全段階でセキュリティをビルトインすることの重要性が高まっています。

ビルトインセキュリティのメリットは、セキュリティを内蔵することを前提にソフトウェアやサービスを設計・開発する過程で、開発者が脆弱性を早期に識別し、対策を立てることが可能であることです。何よりもセキュリティ事故を未然に防ぐ事前対策を備えられることから、Webアプリケーション・セキュリティのトレンドとして注目されています。

 

3. アプリケーション・モニタリング Application Monitoring

アプリケーション・モニタリングは多様化しながら急増するサイバー攻撃を早期に発見し、被害拡大を抑えるために必需的に実装すべきのセキュリティ・ソリューションとして注目されています。

広くなるIT環境の中、いつどこから攻撃してくるか把握しきれないサイバー攻撃を人が直接毎分毎秒監視することはかなり時間と手数がかかる作業になります。そのためWebアプリケーションをリアルタイムでモニタリングする機能を企業システム内に搭載し、24時間サイバー攻撃を警戒・監視することが重要なセキュリティ・トレンドになっています。

  • アプリケーション・モニタリングによるメリット
  • 様々なソースからデータを収集
  • Webアプリケーションから脅威を検知・対応
  • 検知及び対応機能の拡張は脅威検知機能の正確さを向上
  • エンドユーザに影響する前にエラーを把握・処理

上記のようなメリットによってアプリケーションのセキュリティ性能と効率性が高まり、顧客の満足度まで確保できます。

 

4. Web攻撃の変化

Webアプリケーション・セキュリティの全般的な向上によってサイバー攻撃者も更なる進化を重ねて、Webアプリケーションを攻撃するための新しい手口を模索しています。そのため安全なWebアプリケーション・セキュリティ実現をためには、Web攻撃動向の変化を注意深く分析し、最も危険度高い攻撃を把握することを通じて、根本的な解決に繋げる対策に取り組むことが重要です。

ペンタセキュリティがリリースしたWebアプリケーション脅威分析レポート「WATTレポート」によると、2020年上半期Web攻撃Top5は次のようになっております。

  1. Extension Filtering(32.71%)
  2. Request Header Filtering(16.73%)
  3. SQL Injection(15.21%)
  4. Error Handling(7.46%)
  5. URL Access Control(5.71%)

Request Header Filteringの場合、2018年6.27%だった発生率は2020年上半期に16.73%まで上がり、その頻度が極めて増加したことが分かりました。また、Extension FilteringやSQL Injectionの場合、毎年のように発生していますが、URL Access Controlは2020年に新しくTop5に登場したWeb攻撃であります。このようなWeb攻撃動向の変化が2021年にも起こらないとは断言できませんので、一般的に知られているWeb攻撃への対策はもちろん、知られていない新しいWeb攻撃の登場を常に警戒する必要があります。

 

5. 2要素認証 Two-Factor Authentication

2要素認証とは、1つの要素だけで認証していた過程にもう1つの要素を加えてセキュリティの強化を図る手法のことです。例えば、一般的なIDとパスワードのような認証は「ID+パスワード」という1つだけの要素で認証を行います。それに対し2要素認証は、ユーザが知っているもの(パスワード、暗証番号、秘密の質問への回答など)、ユーザが持っているもの(トークン、携帯電話、USBなど)、ユーザの身体的な要素(顔または音声認識、指紋など)、この3つの認証要素のうち2つを組み合わせた認証プロセスです。

2要素認証は他人の個人情報と権限を奪取して企業のシステムに潜入したり、不正利用したりするサイバー攻撃が増えていることから企業のビジネスを守るセキュリティ・トレンドとして注目されています。

実際、2020年「ドコモ口座不正」事件の根本的な原因は本人確認の甘さでありました。ドコモ口座の開設に厳格な本人確認はなく、ドコモメールアドレスを用意するだけで登録が済んでしまいます。この単純な本人確認の過程によって、犯人は何らかの方法で預金者の名義や口座番号などを盗み出し、名義人に成り済ましてドコモ口座を開くことが可能であったため、不正引き出しの被害が発生したと分析できます。

このような被害に遭わないために2要素認証を導入して本人かどうかを徹底的に確認する厳重な本人確認が企業のWebアプリケーションに必需的なものとなっています。

 

さいごに

信頼できない企業にビジネス継続性があるとは言えません。なら、信頼できる企業になるっためには何が必要でしょうか?信頼を守る最も基本的な方法は、サイバー脅威からビジネスに関する情報はもちろん、顧客の情報まできちんと保護することです。
特にWebアプリケーションはコロナ禍につれ非対面生活が持続している今、更に注目すべきのセキュリティ領域であります。Webアプリケーションを基づいて行われる非対面活動が増加しており、サイバー攻撃者は急速に利用度が高まって成長しつつあるWebアプリケーションでユーザは見え切れなかったセキュリティの四角を見抜くためにその目を光らせているからです。

したがって、変化の流れを止めないIT環境でWebアプリケーションセキュリティを発展させるために、企業は昨今のIT環境で狙われやすい脆弱性、セキュリティ脅威の動向、最新セキュリティソリューションなどを把握し、これらをセキュリティ対策を立てる意思決定に反映する必要があります。

Webアプリケーションセキュリティ

2021年 企業が注目すべきWebアプリケーション・セキュリティ・トレンド  その1

サイバー攻撃者の主な標的になっているWebアプリケーションエリアは企業の核心情報に近接しています。そのため徹底したセキュルティ対策を立てることが何よりも重要です。急激に変化しつつある昨今のIT環境において、「果たしてどのようなセキュリティ対策をとるべきなのか」という問題を解くことはそう簡単ではありません。しかし企業はキュリティトレンドへ常に注目し、あらゆるサイバー攻撃に対抗できる対策について考え続ける必要があります。

そこで今回は、2021年企業が注目すべきWebアプリケーションセキュリティトレンドを2回にわたって説明したいと思います。

 

1. マシンラーニング・AI

医療・金融・製造等、様々な産業で使われているマシンラーニングとAI技術がもはやセキュリティ分野にも積極的に活用されており、この傾向は2021年以降にも堅調な推移が見込まれます。現在、セキュリティ分野ではAIが人の代わりに悪性コードの判明・分析を行い、誤検知率を低減させ、管理者の管理負担を軽減させる役割を果たしています。

2021年には以下の目標を目指して取り組みを続けていくと思われます。今後もAI・マシンラーニングによるセキュリティパフォーマンスは益々向上すると推測できるでしょう。

  • セキュリティ脅威検知技術の柔軟性向上
  • Webアプリケーションでの作業をモニタリングし、不正プログラムを検知
  • データの処理及び分析機能の向上
  • Webアプリケーションに発生できる脅威を予測

一方、これらの技術はセキュリティ分野だけでなく、サイバー攻撃を行う側にも利用されています。企業はIT技術の進歩がサイバー攻撃者に逆手に取られる可能性にも常に警戒し、対応策を講じておく必要があります。

 

2. クラウドコンピューティング・サーバレース環境

クラウドへ移行する企業と組織が多くなっている現在、急速に進むクラウドシフトと共にサーバレース環境も成長し続けています。
サーバレース環境とは、サーバの構築やメンテナンスの必要なく、アプリケーション機能を開発、実行、管理できるクラウドコンピューティングモデルの1つです。体表的にはFaaS (Function as a Service) があります。

サーバレース環境の導入におけるメリット

  • サーバー管理はサーバレスプロバイダーがすべてやってくれる
  • サーバー導入や管理などが一切不要になるため、開発の際プログラムを書く作業に集中できる
  • 使用時間と容量に合わせて費用が発生するため、費用対効果が高い

しかし、サーバレス環境ではさまざまなイベントソース(HTTP API、クラウドストレージ、IoTのデバイス間通信など)によって攻撃範囲が拡張されます。また、サーバレスは新規プラットフォームであるため、現在サーバレースを標的とした攻撃パターン等の情報は少ない状況です。企業はWebアプリケーションが見知らぬ脅威に遭わないために新しい技術導入にも注意を深める必要があります。

 

3. API統合

API(Application Programming Interface、アプリケーション・プログラミング・インターフェイス)は、異なるアプリケーション間の相互作用を可能にするために標準化されたツール、定義、プロトコルを意味します。このAPIを統合するということは、「2つ以上のアプリケーションがAPIを通じて互いにデータを交換できるようにする結び付き」だといえます。 このAPI統合によるメリットを簡単にご紹介すると以下の通りです。

  • ビジネスサービスの速度や生産性が向上
  • ユーザとパートナーにAPIを提供することによって、関連データが円滑に共有され顧客の満足度を向上

それぞれのアプリケーションがすべてつながるIT環境において、API統合の重要性は更に高まるはずです。しかし、API統合によって共用・個人ネットワークまたはクラウドネットワーク上でAPIが露出される可能性も高くなっており、これがサイバー攻撃者にとっては新たな機会になるかもしれません。 安全が保証できないAPIエンドポイントが深刻なデータ侵害のきっかけになりうることに注意を深める必要があります。

 

4. 企業のデータサイエンス

データサイエンスとはデータの中で有意義な情報と知識を探索・解析し、データの新たな価値を発見する学問分野のことです。データに基づいた合理的な意思決定を助けるデータサイエンスは、企業の経営活動に欠かせない学問分野となっています。セキュリティ分野においても、数えきれないIT環境の情報を収集·分析してこそ、より安全で徹底したセキュリティ対策を立てられるため、データサイエンスの重要度は高くなっております。

なお、データサイエンスがWebアプリケーションのセキュリティに提供するメリットは次の通りです。

  • セキュリティ脅威検知機能向上
  • 膨大なデータを分析し、攻撃者の行動を分析
  • データ保護(データサイエンスがマシンラーニングと結合する場合)

データサイエンスを踏まえた意思決定により、企業はサイバー攻撃を予測し、重要情報を守るセキュリティを実現できます。

 

5. 浸透テスト

企業は浸透テストを通じて「攻撃者の手口」や「攻撃者に狙われやすいセキュリティ脆弱性」を調べられます。浸透テストとは、ホワイトハッカーを通じて、実際の攻撃行為のシミュレーションを行うことです。浸透テストは情報セキュリティレベルを能動的に評価できる次のような情報を提供するため、Webアプリケーションのセキュリティのトレンドとなっています。

浸透テストが提供する情報

  • アプリケーションの脆弱性
  • アクセスされた重要データ
  • テスターがシステム内で検知されなかった時間

「敵を知り、己を知れば百戦危うからず」という諺のように、ハッカーが侵入した状況を意図的につくって、そこから攻撃者の手口や保護対象のセキュルティ脆弱性、敏感なデータなどを識別したら、実際の攻撃にも対応できるセキュアな環境を構成することができるでしょう。

 

さいごに

企業は、サイバー攻撃者の手口を用いる浸透テストや有意義な情報を収集・分析するデータサイエンスに基づいて先制的防御システムを構築できます。しかし、クラウド、サーバレス環境やAPI などのビズネス活動の利便性を増進させる技術が、サイバー攻撃に利用される場合もあることに警戒する必要があります。また、セキュリティ強化に使われるAI•マシンラーニングなどのIT技術が、サイバー攻撃者にとっても攻撃を高度化させる材料として使われる可能性も考えておくべきです。

次回のWebアプリケーションのセキュリティトレンドでも、注目すべきのセキュリティトレンドをご紹介いたしますので、一読をお願いいたします。

cloudbric blog post

【2021年】クラウドブリック Webセミナー開催のご案内

2021年クラウドブリック(Cloudbric)定期Webセミナーを開催いたします。

本セミナーは、新規機能の使い方、仕様変更時のご案内、セキュリティトレンド情報、導入事例のご紹介などCloudbricをご利用頂く中で有効な情報をお届けいたします。

■場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)

■参加料:無料

■お申込み:こちらをクリックしてください。

■日時・セミナー概要

日時 テーマ 内容 対象
1月 Cloudbricセキュリティ・プラットフォームのご紹介 セキュリティ・プラットフォーム・サービスに進化したCloudbricについて、新規機能や注目ポイントなどをご紹介致します。 パートナー様
/エンドユーザー様
2月 サービスポリシーのご案内【トラフィック超過時の対応プロセス】 サービスご利用中、トラフィックがご契約プランのピーク時のトラフィックを超過した場合の対応についてご案内致します。 パートナー様
3月 Cloudbricが選ばれている理由とは 日本国内の競合他社について、機能・サービス・価格面での比較をし、営業時のポイントをご説明致します。 パートナー様
4月 Cloudbric活用法【パートナー専用管理サイト】Advanced サービス利用開始後のアカウント作成からセキュリティサービス運用開始までのプロセスにおいて、パートナー様の対応について詳しくご案内致します。 パートナー様
5月 サービスポリシーのご案内【価格ポリシー】 Cloudbricの価格ポリシーについて、追加費用を中心にご案内いたします。 パートナー様
6月 導入実績・導入事例のご紹介【2021年上半期】 Cloudbricの2021年上半期の導入実績および導入事例についてご紹介いたします。 パートナー様
/エンドユーザー様
7月 新規機能追加のご案内 新規機能について、概要・利用効果・設定方法などをご案内致します。 パートナー様
/エンドユーザー様
8月 よくあるご質問【営業面】 営業時に、Cloudbricの導入を検討されるお客様からよくご質問を頂いている内容についてご紹介致します。 パートナー様
9月 新規機能追加のご案内 新規機能について、概要・利用効果・設定方法などをご案内致します。 パートナー様
/エンドユーザー様
10月 よくあるご質問【サービス運用面】 サービスご利用中に、エンドユーザ様およびパートナー様からよくご質問を頂いている内容についてご紹介致します。 パートナー様
11月 新規機能追加のご案内 新規機能について、概要・利用効果・設定方法などをご案内致します。 パートナー様
/エンドユーザー様
12月 今年のCloudbric 2021年の新規機能、仕様変更など、今年のCloudbricにあった変化についてご案内致します。 パートナー様
/エンドユーザー様
thumbnail

WAF、シグネチャー方式とロジックベースの違いとは?

会員制サイトの登録機能からオンライン決済機能まで、もはやWebアプリケーションが使用されていないWebサイトを探す方が難しくなった時代です。様々の情報が蓄積されるゆえ、さらに厳重なセキュリティ対策が必要となっています。Webアプリケーションファイアーウォール(WAF)はその代表例として有名であり、実際、様々なWAF製品やサービスが市場に出回っています。しかし、専門知識が必要で導入に時間やコストなどがかかるなど、セキュリティ対策を選定する、という事は決して容易ではありません。市場に多数の製品が並んでいれば、その難易度はなおさら上がります。そこで本日は、WAFの導入を検討するシステム担当者の役に立つようにWAFを選ぶ際のチェックポイントを紹介したいと思います。WAFは大きく「シグネチャー方式」と「ロジックベース方式」に分けられますが、特にそれについて詳しく説明したいと思います。

 

名簿を見て判断する、シグネチャー方式のWAF

現在販売されている大半のWAFは「シグネチャー」に従い攻撃を検知・遮断します。簡単に説明すると、「名簿を見て判断する」形だと言えます。各シグネチャーには既に知れた攻撃の構成要素である「パターン」が含まれています。WAFは全てのリクエストとサーバの応答をシグネチャーと比較し、一致するかを確認します。そして一致するパターンが確認された場合、予め設定されたセキュリティポリシーに従って警告を行ったり、トラフィックを完全に遮断するなどの措置を取ります。

シグネチャー方式のメリット

シグネチャー方式の場合、ベンダーが新たに発見された攻撃に対して迅速にアップデートを行えるというメリットを持ちます。一般的に、一つのシグネチャーは一つの攻撃に含まれる特定のパターンを定義します。そのため運営メカニズムが比較的簡単であり、ユーザが「特定の位置で特定の攻撃だけを遮断」しようとする場合に効果的です。また、特定の攻撃パターンのみを定義するため、誤検知率が比較的低いという特徴を持ちます。

 

シグネチャー方式のデメリット

新たな攻撃が発見される度にシグネチャーを追加しなければいけない、というのがシグネチャー方式の一番のデメリットです。つまり、頻繁なアップデートが必要になるという事です。最近には一刻ごとに新たな攻撃が発見されており、多数のシグネチャーが必要となります。しかし、全ての攻撃を記録し、WAFに適用するのは事実上不可能です。莫大なサーバのリソースを占領するとともに、Webアプリケーションの性能を大きく落とす結果につながるからです。また、シグネチャーが作成されていない「ゼロデイ攻撃」など、未知の攻撃に対応できないというデメリットにも注目する必要があります。

他にも、不要なシグネチャーの数が増えるにつれ、正常なトラフィックを遮断する恐れが増えるというデメリットも存在します。これは誤検知率の上昇に繋がります。そのため、必要なシグネチャーのみを維持する必要があるでしょう。しかし、各シグネチャーの必要性を全て判断し適用できるのか、という部分が疑問として残ります。このような問題を解決するため、一部のベンダーは初期に数週間の機械学習過程を進め、アプリケーション環境を研究したりもします。しかし残念ながら、いつも最適な結果が導き出されるわけではなく、コストの上昇という悪影響を及ぼしたりもします。

 

ルールをベースに、知能的に検知するロジックベースのWAF

ロジックベースのWAFは「事前に定めたルール、つまりロジックをベースに攻撃を検知する方法」です。シグネチャー方式に比べさらにテクノロジーに依存し、人手はほとんど必要としません。一般的にシグネチャーは攻撃のソースコードで構成されますが、ルール基盤検知を活用するWAFは攻撃パターンを記録せず稼働されます。その代わり、様々な攻撃パターンからルールを導き出すのです。ロジックベースの検知エンジンを通じソースコードのパターンを分析し、主に含まれているコードを探し出します。そのため、たった一つのルールだけでも数百のシグネチャーが含む多数の攻撃を定義することが出来るのです。つまり、ルールは「パターンのパターン」だと言えます。

ロジックベースWAFのメリット

Webアプリケーションの環境によりますが、シグネチャー方式は2,000から8,000個以上までのシグネチャーを必要とします。しかしロジックベースWAFの場合、同じ量の攻撃を検知するのにわずか数十個のルールのみを要します。そのため、より速い処理速度と高い性能を保証できる点が最大のメリットとなります。

ペンタセキュリティの研究チームが行った一連のテストによると、27個のルールを使用したロジックベースのWAFは攻撃の95%を遮断するのに成功しました。これは8,000個のシグネチャーを適用したものと同様の結果です。また、何も設置されていない場合と比べ、ロジックベースWAFの場合は処理速度が20%ダウンした半面、シグネチャー方式の場合は50%ダウンしたといいます。

ロジックベースのWAFが持つもう一つの特徴は、シグネチャー方式のWAFに比べ維持・管理に要するリソースが極めて低いという点です。最初にルールが一通り設定されたら、以後追加アップデートをほぼ要しません。ベンダーは極めて必要とされる場合だけ既存のルールをアップデートし、新たなルールを追加します。またシグネチャーではなくルールで攻撃を検知するため、ゼロデイ攻撃などの未知の攻撃からも対応できます。

 

ロジックベースWAFのデメリット

一部の人たちは、介入する余地があるということでシグネチャー方式のWAFを好む場合があります。また、ロジックベースのWAFは人工知能に対する依存度が比較的高いという特徴を持ちますが、そのためコントロールするのが難しいという意見もあります。その他にも、膨大なシグネチャーリストを確認するのに慣れすぎて、「少ないルールだけでもしっかりとセキュリティ対策を取れるのか」と疑う意見もあります。まとめると、人工知能に対する不安や不信のみがロジックベースWAFのデメリットです。

 

まとめ

各企業の状況は違えど、セキュリティ対策を求められているという部分は変わりません。ハッカーの手口が進化を続けている中、セキュリティ対策もまた迅速に進化する必要があるでしょう。しかし、企業がリソースを注ぐべき分野はますます増えており、状況にあったものを選ぶ必要があります。その中で、いったん設置すればリソースをほぼ要しないロジックベースWAFもまた、有効な選択肢となるでしょう。Clourbricはロジックベース検知エンジンを搭載しながらも、手軽に運用できるクラウド型WAFです。高レベルのセキュリティ技術と合理的な価格、そして利便性までを満たします。ぜひ無償トライアルでCloudbricをご体験ください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

DDoS Thumbnail

狙われているからこそ知るべき、DDoS攻撃の4つの種類

もはや全てのWebサイトがハッカーに狙われているといっても過言ではない時代です。特にDDoS攻撃は、政府機関や自治体からエンタープライズのWebサイトに至るまで、対象や規模に関係なく被害を起こしています。しかし、被害をただ受けているわけにはいきません。「敵を知り己を知れば百戦危うからず」という言葉の通り、敵を正しく理解することこそが被害を防ぐ近道なのです。そこで今回は、DDoS攻撃を4つの種類に分類し詳しく紹介したいと思います。

 

手口によって分類される、DDoS攻撃の4つの種類

DDoS(Distributed Denial of Service)攻撃とは普通「数十台から数百万代のPCをリモート操作し、特定のWebサイトに同時に接続させ、短時間で過負荷を起こす攻撃」を意味します。最近シャープがマスク販売を始めた際、Webサイトがダウンした(引用: PHILE WEB)事件をご存知でしょうか。このように多数の人が一つのサイトにアクセスする場合、サーバの能力ではすべてのリクエストを処理できずWebサイトの動作が止まる、というケースが頻繁に起きています。そして、そのような現象を人為的に作り出すのがDDoS攻撃です。

しかし、すべてのDDoS攻撃が同じような形で行われるわけではありません。その手口によって「ボリューム攻撃」、「プロトコルを狙った攻撃」、「アプリケーション層攻撃」、そして「混合型攻撃」に分けられます。

ボリューム攻撃

ボリューム攻撃はDDoS攻撃の中でも最も一般的な形です。正常なトラフィックさえもWebサイトに接続できないようにすることが目的です。ハッカーはインターネットに繋がった多数のPCを利用します。そして、目標とするサイトで定められている量以上のトラフィックを送信し、サーバが使うことのできる帯域幅を封鎖します。

代表的な例としては、「UDP Floods」を挙げることができます。UDP(User Datagram Protocol)とは、セッションを持たない、つまり応答を待たないネットワークプロトコルです。IP(Internet Protocol)製品群には必ず存在するのでハッカーに利用されやすい、という特徴を持ちます。ハッカーはUDP Floodsを実行するため、まず対象となるホストのポットを奪取し、さらに多くのUDPが受信されるようにします。その結果、リクエストをシステムが処理できないほど受信されるトラフィックが増え、サーバがダウンします。

プロトコルを狙った攻撃

プロトコルを狙った攻撃(以下プロトコル攻撃)はボリューム攻撃と違い、帯域幅ではなくサーバのリソースを消耗させる形をとります。またその攻撃目標も、ファイアウォールやロードバランサなど、サーバとWebサイトを繋ぐ「中間通信装備」をターゲットとします。ハッカーは対象となるサーバのリソースを使用するため、まず不正なプロトコル要請を作成し、Webサイトとサーバのリソースを掌握します。
代表的な例としては、「Smurf DDoS」を挙げることができます。ハッカーは目標となるサーバから奪取したIPを含む、ICMP(Internet Control Message Protocol)パケットを悪用します。特にその中でも、メッセージおよびデータパケットをネットワークシステムに転送する際に使用される「IPブロードキャストアドレス」が主に利用されます。基本的にネットワークに存在するほとんどの装置が応答するように設定されている、という特徴を持ちます。ハッカーはまず、目標とする装備のネットワークにターゲットとなるデバイスのIPブロードキャストアドレスを転送します。よってネットワークに存在するデバイスの数が十分に多い場合、被害者のデバイスにトラフィックが集中し、サーバがダウンします。

アプリケーション層攻撃

アプリケーション層攻撃は、その名の通りアプリケーションの脆弱性を攻撃する形です。Apache、WindowsやOpen BSD等のアプリケーションが主なターゲットとされます。一般的にボリューム攻撃およびプロトコル攻撃よりも少ないリソースを要します。また、特定のアプリケーションを対象にするため、把握しにくい場合があります。主にオンラインコマースなど、特定のWebサイト機能をターゲットに行われるケースが多数発見されています。ハッカーはユーザのトラフィック行動を模倣し、一見正常に見える多数のリクエストを送信してサーバを麻痺させます。

代表的な例としては、「Slowloris」を挙げることができます。一つのWebサーバを通じ、他のサーバも麻痺させる手口です。ハッカーが利用するのは「HTTPヘッダ」です。HTTPヘッダはクライアントとサーバが情報を交換できるよう許可する役割を随行します。ハッカーはまず、ターゲットとなるサーバに接続し部分的なリクエストのみを転送して、多数のサーバへの接続をできるだけ長く保留させます。その後、多数のHTTPヘッダに対する部分的なリクエストのみを持続的に転送します。サーバが処理できるリクエストの最大値を超えるにつれ、リクエストを処理できないようになり、サーバがダウンします。

混合型攻撃

多数のDDoS攻撃はボリューム攻撃、プロトコル攻撃、そしてアプリケーション層攻撃という3つの分類に収まります。しかし、DDoS攻撃は毎分毎秒精密に、そしてさらに巧妙に進化しているので、全ての攻撃をその中に含めるのは不可能です。実際、混合型攻撃は最近最も多く発見されている手口です。その言葉通り、二つ以上の攻撃を重ねた形で行われます。

代表的な例としては、プロトコル攻撃を仕掛けて注意を散らし、アプリケーション層攻撃を追加的に行うケースを挙げることができます。アプリケーションの脆弱性を探し出す過程には時間がかかるため、まずターゲットを混乱させた後時間を稼ぐのです。その他にも多数の混合型攻撃が発見されており、その頻度や被害規模が増加している状況です。

 

最後に

DDoS攻撃は、この先にも絶えず発生するでしょう。その被害から逃れるには、「うちのWebサイトは安全だろう」と言った甘い考え方から脱却する必要があります。徹底した備えこそがWebサイトと企業の情報を守る第一歩です。DDoS対策として企業側で最も簡単に取れる対策としては、Webアプリケーションファイアウォール(WAF)の導入が薦められます。

ペンタセキュリティはWebアプリケーションレベルでのDDoS攻撃へ対応できるクラウド型WAF、「クラウドブリック」を提供しています。高セキュリティを保ちながらも、中小企業でも手軽に導入できます。DDoS攻撃を防御するための合理的な対策を、下のリンクを通じご確認ください。