コーポレートサイトにもWebセキュリティ対策が必要な3つの理由を徹底解説!

コーポレートサイトにもWebセキュリティ対策が必要な3つの理由を徹底解説!

コーポレートサイトとは、一般的には企業の公式サイトのことですが、「会社案内」「会社概要」「事業内容」などが記載されていることから企業の顔ともいえる存在です。他にも、企業理念や採用情報、プレスリリースなども掲載するケースも多く、さまざまなユースケースに活用されています。

ところで、国立研究開発法人情報通信研究機構(NICT)が発表した観測レポートによると、下図のとおり日本国内で観測された悪意のある第3 者からのサイバー攻撃は年々増加傾向にあります。

2020年には、WebサイトへのDRDoS攻撃(DoSリフレクション攻撃)の観測結果が1,820,722件とのことで、なかにはコーポレートサイトへの攻撃も含まれていました。このような背景にありながら、コーポレートサイトは顧客情報を取り扱っているECサイトと比べ、Webサイトセキュリティ対策が甘い傾向があります。本記事では、コーポレートサイトもWebセキュリティ対策が必要な理由と最適な対策方法について解説しています。

 

コーポレートサイトにWebセキュリティ対策が必要な2つの理由とは? 

冒頭でも説明したとおり、日本国内で観測された悪意のある第3者からのサイバー攻撃は年々増加傾向にあります。そのため、顧客情報や社内情報を守るためのWebセキュリティ対策をしている企業も少なくありません。

悪意のある第3者からのサイバー攻撃には、コーポレートサイトを集中的に狙うケースも珍しくありませんが、コーポレートサイトのWebセキュリティ対策を行っている企業は、実はそれほど多くないのが現状です。例えば、2021年5月にはマッチングアプリ「omiai」などで知られる株式会社ネットマーケティングのコーポレートサイトがサイバー攻撃を受け、顧客の個人情報が流出した事件もありました。

コーポレートサイトへのサイバー攻撃が増えている理由は何でしょうか。

 

理由|経営者側のWebセキュリティに対する認識が甘い

コーポレートサイトへのサイバー攻撃が増加している理由の1つが、経営者側のWebセキュリティに対する認識の甘さです。以前はサイバー攻撃といえば、国家や企業などの組織体の戦略変更やイメージダウン・株価操作などを狙う組織犯罪、産業スパイ活動を目的とした内容が多くを占めていました。そのため、当時経営者は、政府機関や大企業でなければ攻撃のターゲットにはならないという認識を抱えていました。

しかし、現代社会では大企業を狙って多額の詐欺を行ったり、政治的な目的を持ったサイバー攻撃ではなく、中小企業をターゲットにしたサイバー攻撃も増加しています。

そもそも、サイバー攻撃の目的も、下記のように多様化しています。

  • 情報の悪用
  • 顧客信用度やブランドイメージの低下
  • 事業やサービスの中断や停止

そのため、資産や機密情報の規模にかかわらず、どんな企業でも攻撃される可能性があるため、セキュリティ対策を経営戦略として行うことは経営者としての責務となっています。それにもかかわらず、Webセキュリティに対する認識が甘い経営者が多いため、経済産業省とIPA( 情報処理推進機構 )は2015年に「サイバーセキュリティ経営ガイドライン」を策定し、経営者に対してセキュリティ対策を推進するよう求めています。

 

理由②|企業としてのセキュリティ投資への割合が低い

企業のWebセキュリティ対策にかける予算(投資)の割合が低いことも、コーポレートサイトへのサイバー攻撃が増えている理由の1つです。現在、日本でも多くの企業が、DX(デジタルトランスフォーメーション)時代に向けてIT関連に予算を投じています。しかし、海外の企業と比べ、日本の企業はその予算に占めるWebセキュリティ関連の予算の割合は低いです。

NRIセキュアテクノロジーズ(NRIセキュア)が発表した「企業における情報セキュリティ実態調査2019」によると、IT関連予算に占めるWebセキュリティ関連予算の割合が10%以上と回答した企業は、米国企業は80%弱。一方で、日本企業は約30%に留まりました。

Webセキュリティ対策にコストをかける(セキュリティ投資をしている)企業の割合が低いことに加え、中小企業の場合、そのセキュリティ投資が間違った投資手段となっていることも珍しくありません。下記の内容が、間違ったWebセキュリティ投資例といえます。

  • 被害の発生確率と被害額に合った攻撃対策ツール等を導入していない
  • 個人情報の重要度を理解していない
  • 専門家や担当者の意見を聞かず、経営者の判断のみで行っている
  • 社外との情報共有ができていない
  • 最新もしくは高価格な製品・サービスを短絡的に選択して導入している

コーポレートサイトをサイバー攻撃から守るためには、正しい方法でWebセキュリティ投資を行うことが重要です。

 

コーポレートサイトのWebセキュリティ対策を成功させたい!3つのポイントで徹底解説!

日本の中小企業におけるセキュリティ投資が、間違った方向性で行われていることも少なくないことは前述しました。それでは、コーポレートサイトの正しいWebセキュリティ対策方法は、どのようにすればよいのでしょうか?

結論をいえば、コーポレートサイトのWebセキュリティ対策を成功させるポイントは、下記の3つです。

  • 経営側のWebセキュリティに対する理解度を上げる
  • 個人情報の重要度を再認識する
  • セキュリティ対策を導入してもすべてを委託企業任せにしない

 

経営側のWebセキュリティに対する理解度を上げる

コーポレートサイトにおいて、専門家や担当者の意見を聞かず経営者の判断のみで行ったWebセキュリティ対策は間違った対策になりやすいです。経営者の多くが「自社は大丈夫」と思い込んで、攻撃を受けたり情報が漏れて初めてセキュリティ対策の不備を自覚するケースも多いです。

また、自社に合った対策でなく、一般に良く知られているFW(ファイアウォール)やログの監視といった、現在ではそれだけでは不十分な対策のみ実施している企業も多いです。そのため、正しいWebセキュリティ投資を行うためには、まず経営陣に現在に適した対策方法を理解してもらうことが必至です。

 

個人情報の重要度を再認識する

コーポレートサイトがサイバー攻撃を受けたことで、個人情報が盗み出されたり、改ざんされたりする可能性があります。そもそも、コーポレートサイトだから個人情報を扱わないわけではありません。コーポレートサイトで個人情報は扱わず別システムで管理していても、サイバー攻撃によって、お問い合わせ入力フォームを改ざんされる危険性が伴います。また、そこから別システムに侵入して、情報を盗み出すという手口も存在します。

コーポレートサイトで個人情報は扱っていなくても、情報流出の危険性はあるため、個人情報の重要度は十分に理解しておくことが大切です。

 

すべてを委託企業任せにしない

最新もしくは高価格な製品・サービスを選べば、正しいWebセキリティ投資ができるわけではありません。正しいWebセキュリティ投資には、被害の発生確率と被害額に合った攻撃対策ツールを導入しなければいけません。

多くの企業がコーポレートサイトのWebセキュリティ対策のすべてを委託企業任せにするケースも少なくありません。しかし、突発的な事例に対処することが困難なためおすすめしません。コーポレートサイトのWebセキュリティ対策のすべてを委託企業任せにしていた場合、下記のようなリスクがあります。

  • セキュリティ面でのリスク
  • 品質低下のリスク
  • 自社内にノウハウが蓄積されない

Webセキュリティ対策をベンダーに委託するのなら、この3つのリスクは意識しておく必要がありますが、まずはすべてを委託企業任せにしないことをおすすめします。

 

コーポレートサイトにWAFを導入すべき理由を解説!

悪意のある第3者のターゲットとなりやすいコーポレートサイトを、サイバー攻撃から守る方法としておすすめなのが「WAF」です。WAFとは「Web Application Firewall」の略で、簡単に説明すると、Webアプリケーションの前面に配置される下記のような特徴を持つセキュリティ対策のことです。

  • Webアプリケーションの脆弱性を悪用した攻撃を防御できる
  • 複数のWebアプリケーションへの攻撃をまとめて防御できる
  • 脆弱性を悪用した攻撃が検出できる

そもそも、FWやログの監視といったWebセキュリティ対策のみで十分だという認識は間違いです。そして、経営陣のそのような認識を改めることが、正しいWebセキリティ投資を行うために必要だということは前述しました。確かに、それらも必要なWebセキュリティ対策の1つですがが、それだけではコーポレートサイトは守れません。しかしWAFであれば、FWやIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることができない攻撃も防御可能です。

WAFには、下記の3つのタイプが存在し、それぞれで導入および運用方法が異なります。大手企業の場合はアプライアンス型を、中小企業はクラウド型のWAFを採用することが多いですが、自社のシステム環境に合ったWAFを導入することが重要です。

  • クラウド型
  • アプライアンス型
  • ソフトウェア型

そのため、サイバー攻撃による被害の発生確率と被害額に合った対策が行えることも、コーポレートサイトを守る方法としてWAFをおすすめする理由です。

ペンタセキュリティでは、オンプレミス環境に合わせたアプライアンス型WAF「WAPPLES」、AWS、Azure等パブリッククラウドやプライベート環境に最適化されたソフトウェア型WAFの「WAPPLES SA」、DNS情報変更のみで簡単導入できるクラウド型WAFサービス「Cloudbric WAF+」など、企業環境に合わせて様々なタイプのWAFを提供しております。

Cloudbric WAF+の場合、基本的なWAF機能に加え、無償SSL機能、DDoS対策、悪性ボット遮断、脅威IP遮断など5つのWebセキュリティサービスを1つの統合したプラットフォームにて提供するクラウド型セキュリティサービスとして注目されています。

 

まとめ

今回は、コーポレートサイトにもWebセキュリティ対策が必要な理由について解説してきました。悪意のある第3者がターゲットとするのは、ECサイトのような顧客情報を扱うサイトだけではありません。また、データサーバーを直接狙わず、コーポレートサイトから情報漏洩を誘発させる手口も存在します。

そのため、企業経営者は、正しいWebセキリティ対策とはどういったことなのかを正しく認識しておくことが重要です。また、Webセキュリティ投資への割合が低いのであれば、それを見直し、正しい方法でWebセキュリティ投資を行ってください。

 

owasp top10 2021

2021年版「OWASP Top 10 」を徹底解説!

セキュリティ対策というと難しく考えることが往々にしてよくありがちですが、はじめから順に自分で考えなくても、先人たちの知恵の結晶ともいえる資料が世の中にはたくさんあります。言うまでもなく国内にもいろいろありますが、海外にも注意を向けてみると多方面にわたり重要な意味を持つセキュリティ関連のドキュメントや資料があります。今回は、Webアプリケーションセキュリティについて情報を収集しているとよく見つける『OWASP Top 10』について徹底解説していきます。Webアプリ開発者やセキュリティ担当者であればぜひとも知見を広げておきたい内容です。

 

OWASPとは

Open Web Application Security Project(OWASP)はソフトウェアのセキュリティをより良くすることを研究対象とした営利を目的とせずに活動する団体で、機能を発揮できるように『オープン・コミュニティ』モデルの下で組織をまとめて動かされており、誰でもプロジェクト、イベント、オンライン・チャットなどに参加して貢献できます。団体の基本的な方針や精神は、人を限定せずにありとあらゆる資料と情報が無料でWebサイトから簡単にアクセスできることで、ツール・ビデオ・フォーラム・プロジェクトからイベントまで、あらゆるものが提供されています。結果として、オープン・コミュニティに対する貢献をした人の幅広い知識と経験に裏付けの得られた、汎用的なWebアプリケーション・セキュリティ開発環境におけるソースコードや設計などといった情報が保管されているデータベースとなっています。

 

OWASP Top 10とは

OWASP Top 10は、Webセキュリティの致命的・決定的な欠点が発見された頻度・脆弱性の重大度・考えられる事業への影響の大きさに基づいてランク付けされています。レポートの目的は開発者とWebアプリケーション・セキュリティ専門家に世間で最も広く行き渡っているセキュリティ・リスクに関する知識や見識などを提供して、レポートの調査結果と推奨事項をセキュリティ・プラクティスに組み込むことによって、アプリケーションにおけるこれらのすでに知られているリスクの存在を必要な分だけに抑えることです。

OWASPは世界中のセキュリティ専門家間でくいちがいなく同じである意見に基づいており、2003年からTop 10はリストの状態をそのまま保ちつづけており、Webセキュリティ市場の進歩と変化のスピードに合わせて更新されています。Top 10の価値は提供されている実際に役に立つ情報にあるため、現在も多くの大手企業において主要なチェックリストやWebアプリケーションの開発標準として貢献しています。Top 10に対応できていない場合、監督する責任者からコンプライアンス標準の面で不備がある可能性の含みを持たせるものとみなされがちですので、ソフトウェア開発ライフサイクル(Software Development Life Cycle)に組み込むことは、安全が保証されている開発に関する最善の方法が考えのうちに入っている説得力のある証拠となります。

 

2021年のOWASP Top 10でどんなことが変化したのか

新しく3つのカテゴリがあり、名前とスコープが変更された4つのカテゴリと2021年のTop 10にいくつかが統合され、そもそもの原因に焦点を当てるために名前が変更されました。

01:2021 –壊れたアクセス制御

5番目の位置から上に移動すると、アプリケーションの94%が、平均発生率3.81%の何らかの形の壊れたアクセス制御についてテストされ、提供されたデータセットで最も多く発生し、318kを超えています。含まれている注目すべき一般的な弱点列挙(CWE)には、CWE-200:不正なアクターへの機密情報の公開・CWE-201:送信データによる機密情報の公開・CWE-352:クロスサイトリクエストフォージェリが含まれます。

参考文献

 

02:2021 –暗号化の失敗

根本的な原因というよりも広範な症状であり、以前は機密データの公開として知られていた#2に1つの位置をシフトすると、暗号化に関連する障害(またはその欠如)に焦点が当てられます。これはしばしば機密データの漏洩につながります。含まれている注目すべき一般的な弱点列挙(CWE)は、CWE-259:ハードコードされたパスワードの使用・CWE-327:壊れたまたは危険な暗号アルゴリズム・CWE-331:不十分なエントロピーです。

参考文献

 

03:2021 –インジェクション

インジェクションは3番目の位置までスライドします。アプリケーションの94%は、最大発生率19%、平均発生率3%、及び274k回の発生率で何らかの形の注入についてテストされました。含まれている注目すべき一般的な弱点列挙(CWE)は、CWE-79:クロスサイトスクリプティング・CWE-89:SQLインジェクション・CWE-73:ファイル名またはパスの外部制御です。

参考文献

 

04:2021 –安全でない設計(NEW)

2021年の新しいカテゴリで、設計及びアーキテクチャの欠陥に関連するリスクに論争点をあてており、脅威モデリング、安全な設計パターン及び参照アーキテクチャの使用を増やす必要があります。コミュニティとして、私たちはコーディングスペースの『左シフト』を超えて、Secure byDesignの原則にとって重要なアクティビティを事前にコーディングする必要があります。注目すべき一般的な弱点列挙(CWE)には、CWE-209:機密情報を含むエラーメッセージの生成・CWE-256:資格情報の保護されていないストレージ・CWE-501:信頼境界違反・CWE-522:保護が不十分な資格情報が含まれます。

参考文献

 

05:2021 –セキュリティの設定ミス

前版の#6から上昇して、アプリケーションの90%が何らかの形の構成ミスについてテストされ、平均発生率は4%で、このリスクカテゴリでのCommon Weakness Enumeration(CWE)の発生率は208kを超えました。高度に構成可能なソフトウェアへのシフトが増えるにつれ、このカテゴリーが上昇するのは当然のことです。含まれている注目すべきCWEは、CWE-16:構成・CWE- 611:XML外部エンティティ参照の不適切な制限です。

参考文献

 

06:2021 –脆弱で古いコンポーネント

コミュニティ調査のトップ10で2位でしたが、データでトップ10に入るのに十分なデータもありました。脆弱なコンポーネントは、リスクのテストと評価に苦労している既知の問題であり、含まれているCWEに共通の弱点列挙(CWE)がマップされていない唯一のカテゴリであるため、デフォルトのエクスプロイト/影響の重み5.0が使用されています。含まれている注目すべきCWEは、CWE-1104:メンテナンスされていないサードパーティコンポーネントの使用・2013年と2017年のトップ10の2つのCWEです。

 

07:2021 –識別と認証の失敗

以前はBrokenAuthenticationとして知られていたこのカテゴリは、2番目の位置からスライドダウンし、識別の失敗に関連するCommon Weakness Enumerations(CWE)が含まれるようになりました。含まれている注目すべきCWEは、CWE-297:ホストの不一致による証明書の不適切な検証・CWE-287:不適切な認証・CWE-384:セッション固定です。

参考文献

 

08:2021 –ソフトウェアとデータの整合性の障害(NEW)

2021年の新しいカテゴリで、整合性を検証せずに、ソフトウェアアップデート、重要なデータ、およびCI / CDパイプラインに関連して仮定することに焦点を当てています。Common Vulnerability and Exposures / Common Vulnerability Scoring System(CVE / CVSS)データからの最大の加重影響のひとつです。注目すべき一般的な弱点列挙(CWE)には、CWE-829:信頼できない制御領域からの機能の組み込み・CWE-494:整合性チェックなしのコードのダウンロード・CWE-502:信頼できないデータの逆シリアル化が含まれます。

参考文献

 

09:2021 –セキュリティログと監視の失敗

セキュリティのログと監視の失敗は、OWASPトップ10 2017の10位からわずかに上昇したトップ10コミュニティ調査からのものです。ログ記録と監視はテストが難しい場合があり、多くの場合はインタビューや侵入中に攻撃が検出されたかどうかを尋ねます。このカテゴリのCVE / CVSSデータはそれほど多くありませんが、不当に他者の領域を侵すことへの検出と対応はきわめて大切なことです。それでも、説明責任、可視性、インシデントアラート、およびフォレンジックに非常に影響を与える可能性があります。このカテゴリは、CWE-778:Insufficient Loggingを超えて拡張・CWE-117:ログの不適切な出力中和・CWE-223:セキュリティ関連情報の省略・CWE-532:ログファイルへの機密情報の挿入が含まれます。

参考文献

 

10:2021 –サーバー側リクエスト偽造(SSRF)(NEW)

このカテゴリは、トップ10コミュニティ調査から追加されました。データは、平均以上のテストカバレッジと平均以上のエクスプロイトおよびインパクトの潜在的な評価を伴う比較的低い発生率を示しています。新しいエントリは、注意と認識のためのCommon Weakness Enumerations(CWE)の単一または小さなクラスターである可能性が高いため、それらが焦点の対象となり、将来のエディションでより大きなカテゴリにロールインできることが期待されます。

参考文献

 

OWASP Top 10 2021 –次のステップ

設計上、OWASPトップ10は本質的に最も重要な10のリスクに限定されています。すべてのOWASPトップ10には、含めるために詳細に検討された『最前線』のリスクがありますが、最終的には成功しませんでした。データをどのように解釈しても、他のリスクはより一般的で影響力がありました。成熟したappsecプログラム・セキュリティコンサルタント・ツールベンダーに向けて取り組んでいる企業は、提供するサービスの対象範囲を拡大したいと考えています。次の3つの問題は、特定して修正する価値があります。

 

コード品質の問題

コード品質の問題には、既知のセキュリティ上の欠陥またはパターン・複数の目的での変数の再利用・デバッグ出力での機密情報の公開・オフバイワンエラー・チェック時間/使用時間(TOCTOU)の競合状態・署名されていないまたは署名された変換エラーが含まれます。このセクションの特徴は、通常、厳格なコンパイラフラグ・静的コード分析ツール・リンターIDEプラグインで識別できることです。現代の言語は設計により、Rustのメモリ所有権と借用の概念・Rustのスレッド設計・Goの厳密な型指定と境界チェックといった問題の多くを排除しました。

参考文献

 

サービス拒否

十分なリソースがあれば、サービス拒否は常に可能です。ただし、設計とコーディングの慣行は、サービス拒否の規模に大きく影響します。リンクを知っている人なら誰でも大きなファイルにアクセスできると仮定します。そうしないと、すべてのページで計算コストの高いトランザクションが発生します。その場合、サービス拒否は実行に必要な労力が少なくてすみます。

参考文献

 

メモリ管理エラー

Webアプリケーションは、Java・.NET・node.js(JavaScriptまたはTypeScript)などのマネージドメモリ言語で記述される傾向があります。ただし、これらの言語は、バッファオーバーフロー・ヒープオーバーフロー・解放後の使用・整数オーバーフローといったメモリ管理の問題があるシステム言語で記述されています。Webアプリケーション言語が名目上メモリが『安全』であるという理由だけで、基盤がそうではないことを証明する多くのサンドボックスエスケープが何年にもわたってありました。

参考文献

 

まとめ

OWASP Top 10はWebアプリケーションのセキュリティ分野において、最新のサイバー攻撃のトレンドを認識するためにことのほか役に立ちます。Webアプリ開発者やセキュリティ担当者であれば新しく告げ知らされた攻撃のトレンドを知っていると、その攻撃と類似する他の攻撃にも最前線に立って対応できます。また、公共のために業務する各機関においてもWebセキュリティにおける重要なガイドラインや指標として認識されており、取り上げられている項目に対応できていない場合、セキュアな開発を実施する最善の方法を取り入れていないとジャッジが下される可能性があります。日本国内においては、『IPA(独立行政法人情報処理推進機構)』や『JPCERTコーディネーションセンター』がガイドラインとして取り入れています。

 

what is ztna2

ZTNA(Zero Trust Network Access)の重要性とは?メリットなども解説!

働き方改革とコロナ禍の影響から、日本企業でもテレワークのリモート・在宅勤務の導入が増加しています。そして、テレワーク増加と比例して増加している事例がVPNの脆弱性を狙ったサイバー攻撃です。

そんななか、VPNのような境界型セキュリティでは防ぐことのできないサイバー攻撃に対応できる次世代のセキュリティとして注目されている概念が「ZTNA(Zero Trust Network Access)」です。ZTNAの概念やセキュリティモデルについての詳細は、こちらの記事で解説しています。

ZTNA(Zero Trust Network Access)とは?概念とセキュリティモデルを解説!

本記事では、次世代セキュリティとして注目されるZTNAの重要性と導入のメリットについて解説しています。ぜひ、最後までご覧ください。

 

企業担当者必見!ZTNA(Zero Trust Network Access)の重要性とは?

ZTNAが注目されるようになった背景には、ITの技術や働き方の変化によって、VPNなどの従来の境界型セキュリティでは守り切れない事例が頻出してきたことが挙げられます。IT技術の変化や企業のクラウド環境への移行が進むとともに、求められるセキュリティ対策も変わってきました。そしてテレワークのリモート・在宅勤務の増加など働き方が急激に変化する中、リモートアクセスに対するセキュリティ対策を見直す必要があるという議論がはじまって、従来のVPNに代わる対策としてZTNAが注目されました。

それでは、なぜZTNAの導入が重要なのでしょうか?まずは、クラウド環境におけるZTNAの重要性について、詳しく解説していきます。

クラウド環境ではZTNAが重要!

近年、ランニングコスト削減効果や安価でスピーディーな環境構築などを目的にクラウド環境の導入・移行に踏み切る企業が増加傾向にあります。クラウド環境とは、離れた場所にあるシステムの本体(物理的なサーバなど)から、インターネットなどのネットワークを介して、ユーザにサービスを提供する形態のことです。

境界型セキュリティと呼ばれている従来のセキリティは、下記のポイントを軸に対策されています。

  • 外部ネットワークとの「境界線(ペリメータ)」でセキュリティ対策を行う
  • 内側(社内)と外側(社外)の接点における悪意のある第3者の存在

つまり、従来のセキュリティ対策としての考え方は、外側は信用できず内側は信頼できるという意識が働いていました。システムの本体が内側にあれば、従来のセキュリティ対策でも、悪意のある第3者からの攻撃は防げるでしょう。

しかし、クラウド環境で離れた場所にシステムの本体がある場合、境界型セキュリティでは攻撃を防ぐことはできません。それに対して、ZTNAは、ゼロトラストという「ネットワークの外側も内側も依存しない」という考えでセキュリティ対策を行うため、クラウド環境にも対応しています。だからこそ、クラウド環境に移行した企業や移行を考えている企業は、クラウド環境にある情報資産を守れるセキリティ対策として、ZTNAの導入は重要となります。

 VPNが安全な対策であると言えない理由は?

境界型セキュリティとして最も一般的で、テレワークでのリモート・在宅勤務での主流となっていた仕組みと言えば、VPNがあります。テレワークの推進やコロナ禍の影響でリモート・在宅勤務をする方が増加したことで、社内ネットワークに外部から安全にアクセスする際に使うVPNは急速に多くの企業に拡がりました。しかし、VPN製品の脆弱性が相次いで発見され問題となりました。そして、その脆弱性を利用したサイバー攻撃や攻撃者の侵入が次々と発覚し、もはやVPNは安全なセキュリティ対策ではないといわれています。

 また、脆弱性があることだけでなく、VPNのような境界型セキュリティは「内側が安全」と考えられているため、他者のなりすまし攻撃に弱いという特性があります。そのため、社内ネットワークへの攻撃を防ぐことは困難といえるでしょう。

ZTNAは脱VPN事故に不可欠!

VPNを狙った悪意のある第3者によって、VPN事故(VPNの欠陥をついた攻撃による情報流出などの事故)が発生する可能性は十分あります。VPNは、もはや安全なセキュリティ対策とはいえなくなっており、一刻も早く「脱VPN」への対策が必要といえるでしょう。そして、そんな脱VPN対策として注目されている概念が、ZTNAの導入です。

 

VPNの代わりに注目されるZTNA(Zero Trust Network Access)のメリットとは?

ZTNAであれば、VPNなどの境界型セキュリティでは守り切れない資産を守ることができますが、他にも下記のようなメリットが得られます。

  • アクセス速度が早まる
  • セキュリティが強固となる
  • 管理者の負担が減る
  • ユーザの増加に柔軟に対応できる

それでは、ZTNA導入におけるそれぞれのメリットについて、詳しくみていきましょう。

アクセス速度が早まる 

ZTNAは、VPNとは異なり、許可された限られたユーザしかネットワーク上のアプリケーションやデータにはアクセスができません。そのため、これまでより無駄なアクセスが減り、接続が最適化されたことでアクセス待ちの時間が短縮します。また、クラウド環境でVPNを利用したリモートワークは、下記のようなアクセス経路を辿ります。

  1. リモート端末
  2. 社内ネットワーク
  3. クラウド

そのため、社内ネットワークに対して、VPNアクセスとクラウドへのアクセスで2重に負担がかかることで速度が遅延しやすいという特性がみられます。ZTNAを導入すれば、効率的なクラウド利用が可能となるでしょう。

 セキュリティが強固となる

ユーザがIDとパスワードによる認証が通過すれば、ZTNAでは、アクセス権限を持つアプリケーションのみアクセスが可能となるよう権限の制御が可能です。もしユーザの端末が乗っ取られても、悪意のある第3者は限られたアプリケーションにしかアクセスできないため、被害を抑えられるでしょう。また、IPアドレスは許可されないユーザには公開されないため、IPアドレスの外部公開によるサイバー攻撃の軽減も期待できます。

 管理者の負担が減る 

VPNの場合、拠点ごとにアクセス制御ポリシー(保護リソースに対するアクセスをユーザに許可するか拒否するかを定義する一連の条件)の管理が必要です。ZTNAを導入すれば、組織全体のアクセス制御ポリシーがすべてクラウド上で一元管理できるため、拠点ごとに管理する必要がありません。そのため、管理者の負担が大きく軽減されるでしょう。また、ACL(アクセス制御リスト)も簡素化できることから、さらに管理者の負担は減るところは大きなメリットです。

ユーザの増加に柔軟に対応できる

VPNの場合、ユーザが増加すると、利用規模に対してサーバなどの性能や容量が負荷に耐えられません。そのようなシステム障害の発生を防止するためには、サイジングの必要性や急なユーザ追加に対して、柔軟に対応しなければなりません。しかし、ZTNAを導入すれば、性能による問題などの処理はすべてクラウド上で行えるため、急にユーザ増加があっても柔軟で迅速な対応ができます。

 

ZTNAソリューションのおすすめ「Cloudbric RAS」を紹介!

脱VPNのセキュリティ対策として、ZTNAを選ぶ企業もあることでしょう。すでに、各企業からいくつものZTNA製品(ZTNAソリューション)の提供を開始しています。しかし、製品によって提供形態やサービス内容が異なるため、ZTNAの導入をする際は製品を見極めて自社にあったサービスを選ぶことが重要。そして、導入するZTNA製品を見極める際のポイントとして、は、下記の4つが挙げられます。

  • セキュリティ能力
  • 情報の管理のしやすさ
  • 相互運用性の良さ
  • 問題が起きた際の対処・対応速度

これら4つのポイントからおすすめするZTNAソリューションといえば「Cloudbric RAS」があります。マルチ・クラウド上に構築されている複数のWebアプリケーションに対し、利用者単位でアクセス権限を設定できるクラウド型セキュリティサービスです。

 

さいごに

今回は、ZTNAの重要性やメリットなどについて解説してきました。セキュリティコンサルティングを世界的に展開しているガートナー社によると、現在「VPN」を利用している企業の約6割が、2023年までにZTNAへ移行すると予想しています。これまで、VPNは利用すべき安全対策といわれてきましたが、今の時代や環境に対応できていない事例が数多く報告されているのが現状。今後のテレワークを推進や会社のクラウド化を目指しているのなら、ぜひZTNAを導入して、脱VPNを検討してみてはいかがでしょうか。

 

ZTNA ソリューション「Cloudbric RAS」の詳細はこちら

Cloudbric RAS

what is ztna

企業担当者必見!ZTNAとは?概念とセキュリティモデルを解説!

現代社会において、インターネットを利用するさまざまなサービスの通信手段としてVPN接続が活用されています。しかし、多くの利用があることもあり、VPN接続の脆弱性を悪用した第3者によるサイバー攻撃が年々増加しています。そして、VPN接続の脆弱性を悪用したサイバー攻撃・トラブルを解決できる新しいセキュリティとして注目されている仕組みが「ZTNA(Zero Trust Network Access)」ソリューションです。

本記事では、従来の境界型セキュリティからの転換を実現するZTNAについて解説しています。また、クラウド環境でのZTNAの重要性や従来のVPN接続を使い続けたときの危険性のうち、日本国内でのVPN関連事故の事例も紹介していますので、ぜひご覧ください。

 

企業担当者必見!ZTNA(Zero Trust Network Access)の概念とは?

まずは、ZTNAの概念について解説します。ZTNAとは、「Zero Trust Network Access(ゼロトラストネットワークアクセス)」の略語です。ゼロトラストとは、ネットワークの外側も内側も何も信頼しないという概念です。従来のセキュリティは、外側は信用できなくても内側は信頼できるという概念で対策されていました。その理由は、悪意のある第3者からのサイバー攻撃から保護する対象(データ・情報)がネットワークの内側にあったためです。しかし、クラウド時代の到来により、現在は保護する対象がネットワークの外側に存在しているケースが主流を占めています。そのため、こうした保護する対象がネットワークの内側と外側に点在するようになったことで、従来のセキュリティ対策では守り切れない状況に陥っています。そこで、生まれた概念がZTNAです。 具体的には、「ゼロトラスト」の概念から考えられたセキュリティソリューション(コンサルティング・対策・運用監視・インシデント対応までをトータルサポートするセキリティ対策)を行います。

ZTAとの違いは?

ZTNAと同義の言葉に、ZTA(Zero Trust Architecture、ゼロトラスト・アーキテクチャ)があります。そもそも、アーキテクチャという言葉は、「建築(物)・建築術・建築様式、・構造・構成」などの意味を持ちます。そして、ITの分野では、コンピュータやソフトウェア・システム、あるいはそれらの構成要素などにおける、基本設計や共通仕様・設計思想などを指します。

つまり、ZTNAはゼロトラストの概念を取り入れたセキュリティソリューションのことであり、ZTAとの違いはゼロトラストの特徴をそのまま反映させたシステム構想を意味します。

VPNの代わりに注目されるZTNAのメリットとは?

VPN接続とは、インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワークのことで、インターネットを利用するさまざまなサービスの通信手段として利用されています。

基本的に、VPN通信は暗号化できることから、安全に通信可能と言われています。そのため、ネットワークの外側と内側の境界線を構築し、セキリティ強化が見込めます。

一方、ZTNAには境界線が存在しないことから、ネットワークの内側外側のどちらにも脅威が存在することを前提にセキュリティ対策を行わなければなりません。そのため、より強固なセキュリティ対策が行われる必要があります。

 ZTNAのメリットには、下記の4つが挙げられます。

  • 高度なユーザ認証ができ、より詳細な制御が可能
  • 最小の権限での認可が可能となり、セキュリティ管理者の負担が軽減する
  • 端末ごとの信頼性評価で接続の可否を判断するため、乗っ取られても被害を最小限に抑えられる
  • ユーザに対する透明性がアップする

ZTNAの重要性やメリットについては、こちらの記事で詳しく解説しています。

ZTNAの重要性とは?メリットなども解説!

次章では、そんなZTNAのメリットを活かせるセキュリティモデルについて解説します。

 

ZTNA(Zero Trust Network Access)のセキュリティモデルは?

次世代のセキュリティモデルと言われているZTNAには、「サービス主導型」「クライアント主導型」の2つのタイプが存在します。これら2つのタイプの解説と、ZTNAソリューションの例を紹介します。

「サービス主導型」は、SDP(Software Defined Perimeter)と呼ばれる概念を取り入れたタイプです。Webアプリケーション構築プラットフォームやソフトウェアを利用してアクセス制御やサイバー攻撃を防ぎます。通常、Web制作会社や開発会社が快適にアプリケーションを構築し、クライアントに提供できるようにするためのプログラムを採用します。

一方、「クライアント主導型」は、クライアントが必要に応じて、バックアップ・リカバリー処理を指示する方法を採用した形態であるため、クライアント主導型の方が、ユーザにとって導入しやすいといわれています。

ZTNAソリューションの例|Cloudbric RAS

「Cloudbric RAS(クラウドブリック・ラス)」は、マルチ・クラウド上構築されている複数のWebアプリケーションに対し、利用者単位でアクセス権限を設定できるクラウド型セキュリティ・サービスです。既存のDirectConnectやVPNの構築などが不要で、DNS情報を変更するだけで利用開始でき、ユーザ向け認証用画面と管理者向け統合管理画面の2つのインターフェースを提供することが特徴です。

企業システムをドメイン単位で管理できるようになるため、複数のシステムが一元管理できることも大きな魅力です。また、認証セキュリティの強化によってZTNAだけでなく、従業員と企業の安全の確保でき、簡単かつ安全なテレワーク環境の実現できます。 

「Cloudbric RAS」の詳細を確認する

 

日本でのVPN関連事故の事例を紹介!

ここでは、VPN接続のリスクと関連事故の事例について紹介します。それでは、詳しくみていきましょう。

Pulse Secure社のVPN製品

2021年4月下旬、Pulse Secure社がVPN製品「Pulse Connect Secure」で深刻な脆弱性(CVE-2021-22893)が存在し、その脆弱性を狙ったサイバー攻撃による被害を受けていたことを発表しています。悪意のある第3者がこの脆弱性を悪用した場合、認証を回避して任意のコードを実行可能となります。同年5月に、この脆弱性を修正したバージョンが提供されており、日本国内での被害はありませんでした。

 しかし、国内での悪用は確認されており、修正バージョンの提供まで約1か月間かかったことから、今後被害が確認される可能性もあるでしょう。

また、Pulse Secure社のVPN製品は、他にも下表のような脆弱性が確認されています。

バージョン 概要
CVE-2019-11510 HTTPS経由で送信・細工されたURIを処理することにより、任意のファイルが読み出される可能性
CVE-2019-11509 管理用Webインターフェースにログインしたユーザによって、PulseSecureアプライアンス上で任意のコードを実行される可能性
CVE-2019-11508 Pulse Connect SecureのNetwork File Share (NFS) の実装には脆弱性があり、認証されたユーザが悪意あるファイルをアップロードすることによって、ローカルシステム上に任意のファイルが書き込まれる可能性
CVE-2019-11542 管理用Webインターフェースにログインしたユーザから受け取った、細工されたメッセージを処理することによって、スタックバッファオーバーフローが発生する可能性
CVE-2019-11541 Reuse Existing NC(Pulse) SessionオプションでSAML認証を使用しているユーザの認証情報が漏えいする可能性
CVE-2019-11540 Pulse Secureには脆弱性があり、遠隔の攻撃者によって VPN サーバに接続するエンドユーザを対象としたセッションハイジャック攻撃が行われる可能性
CVE-2019-11539 管理用Webインターフェースにログインしたユーザによって、任意のコマンドが実行される可能性
CVE-2019-11538 Pulse Connect Secure の Network File Share(NFS) の実装には脆弱性があり、認証されたユーザによってローカルファイルシステム上の任意のファイルにアクセスされる可能性

Citrix社製品のVPN製品

2019年12月にCitrix社の一部のVPN製品で、任意のコードを実行可能な脆弱性(CVE-2019-19781)が確認されました。さらに2020年1月11日には、この脆弱性を悪用する攻撃コードが、インターネット上で公開されていることも確認されました。また、同年7月にも、Enterprise Cloud 2.0(ECL2.0)のロードバランサー(NetScaler VPX)メニューで提供しているCitrix社のNetScalerで、脆弱性(CVE-2020-8257/CVE-2020-8258)が確認されました。これらの脆弱性を狙って、国内外で継続した非常に多くのサイバー攻撃が行われたとのことです。

 

さいごに

今回は、ZTNAの概念とセキュリティモデルについて解説してきました。コロナ禍の影響もあり、テレワークのリモート/在宅勤務を導入する日本企業が増えています。そのため、日本国内でもVPNの脆弱性を狙ったサイバー攻撃が活発化しています。これまでは、VPNだけでも安全に通信ができました。しかし、クラウド環境への変化に加え、働き方の多様化によって安全であるはずのVPN接続は安全ではなくなっています。時代の変化に合わせ、悪意のある第3者からの攻撃から重要な情報・データを守るためには、ZTNAを導入しVPN環境から脱することも検討する必要性が高まりつつあります。

 

ZTNA ソリューション「Cloudbric RAS」の詳細はこちら

Cloudbric RAS

2021年度版サイバー攻撃の動向

サイバー攻撃の動向や事件・事故とは?セキュリティ問題について考察!

コロナ過を踏まえインタネットは個人だけでなく企業・法人にも欠かせない存在となり、2021年現在、企業におけるデジタル化への対策は待ったなしの状況となっています。インタネットを通じて日々膨大な情報が行き交っていますが、世界規模でみれば同時に悪意のある第3者によるサイバー攻撃事例が日々発生しています。

このようなサイバー攻撃に対抗する手段として、政府も「サイバーセキュリティ基本法」を策定するなど動きか活発化しています。サイバー攻撃を防ぐためにも、Webセキュリティ対策は最重要です。また、現代社会におけるサイバー攻撃に関する動向や、直近で発生した事件・事故、セキュリティ問題についても知っておく必要があります。

 本記事では、2021年度上半期に発生したサイバー攻撃の事件・事故などについて解説しています。

 

2021年度!セキュリティ問題と脅威ランキングTOP3

まずは、2021年度に発生した脅威やセキュリティ問題について、詳しくみていきましょう。

3位|テレワークなどのニューノーマルな働き方を狙ったサイバー攻撃 

2020年以降、新型コロナウイルスの感染防止を目的に、テレワークでの働き方が推進されています。このような社会的な背景から、テレワークなどのニューノーマルな働き方を狙った企業へのサイバー攻撃件数が増加しています。そもそも、悪意のある第3者がテレワークでの働き方をターゲットとする理由は、従業員の出社を前提とした従来のWebセキュリティ対策ではカバーできないことが挙げられます。つまり、企業努力によるWebセキュリティ対策を施していても、従業員個人では認識が甘く、穴を突いてサイバー攻撃を仕掛けてくるということです。また、突然の緊急事態宣言の発令で、セキュリティ対策に関する計画を立てる間もなくニューノーマルな働き方の導入をすることになった企業も少なくありません。そのため、ニューノーマルな働き方を推進している現代社会において、Webセキュリティの脆弱性が問題視されています。 

2位|標的型攻撃による機密情報の窃取 

機密情報を狙った標的型攻撃は、2021年度も継続して発生しています。標的型攻撃とは、明確な目的を持って特定の企業などに狙いを定めて仕掛けるサイバー攻撃のことです。悪意のある第3者が標的型攻撃を行う目的は、攻撃対象への嫌がらせが目的です。また、その際に機密情報を窃取するケースも少なくありません。

金額的被害だけでなく、顧客の個人情報など企業にとって致命的な情報が流出した場合、Webセキュリティが問題視され、取引停止や企業イメージの失墜など、間接的被害を受ける可能性もあるので要注意です。

 1位|ランサムウェアによる被害 

2020年度は5位だった、ランサムウェアによるサイバー攻撃が、2021年度は急増しています。ランサムウェアとは、コンピュータウィルスの1種で、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語です。パソコンだけでなく、タブレット端末やスマートフォンのOSにも感染する危険性が伴います。

ランサムウェアに感染すると、Webセキュリティ問題が発生して保存しているデータが、勝手に暗号化されて使えない状態にされたり操作できなくなったりしてしまいます。企業や店舗に嫌がらせをすることが目的の場合もありますが、復旧を条件に悪意のある第3者が金銭(身代金)を要求してくるケースも少なくありません。また、金銭を支払っても、ランサムウェアによる攻撃で窃取された情報やデータを暴露されてしまうケースも発生するため、このような事例では、絶対に身代金は支払わないようにしましょう。

 

2021年度!サイバー攻撃の動向や事件・事故の事例3選

次に、2021年度に発生したサイバー攻撃の動向や事件、事故の事例を紹介します。なお、GSX発表の「2021年ニュース一覧」を参考にしています。

ランサムウェア攻撃の事例(DearCryによる攻撃)|2021年3月

2019年後半以降、ランサムウェアによる攻撃は2重の脅迫を用いた手口での攻撃が増加しているだけでなく、新種・亜種のランサムウェアウィルスが続々と確認されています。

2021年3月16日にはMicrosoft社が、「Microsoft Exchange Server」のWebセキュリティの脆弱性を悪用した「DearCry」と呼ばれる新しいランサムウェアが確認されたことを発表しました。「DearCry」は、悪名高いランサムウェア「WannaCry」の亜種だとみられています。「Microsoft Exchange Server」 のオンプレミス版に存在している複数のWebセキュリティの脆弱性が、パッチによって修正されるまでにゼロデイを狙ってばらまかれました。

その後は、米国やカナダ・オーストラリアを中心に、多くのサイバー攻撃やWebセキュリティ問題が報告されました。

スマホ決済の不正利用の事例(PayPayを使った不正チャージ)|2021年3月

2021年3月18日、警察庁が、スマートフォン決済サービスを利用した不正チャージ事件についての情報を公開しました。事件が発生したのは2020年9月、確認された被害は全国11行で157件、被害額は2760万円に上っています(9月17日午前0時時点)。また、ドコモ口座とPayPayだけでなく、ゆうちょ銀行の口座と連携するメルペイやKyash・LINE Pay・PayPal・支払秘書などでも被害が確認されました。

警察庁はこの事件が悪意のある第3者がどのような手口でサイバー攻撃を行ったのかという内容を発表しましたが、主な手口のポイントは、下記の3つです。

  • 携帯電話販売代理店から不正入手した個人情報を無断で利用し、預貯金口座をスマートフォン決済サービスとひも付けてチャージを実施
  • 第3者の電子メールアカウントを無断利用して、スマートフォン決済サービスのアカウントを作成
  • アカウント作成から被害口座との連携を短期間で大量に行い、買い子が別の端末から連続して決済を実施

 いずれも、Webセキュリティの脆弱性を衝いたサイバー攻撃でした。

ニューノーマルな働き方を狙った事例(RDP総当たり攻撃)|2020~2021年

2020~2021年にかけて急増しているWebセキュリティ問題を衝いたサイバー攻撃が、テレワーク端末を狙った「RDP総当たり攻撃」です。テレワークの導入に取り組んでいる企業で、この攻撃を受けた事例が数多く報告されています。

 RDP(Remote Desktop Protocol)とは、導入したサーバに対してクライアント端末からリモートデスクトップ接続する機能を提供するマイクロソフトのサービスのことです。RDPを導入した端末をリモートデスクトップ接続するために利用する「ID/パスワード」に対して、不正アクセスを試みるために総当たり攻撃をしてくる手法を「RDP総当たり攻撃」と呼びます。近年、コロナ禍の影響で、企業によるテレワーク導入が急加速しました。そして、USBモデムやSIM内蔵端末を利用するためにグローバルIPを割り当てた端末が急増したことが、Webセキュリティ問題の増加に繋がったと考えられています。

 

さいごに

今回は、2021年度のサイバー攻撃の動向や事件・事故などについて、詳しく解説してきました。また、各事例に対するWebセキュリティ問題についても考察してきました。

Webセキュリティ対策の精度は年々進化していますが、それ以上にサイバー攻撃の手口は巧妙化しています。そのため、2021年上半期以上に、下半期はテレワークなどのニューノーマルな働き方を狙った攻撃、OSやアプリのWebセキュリティの脆弱性を狙った攻撃は激化すると予測されます。また、総務省発布の「平成30年度情報通信白書」によると、政府が積極的にセキュリティ問題に取り組んでいることが明確化されているため「サイバーセキュリティ基本法」の動向にも注目です。

そして何より、今後も引き続き、Webセキュリティ問題に警戒することが重要といえるでしょう。