改正個人情報保護法メインイメージ

ホワイトペーパー発行開始!改正個人情報保護法における6つの改正ポイント~企業に求められる対応とは~

改正個人情報保護法

IT技術の発展と伴い、様々な情報がインターネットを介にしてやり取りをされるようになりました。その中でも、企業における個人情報を適切な管理は、信頼に関わる重要な問題です。そんな個人情報に関して2022年4月には「改正個人情報保護法」が施行され、個人情報の取扱いに対する厳格な規定が明記されました。

今回、ペンタセキュリティが作成したホワイトペーパーでは、改正個人情報保護法の概要と、今後、企業に求められる対策について詳しく解説しています。まだ、どのような対策を実行すればいいかわからない方や対策導入を検討している方にお役に立つ資料になると思われますので、是非ご活用してください。

ホワイトペーパーのダウンロードはこちらのページからお申込みできます。

 

Cloudbric WAF+がクラウドレーダーに掲載されました!

クラウドサービスを簡単に探し、情報収集できる検索サイト「クラウドレーダー」にて、社内にセキュリティ専門家がいなくても手軽に運用・導入できるCloudbric WAF+が紹介されました。

・掲載日:2022年8月24日

・掲載記事:詳細はこちらをご覧ください。

ご興味のある方はぜひご覧ください!

 

7

C製薬会社

業種 医薬品製造業及び卸売業
規模 大企業

※本事例は、お客様のご希望により匿名で掲載しております。

今の時代、企業サイトはその企業の「顔」だと思っています。企業にとってWebサイトは、単に企業情報、サービスや製品情報などをお客様に周知させる役割だけでなく、企業のアイデンティティやビジョンを伝える役割も果たしています。まさに、企業イメージを向上させる重要な戦略となりました。だからこそ、Web攻撃によりアクセスが不可能になったり、セキュリティ事故につながったりすることだけは絶対に避けたい。巨大な金銭的損失にとどまらず、企業のイメージや信頼失墜に直結してしまい、回復するには相当な時間が必要となるでしょう。情報担当者としては、それを想像するだけで背筋がぞっとします。(C製薬会社 情報システム担当者)

 

WAFを導入したきっかけ

「Webサイトを24時間365日安全に運用・管理したい」

弊社のビジネスにおいて、Webサイトのセキュリティは極めて重要です。患者様とそのご家族、医療関係者様、株主様、投資家様への情報提供を筆頭に、臨床試験の参加者の募集や研究開発サイトの運用など、すべての作業がWebサイト上で行われています。よって、24時間365日絶え間なくWebサイトを安全に管理・運用することが我々にとっての最大な課題です。そこで、Webサイトのセキュリティ体制を整えるとともに、高度化が続くWeb攻撃をしっかりと防御できる対策でありながら、利便性を確保できるクラウド型WAFに興味を持つようになりました。

 

クラウドブリック(Cloudbric)を選択した理由

「高精度の検知能力で今まで見つからなかった攻撃パターンも検知」

クラウドブリックを導入する前には他社の製品を使っていました。広く知られている国産のクラウド型WAFサービスだったため、日本語の対応がしっかりとできるということがメリットで、利用する際も特に不便なところはありませんでした。
しかし最近にはWeb攻撃の手口がさらに巧妙化し攻撃回数も増回傾向にある反面、新規・検知漏れの攻撃パターンが検知できないという限界や例外処理の設定が難しい部分がありました。そのため現在のセキュリティ対策を再チェックした結果、新しいWAFの導入を検討する必要があると判断しました。その後、IT製品比較サイトでの調査を通じていくつかの候補製品を選定しました。その中でクラウドブリックの場合、無償トライアル制度を通じて機能などを十分にチェックしました。また製薬業界の導入実績の有無ところなど様々な観点から検討したので、最終的にクラウドブリックの導入を決定しました。

 

クラウドブリック(Cloudbric)の導入効果

「未検知の攻撃までしっかり検知・遮断 、業務効率も向上」

クラウドブリックの高精度の検知エンジンにより、未検知の攻撃を含め今まで検知できなかった様々な攻撃パターンがしっかり検知・遮断されるようになりました。これまで大きい事故が発生したことはありませんが、それは今まで気づいていなかっただけで、いつ何が起こってもおかしくない状況だったという怖さを感じると同時に、クラウドブリックの精度の違いを改めて実感し、安心しました。ダッシュボードにアクセスすると検知ログの詳細や攻撃現況まで一目で確認できるため、そのまま内部担当者に渡すことも可能になり、業務効率化の面でも非常に役立っています。以前使っていた他社WAFと比べ合理的な料金と高精度のセキュリティという点に加え、お問い合わせに対するフィードバックなど、サービス面でも大変満足しています。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

新しいWAFの導入を決して簡単に決定したわけではありません。以前使っていたWAFに対する信頼度が下がっていたため、様々な観点から慎重に検討を重ねた結果クラウドブリックの導入までに至りました。その分、高いセキュリティ機能と合理的な価格を両立した、素晴らしいコストパフォーマンスの WAFサービスに出会ったと思います。Webサイトセキュリティを高めていきたいセキュリティ担当者の方々に、クラウドブリックは自信を持っておすすめできるサービスだと思います。

展示会イメージ

ペンタセキュリティ、手軽に導入・運用できるWebセキュリティサービスをInterop Tokyo 2022で初公開

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、本社:韓国ソウル、以下ペンタセキュリティ)は2022年6月15日(水)から17日(金)まで3日間、幕張メッセで開催された「インターネットによる、人々のための革新と信頼Interop Tokyo 2022(以下Interop Tokyo 2022)」に出展し、選択的導入できるクラウドブリックセキュリティプラットフォーム(サービスサイト:https://www.cloudbric.jp/)を公開した。

展示会イメージ

開催29回目を迎えたInterop Tokyo 2022には393社・団体が参加し、最先端のネット技術と応用分野の動向が確認できる展示及び講演会が行われた。今回のリアルイベントには約9万人の来場客が訪れ、大盛況のうちに閉会した。ペンタセキュリティのブースにも多くの来場者が訪問し、最先端のWebセキュリティ技術や対策について興味を示した。

Interop Tokyo 2022で紹介したクラウドブリックセキュリティプラットフォームは企業のWebセキュリティに必要とされている全てのソリューションを統合された1つのプラットフォームで提供するサービスである。企業情報セキュリティの基本対策であるWAFサービス「Cloudbric WAF+」を中心に、「Cloudbric ADDoS」、「Cloudbric CDN」など、Webセキュリティ対策に必要なサービスを選択し、組み合わせて導入することで、よりセキュアなWebセキュリティ対策を講じることができる。

・専門家でなくても簡単に導入・運用できるWebセキュリティ対策
クラウドブリックセキュリティプラットフォームの中で最も注目を集めたのは「Cloudbric WAF+」であった。現場ではサービスの説明だけではなく、実運用を想定したデモも行われた。デモでは、リアルタイムでサイバー攻撃の脅威情報を確認することができる、脅威の見える化を実現したところが注目を浴びた。また、ユーザーフレンドリーなダッシュボードで操作、設定変更が容易にできることにも多くの来場者が興味を示した。

一方、AWS WAFの自動運用サービス「Cloudbric WMS」の説明や実運用を想定したデモも行われた。AWS WAFはセルフサービスであり、セキュリティに関する知識や運用できる人材が必要であるため、導入及び運用することが難しいという課題があった。Cloudbric WMSはセキュリティ専門家が導入から運用までサポートするマネージドサービスであるため、このような課題を解決した製品として認められ、多くの来場者から注目を集めた。

ペンタセキュリティ日本法人代表取締役社長の陳は「Webセキュリティは担当者が必要なほどに複雑であり、会社に合うセキュリティサービスを導入するためには、投資も必要である。中小企業はそのような資金、人材が不足しているため、セキュリティの重要性はわかっているものの、対策の導入に踏み切ることができない」とし、「今回の展示会で紹介したセキュリティプラットフォームサービスにより、リーズナブルな価格で各企業に適切なセキュリティ対策を提供することが可能になった」と述べた。

■クラウドブリックセキュリティプラットフォームについて
企業Webサイトやシステムを守るために必要とされているすべてのソリューションを統合された一つのプラットフォームで提供します。クラウドブリックセキュリティプラットフォーム上で必要なWebセキュリティサービスを備えており、必要なサービスを『選択的導入』することが可能です。企業では、自社システムに合った最適なサービス選択を行うことで、より高度なセキュリティ対策を実施することができます。より詳しい製品情報は下記のリンクをご覧ください。

プラットフォームサービスとは?:https://www.cloudbric.jp/cloudbric-security-platform/
Cloudbric WAF+:https://www.cloudbric.jp/cloudbric-waf/
Cloudbric ADDoS::https://www.cloudbric.jp/cloudbric-addos/
Cloudbric CDN:https://www.cloudbric.jp/cloudbric-cdn/
Cloudbric WMS:https://www.cloudbric.jp/cloudbric-wms/

8

Bブロックチェーンメディア

業種 ソフトウェア開発・供給
規模 ベンチャー企業
導入時期 2020年
※本事例は、お客様のご希望により匿名で掲載しております。

弊社の提供しているブロックチェーン技術自体がいかに安全だとしても、ブロックチェーン基盤のサービス運用がITシステム上で行われる以上、Webやアプリケーションへのセキュリティ対策をしっかりとる必要があります。(Bブロックチェーン メディア担当者)

 

WAFを導入したきっかけ

「Webサイトを利用するユーザの個人情報を安全に守りたい」

弊社はブロックチェーン基盤のフィンテック決済ソリューションの開発及びビジネス統合プラットフォームを運営しております。ユーザの流入を拡大するために、昨年からWebやアプリケーションなど様々な経路を通じてサービスを提供してきました。そして、ブロックチェーン基盤のサービスがいかに安全だとしても、サービスがWebサイト上で行われる以上、ユーザとの接点になるWebサイトのセキュリティを確報することが最も重要な課題だと判断しました。そこで、Webアプリケーションに対する総合的なセキュリティ対策としてWAF(Webアプリケーションファイアウォール)を導入することになりました。

 

クラウドブリック(Cloudbric)を選択した理由

「高い評判とダッシュボード機能、そして信頼性」

知り合いのITベンダーから勧められた製品を含み、最終的に残った候補の中の1つがクラウドブリックでした。1ヶ月の無償トライアルを通じて実際使ってみた結果、セキュリティ専門家でなくても非常に使いやい、という結論を導き出すことができました。
リアルタイムで攻撃状況を一目に確認できるダッシュボード機能と、疑わしい攻撃に対し管理画面上での1回のクリックで即遮断できるという操作の容易さが印象的でした。また、2019年には有名なIT製品の比較・検索サイトでWAF部門の1位を獲得したこと、そしてすでにクラウドブリックを導入している企業から好評を受けていることなどを考慮しつつ、慎重に検討を進め導入を決定しました。

 

クラウドブリック(Cloudbric)の導入効果

「サイバー攻撃を即時に検知・遮断でき、再発も防げた」

弊社の場合、サービス拡大によるセキュリティ面での不安を抱えていました。弊社のプラットフォームもまた個人情報を取り扱っているため、情報漏洩が最大の懸念事項でした。クラウドブリックの導入3ヶ月後、1日間に約5,000件に及ぶ攻撃が試されたことを知りました。しかし、クラウドブリックによりこれを即時に検知・遮断できたので、大きな事故にはなりませんでした。レポートを通じ詳しい攻撃内容を確認でき、このような攻撃の再発を防げますので、これからも安心してWebサイトの管理ができると思います。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

「うちは、小さな企業だからサイバー攻撃を受ける可能性は極めて低い。なぜセキュリティ対策に予算と人的リソースを投入すべきなのか」と思われる方もいるかもしれません。自分の経験からいいますと、セキュリティ対策において企業規模はさほど重要ではありません。ハッカーらは企業規模によって攻撃を行うわけではなく、わずかな隙間を発見するとそれを狙って攻撃を行うからです。むしろセキュリティ対策がしっかりできていない小さな企業だからこそ、大きな被害につながる可能性が高いと言えるでしょう。

弊社のようなベンチャー企業は、たった1回の情報漏洩事故でも経済的な損失に加え企業としての信用も損なうことになりますので、絶好のビジネスチャンスを逃すという結果につながります。そういった意味では、クラウドブリックはWebサイトを安全に守るための、Webセキュリティ対策の初めの一歩だと思います。クラウドブリックの導入こそが、中小企業に合ったリーズナブルな価格で検証されたWAFを利用できる、最善の選択だと思います。

 

ITトレンドで1位獲得

Cloudbric WAF+、ITトレンド上半期ランキング2022で1位を獲得

ITトレンドで1位獲得

この度、当社が提供する「Cloudbric WAF+」が、法人向けIT製品の比較・資料請求サイトの「ITトレンド」のWAF(Web Application Firewall)部門において、「ITトレンド上半期ランキング2022」で1位を獲得しました。2021年にはサイバー攻撃対策製品部門で1位を、今年の上半期にはWAF部門で1位を獲得することができました。ITトレンドは現在1900製品以上が掲載されている法人向けIT製品の比較・請求請求サイトで、2022年1月1日~5月31日までの期間の資料請求数を集計した今回のランキングで、Cloudbric WAFが最も支持されたWAF製品として選ばれました。

Cloudbric WAF+は、Webビジネスにおけるセキュリティの更なる強化及び安定的な運用が図れる 一石五鳥のWebセキュリティ対策です。企業のWebセキュリティに必要な5つの機能を1つのサービスで提供しております。

  1. WAFサービス:日本・韓国・米国にて特許済みの自社開発の論理演算検知基盤エンジンに自ら攻撃を学習するAIエンジンが加わり、最新かつ高度の未知の脅威まで検知・遮断します。
  2. DDoS対策サービス:L3/4/7に対し40Gbps規模の攻撃まで検知・対応します。
  3. SSL証明書サービス:SSL更新、管理を必要としない常時SSL化を実現できます。
  4. 脅威IP遮断サービス:95ヵ国から収集された脅威インテリジェンスをもとに、脅威IPとして定義されたIPを遮断します。
  5. 悪性ボット遮断サービス:スパイウェア、アドウェア、スパムボットなどの悪性ボットを遮断します。

当社は今後も、サービスの品質向上につとめ、お客様に選ばれ続けることを目指してサービスを提供させていただきます。

ITトレンド上半期ランキング2022の詳細はこちら
https://it-trend.jp/award/2022-firsthalf/waf

データ主導権モデルの分花いモデルの責任分界点

「責任共有モデル」とは?クラウド時代のセキュリティについて徹底解説!

データ主導権モデルの分花いモデルの責任分界点

昨今、クラウドサービスの普及に伴い、多くの企業がクラウドサービスへの移行を検討していると思われます。しかし、クラウドサービスの利用時に注意したいのが、事故が起きた際に誰が責任をとればよいのか、ということです。現在のクラウドサービスの多くは「責任共有モデル」というセキュリティモデルを採用しています。しかし昨今、とりあえずクラウドを使ってみよう、という考え方が広がり、こうした「責任共有モデル」をはじめとするセキュリティについて把握しきれていない利用企業も多数あると言われています。総務省は、クラウドサービス事業者向けの「情報セキュリティ対策ガイドライン」を2021年9月に改定し、この責任共有モデルについて内容を拡充しました。

こうした事情に鑑みて、ここでは、クラウド時代の新しいセキュリティである「責任共有モデル」と弊社が提案する「データ主導権モデル」について解説していきます。また、セキュリティ対策として具体的にどのような対策があるのか、最後に紹介します。

 

責任共有モデルとは

そもそも、責任共有モデルとはどのようなモデルなのでしょうか。簡単に言ってしまえば、サービスにおける責任をクラウド事業者と利用者との間で共有するという考え方です。クラウドの登場によって、セキュリティのあり様は大きく変わったと言われています。完全に自社内だけで、インフラからアプリケーション構築、データ管理を行っている場合は、データの機密性の保持を第一に考え、外部との通信に気を遣えば、大きな問題はないと思われるでしょう。しかし、クラウドの登場により自社の「外部」にデータやアプリケーションを保持する、という運用体制が出来上がります。そのため、データやシステムに問題が起きた時にどこが責任をとるのか、どのようなセキュリティ対策を施すべきなのか、ということを考え直す必要がありました。そうして生まれたのが、「責任共有モデル」という考え方でした。

例えば、クラウド事業者がインフラ等に責任を、利用者がデータに責任を持つと仮定してみましょう。ハードウェアやネットワークについては事業者が管理し、障害等が起こった際には責任を負います。それに対して、実際にクラウド上に保存されているデータに関しては利用者が管理し、操作の誤り等による損失の際には責任を負います。このように、サービスの管理責任の範囲を明確化して共有する、という考え方が「責任共有モデル」です。

 

IaaSPaaSSaaSの「責任分界点」の違い

「責任共有モデル」に則ってサービスを運用するためには、事業者と利用者の責任範囲を明確にしておく必要があります。その責任範囲の明確化は、「責任分界点」によって成されます。「責任分界点」とはその名の通り、責任範囲を分かつポイントのことです。この責任分界点は事業者やサービスによって様々ですが、IaaS、PaaS、SaaSのそれぞれについて、一般的なものについてご紹介します。

サービス毎の責任範囲

出所:日本マイクロソフト

IaaSの責任分界点

IaaSとは「Infrastructure as a Service」の略称で、直訳すると「サービスとしてのインフラストラクチャー」となります。つまり、ハードウェアやネットワーク回線といったインフラを、インターネット上で提供するサービスです。IaaSにおいて事業者が提供するのはインフラまでです。そのため、事業者が責任を負うのもインフラまでです。IaaSの上に構築されるかOSやミドルウェア、アプリケーション、データ等に関しては、利用者の側で責任を負うことになります。そのため一般に、IaaSにおける責任分界点はハードウェアとOSの間、ということになります。

PaaSの責任分界点

PaaSとは「Platform as a Service」の略称で、直訳すると「サービスとしてのプラットフォーム」となります。PaaSはIaaSよりもさらに進んで、アプリケーション開発のためのプラットフォーム、つまりインフラに加え、OSやミドルウェアまでをインターネット上で提供するサービスです。IaaSの場合、事業者の管理責任はミドルウェアにまで及びます。ユーザーが管理できるのは、インフラ・プラットフォームの上に構築できるアプリケーションとデータ、ということになります。つまり、一般にPaaSにおける責任分界点は、ミドルウェアとアプリケーションとの間、ということになります。

SaaSの責任分界点

SaaSとは「Software as a Service」の略称で、「サービスとしてのソフトウェア」となります。SaaSはIaaS、PaaSよりもさらに進んで、ソフトウェアやアプリケーションをインターネット上で提供するサービスです。SaaSの場合はOSやミドルウェアのみならずソフトウェアまでを事業者が管理することとなるため、利用者の責任範囲はデータのみ、ということになります。しかし、利用しているソフトウェアのユーザーIDや権限設定など、利用者の側でソフトウェアの管理の一部を担うこともあります。とは言え一般に、SaaSにおける責任分界点はソフトウェアとデータとの間、ということとなります。

 

クラウド利用の複雑化による責任範囲の不明瞭

ここまで、IaaS、PaaS、SaaSそれぞれの責任分界点について解説してきました。ここまでの話からすると、責任共有モデルとは、事業者の提供しているものは事業者が、そうでないものは利用者が責任を負う、という非常にシンプルな考え方に見えます。しかし、実際はここまで単純ではありません。その理由の一つが、サービスの利用環境や契約内容等により、責任範囲が異なるということが挙げられます。「このサービスはSaaSに分類されるはずだから、データだけ見ておけばいい」といった考え方は、セキュリティ対策の見落としなどにつながる可能性があります。もう一つの理由として、複数のクラウドを利用するようになった、ということが挙げられます。例えば、「Amazon Web Service」や「Microsoft Azure」のような、IaaS、PaaSの上に独自のアプリケーションを構築し、それを一つのSaaSとして提供している場合があります。また、APIを用いて複数のサービスを組み合わせ、一つのSaaSとして提供している場合もあります。

このように、一つのSaaSが複数のクラウドサービスを使って提供されていたり、利用者の側でも複数のクラウドサービスを利用したりと、クラウドのあり方が複雑化しつつあります。そのため、責任範囲を一様に確定させることは難しく、あくまでも自社の利用しているサービスの責任範囲をしっかりと把握して、適切なセキュリティ対策を行う必要があります。

 

「責任転嫁モデル」から「データ主導権モデル」へ

責任共有モデルは、事業者が全ての責任を負うのではなく、部分的に利用者が管理し責任を負うため、事業者が利用者に責任を転嫁する「責任転嫁モデル」と揶揄されることもあります。しかし、クラウドサービスの事業者側がサービスの管理の全てを担う、という体制ではデータの機密性にも不安が残ります。そのため利用者の側は、この責任共有モデルを「責任転嫁モデル」と揶揄するのではなく、「データ主導権モデル」として見つめなおし、データ保護のためのセキュリティ対策に取り組んでいく必要があります。

それでは「データ主導権モデル」のセキュリティ対策には、どのようなものが考えられるでしょうか。

 

「データ主導権モデル」のセキュリティ対策とは

まず必要になるのが、保護範囲を明確化する、ということです。「データ主導権モデル」と言うからには、守るべきデータがどこにあるのかをきちんと把握する必要が生じてきます。そのうえで、そうしたデータに関して、セキュリティ的にどのような課題があるのかを明確化する必要があるでしょう。守るべきデータ範囲とセキュリティ上の課題が明確化したら、具体的な策をとっていくこととなります。ここでは、外部からの攻撃への対策、内部に侵入されてしまった場合の対策、そして運用・管理に関わる対策についてご紹介します。

まずは、外部からの侵入や攻撃に対する対応です。WAF(WebApplicationFirewall)の導入によって攻撃性のあるアクセスを排除したり、DDos攻撃への対策を導入したりといった対策がそれにあたります。次に検討すべきは、内部に侵入されてしまった場合の対策です。WAFも万能という訳ではありません。実際に侵入されてしまった場合に、マルウェアやデータの改ざんを検知するソフトの導入などが必要となります。しかしそれだけでは不十分です。クラウドの利便性の高さの一つの要因が、どこからでもアクセスできるという点にあります。つまり、クラウドを利用したサービスは、オフィスの外からでも社内のシステムを運用・管理できます。しかし、システムを社員が利用するとしても、社員のデバイスが正規のものか、本当に社員がアクセスしているのか、といった不安は解消できません。そのため、内部のアクセス権限を管理したり、ログを監視したり、といった対策も用意する必要があります。

ここでは、「データ主導権モデル」の具体的なセキュリティ対策例として、外部、内部、運用・管理の三段階に分けてご紹介しました。いずれの対策をとるにしても、守るべきデータ範囲とセキュリティ上の課題を明確化した上ではじめて成立する対策であることは押さえておく必要があると思います。

「データ主導権モデル」について弊社のウェビナーもありますので、ご興味のある方はこちらをご覧ください。

 

まとめ

ここでは、「責任共有モデル」とそれに準じたセキュリティについてご紹介しました。「責任共有モデル」とは、クラウドの事業者と利用者との間で責任をとる範囲を分担し、各々の管理下にあるものについてのみ責任を持つ、というモデルを指します。責任範囲は一律に決まるものではなく、自社の利用しているサービス毎に責任範囲を明確に把握する必要があります。「責任共有モデル」は「責任転嫁モデル」と揶揄されることもありますが、企業がすべきはこのモデルを「データ主導権モデル」として見つめなおし、適切なセキュリティ対策を行っていくことです。保護範囲の確定と課題の明確化を行い、そのうえでWAFの導入やDDoS対策、マルウェア検知等の策を講じていく必要があります。自社のサービスの特性や責任範囲だけでなく、守るべきデータの範囲や課題をきちんと把握することこそが、自社のデータを安全に守るための第一歩と言えるでしょう。

ちなみに、当社のCloudbric WAF+はWAF機能のみならずDDoS対策サービス機能まで提供する総合セキュリティ対策です。コストパフォーマンスと高度なセキュリティの両立できるWebセキュリティ対策をお探しの企業様にとって、最善の選択肢であると思いますので、ぜひチェックしてみてください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

 

マネージド・セキュリティ・サービス(Managed Security Service :MSS)

DX時代に求められるマネージド・セキュリティ・サービス(MSS)とは

今の時代、企業が抱えるセキュリティ課題として、人材の育成、製品導入など、時間とコストがかることが挙げられています。その対策として注目を集めているのが、コストを抑えながら導入の時間も短縮できるマネージド・セキュリティ・サービス(Managed Security Service:MSS)です。MSSは企業のセキュリティ対策をマネージド・セキュリティ・サービス・プロバイダー(Managed Security Service Provider:MSSP)に外部委託するサービスです。

MSSPは専門の技術者が24時間365日体制で監視・分析して「本当に危険なものだけ」を通知してくれます。導入を検討しているIT担当者の方向けにMSSの内容とメリットについて説明しますので、ぜひご活用ください。

 

コロナ過の影響により変化したセキュリティ対策

コロナの影響により我々の勤務形態は、従来のオフィスに出社する形からテレワークによる在宅勤務の形へシフトしました。コロナが落ち着いたとしても、この勤務形態はニューノーマルな形として継続していく可能性が高いといえるでしょう。

従来のセキュリティ対策は、オフィスとインターネットの境界線、データセンターとインターネットの境界線の対策がメインでした。しかし、今後はPCやスマホなどのエンドポイントのセキュリティ対策が重要になってくるのではないでしょうか。

引用:IPA 情報セキュリティ10大脅威 2021より

IPAが公表している「情報セキュリティ10大脅威2021」でも、3位に「テレワーク等のニューノーマルな働き方を狙った攻撃」が入りました。昨年にはなかった、新たな脅威となっています。脆弱性のあるVPNソフトの利用、自宅のインターネットの対策不備による不正侵入などが事例として挙げられています。

警察庁が公表したデータ「サイバー空間における脆弱性探索行為等の観測状況」でも観測数が増加していることが分かります。

引用: 警察庁 令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について

表は警察庁がインターネット上に設置したセンサーにより検知した不審なアクセス件数(1日平均)です。令和3年上半期の検知件数は、1日平均で6,347.4件の不審なアクセスを検知しました。新型コロナウイルスが発生した令和2年上半期から検知件数が増加していることが分かります。増加の理由は、やはり脆弱性のあるVPNソフトやエンドポイントへのサイバー攻撃、または脆弱性を探す探索行為とみられています。

この2つのデータから分かることは、攻撃者はコロナ過の影響を利用してサイバー攻撃や探索行為を増加させていることです。在宅勤務で利用されるPCやスマホを新たなターゲットとしていることです。

攻撃者からサイバー攻撃を防ぐために、いち早く状況を把握できる対策を講じる必要があります。それでは、MSSがどのようにして「いち早く状況を把握できるか」について説明します。

 

マネージドセキュリティサービスとは

MSSは企業が保有するセキュリティ関連のログ監視・運用をMSSPにアウトソースするサービスです。具体的には、MSSPが提供するSIEM(Security Information and Event Management:シーム)という管理・分析用のツールにセキュリティ関連のログを保存して相関分析をします。この相関分析によりウイルス感染や不正アクセスなどをしている危険性を検知して、危険度に応じ通知するというサービスです。

監視対象はインターネット境界線のファイアウォールや IPS/IDS、UTM(Unified Threat Management)、WAFなどログ分析がメインです。

 

MSSPとSOCの違い

MSSPと関係性が深いので、SOC(Security operations center:ソック)とMSSPの違いについて説明します。MSSPは自社内にSOCと呼ばれるセキュリティ専門の組織を持っています。SOCは日々の業務で、インターネット上の不正な通信先や新たな脆弱性など、様々な脅威情報を収集しています。

MSSPは契約先のセキュリティ対策をするサービスです。そこにはSOCとの連携がありサービス提供を可能にしています。SOCはMSSPより上位にある大きな組織(MSSP<SOC)となります。

 

SIEMによる相関分析

SIEMは相関分析するため、監視対象から出力された大量のログを一括で保管します。そして、それぞれのログを時系列に並べ相互の関係性がわかるような状態で監視します。例えばWAFのログ上で、脅威情報にある不正な通信先とアクセスしているPCがあれば、検知することが可能になります。

これがSIEMによる相関分析のメリットなのですが、これにはどうしても高い技術力が必要になります。そのため、MSSPにセキュリティ対策をアウトソースすることを推奨します。

 

MSSの今後

なお、エンドポイントセキュリティやクラウドサービスへのセキュリティ対策へのニーズは高まりつつあるためMSSの今後5年間の年平均成長率は7.9%と予想されています。

2021年の2,429億米ドルから、2026年には3,548億米ドルに達すると予想されています。このことからMSSは、今後さらにサービス内容が充実することが見込まれます。

 

マネージドセキュリティサービスプロバイダ(MSSP)を利用するメリット

MSSP利用による主なメリットを3つご紹介します。

 

MSSPによる24時間365日の監視

MSSPによる監視は24時間365日が通常です。特に攻撃者は業務が終了した深夜や休日に侵入を試みる傾向があります。しかし、セキュリティ担当者が不在でもMSSPにより監視は継続されるため担当者の負荷が軽減、かつ安心度が向上します。また、海外に拠点をもつ企業には特に有効なサービスといえます。

 

MSSP専門家の分析により安全レベルが向上

MSSP専門家による分析で、誤検知のない分析により安全レベルが向上します。WAFを例に挙げると、導入しているWAFから出力される膨大なログを分析して「本当に危険なものだけ」を検知し通知してくれます。セキュリティ対策は安全面を優先して対応するため、誤検知はどうしても発生します。MSSPは「本当に危険なものだけ」に絞っての通知は余計な対応がなくなるというメリットがあります。

さらにMSSPから「本当に危険なものだけ」の通知により、セキュリティ担当者の意識向上につながったという実例もあります。これは余計な対応が減り、WAFの場合、Web改ざんされる前に自動で攻撃を遮断して管理者に通知してくれる、など、本当の問題に対処した結果ではないでしょうか。また、パッチ適用期間の短縮、実際のウイルス感染したエンドポイントの初動対応の向上、調査方法の手順化など、改善対策に時間をあてることが可能になったという報告もあります。

 

MSSPから最新のセキュリティ情報の入手

MSSPはSOCから最新のセキュリティ情報を入手しています。そこには通信先のブラックリストや脆弱性情報、サイバー攻撃の実例があります。これらの情報をインプットしておくことで、次の防止策の策定が可能になります。例えば、セキュリティパッチ適用が必要になる脆弱性情報などです。インターネットの境界線にある機器へのセキュリティパッチ適用は、サービス停止を伴うため敬遠されがちです。しかし、導入している機器のサイバー攻撃の実例を確認した場合はどうでしょうか。少なくともパッチ適用の時間や費用の見積もりを取得するのではないでしょうか。このように最新情報の入手は、セキュリティ対策に欠かせない対応となります。

クラウドブリックは「Cloudbric Security Platform」上で提供される「Cloudbric WAF+」「Cloudbric ADDoS」「Cloudbric RAS」など、すべてのサービスをマネージド・セキュリティ・サービスとして提供しています。95ヵ国100,000レファレンスから収集されるインテリジェンスを活用した脅威自動検知技術とセキュリティ専門家による高度な分析技術で更に強力なセキュリティレベルを確保することを可能にしました。

また、 世界中から収集したWeb脆弱性やリスク情報をセキュリティ専門家が分析した結果を提供するプラットフォーム「Cloudbric Labs(クラウドブリック・ラボ)」も利用できます。2018 Cybersecurity Excellence Awardsでは「今年のサイバーセキュリティプロジェクトのアジア・パシフィック部門」を受賞した経歴があります。

セキュリティに専門的な知識を持っていない一般の方でも高まっているWeb脅威に対して積極的に対応できるようにすべての情報を無料で公開しています。Threat DB、WAFER、Threat Indexという3つのサービスにより個人からセキュリティ専門家まで、Web、モバイル、ブロックチェーン等サイバーセキュリティを向上させるのに役立つサービスとなっております。

 

まとめ

サイバー攻撃への対策に必要なことは、まずは現在の状況を把握することです。そのための状況の「可視化」は不可欠な対応となります。この「可視化」には、SIEMのように大量のログを管理・分析できるツールとサイバー攻撃の知見を持つ専門家が必要になります。MSSは「可視化」することで高度なセキュリティ対策を実現するサービスです。MSS導入により得られるメリットを認識いただけますと幸いです。

クラウド型セキュリティ・プラットフォーム・サービス:Cloudbric Security Platform

https://www.cloudbric.jp/cloudbric-security-platform/

Threat Intelligence Managed Service:Cloudbric Labs

Cloudbric Labs

11月9~18日「韓国 IT EXPO」出展のお知らせ

この度、11月9日(火)~18日(木)に開催される「韓国 IT EXPO 2021」に、クラウド型セキュリティ・プラットフォーム・サービス「Cloudbric」を出展いたします。

「韓国 IT EXPO 2021」では、韓国のセキュリティ、ニューノーマルとDX、AIスタートアップ等の精鋭ベンチャー企業33社を集め、セミナーとビジネスマッチングを行います。

当社は、 企業情報セキュリティにて必要とされているすべてのソリューションを統合された一つのプラットフォームで選択的導入できるクラウド型・セキュリティ・プラットフォーム・サービス「Cloudbric」をご紹介します。

韓国の最新IT情報をいち早く得たい方、韓国企業とのビジネスをお考えの方は、お気軽にお申込みください。
なお、  ビジネスマッチングをご希望の方は、ご都合の良いお日にち・お時間をお選びいただき、ご予約ください。

 

「韓国 IT EXPO」開催概要

■日時:2021年11月9日(火)~18日(木)

■場所:オンライン

■主 催:大韓貿易投資振興公社(KOTRA)

■お申込み:http://www.kotrait.or.jp/semina/entry/entry_etc2.html

 

出展製品

クラウド型セキュリティ・プラットフォーム・サービス「Cloudbric Security Platform」

  • Cloudbric WAF+:企業Webサイトを守る 一石五鳥のWebセキュリティ対策、クラウド型WAFサービス
  • Cloudbric RAS:テレワークを支える、認証基盤リモートアクセスソリューション
  • Cloudbric ADDoS:Edge Computingで実現された最適解、クラウド型DDoS攻撃防御サービス

 

製品・サービスに関するお問い合わせはこちら

サービス体験はこちら

無償トライアル申請はこちら

パートナー制度お問合せはこちら

中堅・中小企業のWebセキュリティ対策

中堅・中小企業のWebセキュリティ対策は何から取り組むべき?

インターネットの普及を背景に、悪意のある第3者からのサイバー攻撃に備えて、Webセキュリティ対策をしておく必要があります。もちろん、大企業だけでなく、中堅・中小企業も同様に、Webセキュリティ対策は意識しておかなければなりません。そもそも、悪意のある第3者からの攻撃を受けているのは大企業だけではなく、近年は中堅・中小企業が被害に遭う割合が増加傾向にあります。しかし、そんな中堅・中小企業のWebセキュリティ対策の方法が分からないこともあるでしょう。

本記事では、中堅・中小企業のWebセキュリティ対策で取り組むべきことについて解説しています。

 

Webセキュリティ対策を立てていく中堅・中小企業の特徴とは?

年々、増加傾向にある悪意のある第3者からのサイバー攻撃。そのなかで、特にターゲットとされる事案が増加しているのが中堅・中小企業です。

中堅・中小企業がターゲットとされる理由は?

悪意のある第3者が中堅・中小企業を攻撃のターゲットにする理由は、大企業と比べてWebセキュリティ対策をきちんとしていないところが多いためです。そもそも、中堅・中小企業が大企業と比べてWebセキュリティ対策が不十分な理由は、「まさか自社がターゲットにされることはない」という意識の低さもありますが、経営状況も大きく影響するようです。Webセキュリティ対策には、膨大な費用もかかりますし、基本的には担当者を設けなければ上手く運用できません。

悪意のある第3者が中堅・中小企業をターゲットとする目的は?

悪意のある第3者が中堅・中小企業をターゲットとする目的は、大企業と比べて対策が疎かになっていることは前述しましたが、実はそれだけではありません。他にも、「本命のターゲットの足がかり」とする目的で狙われることがあります。そもそも、本命とする企業が強固なWebセキュリティ対策をしている場合、直接攻撃することは困難です。そのため、本名のターゲットと直接取引のある中堅・中小企業を足がかりとして狙うケースも珍しくありません。このようなた場合、足しかがりとするために狙われた中堅・中小企業は、サイバー攻撃による直接的な被害に加えて、情報を流出させてしまったことで取引先の大企業から損害賠償を求められるなど、間接的な被害も受けてしまうことも考えられます。

 

中堅・中小企業におけるWebセキュリティの脆弱性とは?

中堅・中小企業で、悪意のある第3者による攻撃を受ける可能性がもっとも高いツールが企業ホームページやキャンペーンページ等のWebサイトです。そして、そのWebセキュリティの脆弱性を衝いた攻撃の手口としては、主に以下の手法が存在します。

  • SQLインジェクション
  • クロスサイトスクリプティング
  • DoS攻撃
  • ランサムウェア

中堅・中小企業のサイトで「お問い合わせフォーム」を設けており、Webセキュリティ対策が不十分な場合は、SQLインジェクションやクロスサイトスクリプティングで攻撃される可能性があります。SQLインジェクションとは、お問い合わせフォームにデータベースの管理や操作を行うための言語である「SQL」を混在させた文章を送り、データベースが不正に操作されて情報を奪う手法をいいます。

SQLインジェクションについての詳細を知りたい方は、こちらの記事をご覧ください。

SQL Injectionとは?脆弱性に対する3つの対策について解説!

また、クロスサイトスクリプティングは、お問い合わせフォームに不正なJavaScriptが埋め込まれたことで、Webサイトが不正改ざんされる手口です。ちなみに、お問い合わせフォームを設けていなくてもこれらのサイバー攻撃を受けることがあるため、中堅・中小企業にとって安心はできません。

例えば、DoS攻撃の被害を受ける危険性があります。DoS攻撃とは、Webサイトに短期間で数万回もアクセスすることにより、ページの表示を極端に遅くしたりサーバをダウンさせたりする手口のことをいいます。そして、これらの攻撃を受けた後、ウィルス(ランサムウェア型)によってパソコンなどが操作不能状態にされた後、悪意のある第3者が解除を条件にお金(身代金)を要求してくるランサムDDos攻撃をしてくる危険性もあります。

ランサムDDos攻撃についての詳細を知りたい方は、こちらの記事をご覧ください。

ランサムDDos攻撃とは?最適な対応策について解説!

 

 中堅・中小企業がサイトを運営する際に必要なWebセキュリティ対策とは?

中堅・中小企業にとって、悪意のある第3者が攻撃してくるツールとして、ホームページがターゲットとなりやすいことは前述しました。このような背景から、Webサイトを運営する中堅・中小企業は、しっかりとしたWebセキュリティ対策をしておく必要があります。しかし、その必要性が高いことは分かっても、具体的なWebセキュリティ対策について分からないこともあるでしょう。ここでは、Webセキュリティ対策の始め方や具体的な施策方法について解説しています。

Webセキュリティ対策は何から取り組むべき?

中堅・中小企業がWebセキュリティ対策に取り組むためには、何を守りたいのか明確にしましょう。大企業と違って、中堅・中小企業はWebセキュリティ対策に費やせる費用や人員が限られています。そのため、すべてのWebセキュリティ対策を施策することができない場合もあります。

次に、自社のWebセキュリティの現状を把握しましょう。自社の情報システムの現状はどうなっているのか、そして現在、どこまで対策できているのかを把握しなければなりません。そこを理解すると、中堅・中小企業において、守るべき対象を脅威から守るための施策方法を見出せます。そして、自社のWebセキュリティ対策の状況を把握するのに便利なツールが、独立行政法人情報処理推進機構(IPA)が提供している「5分でできる!情報セキュリティ自社診断シート」。これは、簡単な問いに回答していくだけで、自社のWebセキュリティ対策の現状や問題点などを見つけてくれるツールです。

今すぐWebセキュリティ環境を診断する

Webセキュリティ対策の具体的な施策方法とは?

中堅・中小企業向けの対策として、まず紹介するのが「セキュリティプラットフォーム」の導入です。セキュリティプラットフォームとは、1つシステムで攻撃からの脅威に対抗する各種機能を一元管理できるプラットフォームのこと。導入すると、下記の内容が1つの管理画面で統合管理できるためおすすめです。

  • ファイル操作制御
  • アプリケーション制御
  • ハードディスク/ストレージ制御
  • ネットワーク制御
  • 盗難紛失対策
  • セキュリティ対策(アンチウイルスやファイアウォール)
  • 標的型攻撃対策
  • ランサムウェア対策

また「常時SSLの導入」も、中堅・中小企業向けのセキュリティ対策の1つ。さらに、中堅・中小企業は、Webサイトにかかる費用を少しでも安くするため、「お問い合わせフォーム」などの一部のページのみを共有SSLにしていることが多いです。ちなみに、会社独自のドメインに対してSSLを導入し、全ページを暗号化して保護する常時SSLを導入すれば、サイトの全ページが悪意のある第3者からの攻撃から守ることができます。しかし、これらの導入には、当然費用がかかります。

とはいえ、コロナ禍において中堅・中小企業が、前述したような内容で費用をかけることは抵抗があることでしょう。そこで、「サイバーセキュリティ対策助成金」を活用する方法があります。例えば、東京都と東京都中小企業振興公社が、都内にある中堅・中小企業を対象に、企業がWebセキュリティ対策を実施するために必要な設備等の導入経費の一部を助成してくれます。こうしたWebセキュリティ対策に対する助成を行っている県・市町村は数多く存在するため、探してみてはいかがでしょうか。

サイバーセキュリティ対策促進助成金について、詳細を知りたい方はこちらをご覧ください。

 

あとがき

今回は、中堅・中小企業のWebセキュリティ対策は何から取り組むべきなのか?というテーマで解説してきました。現代社会において、中堅・中小企業でもWebセキュリティ対策は重要です。Webセキュリティ対策が不十分だったことで、悪意のある第3者からの攻撃により直接的な被害を被る危険性があります。また、間接的な被害を受けたことで信用を失い、金銭的にも大損失に繋がる可能性があるため注意しなければなりません。

Webセキュリティ対策には、莫大な費用がかかることはありますが、損失のことを考えれば、早急に施策しておくべきでしょう。本記事が、何からWebセキュリティ対策に取り組めばよいのか分からない、中堅・中小企業の担当者様の参考になれば幸いです。

 

ちなみに、当社で提供するCloudbric WAF+は、Webサイトを守るための5つの対策を、統合したプラットフォームにて提供しております。
コストパフォーマンスと高度なセキュリティを両立できるWebセキュリティ対策をお探しの企業様にとって、最善の選択肢であると思いますので、ぜひチェックしてみてください。

Cloudbric WAF+の詳細はこちら

Cloudbric WAF+