Cloudbric 脆弱性診断

クラウドブリックとペンタセキュリティ、 Web サイトに特化した脆弱性診断サービスの提供を開始

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)と情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、2023 年4 月12 日より、「Cloudbric 脆弱性診断」の新サービスとして企業のWeb サイトに特化した「Web サイト診断」の提供を開始します。 ...

IPS

IPSとは?機能やIDSとの違いなどを解説

IPS 近年ますます巧妙化するサイバー攻撃に対応するには、侵入者に対する単一のセキュリティ戦略だけでは十分ではありません。従来のファイアウォールに頼ったセキュリティでは、侵入を許したが最後、組織の重要な情報資産を守ることは困難です。本記事では、ファイアウォールの穴を補完して組織のセキュリティをさらに強化するソリューションである「IPS」について分かりやすく解説します。  

IPSとは?

IPSとは、ネットワークやサーバー上のトラフィックをリアルタイムに監視し、不正侵入を検知して、管理者への通知やブロックなどの対策を講じるセキュリティツールのことです。IPSは「Intrusion Prevention System」の略称で、日本語では「不正侵入防止システム」と訳されます。  

・IPSとIDSとの違い

IDS(Intrusion Detection System)は「不正侵入検知システム」と訳されます。その名の通り、悪意あるアクセスを検知し、管理者にその異常を通知することを目的としたシステムです。一方のIPSは、IDSの機能に加えて、管理者の判断を待たずして自動的に不正アクセスをブロックする機能も持っています。これによって、IPSはIDSよりも迅速に攻撃を防ぐことが可能です。  

・IPSとファイアウォールとの違い

ファイアウォールとは、ネットワークの外部と内部との境界に設置され、基本的に外部から内部へと侵入しようとする不正トラフィックを監視・ブロックするセキュリティです。ファイアウォールもIPSも、攻撃の排除を目的としている点は共通していますが、その仕組みが大きく異なります。 ファイアウォールが不正トラフィックを検知する際に参照するのは、IP アドレスやポートといった「どこからアクセスしているのか」という情報です。これに対してIPSまたはIDSは、疑わしいパターンやシグネチャー(兆候)を特定して攻撃をブロックします。それぞれで役割や監視対象が異なるため、ファイアウォールとIPSの両方を使って複数の方法で不正トラフィックを特定できるようにすることで、セキュリティをより強化することが可能です。  

・IPSとWAFの違い

WAFとは「Web Application Firewall」の略称で、WebサイトやWebアプリケーションを防御するセキュリティのことです。IDSやIPS は、OSやミドルウェアといったプラットフォームに対する不正アクセスや攻撃を防御するため、WAFとIDS/IPSでは防御できる層が異なります。 ファイアウォールがネットワークの最前線に展開される防御網だとすれば、その背後にIDS/IPS、さらにWAFが展開される形です。強力な多層防御を構築するためには、ファイアウォールとIDS/IPSに加えて、WAFも導入すると良いでしょう。Webサイトは最も外部ユーザーにさらされている部分のひとつであるため、特にWebサイト運用している企業にとってWAFの導入は非常に重要です。 【関連記事】Cloudbric(クラウドブリック) Webセキュリティ    

IPSの種類

IPSには複数の種類があり、セキュリティ対象や設置方法に応じて違いがあります。そこで以下ではIPSの種類ごとの違いを解説します。  

・IPSの検知対象に関する違い

IPSには不正アクセスを検知する機能がありますが、「どのような方法で検知するのか」という点で、アノマリ型とシグネチャー型の2種類に分けることが可能です。両者の違いを簡単に説明すると、アノマリ型は「正常なトラフィック」を検知し、シグネチャー型は「不正なトラフィック」を検知するという点で分けられます。  

ーアノマリ型

アノマリ型は、あらかじめ正常なトラフィックパターンを定義し、その定義から外れた挙動をすべて異常と検知する方法です。具体的には、プロトコルやトラフィック量が登録している値と異なる場合などに、不正アクセスと判断します。シグネチャー型と比べ、未知の脅威を検知しやすい点がアノマリ型の特長です。  

ーシグネチャー型

シグネチャー型は、過去に経験した攻撃のシグネチャー(兆候)に基づいて正確に攻撃をブロックします。システムに登録された攻撃の不正パターンと照合して不正アクセスを特定するため、既知の攻撃に対して正確かつ自動化された防御が可能です。また、誤検知の発生を抑えられるメリットもあります。  

・IPSの監視対象に関する違い

IPSは、設置する場所によってネットワーク型とホスト型に分けることが可能です。どちらに設置されるかによって、IPSの監視対象や監視範囲が異なります。  

ーネットワーク型

ネットワーク型はその名の通りネットワーク上に設置され、そこを流れるトラフィックを監視するIPSです。設置された区画内のネットワークしか監視できない一方、ホスト型と比べて広範なトラフィックをカバーします。複数のネットワークを運用している場合は、その数だけIPSの設置が必要です。  

ーホスト型

ホスト型は、サーバーなどのハードウェアにインストールして、そのハードウェア自体を監視するIPSです。ネットワーク型に対して監視できる範囲は狭いものの、個々のハードウェアを詳細に監視できる点に特長があります。単に不正アクセスを検知するだけでなく、ファイルの改ざん防止なども検知することが可能です。  

まとめ

IPSとは、ネットワークやホスト上で不正アクセスを検知し、防御する機能を持ったセキュリティソリューションです。不正アクセスを検知するという点ではIDSと共通していますが、管理者に異常を通知するだけでなく、自動でブロックできる点に特長があります。 IPSは、ファイアウォールやWAFとは異常を検知する方法や、防御できる層が異なります。近年のサイバー攻撃はますます巧妙化しているため、ファイアウォールだけでなく、IPSやWAFを併用して多層的に防御する必要があります。複数のセキュリティツールを組み合わせることで、たとえひとつの防御網が突破されたとしても、他の部分で攻撃を検知・ブロックし、被害を抑えることが可能です。   ...
JP-hosting_logo

JP-HOSTING

JP-HOSTING

JP-HOSTINGは、東京を拠点にサーバーの賃貸とホスティング事業を行っています。グローバル企業のEQUINIX、FORTINET、SOFTBANKなどとパートナーシップを持っており、データセンター専用回線を通じてより安全で快適なサーバー管理をお手伝いしています。

Cloudbricの導入を検討したきっかけを教えてください。

2016年頃から増え続けるサイバー攻撃への対策として社内でWAF導入を検討しました。最初の段階では自社開発も考慮しましたが、しつこい攻撃や進化する手法には到底かなわないと判断しました。当社の場合、どんなに小さな脆弱性であっても見逃すことなく防御できる高性能の企業向けWAFが必要だったため、セキュリティ分野で比較的知名度の高いブランドで技術力の高いCloudbric WAFを選択しました。

WAF選定時、最も重視されたポイントを教えてください。

先ほども言いましたが、知名度の高いブランドというのは、特にセキュリティ分野ではかなり重要なポイントであると思います。ただし同じ条件ならば、やはりコストが最もリーズナブルなサービスが優先されるでしょう。そういった意味で、リーズナブルな料金で高度のWebセキュリティ対策を利用できることが大きなメリットでした。Cloudbric WAFはクラウド基盤で提供されるため、オンプレミス型と比べたら初期費用を低く抑えることができます。それに「FQDN数」と「ピーク時のトラフィック」を基準にきめ細かいプランになっていて、当社環境に最適なプランを利用し高いレベルのWebセキュリティ対策を備えることができました。

クラウドブリックを利用した感想をお聞かせください。

Cloudbric WAFサービスは24時間365日技術サポートを提供してくれます。導入してからずっと思っていることでもありますが、お問い合わせに快速に対応してくれるという印象があります。コミュニケーションのスピードが速いながらも、充実にサポートしてくれてすごく助かった経験があります。

クラウドブリックの導入後、効果はございましたか。

Cloudbric WAFの導入後、 確実に当社サーバファーム(SERVER FARM)への攻撃が減っていて、攻撃対応にかかる手間やコストも大幅に削減することができました。そして、攻撃に対する綿密な対応ができるようになりました。Cloudbric WAFのダッシュボードにて詳細ログ情報の閲覧・SNMP登録・アラートボット(Notification Bot)の設定など様々な機能が提供されますが、それらをElasticsearchのような可視化ツールと連携させることで、攻撃ログやそのフローなどを把握することもできます。これによって、発生しうる攻撃への予防にも役立っています。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

誰でも簡単に使えるダッシュボードではないかと思います。セキュリティに詳しくない人でも、一回触ってみたらすぐに覚えられるほどの直観的で分かりやすくなっています。それに、リアルタイム性や正確度も優れていると思います。個人的には、攻撃のログ統計や分析のみならず自動レポート作成など、Cloudbric WAFにて提供される様々な機能を簡単に使えるようになっていて非常に便利でした。たった1回のクリックで例外URLを登録できるというところもユーザの立場を考慮した繊細な機能だと思います。

最後に一言お願い致します。

Web攻撃対応の基本対策としてのWAFの導入を検討している企業も多いと思いますが、多くの企業が見落としやすいことは、Web攻撃は「いつ攻撃してくるか分からない」「思ったより頻繁に起きている」「大したことじゃないと思った攻撃によって致命的なリスクを負う可能性もある」という点です。実際に、administratorのスクリプトと攻撃者のスクリプトは類似しているため区分が極めて難しいです。だからこそ、WAFの導入時には、あらゆる観点からの全ての項目を比較・検討した上で導入を決める必要があります。我々の経験からみると、セキュリティ技術、導入の手続き、自社環境に合わせて構築できるという点、徹底したサポート体制において、Cloudbric WAFは確信頼できる製品だと思っております。細かいところまでコントロールできるGUIやIPもしくはURL経路のThreshold Triggerなどが備わっているため、利便性が高いところもおすすめポイントだと思います。もしWAF導入を検討されているIT担当者なら、Cloudbric WAFをぜひチェックしてみても良いと思います。 ...
中国ハッカー集団によるサイバー攻撃

中国のハッカー集団「暁騎営」による韓国の公共機関へのサイバー攻撃と、韓国インターネット振興院(KISA)の対策とは?

中国ハッカー集団によるサイバー攻撃 2023年1月末、韓国では旧正月の時期に緊急事態が発生しました。中国のハッカー集団「暁騎営が、韓国の公共機関に対する大規模なサイバー攻撃を行いました。暁騎営は、12 の学術機関のWebサイトをハッキングし、オープンソースコミュニティのGithubで個人情報を流出させました。 個人情報には、政府機関や公共機関はもちろん、POSCO、LG電子、サムスン電子、現代製鉄、クムホタイヤといった韓国大手企業の電子メールアドレスも含まれており、 氏名、所属、IDとパスワード、携帯電話番号、勤務先電話番号、勤務先、自宅住所など、計161名の個人情報が流出したことが明らかになりました。 韓国インターネット振興院 (KISA) は、民間の被害者157 名の個人情報を保有する組織や企業に対して、流出実態の確認と追加のセキュリティ対策を実施するよう促しました。一方、ハッカーの標的となった 12 の学術機関のWebサイトはまだ完全に回復していないため、被害は依然として進行中です。 このようなサイバー攻撃に対しては、Webサイトのセキュリティソリューション、定期的なセキュリティチェック、脆弱性の継続的なモニタリングなど、セキュリティシステムを通じて積極的に対応することが重要です。    

韓国インターネット振興院(KISA)による民間企業へのセキュリティガイド

中国のハッカー集団による大規模なサイバー攻撃を受けて、韓国インターネット振興院(KISA) は、民間企業のWebサイトのセキュリティを強化するよう、ガイドラインを発表しました。内容は以下の通りです。
  1. ログイン機能のあるサイトの場合、定期的に不正アクセス履歴の確認や異常IPのブロックを行い、関係機関と共有する
  2. IP ごとのログイン回数にしきい値を設定し、CAPTCHA などの認証方式を使用して不正ログイン防止を強化する
  3. パスワードの変更と 2 要素認証により、ユーザーアカウントのセキュリティを強化する ・登録ユーザーのアカウントセキュリティ管理を強化する ・複数のサイトでアカウント情報が重複しないようにする ・複雑なパスワードを設定し、3 カ月ごとに定期的に変更する ・IDとパスワードに加え、OTPやSMSなどによる2段階認証を有効にする ・アカウント情報が漏洩した場合は、同じ情報を使用しているすべてのサイトのパスワードを変更する
  4. 重要なユーザー情報 (通信料金など) が変更された場合、 SMS通知などのアラート機能を強化する
  5. 関連サービスの保守や業務委託先のセキュリティ強化を依頼する
 韓国インターネット振興院 (KISA) のセキュリティガイドラインに沿って、サイバー攻撃やハッキングなどの脅威に対応し、Webサイトのセキュリティを強化する方法を具体的に見てみましょう。    

異常なIPと不正ログインのブロック

インターネットに接続されたWebサイトは、その規模に関係なく、いつでもサイバー攻撃の標的になる可能性があります。無差別なサイバー攻撃に対抗するためのセキュリティ サービスの実装が必要です。 Webサイトセキュリティの最も基本的なセキュリティ対策は、「WAF (Web Application Firewall)」の実装です。 Cloudbric WAF構成図 Cloudbric WAF+ は、インストールなしで迅速かつ簡単に実装できるクラウドベースのWebセキュリティサービスです。WAF(Web Application Firewall)機能に加えて、無料のSSL/TLS、DDoS保護、ボット制御、悪意のあるIPのブロックなど、企業がWebセキュリティを構築するために不可欠な 5 つのサービスを提供します。 Cloudbric WAF+ は、95 カ国の 700,000 以上の Webサイトから収集された脅威インテリジェンスに基づいて、悪意のあるIPをブロックし、発生する可能性のあるサイバー脅威を未然に防ぐことができます。 Cloudbric WAF+ は、ロジックベースの検知エンジンと独自のAIエンジンを備えており、堅牢なセキュリティを実現します。米国、欧州、韓国、日本、中国の 5 カ国で特許を取得したロジックベースの検知エンジンは、新しい攻撃が発生すると、自動的に検出および分析します。Cloudbric WAF+ は、データの意味と構造を理解することで、隠れた、または改ざんされた新しいWeb攻撃パターンを正確に検出するため、誤検知率が低くなるのです。 Cloudbric WAF+についてはこちら    

DDoS攻撃

セキュリティの脅威は常に私たちの周りにあり、ハッキングに加えてDDoS攻撃(分散型サービス妨害攻撃)も国内外で継続的に発生しています。 DDoS攻撃は、複数のシステムから大量のリクエストを送信して、Webサーバーに過剰な負荷をかけるものです。DDoS攻撃により、Webサーバー上のすべてのデータが削除されたり、情報が漏洩したりする可能性があるため、予防策を講じることが非常に重要です。DDoS攻撃は年々巧妙化・複雑化していますが、既存のセキュリティ対策ではすべてのDDoS攻撃を防ぐことはできず、新たな脅威に備える必要があります。 Cloudbric ADDoS は、エッジコンピューティングテクノロジーに基づいてDDoS攻撃インテリジェンスを収集、分析、配布する高度なDDoS防御サービスであり、世界中のどこからでも攻撃を迅速にブロックできます。  このサービスは、頻繁に発生する従来の攻撃、マルチベクトル攻撃、アプリケーションレベルの攻撃など、あらゆる形式のDDoS攻撃に対応できます。  大規模DDoS攻撃を防御できる「Cloudbric ADDoS」についてはこちら    

まとめ

サイバー攻撃は年々進化を続けています。ますます高度化するセキュリティの脅威に対応するには、Cloudbric のクラウドベースのセキュリティソリューションを活用して、個人情報・機密情報などの重要なデータを保護することをおすすめします。  

【参照サイト】

韓国インターネット振興院(KISA) https://www.boho.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=4&categoryCode=&nttId=67129 聯合ニュース https://www.yna.co.kr/view/AKR20230125076600017 Boan News https://www.boannews.com/media/view.asp?idx=113708 韓国経済新聞 https://www.hankyung.com/international/article/2022110588357     ...
OSコマンドインジェクション

OSコマンドインジェクションとは?仕組みや実例・対策を解説

OSコマンドインジェクション 外部からWebサイトやシステムに不正に侵入するサイバー攻撃のひとつに、OSコマンドインジェクションがあります。企業は、重要なデータの漏えいやさまざまな脅威を引き起こす攻撃などに対して、どう対策するのかを考えることが重要です。 この記事では、OSコマンドインジェクションの概要・仕組みから、被害の実例、対策方法まで解説します。  

OSコマンドインジェクションとは

OSコマンドインジェクションとは、Webアプリケーションの脆弱性を狙って行われるサイバー攻撃の一種です。攻撃者はWebサイトにサーバーOSへの命令文(コマンド)を含めた不正な文字列を入力し、プログラムを実行させて情報漏えいや情報改ざんなどの攻撃を行います。 具体的には、Webアプリケーション内のメールアドレス入力欄へ、メールアドレスと一緒に命令文に変換される恐れがある不正な文字列を入力します。入力されたデータに含まれる不正な文字列が実行されると、サーバー上のプログラムが操作されるという攻撃方法です。 攻撃の被害に遭うと、入力データから行われると想定されていないコマンドが強制的に実行されるトラブルが生じます。    

OSコマンドインジェクションの仕組み

OSコマンドインジェクションは、ユーザーが情報を入力するフォームがあるWebサイト上で行われる攻撃です。仕組みの詳細は以下です。
  1. サイトのフォームやWebサイトを通じて、攻撃パターンを記載した入力データをWebサーバー上にある”Webアプリケーション”に送信
  2.  入力文字列の組み立ての際に不正なOSコマンドが含まれた文字列を生成
  3.  不正な命令コマンドがシェルに受け渡され、実際にOSコマンドが実行される
OSコマンドインジェクションは、一定の文字列を入力した場合に、複数のプログラムを起動・実行できるソフトウェア「シェル」を使って行われます。不正な命令コマンドは、シェルを呼び出して攻撃者が意図した通りにプログラムを実行し、データ漏えいなどの攻撃を行います。    

OSコマンドインジェクションで発生しうる脅威

攻撃者がWebアプリケーションを通じてOSを動かすコマンドを送る際、さまざまな操作を行うため、攻撃内容は多様です。システムを操作されて甚大な被害につながるケースもあります。 攻撃により発生しうる脅威には、サーバー内にあるファイルへのアクセス、改ざん、削除などがあります。さらに機密情報の漏えいや、ウイルスやワームといった不正なプログラムをダウンロード・実行されるなど、マルウェアへの感染にも注意が必要です。 気づかないうちに侵入されてサーバー自体を乗っ取られるケースや、迷惑メールの送信・システムを攻略するための調査など、他のシステムに対する攻撃の踏み台に使われるケースもあり、大きな問題が生じる恐れがあります。    

OSコマンドインジェクションの事例

実際に、多くの企業がOSコマンドインジェクションの被害に遭っています。企業Webサイトへの不正アクセスや個人情報流出など、さまざまな被害事例を紹介します。  

・企業Webサイトへの不正アクセスと改ざん

企業WebサイトにOSコマンドインジェクションによる攻撃が行われた事例では、Webサイトへの不正アクセス、改ざんによる被害が発生しました。サイトを運営しているベンダーが異常に気づき、不正が発見された事例です。 海外からMovableTypeの脆弱性を利用して行われた攻撃により、Webサイトのインデックスファイルと、作成・表示するCMS(Content Management System)であるWordPressファイルの一部が改ざんされました。個人情報などのファイルはWebサーバー上には保存されていなかったため、情報の漏えいや改ざん被害には遭っていません。 この事例では、攻撃者がWebサイトに不正にアクセス・改ざんした後、さらにWebサイト上のファイルに変更や不正ファイルを挿入しようとした際にWordPressが不安定になったため、攻撃者からのアクセスができなくなりました。  

・テレビ局における個人情報流出

テレビ局がOSコマンドインジェクションの被害に遭った事例もあります。急激にサーバーの負荷が上昇したことから調査を行った結果、不正アクセスが行われた事実を確認、さらにデータベース内の非公開情報もコピーされていました。コピーされた情報は番組への応募フォームに投稿した約43万件の個人情報で、データから氏名・住所・電話番号などが分かってしまいます。 ログ解析の結果からOSコマンドインジェクションによる攻撃と判明したため、被害が発見されたソフトウェアを削除、データを安全な場所に移動する対策でそれ以降の被害を防止しています。テレビ局側は、より高度なセキュリティ対策の採用も検討しているとの発表もしています。    

OSコマンドインジェクションの対策

OSコマンドインジェクション被害に遭わないためには、対策を立てなければなりません。Webサイトのシステム側に不正な文字列を実行しないように設定するさまざまな対策方法で、被害を防ぐことが可能です。  

・シェルを利用する関数が使用できないようにする

入力フォームに書き込んだ内容からシェルが使用されると、不正な操作が実行されるため、攻撃を受けることになります。被害を防ぐための対策には、シェルを利用する関数が入力できないルールを設ける方法が有効です。 ユーザーがデータを入力した後に受付メールを送信する処理がある場合、データの入力・送信に伴い、別のプログラムも実行しなければなりません。そこでの対策として、シェル本来の働きを妨げずに不正なコマンドを防ぐ必要があります。入力フォームにコマンドを設定する文字列の入力を禁止することで、不正な操作は行えなくなります。 PHPの場合はexec()、passthru()、Perlの場合はopen()、system()など、コマンドの入力を防ぐ設定を設ける対策が可能です。  

・エスケープ処理、サニタイジングを行う

エスケープ処理とは、特別な意味を持つ記号を、意味のない別の記号に変換して出力する処理です。また、サニタイジングは「無害化」を意味する言葉。特別な意味を持つ記号を削除したり変換したりして無害化することを意味し、エスケープ処理よりも幅広いケースで使われます。 エスケープ処理では、入力フォームに書き込まれたデータの中から「;」「|」「&」「<」などの危険な文字を見つけほかの無害な文字に置き換えて、コマンドが生成されない対策を取ります。PHPにはhtmlentities()、Perlはquotemeta()関数、Pythonはbleachといったライブラリが用意されているため、ライブラリを使用して置き換えの設定が可能です。  

・WAFの導入による対策

Webアプリケーションの脆弱性に対する攻撃を防止するためには、脆弱性への対策が必要です。使用しているWebアプリケーションに脆弱性が見つかった場合は、すぐにプログラムの修正をしなければなりません。サイバー攻撃に備えるにはWebアプリケーションの修正を何度も行わなければならず、管理にコストや手間がかかります。 Webアプリケーションへの攻撃に対策する際には、WAF(Web Application Firewall)の導入が効果的です。WAFは、Webアプリケーションの脆弱性に対するOSコマンドインジェクションなどの攻撃を検知し、防御するサービスです。 ファイアウォールややIDS/IPSなど、従来のネットワーク・セキュリティ製品では対応しきれない危険なサイバー攻撃を検知して、WebサイトやWebサーバーなどの安全を守ります。 【関連記事】Cloudbric(クラウドブリック) Webセキュリティ Webセキュリティについてさらに詳しく知りたい方はこちらへ  

まとめ

OSコマンドインジェクションとは、Webアプリケーションの脆弱性を狙って仕掛けられるサイバー攻撃です。ユーザーが情報を書き込む入力フォームを使用して攻撃者が不正な文字を入力・送信すると、意図しないコマンドが強制的に実行され、攻撃の被害に遭います。 OSコマンドインジェクションでは、サーバー内のファイルへのアクセス・改ざん、マルウェア感染、システムの乗っ取りなど、さまざまなトラブルが発生します。Webアプリケーションが攻撃されないためには、シェルを利用されない工夫や、サニタイジング、WAFの導入などの対策をして攻撃に備え、重大なリスクを避けなければなりません。   ...
オンプレミスとクラウド

オンプレミスとクラウドの違いを解説 特徴や項目を比較

オンプレミスとクラウド   「オンプレミス」と「クラウド」は、運用形態だけでなくサービスの利用においてもさまざまな違いがあります。オンプレミスとクラウドではサーバーの運用主体が異なるため、導入時に係るコストからサービスの内容、サービスを使用するために必要な管理保守の範囲なども違います。この記事では、オンプレミスとクラウドの違いを項目ごとに分けて紹介します。  

オンプレミスとクラウドの特徴

オンプレミスとクラウドは、どちらもネットワークシステムの運用形態です。システムの構築方法からデータの保存方法などさまざまな違いがある各サービスの特長を紹介します。  

・オンプレミス

オンプレミスとは、サーバー機器やネットワーク機器、ソフトウェアなどを自社内に設置し、社内の担当者が運用する形態のことです。「自社運用」とも呼ばれます。すべてのシステムを自社で運用、完結しているのが大きな特長です。 社内でのみ使うことから、自社の業務に最適なシステムを構築・運用できます。オンプレミスには、データセンター内でシステムを運用するタイプもあります。データセンターで運用する場合は、自社のサーバールームを利用するよりもセキュリティが高く災害に強いなどのメリットがあります。  

・クラウド

クラウド(クラウドコンピューティング)とは、インターネットを介してクラウドサービス事業者が所有・管理しているサーバーやストレージ、アプリケーションなどにアクセスして使用する運用形態です。インターネット上からクラウドに接続するだけで、サービスとして提供されるソフトウェアの実行環境やソフトウェア、データサーバーなどを使用することが可能です。 そのためクラウドを使用すると、業務に使用するIT機器やソフトウェアなどを自社で購入して環境を構築・管理するなどの費用や手間がかかりません。インターネットに接続できる環境やパソコン・タブレットなどの端末があればどこからでも契約しているクラウドサービスをすぐに使用を開始できるところも、クラウドの特長のひとつです。 現在では、新型コロナウイルス感染対策や働き方改革などによるテレワークの推進・普及により、クラウドサービスへの移行を行う企業が増加しています。 関連記事:セキュリティ・サポート・コストパフォーマンス全てに優れたパブリッククラウドとは 関連記事:クラウドサービスの日本での利用実態と必要性

 

・クラウドハイブリック

上記のほかに、クラウドハイブリックの形態もあります。クラウドハイブリックは、複数の企業が共有で使用するクラウドサーバー「パブリッククラウド」と自社専用のクラウドサーバー「プライベートクラウド」、物理サーバーなどの各種クラウドや物理サーバーを組み合わせて行う形態です。 セキュリティが高いプライベートクラウドと拡張性が高いパブリッククラウド、処理能力が高い物理サーバーといった、各サービスのメリットを取り入れたハイブリッドなクラウドを構築して、メリットの高い運用が可能になります。

オンプレミスとクラウドの項目別による比較

オンプレミスとクラウドでは、メリットやデメリット、特長に大きな違いがあります。コスト、カスタマイズの自由度、災害リスク、セキュリティなど、項目別に異なる点を比較していきます。  

・コスト

オンプレミスやクラウドの使用には、導入コストと運用コストがかかります。オンプレミスの場合はサーバーやネットワーク機器を購入して自社内に設置・環境を構築しなければならないため、かかる導入コストは高額です。導入後は、ソフトウェアやシステム使用にコストが発生しません。ただし、自社でシステムの運用保守をするために人件費がかかります。 クラウドでは、サービス事業者が管理しているサーバーやアプリケーションなどのサービスを使用するため、自社サーバーの設置費用がかかりません。サービスの使用料を支払うだけになり、導入コストは抑えられます。使用には月額料金が発生しますが、運用保守の人件費は不要、一度に高額のコストがかかることはありません。  

・カスタマイズにおける自由度

クラウドよりもオンプレミスの方がカスタマイズ性が高い特長があります。オンプレミスは自社でサーバーを設計して専用のネットワークシステムを構築するため、自社の業務に適した仕様にカスタマイズすることが可能です。 クラウドではサービス事業者が提供しているサービスを使用します。提供されるサービスの範囲内で使用するため、自社専用システムを構築する場合と比較すると、細かいカスタマイズはできません。  

・災害などのリスク

オンプレミスでは自社内にサーバーを設置しているため、建物が自然災害により被害を受けた場合、バックアップデータまで消失する恐れがあります。サーバーに不具合が出た際には自社で復旧を行わなければなりません。専門知識を持つIT人材の不足が懸念されている現在では、担当者の不在などにより災害時の備えが難しいケースもあり注意が必要です。 対してクラウドの場合は、企業が災害に遭ったとしてもシステムやデータはサービス事業者のサーバー上で管理されているため物理的な被害を受けにくい特長があります。システム上の不具合が発生した場合には、サービス事業者が復旧作業も行います。企業はインターネットを介して復旧されたことが確認できたら、そのままサービスの使用が可能です。  

・セキュリティ

オンプレミスは、自社で設計・開発を行うため、高いセキュリティを求める場合には独自で強固なセキュリティ環境を構築することが可能です。ネットワークが企業の外部に接続していないことからも、利用者が制限され強固なセキュリティ体制が構築されます。 クラウド型では、サービス事業者が提供しているソリューションのセキュリティ対策により安全に使用することが可能です。サービス事業者は経済産業省が公表する「クラウドセキュリティガイドライン」など安全性を高めるための対策を実施し、事業者ごとにそれぞれ異なるセキュリティ対策が組まれています。クラウドサービスのセキュリティを重視する場合には、自社のセキュリティ基準に対応しているかなどを確認することが重要です。  

・管理と保守の手間

社内にサーバーを設置しているオンプレミスの場合、サーバーの管理と保守が必要になります。それに伴い、管理・保守を行う運用担当者の人件費や管理費用などがかかります。サーバーの保守期限が訪れた際には、その都度アップグレードもしなければなりません。 対してクラウドの場合には、企業側はサービスを使用するだけで、管理と保守の手間がかかりません。サーバーの保守・管理はサービスを提供する事業者が行うため、サーバーのメンテナンスや保守期限への対応をすべて任せられるメリットがあります。    

まとめ

オンプレミスは、自社内にネットワークやサーバーを設置して保守管理まですべてを行う運用形態です。仕様を自由にカスタマイズ可能、高いセキュリティが実現できますが、導入時には高額のコストがかかります。また、災害時のデータ損失、不具合時の復旧対応、保守管理の手間などに不安があります。 対して、クラウドでは業者がサービスとして提供しているサーバーやアプリケーションなどを使用します。月額料金を払って選択したサービスを利用する形になるため、セキュリティの高さは事業者によって異なり、導入時に大きなコストはかかりません。さらにデータの保護から保守管理までを事業者に任せられます。運用形態は特長がそれぞれ異なるため、目的に沿って導入を決めることが重要です。     ...
シャトレーゼ株式会社

株式会社シャトレーゼ

株式会社シャトレーゼ

株式会社シャトレーゼは素材にこだわった安全・安心なお菓子作りを行っています。自社工場近隣の契約農家から毎日新鮮な卵や牛乳、フルーツを使用し、ケーキや洋菓子、和菓子、アイスなど約400種類のスイーツを全国のシャトレーゼで販売しています。

Cloudbricの導入を検討したきっかけを教えてください。

シャトレーゼのホームページは十数年前に作られたものですが、比較的最近まではアプリケーションの脆弱性やセキュリティに関するところなどにあまり意識がありませんでした。それが、2015年に大規模な情報漏洩事件が国内外で続々と報じられたこともあり、「情報の管理体制を見直すべきだ」という声が上がってきました。数万人規模の会員を保有しているうちのホームページの場合、オンラインショップを通じての通信販売にも積極的で、沢山のお客様の個人情報を取り扱っていました。そういうわけで他社のWAFも含めて総合的に精査・検討した上で2018年、クラウドブリックのWAFの導入を決めました。そして、今回新しくロンチングしたYATSUDOKIという別ブランドのホームページに対しても、セキュリティを充実にさせたいというところでクラウドブリックを導入しています。

WAF選定時、最も重視されたポイントを教えてください。

コストです。費用対効果と言い換えられますが、クラウドブリックは非常にコストパフォーマンスに優れていると思います。企業規模に合わせて、エコノミーやビジネスなど様々なプランが用意されていたため、最適なプランで最高のセキュリティを導入することができています。 それに、無償トライアル期間中に実際使ってみてからずっと感じていたことでもありますが、管理画面のUIが使いやすくて機能面でも充実しているところがメリットだと思います。いくら良い機能がついていたとしても、使われない機能になってしまうと結局意味がないと思いますので、期間バーを少し調整するだけで特定の日の検知数を簡単に確認できるなど、必要な機能を分かりやすく、詳しく提供してもらえることは、ユーザの立場としてはかなり重要なポイントだと思います。

クラウドブリックを利用した感想をお聞かせください。

クラウドブリックの導入後、大変満足しておりまして感想を一言でいうと「導入しやすさ、運用のしやすさ、手厚いサポート」ですかね。普通、情報セキュリティに詳しくないと導入時の敷居も高くなりがちですが、クラウドブリックはその点について不便に思ったことは全くありませんでした。導入や運用のしやすさについては導入前にも説明していただきましたが、実際に導入・運用してみたらそれが思った以上に簡単でした。そして困ったことやお問い合わせに対して電話やメールで快速・丁寧に対応して頂きますし、導入時も、導入後も変わらない手厚いサポートを受けておりますので業務効率も高めることができました。Webサイトセキュリティはクラウドブリックに任せられるのでいつも安心して他の業務に取り組むことができます。

クラウドブリックの導入後、効果はございましたか。

大手企業N社のWAFがDDoS攻撃と間違えて正規のアクセスまで拒否してしまうということもあるらしいですが、他のWAFと違って基本ソフトが単純なパターンマッチングではないということで、ロジックを見極めて攻撃を検知・遮断するという方式だったのも導入時にクラウドブリックに決定した大きなきっかけでした。実際運用してみたら、シグネチャー型と違って攻撃パターンの更新がいらないため、非常に稼働率が高く手間がいらなかったです。そして、クラウドブリックWAFに採用されているAIエンジンにより誤検知がさらに軽減され攻撃だけを検知、遮断できるようになり、さらに高度なセキュリティを確保できたと思います。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

ダッシュボード機能です。これによりサイバー攻撃の見える化が実現できました。クラウドブリックではダッシュボード機能によりリアルタイムで攻撃状況を把握できます。それでITリテラシーの低い従業員でも視覚的に状況を確認することができています。そして、攻撃に関する詳しい情報やセキュリティ現況などをレポート出力できるため、関係者での情報共有や報告にも容易だと思います。

最後に一言お願い致します。

昨今、サイバー攻撃は激化の一途をたどっていると思います。ホームページについても連日、情報漏洩のニュースもあり、こうしたWebアプリケーションへの攻撃対策は必須です。クラウドブリックを導入することで安心してホームページを運用できるようになっております。弊社の場合海外にも店舗があって、それ用のWebサイトも構築するなど、今後も活発にビジネスに取り組みたいと思います。新規でホームページを立ち上げることになった場合は、積極的にクラウドブリックを活用していきたいと思います。 ...
脆弱性診断とは

脆弱性診断とは?診断の必要性や種類を解説

脆弱性診断とは 社内システムや提供しているWebアプリケーションのセキュリティを向上させるには、「脆弱性診断」を実施することが大切です。 この記事では、脆弱性診断の「脆弱性」とは何かといった基本的な知識から、診断が必要な理由について解説します。また、脆弱性診断を行う方法や種類も紹介します。実施を検討される際には、ぜひ参考にしてみてください。  

脆弱性診断とは

日常的にインターネットを使う現代において、不正アクセスやサイバー攻撃の脅威から身を守るための対策は不可欠です。ここではそのうちの「脆弱性診断」について、基本知識から解説します。  

・脆弱性とは

「脆弱性(ぜいじゃくせい)」について、総務省では以下のように定義付けています。
「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと」
引用元:総務省「国民のための情報セキュリティサイト」 セキュリティ上の落とし穴といった意味から「セキュリティホール」とも呼ばれており、近年は脆弱性を悪用した不正アクセスなど、サイバー攻撃の手法も巧妙化してきています。あらゆる企業にとって、自社の脆弱性についてしっかり把握し、セキュリティ対策を講じることは非常に重要です。  

・脆弱性診断について

「脆弱性診断」とは、ネットワークやOS、Webアプリケーション、サーバー、ミドルウェアなどに潜んでいるセキュリティ上の欠陥、つまり脆弱性をチェックし、悪用される恐れがないか診断することを指します。 悪意を持った不正アクセスやサイバー攻撃を未然に防ぎ、自社サイトや機密情報などを守るためには、基本的なウイルスチェックやバージョンアップなどの対策が不可欠です。しかし、それらとともに、定期的な脆弱性診断も併せて行うことで、さらにリスクを減らせるようになります。  

脆弱性診断を行う必要性

・情報セキュリティにおける危険性を下げるため

脆弱性があるのにもかかわらず放置していると、セキュリティが甘い状態で不正にデータが抜き取られたり、ネットワークを破壊されたりするおそれがあります。また、サイバー攻撃を受けてからの対応になれば、その分被害が大きくなるリスクも高まります。 脆弱性診断は、攻撃を受ける可能性がある欠陥や不具合を、事前にチェックするものです。攻撃を受ける前に対策を打てれば、大事に至る前にリスクを減らせるようになります。また、脆弱性診断は比較的安価にできるセキュリティ対策のため、普段から定期的に実施しておけば、対策にかかる全体的なコストを低減させられるのもメリットです。  

・ユーザーが安心してサービスを利用できるようにするため

今やインターネットは生活の必需品となり、日常的に使われる存在になっています。 自社のサービスが、Webサービスやアプリケーションなどインターネットを介して提供しているものであれば、ユーザーに安心して利用してもらえるように脆弱性診断は欠かせません。検査する項目ごとに診断頻度を設けて定期的に確認しておくと、ユーザーからの信頼感も高まり、結果としてサービス利用者が増えていくことにつながります。  

脆弱性診断の種類

「脆弱性診断」と一言でいっても、実はさまざまな種類があります。ここでは実施方法として、「ツールで自動化する方法」と「手動で行う方法」の2パターンについて解説します。

・ツールによる脆弱性診断

脆弱性を発見する方法に診断ツールを利用する方法もあります。たとえば、Webアプリケーションのリリース(公開)前に自動的に実施するツールの多くは、有償でも価格の割に高性能なのが特徴です。 また、すでにリリースされているアプリケーションに対して診断するツールもあり、安価で気軽に使えることから必要に応じて利用するのも一案です。脆弱性診断ツールにはさまざまな種類があり、使いこなすための難易度も、それぞれ異なります。  

・手動による脆弱性診断

セキュリティエンジニアと呼ばれるような、セキュリティに関する高度な知識や経験を持った専門家に依頼し、人の手で診断して結果を報告してもらう、といった方法があります。機械では発見するのが困難な脆弱性を発見できるのが強みで、たとえば仕様上のミスに起因する脆弱性などであれば、この方法がおすすめです。一方で、手動の脆弱性診断では診断に人員を動員するため、診断範囲や稼働日数などを踏まえた設定を行う必要があります。画面遷移が多く複雑なWebアプリケーションなどの場合は、おのずと検査項目も増えるため、予算とのバランスを考えることが必要です。 手動による脆弱性診断のサービスに「Cloudbric 脆弱性診断」があります。診断を行う技術者は定期的にインシデント情報や最新の脆弱性情報を収集・解析しているセキュリティのエキスパートです。また、診断の結果に合わせてサイバー脅威に対するサービスのご提案および導入サポートを行うほか、診断内容に応じたプランもあります。詳しくは下記サービスページをご確認ください。 関連記事:Cloudbric 脆弱性診断  

脆弱性診断を行う箇所

脆弱性診断を実施する箇所としては、大きく分けると「プラットフォーム」と「Webアプリケーション」の2種類があります。

・プラットフォームにおける診断

プラットフォーム診断では、インターネットに公開されているネットワーク機器やPC、サーバーなどの状態をチェックします。そしてOSやミドルウェア、ソフトウェアなどに潜んでいる問題や不具合が起きうる脆弱性はないかを洗い出す診断です。OSやミドルウェアは世界中で使われているため、頻繁に脆弱性が発見されており、公表されています。 近年は、「ゼロデイ攻撃」と呼ばれる脅威が増加しています。これは、OSやソフトウェアに対する脆弱性が発見されたときに、メーカーが修正プログラムを配布するまでのわずかな間に行われる攻撃のことです。こうした知識についてもしっかり持っておくことが重要です。  

・Webアプリケーションにおける診断

具体的な業務の遂行に特化したWebアプリケーションに対して、脆弱性診断を行うものもあります。Webアプリケーションの対象は多種多様で、脆弱性の発見箇所もさまざまです。ECサイトやゲームアプリ、SNSなどを運営していれば、顧客情報を管理していることも多いため、あらかじめ脆弱性がないかを定期的に診断し対策することが、利用者の安心につながります。 Webアプリケーションの脆弱性診断を行うことで、不正アクセスによる情報漏えいなどを防げるだけではなく、意図せず加害者になることも避けられます。    

まとめ

近年はインターネットを介してサイバー攻撃の手法が巧妙化してきていることから、企業はより高度なセキュリティ対策を求められています。基本的なウイルスチェックのみならず、定期的な脆弱性診断を実施することで、機密情報や顧客情報など重要なリソースを守り、ユーザーに安心して利用してもらえることにもつながります。診断にはさまざまな種類があるため、自社にとって最適な方法をぜひ検討してみてください。  

...

ウェビナー_202302

【ウェビナー】セキュリティ対策の第一歩「脆弱性診断サービス」、その選定基準は?

 このたび、『セキュリティ対策の第一歩「脆弱性診断サービス」、その選定基準は?』というテーマでウェビナーを開催しました。ウェビナーをご覧になっていない方やもう一度見たい方のため、セミナー動画を公開いたします。 クラウドブリックの新サービス「Cloudbric 脆弱性診断」の提供開始に伴い、数あるサービスの中でどんな脆弱性診断を選べばいいのか?のポイントを解説するとともに、「Cloudbric 脆弱性診断」 ...

Interline2

INTERLINE株式会社

INTERLINE株式会社

INTERLINE株式会社は、ITサービス事業を基盤としてITソリューション事業、オンライン英会話サービス事業を展開し、業界をリードする高品質のITサービスを提供しています。

Cloudbric導入を検討したきっかけを教えてください。

まずは、セキュリティ対策に対するお客様からのニーズが強かったためです。お客様に安心してWebサイトを利用していただくためには徹底したWebセキュリティ対策が必要だと考え、解決方法としてWAFの導入を検討することになりました。その中でも手軽に導入できる上、高レベルのセキュリティを備えたクラウド型のWAFサービスを導入することで、弊社の目的を達成できると思いました。 様々なITソリューションや製品を取り扱っている弊社の立場としては、最適な選択肢をお客様に提供するべき義務があると思います。そこで、お客様に自信をもって提案できるような製品を選択するために、様々な企業のWAFサービスを価格、機能、サポートなど様々な角度から比較検討した結果、クラウドブリック(Cloudbric)を選択することになりました。

WAF選定時、最も重視されたポイントを教えてください。

セキュリティに関して最も重要視していたのは「技術力の高さ」でした。クラウドブリックを選んだ一番の理由は、グローバルから認められている独自の技術力があったからです。Webセキュリティに対する意識が高まっていることもあり、現在様々なWAFが出回っています。もちろん国産の製品も多かったのですが、サイバー攻撃というのは時間や場所を問わず全世界どこからでも来るため、世界で通用する製品を導入したいと思いました。クラウドブリックのロジックベースの検知エンジンは様々な受賞歴を持ち、55ヵ国にサービスされ高い評価を受けていることから、高い技術が証明されたと判断しました。コストパフォーマンスが良いという評価もあり、リアルタイムなサポート対応が可能だという点も選定を後押ししました。

クラウドブリックを利用した感想をお聞かせください。

一言でいうと、予想外に便利で驚きました。WAF導入の際に様々なポイントを考えながら真剣に検討したつもりではありますが、弊社としては初のWAF導入ということもあり、少々不安が残っていました。クラウドブリックがグローバルから認められていることが採用の決定的な理由でしたが、国産ではなかったので、日本語の対応や運用・サポート面での不安もありました。 しかし、実際クラウドブリックを導入すると、サポートチームによるリアルタイム対応体制がしっかりと整っていたので、無償評価の時から問題が発生してもスムーズに解決できました。また、ダッシュボードも完全に日本語化されていたので、Webサイトの状況確認も非常に容易でした。結果的に、クラウドブリックを選んで大変満足しております。

クラウドブリックの導入後、効果はございましたか。

「Webサイトがしっかり守られている」という安心感があります。サイバー攻撃の脅威にさらされていることを分かってはいましたが、目に見えないためその危険性を体感することはなかなか難しい状況でした。しかし、クラウドブリックのダッシュボード上でWebサイトへの攻撃を実際に確認できるようになったため、Webサイトの状況を正確に把握でき、快速な対応ができるようになったということが一番のメリットだと思いました。 そして、実際使用してみたからこそWAFの重要性や機能などを詳しく知ることができたと思います。導入当時から頻繁なお問い合わせへのリアルタイムでの対応や、定期的に行われるウェビナーを通じたクラウドブリックの新機能やアップデータなどの情報を通じ、運用に非常に役立てています。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

ダッシュボードです。ユーザフレンドリーで魅力的でした。特に、UIがシンプルで分かりやすく設計されていて非常に使いやすかったです。簡単な操作で様々な情報を確認することができました。例えば、期間バーを調整して自由に期間を設定することもできるし、どの国や地域から攻撃してくるのか、どのような攻撃が発生したのかなど、その期間に該当するWebサイト状況を確認できます。 日本語に完全対応しているため、セキュリティに詳しくない初心者であっても簡単に情報を把握することができると思います。

最後に一言お願い致します。

最近、在宅勤務の増加とともにWebサイトへのアクセスが増えているため、WAF導入はもはや必須といっても良いでしょう。クラウドブリックを導入し、実際運用してみたからこそ自信をもって言えることは、「価格とコストパフォーマンス」、「リアルタイムなサポート」、「運用・設定の容易性」など、クラウドブリックはどの面からみても非常に優れているWAFサービスだということです。 弊社としては、実際使用してみた経験やノウハウを活かし、今後ECサイトや個人情報を多数取り扱っているお客様に対してクラウドブリックを積極的に提案していきたいと思います。そして未来には、クラウドブリックがWAF市場をリードするトッププレイヤーになって頂きたい、と思います。 ...