アイキャッチ_SQLインジェクションとは 攻撃の仕組みや被害例、対策方法を解説

SQLインジェクションとは? 攻撃の仕組みや被害例、対策方法を解説

Webサービスが広く普及するなか、脆弱性が放置されているWebサイトやWebアプリケーションが少なくないのが現状です。この脆弱性をついて第3者がSQL文を挿入し、データベースへ不正にアクセスしたりデータを改ざんしたり、情報を盗み取ったりするSQLインジェクションの被害が増加しています。本記事では、こうしたSQLインジェクションの仕組みや被害例、効果的な対策について解説します。

 

SQLインジェクションとは?

「SQLインジェクション」とは、第3者がWebサイトの脆弱性を悪用し、データベースへの不正なアクセスやデータの改ざん、情報窃取などを企むサイバー攻撃です。

「SQL(Structured Query Language)」は、最も普及しているデータベース言語のひとつです。ISO(国際標準化機構)によって標準化されており、データベースを操作・制御します。

SQLインジェクションでは、脆弱性が放置されたWebサイトの入力フォームや検索ボックスなどの入力欄に、不正な操作をさせるためのSQL文を挿入することで、データの削除や窃取、システムの認証を回避して不正にログインといった被害を発生させます。

関連記事:2023年のサイバー攻撃における代表的な事例や被害額まとめ

近年SQLインジェクションは増加傾向にあり、2023年1~3月には前年同期比で1.5倍もの被害件数が報告されています。
(参照元:株式会社サイバーセキュリティクラウド「『SQLインジェクション』が前年同期比で+150%増加 ~2023年1-3月『Webアプリケーションを狙ったサイバー攻撃検知レポート』を発表~」)

また、IPAの調査によると、2023年の脆弱性の種類・影響別累計届出件数において、SQLインジェクションは2番目に多く報告されています。
(参照元:IPA「ソフトウェア等の脆弱性関連情報に関する届出状況[2023年第3四半期(7月~9月)]」)

 

SQLインジェクション攻撃の仕組み

ユーザーがWebサイトのフォームに情報を入力した際、通常は入力値に基づいて、サーバに送信される適切なSQL文が生成されます。そのSQL文に従ってデータベースが操作され、適切な結果がユーザーに返ってくる仕組みです。

しかしWebサイトに脆弱性がある場合、悪意を持った第3者が入力欄から不正なSQL文を挿入すると、そのSQL文によってデータベース内のデータの改ざんや個人情報の窃取といった不正な操作が行われてしまいます。

 

SQLインジェクション攻撃の被害例

 

・情報が盗まれる

情報漏えいは、SQLインジェクションの代表的な被害のひとつです。
例えば、顧客の個人情報や企業の機密情報などの漏えいも多数発生しています。IDやパスワードの流出によりアカウントが乗っ取られたり、クレジットカード情報が悪用されて不正送金の被害に発展したりする恐れもあります。

 

・データベースのデータが改ざん・削除される

SQLインジェクションによるデータの改ざんでは、ECサイトにおける商品の紹介文や価格が書き換えられてしまうといった事例があります。Webサイトに偽の情報が掲載されていると企業の信用が損なわれてしまいます。
また、データベース内のデータをすべて削除・破壊される攻撃を受けて、事業継続が難しくなるケースもあります。

 

・Webサイトを改ざんされる

不正なSQL文の命令によってサーバのファイルが書き換えられ、Webページが改ざんされてしまうこともあります。閲覧するとマルウェアに感染してしまう悪質なサイトのURLがページに埋め込まれ、ユーザーがその悪質なサイトに誘導されてしまうという被害も報告されています。

 

・攻撃の踏み台にされる

SQLインジェクションによって乗っ取られたメールアカウントからスパムメールを大量に送付するなど、攻撃に利用されてしまうこともあります。
また、SQLインジェクションでバックドアという侵入経路がサーバに仕掛けられることで、知らないうちに別のサーバを攻撃する踏み台にされてしまう事例もあります。

 

SQLインジェクションの対策方法

SQLインジェクションの被害を受けてしまうと、企業価値の毀損やブランド力の低下など、大きな影響を及ぼします。従ってセキュリティの強化対策は、企業の将来性を左右する重要なポイントです。以下で、SQLインジェクションへの対策方法4点を紹介します。

 

・1. プレースホルダを利用する

Webサイト画面の入力値がそのままSQL文として読み込まれると、悪意のある第3者が入力した不正なSQL文が、そのまま実行されてしまいます。この問題を解決するには、プレースホルダを使ってSQL文を組み立てるのが有効です。
プレースホルダとは、SQL文の変数部分に当てはめる記号のことです。プレースホルダを入れることで、変数部分と操作命令に関わる特殊な文字列の部分がそれぞれ確定します。こうすることで、変数部分に特殊な文字列が入力されて不正なSQL文を生成しようとしても無効化できます。

プレースホルダは、次に解説する「エスケープ処理」と組み合わせることで、さらなる安全性を目指せます。
(参照元:IPA「安全なSQLの呼び出し方」)

 

・2. エスケープ処理 を行う

エスケープ処理とは、プログラム言語で利用される特殊な文字列や記号を、ルールに従って別の文字列に置き換えることです。SQLインジェクション対策の場合は、「シングルクォート(‘)」や「セミコロン(;)」などの記号が対象になります。

第3者によって挿入された、不正なSQL文に含まれる特定の文字列や記号を変換・削除し、攻撃を無効化します。なお、データベースごとに特殊記号の扱いは異なるので、それぞれのデータベースに合わせた対策が必要です。

 

・3. 動作環境をすべて最新に保つ

Webサイトを構築するためのCMS(WordPressなど)やOS、Webアプリケーションなど、すべての環境を最新の状態にアップデートすることも効果的です。

これらのアップデートは、バグ解消や機能追加だけではなく、脆弱性への対応も含まれています。サイバー攻撃は脆弱性を狙うため、動作環境をすべて最新の状態を保つことで、セキュリティを強化できます。

 

・4. WAFを導入する

「WAF(Web Application Firewall)」を導入すると、サーバに対して悪意のある通信が行われた場合は、自動的に通信をシャットアウトしてくれます。従来のファイアウォールでは防ぎきれなかった、Webサイトの脆弱性への攻撃防止が可能です。特にクラウド型のWAFであれば、常に自動で最新のセキュリティ環境を維持できます。

 

まとめ

SQLインジェクションの被害は近年増加しています。有効なセキュリティ対策方法としては、プレースホルダやエスケープ処理 の利用、動作環境のアップデート、WAFの導入などが挙げられます。

ペンタセキュリティのWAF、「Cloudbric WAF+」は、クラウド型のセキュリティプラットフォームです。常に最新のセキュリティ環境を維持できるので、SQLインジェクション対策にも役立ちます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

image_CloudFront

Amazon CloudFrontとは? 料金やメリットを解説

「Amazon CloudFront」は、コンテンツ配信において近年注目されているAWSのサービスです。この記事では、Amazon CloudFrontのサービスの概要をはじめ、Amazon S3やAWS ELBとの違いについて解説します。また、導入することで得られるメリットや、基本的な料金体系も併せて紹介しますので、気になる方はぜひ参考にしてみてください。

 

Amazon CloudFrontとは?コンテンツを安全に配信できるネットワークサービス

Amazon CloudFront(以下、CloudFront)は、静的あるいは動的コンテンツファイルを直接サーバーから配信するのではなく、仲介してユーザーに配信するサービスです。コンテンツファイルには、動画やアプリケーションなども含まれます。

CloudFrontは、安全にコンテンツを配信できるようになっています。たとえば、高度なSSL機能が自動的に有効となっています。コンテンツに対するアクセス制限を設けたり、AWS の各種機能と連携したりすることも可能です。

また、コンテンツファイルを世界中にあるエッジサーバーにキャッシュさせておくことで、オリジンサーバー(コンテンツの配信元となるサーバー)の負担を減らせるのも大きなメリットです。

 

・CloudFrontとS3の違い

AWSのCDN(コンテンツデリバリネットワーク)サービスであるCloudFrontと違い、「Amazon S3(以下、S3)」は同じAWSでも、オブジェクトストレージサービスのことを指します。そのため、似ているようで目的が異なるサービスと認識しておく必要があります。

通常、S3だけではオリジンサーバーのみでしかオブジェクトを配信できません。しかし、CloudFrontを併用することで、エッジサーバーを利用できるようになります。CloudFrontとS3とを併用して、Webサーバーとして使用する例はよく見られます。

 

・CloudFrontとELBの違い

AWSで提供されているサービスでいえば、「AWS ELB」とどのように異なるのかも気になるところです。両者は、そもそも目的や機能が異なります。

まずCloudFrontの場合は、先に述べたように、CDN(コンテンツデリバリネットワーク)サービスです。静的あるいは動的なコンテンツを、高速かつセキュアにエンドユーザーへ提供することが主な目的となっています。

一方のAWS ELBは、いわゆるロードバランサーサービスです。複数のAmazon EC2インスタンスやコンテナにトラフィックを分散し、可用性や耐久性を向上させるのが主な目的となっている点で、大きく異なります。

 

CloudFrontを構成する主な機能

 

・オリジンサーバー

オリジンサーバーとは、Webアプリケーションやデータベースサーバーなど、コンテンツの本来のソースを格納するサーバーのことです。CloudFrontのオリジンサーバーには、Amazon EC2・S3・オンプレミスサーバーを指定できます。現状使用しているオンプレミスサーバーを指定することも可能です。

 

・ディストリビューション

ディストリビューションとは、ドメインにあてられるCloudFrontの設定のことです。CloudFrontではインスタンスを起動する際、使用するオペレーティングシステムとそのバージョンを指定することが必要です。その際にディストリビューションを作成します。

 

・エッジロケーション

エッジロケーションとは、世界中において物理的に配置されたデータセンターを指します。Amazon CloudFront CDN(コンテンツデリバリネットワーク)の一構成要素となっています。

近くにサーバーがあるため、コンテンツを世界中のエンドユーザーへ迅速に提供できるようになるのがメリットです。また、わざわざ元のオリジンサーバーにアクセスする必要がなくなるため、オリジンサーバーに負荷がかからない点も魅力的です。

 

・Behavior(ビヘイビア)

Behavior(ビヘイビア)とは、特定のパスパターンや条件に基づいて、振り先(オリジン)を変えられる機能です。CloudFrontでは「images/.jpg」や「api/」など、ファイルパターンを限定したものも設定できます。

 

CloudFrontのメリット

CloudFrontを使うことで、さまざまなメリットが得られます。ここでは、代表的な3つのメリットについて解説します。

 

・海外からのアクセスも低遅延で配信できる

先に述べたようにCloudFrontは、世界中にエッジサーバーがあるのが特長です。そのため、海外からのアクセスにも低レイテンシー(遅延)で配信できます。海外ユーザーにも高いパフォーマンスでストレスなく快適にコンテンツサービスを利用してもらえるのは、大きなメリットです。

 

・コストを削減できる

AWSのサービスは従量課金制となっています。自社にとって真に必要なサービスにだけ料金を支払えばよく、余分な機能にかかる費用を抑えられます。効率よくコスト削減をめざしたい場合にもおすすめです。

 

・セキュリティ性能を高められる

SSL/TLS暗号化が自動で有効化される点も、CloudFrontの注目すべきポイントです。AWS WAF(AWSのWebアプリケーションファイアウォール)との連携も可能なため、セキュリティ性能をより強化できます。

 

CloudFrontの料金

CloudFrontの料金は従量課金制なため、利用する量や地域によって料金が異なります。たとえば、課金対象として挙げられているのは次のような内容です。

  • 「オリジンへのリージョンレベルのデータ転送(アウト)」における日本価格は、1GBあたり「0.060 USD」となっています。
  • 「HTTPリクエスト」における日本価格は1万件あたり「0.0090 USD」、「HTTPSリクエスト」では1万件あたり「0.0120 USD」です。
  • 「インターネットへのデータ転送(アウト)」では、10TBまでなら1カ月単位1GBあたり「0.114 USD」、次の40TBまでなら「0.089 USD」といったように段階が分かれていき、5 PB 超で「0.060 USD」となっています。扱うデータ量が多ければ、1GBあたりの料金は安価になるためお得です。

なお、導入時の初期費用や維持費などはかかりません。

参考:AWS「Amazon CloudFront の料金

 

まとめ

Amazon CloudFrontは、コンテンツ配信を行う際に仲介してユーザーに配信するCDN(コンテンツデリバリネットワーク)サービスです。導入すると、さまざまなメリットを受けられます。たとえば、海外からのアクセスでも低遅延を実現できるほか、低コスト化やセキュリティ強化を図ることも可能です。また、必要なデータ量だけ使える従量課金制となっているのも注目すべきポイントです。

 

▼AWS WAFに特化した運用サービス「Cloudbirc WMS for AWS」はこちら

▼製品・サービスに関するお問い合わせはこちら

image_EC2

Amazon EC2とは? わかりやすく機能や料金、作成手順を解説

AWS(Amazon Web Services)は世界三大クラウドサービスの一角を担うとともに、クラウド市場においてトップシェアを誇るサービスです。そんなAWSを代表するサービスとして知られるのが、Amazon EC2(Amazon Elastic Compute Cloud)です。近年、システム環境のクラウドマイグレーションを推進する企業が増加傾向にあり、Amazon EC2をITインフラの運用基盤に選択する企業が少なくありません。そこで本記事では、Amazon EC2の概要やメリットについて解説します。

 

Amazon EC2とは?AWSが提供する仮想サーバー

Amazon EC2とは、AWS上に仮想化されたサーバーを構築するサービスを指します。Amazon EC2は、AWSに搭載されるIaaS型のサービスのひとつで、ハードウェアを導入することなくクラウド上にサーバーを構築できる点が最大の特徴です。物理的なサーバーやネットワーク機器が不要なため、ITインフラの構築における初期費用と、保守・運用の管理コストを大幅に削減できます。

 

Amazon EC2の主な機能

・インスタンス
Amazon EC2で作成された仮想サーバー

・インスタンスタイプ
CPUやメモリなどの組み合わせをタイプ別に選択する機能

・インスタンスストア
一時的なストレージとして使用する揮発性のブロックストレージ

・Amazon マシンイメージ(AMI)
EC2インスタンスの構築に必要な起動テンプレート

・セキュリティグループ
EC2インスタンスに設定できる仮想ファイアウォール機能

・キーペア
「公開鍵」と「秘密鍵」を組み合わせて情報セキュリティを高める機能

・タグ
独自のメタデータを割り当てて検索性を高める機能

・Virtual Private Cloud(VPC)
パブリック環境から分離された領域に、仮想化されたプライベートネットワークを構築する機能

インスタンスとは、オブジェクト指向プログラミングのクラス定義に基づいて実体化されたオブジェクトを指します。簡単にいえば、設計図(クラス)を具現化した実体を指し、Amazon EC2では実際に作成された仮想サーバーを意味する概念です。そしてAmazon EC2では、複数のインスタンスタイプが用意されており、自社の要件に適したタイプを選択します。

また、クラウドコンピューティングはパブリック環境でITリソースを共有するという性質から、セキュリティの脆弱性を懸念する声が少なくありません。Amazon EC2はその点、セキュリティグループ機能によって仮想化されたファイアウォールを設置し、トラフィックやログインを制御するとともに、キーペア機能やVPCによって強固なセキュリティ性を確保します。

 

Amazon EC2 を活用するメリット

 

・サーバー構築にかかる時間を削減できる

サーバーをオンプレミス環境に構築する場合、要件定義・基本設計・詳細設計・構築・実装・テスト・運用・保守という膨大なフローが必要です。

Amazon EC2は、AWS上で「インスタンスを起動」をクリックし、AMIやインスタンスタイプを選択することで、簡単にサーバーを構築できます。また、物理的なITインフラの運用・保守にリソースを割く必要がない点も大きなメリットです。

 

・状況に合わせてスペックを選択できる

Amazon EC2のスペックは、基本的にインスタンスタイプで決定されます。選択するインスタンスタイプによってCPUやメモリの組み合わせが異なり、要件に応じて自由にスケールアップ、もしくはスケールダウンが可能です。サーバーの負担が増加する繁忙期や、リソースの利用量が異なる時期に合わせてスペックを変更できるため、コスト面の最適化を図りながらリソースを無駄なく活用できます。

 

・仮想サーバーの冗長化を簡単に行える

ITインフラの可用性を確保するためには、サーバーの冗長化が必要です。オンプレミス環境でサーバーの冗長化を実行する場合、ハードウェアの導入にコストと手間を要するのはもちろん、管理スペースの増設や運用・保守コストの増大を招きます。

Amazon EC2は、冗長化に必要なネットワークをAWS上に構築できるため、オンプレミス環境と比較すると、短期間で冗長化を図れる点が大きなメリットです。

 

・インスタンスにかかる負荷状況に合わせて自動的に調節できる

オンプレミス環境でITインフラを運用する場合、トラフィックを予測してサーバーのスペックを設計しなくてはなりません。その場合、需要を見誤ってトラフィックの負荷にサーバーが耐えられなくなったり、反対に過剰スペックによってコストが無駄になったりする可能性があります。

AWSでは、Amazon EC2 Auto Scalingと呼ばれるサービスが用意されており、仮想サーバーの負荷状況に応じてEC2インスタンス数を自動的に増減できるため、トラフィックに見合ったスペックを維持できます。

 

Amazon EC2の料金体系

 

・オンデマンドインスタンス

オンデマンドインスタンスは、稼働時間に応じて料金が発生する基本的なプランです。いわゆる従量課金制の料金体系であり、EC2インスタンスを稼働していない時間は、原則としてコストが発生しません。長期間の契約や初期費用が必要ないため、開発段階にあるアプリケーションの運用や、短期間の利用に適している料金体系です。

 

・Savings Plans

Savings Plansは、1年または3年の期間で特定の使用量を契約するプランです。長期契約を結ぶ代わりに、オンデマンドインスタンスよりも割安で運用できます。サーバーレスのプログラム実行環境を提供するAWS Lambdaや、コンテナをサーバーレスで実行できるAWS Fargateなどとの併用も可能で、使用量が一定以下かつ利用期間が確定している場合に適した料金体系です。

 

・Amazon EC2 スポットインスタンス

AWS上の使われていない余剰のリソースを利用して、EC2インスタンスを利用するプランです。Savings Plansと同じく、オンデマンドインスタンスと比較して割安で運用できる料金体系となっています。ただし、割引料金でお得に利用できる反面、状況によってはインスタンスを起動できなかったり、途中で中断されたりする可能性がある点に注意が必要です。

 

Amazon EC2のインスタンス作成手順

  1. セキュリティグループを作成する
  2. Amazon EC2インスタンスを作成する
  3. インスタンスにSSH接続を行う

まずは、EC2インスタンスに設定できる仮想ファイアウォール機能のセキュリティグループを作成します。次にAmazon EC2を起動して、管理画面の「インスタンスを起動」をクリックし、「AMIの選択」→「インスタンスタイプの選択」→「キーペアの作成」に移行します。その後、「ネットワーク」と「ストレージ」の設定を実行して、EC2インスタンスの作成完了です。EC2インスタンスの作成完了後は、公開鍵・秘密鍵を発行してSSH接続をします。

 

まとめ

Amazon EC2は、AWS上に仮想サーバーを構築するサービスです。ハードウェアを導入することなくクラウド環境にサーバーを実装できるため、ITインフラの構築・運用における初期費用と管理コストを大幅に削減できます。

ただし、近年はアプリケーション層の脆弱性を突くサイバー攻撃が巧妙化しており、パブリック環境でITリソースを運用する際は、WAFの導入が推奨されます。AWSには、SQLインジェクションやDDoS攻撃からアプリケーション層を保護するAWS WAFというサービスがあるものの、Amazon EC2と連携するためには専門的な知識と技術が必要です。

Amazon EC2とAWS WAFの連携を検討中の企業様は、AWS WAFの導入から運用に至る一連のサイクルを専門家がサポートする、「Cloudbric WMS for AWS」をぜひご利用ください。

 

▼Cloudbirc WMS for AWSについて詳しくはこちら

▼製品・サービスに関するお問い合わせはこちら

image_isecurity_trend_2024

情報セキュリティの最新トレンドは? 2024年の予測と行うべき対策

近年はサイバー攻撃の手段が巧妙化し、生成AIやディープフェイクを悪用したなりすましによる被害が報告されています。また、間近に迫るオリンピックや選挙などを前に、サイバー攻撃の脅威は増す一方です。本記事では、そうした攻撃から自社の情報を守るために、企業が講じるべき対策と、2024年の情報セキュリティのトレンドを解説します。

 

情報セキュリティ・サイバー攻撃の最新トレンドは?

サーバー攻撃の手口は巧妙化しており、攻撃者はあの手この手でさまざまな攻撃をしかけています。企業側も、サイバー攻撃の最新トレンドを把握して対策を講じることが必要です。そこで、ここからは近年新たに登場してきたサイバー攻撃の手口を紹介します。

 

・暗号化せず情報を窃取する

これまでは、不正に侵入した端末内やシステムのデータを勝手に暗号化して使用不可能な状態にし、身代金を要求するランサムウェアという手口が知られていました。しかし、近年新たに被害が確認されているのが、暗号化せずにデータを窃取する「ノーウェアランサム」という手口です。端末・システムの内部侵入後にデータを盗み、それを流出させない対価として身代金を要求する点ではこれまでと同様ですが、データの暗号化はしません。そのため、通常のランサムウェアよりも手間がかからず、警察庁では今後この手の攻撃が増える可能性があるとして警戒を呼びかけています。
また、暗号化されないため業務が中断されることもなく、被害の発生に気づきにくいのも特徴です。暗号化されてしまえば企業側は否応なしに被害の公表を余儀なくされます。ノーウェアランサムは被害に遭ったことがバレたくないという企業側の心理をついているといえるでしょう。
対策としては、アンチウイルスソフトやEDRといった通常のランサムウェア対策に加え、フィルタリングやアクセス制限、脆弱性の管理などによってセキュリティ対策を全社的に強化することが重要です。

参考:警視庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について

 

・クラウドを狙う

業務効率化を目的にクラウドアプリを利用する企業や組織が増えていますが、インターネットを経由したサービスであるためにセキュリティ面でのリスクも伴います。クラウド環境におけるアクセス権限の設定ミスやセキュリティの脆弱性によって、本来は公開されるべきでない情報が流出してしまう事例は珍しくありません。
近年ではクラウドの情報管理の甘さを狙って不正アクセスし、暗号資産のマイニングに悪用する「クリプトジャッキング」という手口も広がっています。端末の電源やクラウドの空き容量を第三者が勝手に利用して行われるため、業務での使用中に大量のリソースが消費され、端末の停止などを引き起こす恐れがあります。

 

・AIを悪用する

さまざまな分野で活用が進んでいるAIですが、残念なことにマルウェアの開発を加速する目的でも悪用されています。たとえば、フィッシング詐欺のメール文面をChatGPTなどの生成AIに代筆させることで、より説得力のあるメールが短時間で書けるようになるほか、動画に映る人物の顔を入れ替えるディープフェイク技術や音声合成技術を悪用して他人になりすまし、金銭を脅し取る犯罪などが実際に報告されています。こうした手口が大々的に広まると、企業や政府の社会的な信頼が損なわれる恐れもあり、近年の社会問題となっています。
AIを活用すればネットワークやシステムの脆弱性を検知することも可能です。これまでは企業側がセキュリティ対策に活用してきた技術ですが、これを悪用すればより高度な方法でのサイバー攻撃が可能になります。こうした脅威を完全に防ぐことは困難であるものの、AIを使った攻撃に対してはAIを活用し、機械学習によって必要な対策をその都度講じていくことが求められます。

 

・選挙やオリンピックに関連して攻撃する

サイバー攻撃は選挙やオリンピックなど社会的なビッグイベントを狙って増える傾向にあります。実際に東京オリンピック2020では、大会期間中、運営に関わるシステムやネットワークに対して4億5,000万回ものサイバー攻撃がありました。これはロンドン大会(2012年)の2倍以上の数字で、2024年のパリ五輪でも多くの攻撃が予想されています。具体的な攻撃の一例として、マルウェアが仕込まれた「サイバー攻撃の被害報告について」という名前のファイルを添付したメールが関係者に送られていたことや、運営委員会に大量のデータを送りつけるDDoS攻撃などが報告されています。
また、2024年には台湾総統選やアメリカ大統領選が控えており、AIやディープフェイクを使ったなりすまし、フェイクニュースの増加が想定され、混乱や分断を避けるための対策が必要です。

 

2024年のセキュリティ対策予測と行うべき対策

進化するサイバー攻撃による被害を防ぐために、企業や組織はどのような対策を行えばよいのでしょうか。

 

・AIを活用したサイバー攻撃対策が求められる

前述の通り、攻撃者はChatGPTのような生成AIをサイバー攻撃に利用していることがわかっています。ウイルスを仕込んだメールの自動送信なども普及しており、今後もAIを活用したサイバー攻撃が増えることが予想されます。影響を軽減するためには、インシデントレスポンスと復旧計画の強化が重要です。また、CSPMやCSPなどのツールを活用してクラウドの管理および監視を継続的に行う、機密情報を暗号化するなどの対策も求められます。

 

・サイバー保険が注目される

サイバー保険とは、サイバー攻撃によって生じる経済的な損失から、企業や個人を保護するための保険のことです。顧客情報の漏えいなどによって第三者に被害が及んだ場合の損害賠償責任や事故対応費用、訴訟費用、自社の損失利益などの補償が含まれています。
マーケッツアンドマーケッツ社の調査では、世界におけるサイバー保険の市場規模は2023年の103億ドルから2028年には176億ドルに成長すると予測しています。国内でも注目され始めており、大手保険会社を中心にサイバー保険の取り扱いが進んでいる状況です。

参考:マーケッツアンドマーケッツ社
https://www.marketsandmarkets.com/Market-Reports/cyber-insurance-market-47709373.html

 

・ゼロトラストセキュリティの考え方が普及する

ゼロトラストとは、文字通り「何も信頼しない」という考え方を前提としたセキュリティ対策のことです。ネットワーク内のすべてのデバイスやユーザーを信頼せずにセキュリティ対策を講じます。
従来は危険な外部と安全な内部のネットワーク間に境界を設け、境界の外側からくる脅威をブロックするセキュリティが主流でした。それが近年では、社内のユーザーであっても無条件に信用せず、その都度アクセスを確認し、認証を行う方法に変化しています。ゼロトラストを前提とすることで、不正アクセスや情報の持ち出しのリスクも最小限に抑えることが可能です。

 

まとめ

AIを活用したサイバー攻撃が増える中、企業側としてもAIを活用してセキュリティを強化する必要があります。近年のサイバー攻撃は手口が高度化しており、被害の発覚が遅れがちです。ゼロトラストの概念に基づき、社内外におけるすべてのアクセスをその都度、管理・監視する対策が必要です。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

image_cyber_atack_2023

2023年のサイバー攻撃における代表的な事例や被害額まとめ

年々手口が巧妙化し、脅威が増すばかりのサイバー攻撃。企業側でもさまざまな情報セキュリティ対策を講じていますが、その被害は拡大傾向にあります。自社の機密情報や顧客情報の漏えい、業務システムの停止など、被害状況は深刻です。本記事では、2023年に発生したサイバー攻撃の事例や発生原因、サイバー攻撃の種類、対処法などを解説しています。自社で必要な対策を練る際の参考にしてみてください。

 

2023年に国内で起きたサイバー攻撃の代表的な事例

ここでは、2023年に国内で発生したサイバー攻撃の代表的な事例を紹介します。

 

・クラウド環境の誤設定で、約215万件の顧客情報が漏えい

2023年5月、大手自動車メーカーのIT・通信分野を担う事業会社において、クラウド環境の誤設定により、車載IDや車台番号など約215万件の顧客情報が公開状態となっていたことが判明しました。社内におけるデータ取り扱いのルール説明が不十分だったことが主な原因とされています。同社では事件の判明後に外部からのアクセスを遮断する措置を講じており、流出した可能性のある顧客情報が第三者によって二次利用されるなどの被害は確認されていないとのことです。また、これを受けて同社ではクラウド設定を監査するシステムを導入するとともに、従業員への教育を徹底するなどしてセキュリティ機能を強化するとしています。

 

・リスト型攻撃で約25万件のWeb履歴書が流出

総合転職サイトを運営する、ある人材紹介会社では、2023年3月、外部からの不正ログインによって約25万人のWeb履歴書情報が漏えいしました。社内調査によると、外部から不正に取得したIDやパスワードを使用してさまざまなサイトにログインを試みるリスト型攻撃が原因であるとわかっています。これを受け、同社では全ユーザーのパスワードをリセットし、不正ログインを行っていた送信元のIPアドレス群からの通信を遮断するなどの被害拡大防止策を実施しています。また、今後はIDやパスワード認証以外の方法でのシステムセキュリティ強化を目指すとのことです。

 

・外部委託業者への不正アクセスがきっかけで、約69万件の顧客情報が漏えい

ある大手保険会社は2023年1月、自社が保有する顧客情報の一部が流出した可能性があることを発表しました。流出した恐れのあるデータは同社の車両保険に加盟中の顧客と、過去に加入したことのある顧客のもので、性別や生年月日、氏名など約69万件とされています。外部委託業者が第三者からの不正アクセスを受けたことが原因で、顧客情報が海外のサイトに掲載されていたことから判明しました。再発防止策として、同社では委託先における個人情報の取り扱いに関する要件の厳格化などを進めています。

 

・サーバーへの不正アクセスによって約104万件の顧客情報が漏えい

カジュアル衣料品を中心にSPAブランドを展開する大手アパレル企業では2023年1月、社内の業務システムのサーバーが外部からの不正アクセスを受けました。不正アクセスの確認直後にネットワークの遮断や業務システムの停止などの被害拡大防止策を講じましたが、氏名・住所・生年月日・電話番号などを含む約104万件の顧客情報が流出した可能性があるとのことです。その後、さらに約22万件の顧客情報が流出した可能性も判明しました。物流システムを停止したことにより、同社が運営するECサイトも一時休止を余儀なくされました。これを受け、同社では各種アカウントのリセットや管理ポリシーの見直し、社内ネットワーク通信のセキュリティ強化、端末のリアルタイム監視体制の構築といった対策を実施しています。

 

海外で発生した有名なサイバー攻撃の事例

海外では民間企業への攻撃にとどまらず、社会インフラを脅かすような深刻なサイバーテロも発生しています。ここでは、近年に海外で起きた有名なサイバー攻撃の事例を紹介します。

 

・ランサムウェア「WannaCry」により、約430万円の被害

イギリスでは地域医療連携システムを提供するための公的機関のコンピュータが、ランサムウェア「WannaCry」に攻撃された事例があります。ウイルスに感染したコンピュータからはシステムの利用者情報が盗まれたほか、アクセス妨害や身代金の要求などの被害が発生。コンピュータを立ち上げることで感染拡大が懸念されるために、多くの医療機関の業務に支障が出たとのことです。また、一部の医療機関ではこの攻撃の影響でカルテ・処方箋・予約などの管理システムが停止しました。BBCの分析によれば、データ復旧の身代金として日本円で約430万円が支払われたとされています。

 

・某SNSの脆弱性が攻撃され、540万人の名簿データが漏えい

2022年11月には、アメリカのIT企業が運営する有名SNSにて、システムの脆弱性を狙ったサイバー攻撃で漏えいしていた情報が、誰でもアクセス可能な掲示板に公開されるという事件が起きました。その情報は約540万人分の名簿データで、アカウントIDやユーザー名のほか、二段階認証に必要な電話番号やメールアドレスなどの情報も含まれます。
非公開の電話番号やメールアドレスが流出したことで、それらを使って匿名アカウントの個人が特定できる状態となっていました。

 

・サプライチェーン攻撃により、アメリカ政府機関の機密情報が流出

2020年にはアメリカの政府機関にて大規模なサイバー攻撃が発生しています。発端となったのは、ネットワーク監視ツールを提供している大手IT企業がハッキングされたことです。攻撃者は同社製品の自動更新時にマルウェアを仕込み、それによって政府機関を含む100弱の組織のサーバーが不正アクセスの被害を受けました。サーバー攻撃の被害が確認された組織の中には国務省、財務省、米航空宇宙局なども含まれています。この事件の当時には新型コロナウイルスの感染が拡大しており、リモートワークのため社内ネットワークにログイン可能な端末の登録プロセスが簡略化されていたことが事件発生要因のひとつとして挙げられています。

 

日本でよく起きる12種類のサイバー攻撃

ここからは、日本国内で頻発するサイバー攻撃の中から代表的な12種類を挙げて解説していきます。複雑化しているサイバー攻撃に対処するために、それぞれの特徴を把握しておきましょう。

1.マルウェア
ウイルスやワーム、トロイの木馬など悪意のあるプログラムやソフトウェアの総称。感染すると個人情報の流出や端末に保存されているデータの改竄、端末の強制ロック、外部との勝手な通信などの被害に遭う可能性がある

2.ランサムウェア
マルウェアの一種。感染するとシステムへのアクセスが制限され、制限解除のために身代金を要求される

3.標的型攻撃
特定の個人や組織を狙った攻撃。ターゲット宛にウイルスが添付されたメールを送付する手口が知られている

4.Emotet
メールの添付ファイルを感染経路とするマルウェアの一種

5.不正アクセス
アクセス権限を持たない第三者が個人情報の取得などを目的に不正にサーバーやシステムへ侵入する行為

6.脆弱性を狙った攻撃
プログラムの不具合や設計上のミスなどセキュリティの脆弱性を悪用したサイバー攻撃

7.サプライチェーン攻撃
業務上のつながりを悪用し、セキュリティ対策に弱点がある関連会社や取引先を経由して不正アクセスを試みるサイバー攻撃

8.SQLインジェクション
Webアプリケーションの不備を悪用してデータベースを不正に操作する攻撃

9.パスワードリスト攻撃
あらかじめ何らかの方法で入手したIDとパスワードを悪用し、第三者が本人になりすましてサービスやシステムに不正アクセスを試みる攻撃

10.ゼロデイ攻撃
セキュリティの脆弱性が発見されてから、それへの対策が講じられるまでの間を狙って行われるサイバー攻撃

11.DDOS攻撃
サーバーやネットワークに複数端末から大量の通信を発生させることで処理不能に陥らせ、サービスを停止させる攻撃

12.ブルートフォース攻撃
IDやパスワードの考えられるパターンを総当たりで入力し、認証突破を試みる攻撃

 

サイバー攻撃の平均被害額は?

セキュリティ対策製品を提供するノートンライフロック社が2022年に発表したレポートによると、2021年の1年間におけるサイバー攻撃の被害額は320億円にものぼったことがわかっています。また、トレンドマイクロ社が2023年に実施した調査によれば、過去3年間でのサイバー攻撃の被害を経験した法人の累計被害額は平均1億2,528万円、ランサムウェアの被害を経験した法人の累計被害額は平均1億7,689万円にも及ぶという結果となりました。ランサムウェアの被害はサプライチェーンの関連組織にも広がることから、被害額が大きくなりがちです。そのため、自社だけでなく関連企業や取引先企業全体でのセキュリティ対策の強化が求められます。

出典:株式会社ノートンライフロック「サイバー犯罪調査レポート2022

出典:トレンドマイクロ株式会社「サイバー攻撃による法人組織の被害状況調査

 

まとめ

リモートワークの推進やクラウドの利用機会の増加により、企業はこれまで以上にサイバー攻撃の危険にさらされています。また、サイバー攻撃の手口は年々高度化、巧妙化しており、自社の情報資産を守るためには、従業員教育の徹底やWAFの導入といったセキュリティ対策の強化が必須です。本記事を参考に、自社に必要な対策を検討しましょう。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

情報セキュリティの資格とは?

情報セキュリティの資格とは? 取得するメリットとおすすめ資格の一覧

IT技術の発達とともに、サイバーテロや情報漏えいに対する情報セキュリティが重要視されています。専門的な知識も必要になるため、情報セキュリティに関する資格の取得することによって、サイバーセキュリティ等に対して適切な判断を下せるようになります。

情報セキュリティに関しておすすめな資格は7種類あり、取得するのであれば企業の方針や個々の立場、スキル、経験に合わせることが大切です。本記事では、資格の種類や概要、難易度について解説します。

 

情報セキュリティの資格とは?

近年のインターネットやIT技術の目覚ましい進化に伴い、情報漏えいやサイバーテロなどの悪意ある攻撃が急増しています。このような状況から、情報セキュリティの重要性がますます高まりました。

情報セキュリティの資格は、インターネット上に保管されているデータの適切な運営、保護に関する知識、対策、技術力などを証明するものです。データ漏えいやサイバー攻撃からの損失を最小限に抑えながら、「情報セキュリティに詳しい人材がいる」という事実が、個人のキャリアや組織の信頼性を向上させる効果も期待できます。

 

情報セキュリティの資格を取得するメリット

情報セキュリティの資格は専門的な知識やスキルを有する証明になります。資格を持つことにより、「自分は情報セキュリティに関して専門性の高い人材である」と自信を持ってアピールできることは大きなメリットです。

また、スキルを活かした実務の推進にも役立ちます。組織内で情報セキュリティの改革を進める際、資格保持者は最新の技術やベストプラクティスを考慮し、安全性を向上させるための施策を提案できるはずです。これは組織の信頼性を高め、顧客やパートナーからの信頼獲得に貢献します。

社内におけるIT人材の育成にも効果的です。組織内の従業員が情報セキュリティの資格を取得することでスキルアップが促進されるようになるとともに、組織全体のセキュリティ意識が高まります。このような変化は内部からセキュリティの専門家を育て上げることにつながり、長期的なセキュリティ戦略の成功をもたらす要因です。

 

おすすめの情報セキュリティ資格一覧

  1. 情報処理安全確保支援士試験
  2. 情報セキュリティマネジメント試験
  3. シスコ技術者認定
  4. 情報セキュリティ管理士認定試験
  5. 公認情報セキュリティマネージャー(CISM)
  6. (ISC)² 資格
  7. AWS認定セキュリティ

 

情報セキュリティに関する2つの国家資格

情報セキュリティは国家資格と民間資格に分かれます。国家資格は情報処理安全確保支援士試験と情報セキュリティマネジメント試験です。

 

・1. 情報処理安全確保支援士試験

情報処理安全確保支援士試験は、マネジメント・エンジニアの共通分野の試験であり、情報処理システムにおけるセキュリティ確保に関したスキルが問われる資格です。

情報セキュリティの専門知識や実務経験を活かし、システムの潜在的な脆弱性を特定しながら、適切な対策を講じるスキルが評価されます。

内容が高度なため難易度が高く、合格するためには幅広い知識と実践的なスキルが必要です。

 

・2. 情報セキュリティマネジメント試験

情報セキュリティマネジメント試験は、マネジメント分野に焦点を当てた国家試験です。情報セキュリティの基本的な知識やトラブル発生時の対応についての内容が問われます。

難易度は比較的低く、特にエンジニア職を目指す人に向いています。情報セキュリティを組織内で適切にマネジメントするためのスキルや知識を評価する内容になっており、情報セキュリティにおけるポリシーの策定、リスク評価、セキュリティ対策の計画立案などが含まれます。

 

情報セキュリティに関するおすすめの5つの民間資格

前述の国家資格のほか、情報セキュリティに関する民間資格の取得もおすすめです。

 

・1. シスコ技術者認定

シスコ技術者認定は、世界的なネットワーク開発メーカーであるシスコが提供するセキュリティ試験です。情報セキュリティ分野における専門知識とスキルを証明するための信頼性の高い資格として知られています。以下4種のシスコの情報セキュリティ資格が特に有名ですが、難易度が高いため、入念な準備が必要です。

  • CCENT:ネットワークの基礎知識が必要
  • CCNA Security:CCENTの上位資格で、ネットワークの保護に関する知識が必要
  • CCNP Security:CCNA Securityの上位資格でネットワーク環境の構築、トラブルへの対応力が必要
  • CCIE Security:CCNP Securityの上位資格で、国際的に認められている情報セキュリティの上級資格

 

・2. 情報セキュリティ管理士認定試験

情報セキュリティ管理士認定試験は、全日本情報学習振興協会によって実施されている試験です。主に事務系や管理系の職種向けの情報セキュリティ資格として知られています。この試験は、情報セキュリティの基本的な概念と実務的なスキルや習熟度に焦点を当てており、難易度は比較的低いとされています。

 

・3. 公認情報セキュリティマネージャー(CISM)

公認情報セキュリティマネージャー(CISM)は情報通信の国際団体ISACAが主催しています。情報セキュリティマネージャーとしてのスキルと知識を証明するための国際的な資格です。幅広い情報セキュリティ関連トピックスに関する知識やスキルが要求されます。日本語対応の教材が少ないため、難易度は比較的高めです。

 

・4. (ISC)² 資格

(ISC)² 資格は国際的な非営利団体(ISC)²が主催しています。国際的な評価を受けるこの資格は、情報セキュリティ分野のスペシャリストを対象としており、非常に高い難易度です。しかし、取得した資格は国際的に評価されます。情報セキュリティの専門家としての能力を示す強力な証明になることは間違いありません。

ただし、合格後も定期的な資格更新が求められるため、専門知識とスキルを継続的に磨き続ける必要があります。

 

・5. AWS認定セキュリティ

AWS認定セキュリティは、Amazonが提供するクラウドサービスであるAWS(Amazon Web Services)が実施している資格試験です。AWSのセキュリティサービスやベストプラクティスに関する深い理解を持つ専門家を対象にしています。

AWSは多くの企業や組織にとって重要なクラウドプロバイダーです。そのセキュリティに関するスキルと知識もますます求められるようになりました。技術者が注目するべき資格のひとつであることは間違いありません。

 

まとめ

情報セキュリティに関する資格は、昨今の情報社会において重要視されるようになりました。高度な知識やスキルが求められる資格が多いですが、取得の難易度には差があります。取得する際には自分の立場に求められる資格やキャリアパスを考慮し、適切な資格を選択しましょう。

 

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WAF+の無償トライアルはこちら

▼パートナー制度のお問い合わせはこちら

サイバーレジリエンスとは?

サイバーレジリエンスとは?概要・必要な背景・注意点を紹介

サイバー攻撃の脅威がますます増大し、「ゼロトラスト」などの概念も注目を集めている今日では、単なる予防措置としてのセキュリティ対策を講じるだけでは十分ではありません。重要なのは、問題発生後の回復力までをも含めた、「サイバーレジリエンス」を高めることです。本記事では、サイバーレジリエンスの基本的な定義をはじめ、その重要性や注意点までわかりやすく解説します。

 

サイバーレジリエンスとは?

サイバーレジリエンスとは簡単にいうと、サイバー攻撃などの脅威に晒されても、事業の継続性を維持・確保するための能力を指します。レジリエンスとは、もともと日本語で「回復力」を意味する言葉です。つまり、サイバーレジリエンスの概念は、サイバー空間においても回復力や逆境への適応力が必要であることを意味します。

米国立標準技術研究所(NIST)は、サイバーレジリエンスを「システムの悪い状況、ストレス、攻撃、侵害を予測し、防ぎ、回復し、適応する能力」としています。ゼロトラストの概念にも示されるように、完全に安全なセキュリティ環境など存在しません。だからこそサイバーレジリエンスの概念では、攻撃や障害が発生することを一種の前提として捉えたうえで、その異常を早期検知して復旧するプロセス全体までを考える必要性が強調されます。
(参照元:https://csrc.nist.gov/glossary/term/cyber_resiliency

 

EUサイバーレジリエンス法とは?

サイバーレジリエンスに関する国際的な動きとして押さえておきたいのが、EUサイバーレジリエンス法の展開です。これは、EUで2022年に草案が提出された審議中の法案ですが、2025年後半の施行を目標に議論が進められています。この法案が実現した場合、EU圏ではデジタル要素を持つほぼすべての製品が適用対象となる見込みです

具体的な内容としては、SBOM作成や更新プログラムの提供といった、セキュリティ要件の充足などが求められることになります。デジタル製品の社会的重要性が増すとともに、サイバーリスクの増大も膨らんでいる中、EUとしてはこの法案によって、国境を越えて市場全体のサイバーレジリエンスを強化していく狙いです。
(参照元:https://www.meti.go.jp/policy/netsecurity/netsecurity/CRAdraft.pdf

 

サイバーレジリエンスが必要な背景

EUサイバーレジリエンス法の件からもわかるように、サイバーレジリエンスの重要性は世界的にも認識されつつあります。しかし、なぜ今、サイバーレジリエンスが必要なのでしょうか。以下では、その主な背景を解説します。

 

・サイバー攻撃が増加している

サイバーレジリエンスの重要性が増している理由のひとつは、ランサムウェアに代表されるように、サイバー攻撃の被害が増加していることです。現代のサイバー攻撃は非常に手口が巧妙化しており、ウイルス対策ソフトを導入していれば安全という状況ではなくなっています。

そこで重要性を増しているのが、「被害を受けたあと、どれだけ迅速かつ適切に復旧できるか」というレジリエンスの観点です。従来型のセキュリティ対策とサイバーレジリエンスを組み合わせることで、企業はより強固な防御と効率的な復旧体制を構築し、ビジネスへの影響を最小限に抑えることが可能です。

関連記事:サイバー攻撃の動向や事件・事故とは?セキュリティ問題について考察!

 

・内部不正による被害が増加している

外部からの攻撃だけでなく内部不正の被害が増大していることも、サイバーレジリエンスが求められている理由のひとつです。昨今では、顧客リストの窃盗や個人情報の漏えいといった内部不正が目立ち始めており、企業にとって無視できないリスクとなっています。実際、IPAが毎年発表している「情報セキュリティ10大脅威」の2023年版において、内部不正による情報漏えいは組織の脅威の第4位にランクインしています。
(参照元:https://www.ipa.go.jp/security/10threats/10threats2023.html

故意にせよ過失にせよ、内部不正のリスクを完全になくすことは実質的に不可能です。そのため、内部不正が発見したときに早期発見・早期対処し、被害を最小限に留めるためにもサイバーレジリエンスが重要視されています・

 

サイバーセキュリティフレームワークとは?

サイバーレジリエンスの導入や強化に取り組む際、参考になるのが「サイバーセキュリティフレームワーク」です。特に、NISTによるサイバーセキュリティフレームワーク「NIST CSF」は、その代表的なものとして知られています。

このフレームワークは、組織や業界を問わずに広く利用可能で、識別・防御・検知・対応・復旧という5つの基本機能に焦点を当てています。簡単にいえば、「リスクを識別(特定)して、防御を構築し、異常を検知したら早期の対応もしくは復旧を図る」という仕組みです。もちろん、個々のフェーズはより細かく細分化して考えることも可能です。

こうしたフレームワークを活用することで、サイバーレジリエンスを強化するためのアクションや方針を効率的かつ的確に考えやすくなります。

 

サイバーレジリエンスを高めるうえでの注意点

サイバーレジリエンスやサイバーセキュリティフレームワークについて理解を深めたところで、実際にサイバーレジリエンスを高めるための具体的なポイントについて考えていきましょう。その際、注意すべきポイントとして以下の3点が挙げられます。

 

・全社的に取り組みを行う

サイバーレジリエンスを確保するには、企業全体での取り組みが不可欠です。1人の従業員の無知や不注意から、ウイルスが会社中のシステムやネットワークに広がってしまうこともありえます。そのため、サイバーレジリエンスを強化するには、個々の従業員や特定の部署だけでなく、経営層から末端の従業員まで企業一丸となって取り組む意識が必要です。

 

・回復のためにデータバックアップを行う

サイバーレジリエンスは「攻撃を防ぐ」だけでなく、「被害発生後の迅速な復旧」も重視します。そこで重要となるのが、データのバックアップです。万一、サイバー攻撃でデータが失われたとしても、データバックアップがあれば、復旧の速度とコストを大幅に削減可能できます。適切なバックアップが可能なサービスを選定するのも、ここでは外せないポイントです。

 

・自社に合ったセキュリティサービスを使う

セキュリティリスクは企業規模や業種によって異なるため、どのような対策を講じるべきかについてはケースごとに変わります。そのため、自社のニーズやリスクに合致するセキュリティサービスを選定することが非常に重要です。また、セキュリティ環境は常に変わるため、サービス導入後も定期的なアップデートなどは欠かさず行わなければなりません。

 

まとめ

サイバーレジリエンスとは、サイバー攻撃や内部不正といったセキュリティリスクから、事業の継続性を守るための能力を意味します。この概念の特徴は、サイバー攻撃を受けることを前提にしたうえで、そこからの迅速な回復に焦点を当てていることです。

サイバーレジリエンスを強化するには、自社に適したセキュリティサービスを導入するとともに、全社的かつ継続的な取り組みが重要になります。本記事を参考に、ぜひサイバーレジリエンスの強化に取り組んでみてください。

 

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WAF+の無償トライアルはこちら

▼パートナー制度のお問い合わせはこちら

61423_aws_waf_managed_rules

AWS WAFマネージドルールについて|公式版からおすすめまで5つの製品を紹介

現在の日常生活では、情報収集やショッピングなど、あらゆるWebサイトの利用は欠かせません。また、ビジネスを推進する上でも、Webサイトの運営は重要なポイントです。しかし、Webサイトは国内外を問わず、誰でも利用が可能なことから、常に情報漏えいやサイバー攻撃、プライバシー侵害など、情報面におけるセキュリティの危機にさらされています。本記事では、AWS WAFの概要やマネージドルールに加え、おすすめのAWS WAF用マネージドルール5選を紹介します。

 

AWS WAFマネージドルールとは?

Webセキュリティ対策として、AWS WAFを導入する企業が増加していますが、WAFの機能を有効に機能させるには、マネージドルールが欠かせません。まずは導入前に、概要と目的を理解しておきましょう。

 

・AWS WAFとは?

AWSとは「Amazon Web Service」の略語で、ECサイトで有名なAmazon社が2006年に開始した、クラウドコンピューティングサービスの総称です。

クラウドコンピューティングサービスは、サーバーやソフトウェア、ストレージなどのITリソースを、企業がそろえて設置するオンプレミスと異なり、インターネットに接続さえすれば、リソースを自由に利用できるサービスです。ビジネスの規模に応じて、柔軟にリソースの変更が可能なため、スピーディーに扱えるほか、コスト抑制も期待できます。

ただしその反面、常にインターネットに接続されているリソースを利用するので、インターネットから切り離されたリソースを利用する場合と比べると、セキュリティに関する懸念が拭えません。

セキュリティ対策としては、一般的に「ファイアウォール」や「IPS(不正侵入防止システム)」などの導入があります。ファイアウォールは、通信回線を限定してアクセスを制御するため、広範囲の攻撃を防御し、一部の通信のみ許可する仕組みです。しかし、許可された通信の中身までは分析しない特徴があり、「SQLインジェクション」や「コマンドインジェクション」、「クロスサイトスクリプティング」など、Webサイトの不具合を引き起こす攻撃を検出できません。

IPSは、一定期間に行う大量の通信要求によって、Webサイト脆弱性を狙う「DDoS攻撃」などの特定の攻撃を検出し、Webサイトを防御します。ただし、攻撃は多種多様でなおかつ日々高度化しており、検出が追いつかない場合があります。

このように多方面からの攻撃を防御するための対策として、「WAF(Web Application Firewall)」が挙げられます。WAFは、通信回線とサービスを提供するWebサイトのサーバーとの間に存在し、通信の内容を分析するため、ファイアウォールやIPSでは防御できない攻撃からWebサイトを保護します。このWAFをAWSのひとつのサービスとして、提供しているものが「AWS WAF」です。

 

・マネージドルールとは?

WAFは、Webサイトのセキュリティレベルを向上させる方法として有効ですが、そのWAFを機能させるには、公開しているWebサイトに応じて、「ルールセット」を適切に設定しなければなりません。

ルールセットとは、そのWebサイトを防御するために、今後想定される攻撃パターンや通信手段、コンピューターウイルスの特徴などをまとめた「定義ファイル」です。しかし、ルールセットの作成には、セキュリティに関する専門知識が求められるほか、日々高度化する攻撃の動向を注視し、常に最新状態に保つ必要があります。したがって、高度な技術と運用知識が欠かせないことから、すべてのユーザーが適切に設定することは困難です。

ユーザーが容易にWAFを利用できるよう、セキュリティベンダーが環境に応じたルールセットを準備し、マネージドルールとして提供しています。マネージドルールには、AWSが公式に提供しているルールセットと、セキュリティベンダーが提供するルールセットの2種類があります。

 

・マネージドルールの料金

WAFに限らず、AWSから提供されているマネージドルールの利用料金は、その利用回数やオプションによって異なります。初期費用は一切かかりません。

AWS以外のセキュリティベンダーから提供されているマネージドルールは、セキュリティベンダー各社が設定している利用料金に基づいており、多くは「AWS Marketplace」より購入可能です。

 

おすすめのAWS WAF用マネージドルール5選

セキュリティベンダーから提供しているマネージドルールは各社ごとに特徴があるため、それらを踏まえて適切に利用しましょう。以下より、代表的なマネージドルールを紹介します。

 

・1. AWS WAF公式「AWS Managed Rules for AWS WAF」

AWSが提供している純正マネージドルールです。「ベースラインルールグループ」と呼ばれる基本のマネージドルールに加えて、Webサイトで利用しているデータベースやOSに応じた個別のルールを選択できます。基本料金は、WAFボット対策などの機能を除き、月額1ドル/1リージョン、0.6ドル/100万リクエストの従量制で課金されます。

 

・2. Fortinet Managed Rules for AWS WAF

古くからファイアウォールやアンチスパムなどを、「FortiGate」として提供しているFortinet社のマネージドルールです。同社の「FortiGuardLabs」と同等の構成になりますが、クラウド型であるため、最新の攻撃に対処できる上、利用中はルールグループが自動的に更新されます。AWS Marketplaceにて、月額30ドル/1リージョン、1.8ドル/100万リクエストで購入可能です。

 

・3. F5 Rules for AWS WAF

「ロードバランサー(負荷分散装置)」や「SSL−VPN(暗号通信)装置」など、各種ネットワーク製品を開発したF5 Networks社のマネージドルールです。現在、ボット対策やAPIセキュリティなどのルールセットを提供しており、同社のスペシャリストにより定期的に更新も行われます。AWS Marketplaceより購入可能で、基本料金は月額20ドル/1リージョン、1.2ドル/100万リクエストです。

 

・4. Cyber Security Cloud Managed Rules for AWS WAF

日本のセキュリティベンダーである、サイバーセキュリティクラウド社が提供しているマネージドルールです。Webサイトでよく用いられている「Apache struts2」や「Apache Tomcat」、「Oracle Weblogic」などのオープンソースソフトウェアも対象とした、複数のルールを提供しています。AWS Marketplaceで購入可能で、基本料金は月額25ドル/1リージョン、1.2ドル/100万リクエストです。

 

・5. 高い検知率を実現する「Cloudbric Rule Set」

韓国に本社を置くペンタセキュリティが提供しているマネージドルールです。同社はAWSによる技術的な検証を通過した「AWS WAFレディプログラム」のローンチパートナーに認定されており、高度な技術を駆使したルールセット「OWASP Top 10 Rule Set」、「Malicious IP Reputation Rule Set」、「Tor IP Detection Rule Set」、「Bot Protection Rule Set」の4種類を取り揃えています。基本料金は月額25ドル/1リージョン、1ドル/100万リクエストです。そのほか、自社での運用に不安がある場合は、24時間365日のモニタリングやサポートが充実したAWS WAF専用の運用サービス「Cludbric WMS」も別途販売しています。

(参考記事:「Cloudbric Rule Set」)

 

まとめ

昨今では、クラウドサービスで提供されているさまざまなサービスを組み合わせることで、Webサイトを簡単に構築できるほか、より早くビジネスを推進できるようになりました。しかし、それに伴い、Webサイトの重要性と求められるセキュリティレベルも高まっています。AWS WAFでは、Marketplaceより提供されている他社のマネージドルールを利用することで、柔軟にセキュリティレベルを向上することが可能です。Webセキュリティの強化策として、AWS WAFのマネージドルールの活用を検討してみてください。

 

 

▼Cloudbirc Rule Setについてはこちら

▼製品・サービスに関するお問い合わせはこちら

▼パートナー制度のお問い合わせはこちら

AWS WAFとは?

AWS WAFとは? 特徴や機能、メリット・デメリットを解説

近年、WebサイトやWebアプリケーションの安全の確保がますます重視されています。AWS WAFは、Amazon Web Servicesが提供するセキュリティサービスで、Web上のリソースをさまざまな脅威から守るためのソリューションです。本記事では、このAWS WAFの特徴や機能、そして導入のメリット・デメリットについて詳しく解説します。AWS WAFの導入を検討する際の参考情報として、ぜひご覧ください。

 

AWS WAFとは? 特徴などをわかりやすく解説

AWS WAFとは、どのようなサービスなのでしょうか。AWS WAFを理解するために、AWSとWAFそれぞれについてはじめに解説します。

 

・AWSとは?

AWS(Amazon Web Services)とは、Amazonが提供するクラウドサービスの総称です。AWSを導入すると、ストレージ、アプリケーション開発、データ分析、機械学習など、多種多様な機能を必要なときに必要なだけ利用できます。さらに、AWSはクラウドサービスであるため、運用コストが低く導入しやすくなっています。このため、多くの企業がWebサービスの展開や開発環境の構築、データ活用などにAWSを活用しています。

 

・WAFとは?

WAFとは“Web Application Firewall”の略で、WebサイトやWebアプリケーションの防御に特化したセキュリティツールです。WAFは以下のように、さまざまな攻撃からWeb上のリソースを保護します。

【WAFで対処できる代表的な攻撃例】

  • SQLインジェクション
  • クロスサイトスクリプティング(XSS)
  • DDoS攻撃
  • ブルートフォース攻撃
  • バッファオーバーフロー

 

・AWS WAFとは?

AWS WAFはその名の通り、AWSが提供するWAFです。その大きな特徴は、セキュリティ機能や脅威の検知ルールを柔軟にカスタマイズできることにあります。このため、企業は自社のニーズに応じてセキュリティ対策を選択・調整できます。その他、AWS WAFに含まれる主な機能や特徴は次の通りです。

【主要機能および特徴】

  • Webトラフィックフィルタリング機能
  • AWS WAF Bot Control
  • アカウント作成詐欺防止
  • アカウント乗っ取り詐欺の防止
  • リアルタイムの可視性
  • フル機能 API
  • AWS Firewall Manager への統合

このような機能を組み合わせてコンテンツへのアクセスを監視・制御し、Webリソースの安全を確保します。

 

AWS WAFの4つのメリット

AWS WAFを導入することで、企業は具体的にどのようなメリットを得られるのでしょうか。AWS WAFの強みを4つ解説します。

 

・メリット1:導入が簡単

AWS WAFの特長のひとつが、非常に簡単に導入できることです。従来のアプライアンス型のソリューションとは異なり、AWS WAFでは特別なソフトウェアのインストールや複雑な設定が必要ありません。AWS内で運用しているAmazon CloudFrontやAmazon API Gatewayといったサービスの設定でWAFを有効にするだけで利用を開始できます。最小限の労力と時間でセキュリティを強化できるのは非常に魅力です。

 

・メリット2:低コスト

AWS WAFの料金システムは従量課金制なので、実際に利用した分だけのコストしか発生しません。利用料金は、設定するルール数などに応じて変動する形です。AWS WAFには最低使用料金や初期費用の設定もなく、無駄な出費が生じません。自社のセキュリティ予算に応じてコストコントロールがしやすい点は、企業規模を問わず大きなメリットです。

 

・メリット3:Webアプリへの攻撃対策

AWS WAFは、Webサイトを含むWebアプリケーションを狙った攻撃への対策に特化したソリューションです。AWSが提供する基本ルールセットとAPIを活用することで、SQLインジェクション、クロスサイトスクリプティング(XSS)、DDoS攻撃など、多様な攻撃からWebアプリケーションを守れます。防御の際、トラフィックをほぼリアルタイムで監視できることもAWS WAFの強みです。このため、セキュリティの強化を目的に行う分析・監査用途のログを取るといった用途にも活用できます。

 

・メリット4:マネージドルール

AWS WAFはカスタマイズ性に優れているため、セキュリティの知見やノウハウに乏しい企業は、逆に使いこなせるか不安を覚えるかもしれません。そうした企業にとって助けとなるのが、マネージドルールです。マネージドルールとは、テンプレートとして利用できるルールのセットのことで、AWS純正のセットから、他のセキュリティベンダーが組んだセットまで幅広い選択肢があります。たとえば、SQLインジェクションを含むSQLデータベースを狙った攻撃に対処するときは、SQLデータベース用のルールセット「SQL database managed rule group」を選択します。ルールセットの中から自社が必要なものを選ぶことで、専門的なセキュリティ知識がなくても、安全な環境を簡単に構築可能です。

 

AWS WAFのデメリット

AWS WAFは多くの利点を持つ一方で、使いこなすためには一定の知識が必要など、運用面で課題があります。

まず、ルールセットが用意されている一方、ルールを最適化するには、ユーザー自身でも最新の脅威やその対策に関する情報を収集することが欠かせません。マネージドルール機能によりWAFを運用しやすくなっていますが、どのルールセットが自社に適しているか判断するために一定の知識が求められます。

また、AWS WAFのルールセットの詳細やパラメータは非公開です。このため、検知した攻撃のパターンやその痕跡についての詳細な解析まで自社で行いたい場合は、情報不足に陥る可能性があります。また、誤検知が発生したときに状況を細く分析して、独自の対策を講じたい場合にも、この不透明性が障壁となることがあります。

このように、AWS WAFには、「運用の難易度が高い」「ルールセットの透明性が欠ける」などの短所もあります。AWS WAFの導入を検討する際は、長所と短所の双方を考慮し、判断することが大切です。

 

まとめ

AWS WAFとは、WebサイトやWebアプリケーションをさまざまな脅威から保護するための強力なセキュリティツールです。AWS WAFにはいくつかの短所もありますが、導入のしやすさや高度なカスタマイズ性といった無視しがたい利点も数多く備えています。AWS WAFを使えば、自社に最適化されたセキュリティ対策を講じることが可能です。AWS WAFの導入を検討する際は、ぜひ本記事で紹介した情報をお役立てください。

 

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WMS for AWSについてはこちら

▼パートナー制度のお問い合わせはこちら

CDN

CDNとは?概要やメリット・デメリットをわかりやすく解説

コンテンツ配信で重要なのは、いかに迅速かつ安全にユーザーへコンテンツを配信できるかどうかです。魅力的なコンテンツであっても、配信速度が遅いとユーザーにストレスを与えてしまいます。このような課題の解決に有効なのがCDNです。本記事では、CDNに関する基礎知識やメリット・デメリットについて解説します。コンテンツ配信を検討している企業の経営者や担当者は、ぜひ最後まで目を通してください。

 

CDNとは?

CDNとは、Contents Delivery Networkの略であり、テキストや画像、動画などのコンテンツをユーザーへスムーズに配信するためのサービスです。画像や動画は容量が大きいため、ただでさえ配信に時間がかかります。人気のコンテンツであればあるほど、Webサイトへはアクセスが集中しやすくなり、さらなるレスポンスの低下を招きます。

また、物理的に遠く離れている場所からのアクセスも、レスポンスが低下しがちです。物理的な距離が長くなるほど、データのやりとりに多くの時間を要するためです。CDNの導入は、これらの課題解決に役立ちます。

 

CDNの基本的な仕組み

サーバーへの負荷が集中すると、対応しきれなくなり、コンテンツ配信にも時間がかかります。CDNは、配信するコンテンツをキャッシュし、サーバーの代わりに応答する仕組みです。ユーザーから要求があったとき、CDNがあらかじめコピーしておいたコンテンツをユーザーへ提供するため、スピーディーな配信が可能です。

CDNは、オリジンサーバーとキャッシュサーバー、ロードバランサーの3つで構成されます。オリジンサーバーから提供されたデータをキャッシュサーバーがコピーし、ユーザーへ配信する仕組みです。ロードバランサーはアクセスを複数のキャッシュサーバーへ振り分け、負荷を分散する役割を担います。なお、データをキャッシングする仮想サーバーは各地に設置されているため、ユーザーの居場所に近いデータセンターからスピーディーな配信が実現します。

 

CDNの利用によるメリット

CDNの利用によるメリットとして、表示速度向上と配信高速化が挙げられます。また、サーバーの負荷軽減、DoS/DDoS攻撃対策に有効である点もメリットです。

 

・表示速度向上・配信高速化につながる

CDNは、Webサイトの表示速度向上や配信高速化に有効です。いくつも展開したキャッシュサーバーから、最短距離で配信を行うことができ、コンテンツのスピーディーな提供を実現します。

また、最新のプロトコルを利用した配信ができるのも魅力です。HTTP/2やHTTP/3などの通信プロトコルは高速なウェブアクセスを実現できます。従来よりもコンテンツを効率的に転送できるため、表示速度の向上に有効です。

スピーディーにコンテンツを提供できれば、ユーザーはストレスフリーで利用でき満足度も高まります。

 

・サーバーへの負荷が減少する

サーバーへのアクセスが集中すると、負荷が増加しページ速度の低下を招きます。ページ速度が著しく低下すると、ユーザーはストレスを感じ、ページやWebサイトから離脱しかねません。

CDNを導入すると、本来サーバーへのしかかるはずの負担を分散できます。データを保有するオリジンサーバーに代わり、ユーザーのもっとも近くに存在するキャッシュサーバーが対応するため、負荷の軽減が可能です。

 

・DoS/DDoS攻撃の対策に使える

DoS攻撃とDDoS攻撃は、どちらもサーバーへ過度な負荷をかけ、機能障害などを引き起こすサイバー攻撃です。代表的な手口として、F5ボタンを連打して何度もリロードし負荷をかける「F5アタック」が挙げられます。

DoSやDDoS攻撃によってサーバーへ負荷がかかり、お客さまへサービスを提供できなくなるおそれがあります。自社の業務にも多大な支障をきたし、甚大な損失をもたらすかもしれません。状況の改善をエサに、金銭を要求してくる悪質なDoS/DDoS攻撃もあるため注意が必要です。

CDNの導入は、DoS/DDoS攻撃対策としても有効です。CDNはいくつも展開されるキャッシュサーバーが攻撃を受けるため、大量の同時アクセスを実行されても負荷を分散できます。トラフィック量によっては防御しきれずオリジンサーバーに到達してしまう可能性があるものの、被害の軽減には有効です。

 

CDNの利用によるデメリット

CDNにはいくつものメリットがあるものの、デメリットも複数あるため覚えておきましょう。アクセス元が特定しにくい、変更がすぐ反映されない、キャッシュ事故のリスクがあるの3点が主なデメリットです。

 

・アクセス元が特定しづらい

通常、ユーザーがオリジンサーバーへアクセスすると、ログが残ります。そのため、アクセス元がどこなのか特定可能ですが、CDNではログがキャッシュサーバーに残り、特定が困難です。

アクセスログが必要なら、CDNにログの記録ができる機能が備わっているか確認しておきましょう。近年では、CDNのなかにもアクセスログを残せるサービスがあります。

 

・変更がすぐ反映されない

オリジンサーバーのみを運用しているケースでは、コンテンツの変更点が速やかに反映されます。一方、CDNを導入していると、変更を行っても更新情報はすぐに反映されません。変更前にコピーしたコンテンツが、キャッシュサーバーに一定期間保管されるためです。

変更がすぐ反映されないことで、顧客に不利益を与えてしまうおそれがあるため、必要に応じてキャッシュ時間の調整が必要です。

 

・キャッシュ事故のリスクがある

CDNの運用によって、キャッシュ事故が発生するリスクがあります。本来は対象外のコンテンツをキャッシュすることで、配信すべきではない情報を配信してしまう事故のことです。

たとえば、顧客のマイページなどをキャッシュすることで、顧客の氏名や住所、クレジットカード番号といった情報が誤って他人へ配信されてしまうおそれがあります。こうした重大な情報漏えい事故が発生すると、企業としての信用は失われてしまいます。

こうした事故を起こさないよう、適切な設定が必要です。個人情報のようなページにキャッシュを設定しないよう注意してください。

 

まとめ

CDNは、さまざまなコンテンツをユーザーへスピーディーに配信できるサービスであり、表示速度向上やユーザーのストレス軽減などのメリットを得られます。また、DoS/DDoS攻撃の対策としても有効です。一方で、アクセス元を特定しづらい、変更がすぐ反映されないなどのデメリットがあることも覚えておきましょう。

安心して利用できる、高性能なCDNを求めるのなら、「Cloudbric CDN」がおすすめです。コンテンツを迅速かつ安全に配信でき、オンラインビジネスの成功率を高めます。

高性能コンテンツ配信サービス Cloudbric CDN

 

▼製品・サービスに関するお問い合わせはこちら

▼Cloudbirc WAF+の無償トライアルはこちら

▼パートナー制度のお問い合わせはこちら