guidline

3省2ガイドラインとは?制定の背景や医療機関への影響を解説

近年、医療現場でのデジタル化が急速に進展する中で、その安全性とセキュリティの確保がますます重要視されています。医療機関や医療データを扱う事業者にとって、行政が策定した3省2ガイドラインは重要な規範です。この記事では、3省2ガイドラインの概要、制定の背景、医療機関への影響について解説します。さらに、セキュリティ対策の一環としてWAFサービスについても詳述します。

 

3省2ガイドラインとは

医療情報を扱う事業者や医療機関が準拠すべき2つのセキュリティガイドラインの総称です。具体的には、厚生労働省が策定した「医療情報システムの安全管理に関するガイドライン」と、経済産業省・総務省が共同で策定した「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の2つが該当します。つまり、3つの省庁(厚生労働省・経済産業省・総務省)が制定した2つのガイドラインを指します。

以前は「3省4ガイドライン」として知られていましたが、2018年に「3省3ガイドライン」に改訂され、2020年にはよりわかりやすくするために見直しと統合が行われた結果、「3省2ガイドライン」となりました。

これらのガイドラインは、医療情報の電子化が進む中で、セキュリティ対策を含めた安全な管理と個人情報保護に配慮した運用を確保することを目的として制定されたものです。

 

・厚生労働省のガイドライン

「医療情報システムの安全管理に関するガイドライン」は、医療機関などにおいて医療情報を扱う責任者を対象に策定されています。2023年5月には第6.0版のガイドラインが公表されました。このガイドラインは、医療機関がシステムを適切に運用するために、患者の視点に立った基本的な枠組みと指針を提供しています。具体的には、情報セキュリティの基本的な考え方や責任者の設置、情報漏えいの防止策、システム設計・運用に必要な規程類と文書体系、災害・サイバー攻撃等の非常時の対応について記載されています。

このガイドラインに違反しても、それ自体に罰則はありません。ただし、ガイドラインが個人情報保護法、電子文書法、医療法、医師法などを根拠に策定されていることから、違反行為が法令にも抵触する可能性は極めて高くなります。つまり、これらのガイドラインは法令遵守の基準としても機能し、遵守することが実質的に法的な義務となる可能性があります。

 

・経済産業省・総務省のガイドライン

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は、事業者を対象に策定されています。2023年7月に、厚生労働省のガイドラインと足並みをそろえる形で第1.1版のガイドラインが公表されました。このガイドラインでは、事業者が医療情報における安全管理のために準拠すべき義務・責任について詳細に記載されています。さらに、医療機関と事業者の合意形成やその手法、提供すべき情報項目、および互いの役割分担についても具体的に述べられています。また、安全管理のためのリスクマネジメントに関するガイドラインも含まれています。

 

3省2ガイドラインが制定された背景

医療現場のデジタル化の進展とそれに伴う弊害が関連しています。

 

・医療分野のデジタル化の進展

正確な治療行為のため、医療機関では電子カルテの導入や予約・会計などの業務もデジタル化されています。医療情報には患者の病歴をはじめとする機密性の高い個人情報が含まれており、万が一情報が漏えいすれば患者の生命にも関わる可能性があります。そのため、医療情報の安全な管理および運用を確保するためにガイドラインが制定されました。

 

・医療機関へのサイバー脅威の増加

近年、あらゆる企業へのサイバー攻撃が頻繁に行われています。医療機関も例外ではなく、特に重要な個人情報を扱っていることもあり、年々高まるサイバー脅威は無視できません。このような状況下で、患者の安全とプライバシーを守るために、ガイドラインが制定されました。

 

3省2ガイドラインが医療機関に求めること

ガイドラインに記載されている主な要点を以下に紹介します。

 

・セキュリティ対策を強化する

医療情報システムの安全管理に関するガイドラインでは、特に医療機関の情報セキュリティ対策の強化に焦点を当てています。これは、医療情報の安全管理が極めて重要であるためです。具体的には、マルウェア感染を防ぐためのゼロトラスト思考の提案や、サーバー攻撃への対策などがまとめられています。

また、厚生労働省が公開している「医療機関におけるサイバーセキュリティ対策チェックリスト」では、医療機関や事業者が医療情報システムの構築や運用の際に優先的に取り組むべき事項がリストアップされています。このチェックリストを有効に活用することで、現状の把握と将来への備えに役立ちます。

参考:医療機関におけるサイバーセキュリティ対策チェックリスト|厚生労働省

 

・クラウドサービスの利用を見直す

電子カルテを含む医療情報データの管理を一部またはすべてをクラウドサービスに委託する医療機関が増加しています。このような背景を踏まえて、医療情報システムの安全管理に関するガイドライン第5.1版から、クラウドサービスの事業者の選定に関する記述がなされました。これは、事業者の情報管理が不十分であったり、財務状況が不安定であったりする可能性に備えるほか、国内法の適用外であるリスクを防ぐためです。そこで、委託先が情報処理の国際規格であるISMS認証(ISO27001)や日本国内のPマーク(プライバシーマーク)を取得しているかどうかを確認することが求められています。

 

・オンライン資格確認の環境を整える

2023年4月から、すべての保険医療機関や薬局において、マイナンバーカードなどのオンライン資格確認の導入が原則として義務化されました。この取り組みに対応して、医療情報システムの安全管理に関するガイドライン第6.0版では、オンライン資格確認を適切に運営するための導入方法や運用方法、セキュリティ対策について詳細に記載されています。

 

3省2ガイドラインの準拠に役立つ「WAFサービス」

3省2ガイドラインの記載からも見て取れるように、医療機関は患者の個人情報や医療データが不正にアクセスされるリスクを減らすために、セキュリティ対策する必要があります。この際に役立つのが「WAFサービス」です。WAFサービスは、クロスサイトスクリプティング(XSS)、SQLインジェクション、セッションハイジャックなどの攻撃を検出し、防御してくれます。数あるWAFサービスの中でも特におすすめなのは、「Cloudbric WAF+(クラウドブリック・ワフプラス)」です。高度な攻撃検知機能と防御を備えたCloudbric WAF+は、簡単に運用・設定できるよう設計されているため、専門知識を持ったスタッフがいなくても利用できます。

 

まとめ

3省2ガイドラインは医療機関と医療情報を扱う事業者向けの重要な指針です。医療データの安全管理や個人情報保護が中心であり、セキュリティ対策の強化やクラウドサービスの選定には特に注意が必要です。WAFサービスはセキュリティ対策において有効であり、特にCloudbric WAF+利用の検討をおすすめします。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

WebAuthn-image

WebAuthnは安全?メリット・デメリットを徹底解説

安全なWebサービスを設計・運用するためには、自社に適したセキュリティ対策を選択して導入することが重要です。本記事では、パスワード認証に代わるセキュリティ対策として注目されているWebAuthnの仕組みと特徴を解説します。Webサービスのセキュリティ強化に取り組むには、WebAuthnの安全性と課題についてもよく理解したうえで最適な対策を施しましょう。

 

WebAuthnとはFIDO2の一部

WebAuthnとは、FIDO2の一部として開発された、パスワードレス認証をWebサービスに実装するための技術です。WebAuthnの実態はJavaScript APIにあたり、Webサイトやアプリに搭載することでブラウザ上での安全な認証が実現します。

WebAuthnによる認証は、スマートフォンやPCのような外部デバイスを通じて行うことが特徴です。WebAuthnを実装したWebサイトやアプリでは指紋などの生体情報による認証も行えるため、パスワードを入力する作業の負担を軽減できます。

 

・WebAuthnの仕組み

WebAuthnではユーザーが作成する公開鍵と秘密鍵を利用してデータを暗号化する「公開鍵暗号方式」を採用し、安全な認証を実現します。WebAuthnが実装されたWebサイトで認証を行うためには、事前に認証器(指紋や顔などの生体認証で使用するデバイス)の登録を行う必要があります。

認証器への登録は、指紋や顔などを利用してユーザーの本人確認が終わると、公開鍵・秘密鍵・証明書が作成されます。作成された公開鍵・秘密鍵は、ローカル環境に保存される仕組みです。公開鍵はWebサイトやアプリ側のサーバーにも送信され、データベースへ保存されます。

認証時にはローカル環境に保存された秘密鍵によって署名を行い、Webサービス側のサーバーへと送信する仕組みです。サーバーはデータベースに保存した公開鍵を使用して署名を検証し、何も問題がなければ認証が完了します。

 

WebAuthnのメリット

WebAuthnは、認証を行うユーザーとWebサイトやアプリの運営企業の双方にメリットが多くある技術です。以下では、WebAuthnの代表的なメリット3点を紹介します。

 

・セキュリティの強化につながる

パスワード認証ではユーザー名やパスワードが第三者に知られた場合、認証を突破されるリスクがありました。WebAuthnを実装したWebサービスでは、ユーザー名・パスワードなどの知識要素を認証に使用しません。そのため、情報流出リスクそのものを回避でき、セキュリティを強化できます。

さらに、WebAuthnを実装したWebサービスでは認証情報のやり取りをブラウザ上で行う必要がありません。認証情報そのものはデバイス内に保存される仕組みであるため、情報漏洩の発生リスクも軽減できます。

 

・ユーザビリティを向上できる

WebAuthnを実装したWebサービスでは、生体認証に対応できます。このようなWebサービスにはユーザー名やパスワードを入力せずにログインできます。
パスワード認証においてセキュリティを強化するためには、複雑なパスワードを作成したり更新したり、さらにはそれらを記録・保管したりする手間がかかりました。WebAuthnでは複数の複雑なパスワードを覚える必要がなく、なおかつ安心してWebサービスを利用できます。

 

・管理の負担を軽減できる

生体認証などの認知度が高い認証方法に対応していれば、IT分野の専門知識を持たないユーザーも無理なくWebサービスを利用できます。ビジネス利用が前提のWebサービスでは従業員のIT教育にかける時間を削減でき、管理者の負担軽減を図ることが可能です。

さらに、WebAuthnでは、事前に登録した認証器の情報を他のWebサービスの認証においても使用できます。ユーザーはWebサービスごとにパスワードを作成・管理する作業から解放され、より快適にWebサイトやアプリが利用できます。

 

WebAuthnのデメリット

WebAuthnにはさまざまなメリットがある一方、いくつかのデメリットや課題もあります。WebAuthnをWebサイトに実装する際には、以下のデメリットを理解しておきましょう。

 

・対応サービスが限定されている

WebAuthnは、現在進行形で普及している技術です。リモートワークの普及やクラウドサービス利用の増加に伴ってWebAuthnへの需要は高まり、将来的には、より一層の普及が予想されるとは言え、現時点の日本における対応可能範囲は限定的です。

 

・デバイスの紛失時や破損時の対応が難しい

WebAuthnではデバイスのローカル環境に認証情報を保存するため、スマホやPCを紛失・破損した場合には認証を行えなくなるリスクがあります。デバイスを紛失した場合には、第三者に認証情報を悪用される恐れも否めません。

デバイスの紛失・破損に備えるためには、複数のデバイスを認証器として登録する方法が一案です。ひとつのデバイスを紛失・破損した場合には他のデバイスでログインし、保存した認証情報を削除すれば、第三者に悪用されるリスクを回避できます。
ただし、複数のデバイスを事前に登録したとしても、紛失・破損時の復旧には一定の時間と労力が必要です。復旧作業中はWebサービスにログインできず、不便を感じるリスクがあります。

 

まとめ

WebAuthnは、Webサービスのセキュリティ強化に役立つ注目度の高い技術です。しかし、WebAuthnは、現時点ですべてのWebサービスには対応していません。より手軽な手段でセキュリティを強化するためには、WAFを利用する方法があります。
WAFとは、アプリケーションの脆弱性を突く攻撃を検出してWebサービスを保護するセキュリティ対策です。クラウド型サービスであれば、ハードウェアの購入や専門人材の確保を行わなくても導入できます。

「Cloudbric WAF+」は導入・運用が容易なクラウド型WAFサービスです。Cloudbric WAF+ではWAF以外にセキュリティ対策上の重要度が高い四つのサービス(DDoS攻撃対策・脅威IP遮断、SSL証明書サービス、悪性ボット遮断サービス)も提供しています。Cloudbric WAF+の導入効果は、自動作成されるレポートで把握できます。Cloudbric WAF+の詳細は、お気軽にお問い合わせください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

ipa-top10-security-threats-image

IPAの情報セキュリティ10大脅威2024 !全項目のポイントを紹介

マルウェアやサイバー攻撃をはじめとするセキュリティリスクは日々増加しています。そのため、企業が自社の情報資産を適切に保護するには、最新のセキュリティトレンドをキャッチし続けることが重要です。そこで本記事では、IPAが2024年に発表した「情報セキュリティ10大脅威」に基づいて、企業が直面するセキュリティリスクの概況とその対策を解説します。

 

情報セキュリティ10大脅威とは

「情報セキュリティ10大脅威」とは、情報処理推進機構(IPA)が公開している最新のサイバーセキュリティリスクの概況に関する資料です。個人編と組織編に分けて、前年に社会的影響の大きかったサイバーリスクをランキング形式で毎年発表しています。この資料を参照することで、最新のサイバーリスクやセキュリティトレンドについての理解を深められます。

 

IPAが情報セキュリティ10大脅威2024を発表

2024年1月24日、IPAは「情報セキュリティ10大脅威2024」をWebページにて公開しました。2月下旬以降、解説書や資料が順次公開されています。

 

・「情報セキュリティ10大脅威2023年」との違い

2024年版で見られた大きな変化は、個人編でセキュリティリスクをランキング形式で掲載するのをやめたことです。これは、ランキング形式で示すことによって、読み手側が上位の脅威だけに注目し、下位の脅威を軽視することを防ぐためとされています。

組織編の方はランキング形式が継続されていますが、下位の順位に大きな変動がありました。
まず、2023年版で5位だった「テレワーク等のニューノーマルな働き方を狙った攻撃」が9位までランクダウンしています。この脅威は2021年版で3位に初選出されたのが最高位で、その後は企業のテレワーク体制が整備されていくと共に4位→5位→9位と年々順位が下降しています。他方で、「不注意による情報漏えい等の被害」が前年の9位から6位へと急浮上しました。

参照元:IPA「情報セキュリティ10大脅威 2024

 

情報セキュリティ10大脅威全項目のポイント

続いては、2024年版の10大脅威の内容がどのようなものか、その対策も添えつつ簡単に紹介していきます。たとえランキング上は下位でも、自社と関係しそうな脅威に対してはしっかり対策することが重要です。

 

・1位:ランサムウェアによる被害

ランサムウェアとはマルウェアの一種で、感染したシステムやデータを暗号化によって使用不能にし、その復旧と引き換えに身代金を要求するサイバー攻撃です。感染状態によっては、通常の業務遂行すら不可能になるので、企業に大きな悪影響が出ます。

対策としては、定期的なセキュリティパッチの適用によるシステムの脆弱性対策、信頼できるウイルス対策ソフトの導入と更新、重要なデータの定期的なバックアップなどが有効です。

 

・2位:サプライチェーンの弱点を悪用した攻撃

これは通称「サプライチェーン攻撃」と呼ばれる脅威です。この攻撃は、セキュリティが比較的弱い取引先や関連会社を足掛かりにして、大企業など本来のターゲットへの侵入を試みる手法を意味します。

これに備えるには、セキュリティソフトの導入・更新のほか、従業員が不審なメールやリンクを警戒するようにセキュリティ教育を施すことが重要です。また、取引先などのセキュリティ評価も行い、必要に応じて改善を促したり、支援したりすることも求められます。

 

・3位:内部不正による情報漏えい等の被害

この脅威は、従業員を筆頭とした組織関係者による機密情報の持ち出しや、意図的な規則違反に起因した情報漏えいなどが該当します。

このような内部不正を防止するには、第一にセキュリティ教育を通して社内で情報セキュリティポリシーの遵守を徹底することが重要です。システム面では、各従業員のアクセス権を必要最小限に留めたり、操作ログの監視・分析を実施したりすることが役立ちます。

 

・4位:標的型攻撃による機密情報の窃取

標的型攻撃とは、特定のターゲットを狙って巧妙な手法を使って仕掛けられるサイバー攻撃です。主に、取引先や知人などを騙ったなりすましメールを利用して機密情報を盗みます。

この対策としては、第一に、不審なメールを防ぐフィルタリングサービスやウイルス対策ソフトの導入が挙げられます。また、標的型攻撃メールやその他の不審なメールを見分け、適切に対処できるように従業員を教育することも重要です。

 

・5位:修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)

ゼロデイ攻撃とは、システムの脆弱性、もしくはその修正プログラムが公開される前に、その隙を狙って行われるサイバー攻撃です。特に脆弱性の存在すら知らない状態でこの攻撃を予防するのは難しく、被害に遭った場合は大きな影響が出る恐れがあります。

この攻撃を防ぐには、まず脆弱性情報をこまめにチェックし、ソフトウェアやOS、セキュリティソフトなどを常に最新の状態に保つのが基本です。その上で、EDRやWAFなど、複数のセキュリティソリューションを組み合わせて防御力を高めるのが効果的です。

 

・6位:不注意による情報漏えい等の被害

これは内部不正とは異なり、従業員が意図せずに情報漏えいをしてしまった事態を指します。デバイスの紛失や置き忘れ、不注意な会話やSNS投稿などが具体例です。

この種の問題に対しては、第一に従業員の情報リテラシーを高める教育が必要になります。また、情報や機器の持ち出し・持ち込みなどを制限する規則を設けることも有効です。

 

・7位:脆弱性対策情報の公開に伴う悪用増加

ベンダーが公開する脆弱性対策情報を悪用し、セキュリティバッチの適用などの対策がされていないシステムやユーザーを攻撃する手法です。

このリスクを防ぐには、システムの脆弱性情報を定期的にチェックし、適正な状態を常に保てる管理体制を整備することが求められます。

 

・8位:ビジネスメール詐欺による金銭被害

取引先や自社の経営者などになりすましてビジネスメールを送信し、金銭を騙し取るサイバー攻撃です。攻撃者は送信元とターゲットとなる受信先の通信を事前に傍受しており、そこで得られた情報を利用して巧妙に本人になりすましていることが多いです。

この対策としては、従業員のセキュリティ教育を強化し、不審なメールやリンクに対する警戒心を高めることが重要です。また、送信元のメールアドレスやメールの内容を慎重に確認し、不審な点があれば先方に直接確認するように指示を徹底しましょう。

 

・9位:テレワーク等のニューノーマルな働き方を狙った攻撃

テレワーク環境におけるVPNの脆弱性や設定ミスなどを悪用した攻撃です。これによって、テレワーク端末のウイルス感染や情報漏えいなどの被害が生じます。

この脅威に対しても、従業員のセキュリティ意識を高める教育が必要です。また、VPNやテレワーク端末などの脆弱性チェックを定期的に行うことも欠かせません。

 

・10位:犯罪のビジネス化(アンダーグラウンドサービス)

昨今、サイバー攻撃も組織的なビジネスに化しており、アンダーグラウンド市場では、個人情報や攻撃ツールの売買などが横行するようになりました。これによって、高度なスキルがない人間でもサイバー攻撃が行いやすくなっています。

この脅威は、具体的な攻撃手法というより、近年のアンダーグラウンド市場の注目すべき動向を指しているため、特定の予防策というべきものはありません。情報リテラシーの向上や複数のセキュリティソリューションの併用、適切なアクセス管理といった基本的な対策を講じるのが重要です。

 

まとめ

「情報セキュリティ10大脅威 」で紹介されている多様なリスクに対応するには、従業員のセキュリティ意識や組織体制の強化と共に、WAFのような最新のセキュリティソリューションの導入を進めることが重要です。

WAFとは、Webアプリケーションを悪意ある攻撃から保護するセキュリティ対策であり、ファイアウォールやIPS(不正侵入防御)では防げないような攻撃も防御できます。ペンタセキュリティ株式会社は、このWAFをクラウドサービス「Cloudbric WAF+」として提供しています。

「Cloudbric WAF+」は、WAFやDDoS攻撃対策、脅威IP遮断など、Webセキュリティに必須の5機能を統合したセキュリティプラットフォームです。Webサイトに対していつ、どのような攻撃があり、遮断したのかといった記録を簡単な操作でチェックできます。セキュリティ強化のために、ぜひ導入をご検討ください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

CSIRT-image

CSIRTとは?主な役割や設置の際の注意点を解説


ビジネスに欠かせないインターネット、パソコンやスマートフォンなどのデジタル機器ですが、最近は不正アクセス・個人情報の流出などのトラブルが増えています。この記事ではこうしたセキュリティトラブルに対応する専門チーム・CSIRTとは何か、その役割やメリット、SOCやPSIRTとの違い、導入する際の注意点などを解説します。専門知識がない・CSIRTを設置したくても人材を確保できない方におすすめの対策も紹介します。

 

CSIRTとは

CSIRT(シーサート:Computer Security Incident Response Team)とは、セキュリティの監視、セキュリティインシデントの原因調査・分析・事後対応を行うチームのことです。
デジタル化が進んだ影響を受け、サイバー攻撃が増加している現代において、攻撃を受けた場合に迅速に対応するCSIRTに注目が集まっています。

実際、国内のCSIRT構築運用支援サービス市場の売上金額は年々上昇しています。ITRの調査によると、2016年の売上金額は61億円でしたが、2022年は113億円に上昇しています。

参照元:ITR「CSIRT構築運用支援サービス市場規模推移および予測

 

・CSIRTとSOCの違い

CSIRTとよく似たチームにSOC(ソック:Security Operation Center)がありますが、CSIRTとSOCは基本的な役割と機能が異なります。

CSIRTの主な役割は、セキュリティインシデント発生時に被害拡大の防止・根本解決などを実施することです。
一方、SOCは組織内のセキュリティを監視し、サイバー攻撃のチェックや分析を行います。SOCがインシデントを検知した際はCSIRTに報告し、対応を委ねます。

 

・CSIRTとPSIRTの違い

CSIRTと同じように注目を集めているPSIRTとの違いも把握しておきましょう。
PSIRT(ピーサート:Product Security Incident Response Team)もインシデントが発生した際に対応するチームです。ただし、CSIRTとは対応する範囲が異なります。

PSIRTは自社が提供した製品やサービスに関連するセキュリティインシデントに対応します。PSIRTは外部に提供した製品・サービスを保護する目的で設置されるため、社内ネットワークのトラブルはCSIRTが対応します。

 

CSIRTの主な役割

CSIRTの役割は、インシデントが起きてしまった時の事後対応、発生を抑える事前対応、そしてセキュリティマネジメントの3つに集約されます。それぞれについて詳しく解説します。

 

・インシデント事後対応

CSIRTの主な役割は、セキュリティインシデントの事後対応です。セキュリティインシデントが発生すると、事前に検討した処理を行い、被害を最小限にとどめてシステムを復旧します。まずインシデントの検知から始まり、トリアージ(優先順位付け)、インシデントレスポンス(対応)、報告・情報公開の4段階で解決を図ります。

また、発生したインシデントの分析・対応・復旧だけでなく、セキュリティ専門家や他部署に協力を仰ぎ、他のメンバーとも情報交換を行いながら再発防止策の検討やセキュリティ強化対策を実施します。

 

・インシデント事前対応

インシデント発生に備える事前対応も行います。防止対策の検討と導入、ナレッジ共有や社員教育、トレーニングの実施、さらには管理体制の見直しなどを行いながら予防します。

流行しているウイルスや脆弱性情報などの収集・分析と共有、セキュリティ監査・セキュリティツールの管理や開発も役割のひとつです。社内外の組織とセキュリティ情報共有や連携も行います。他社の事例なども含めて最新の情報を収集・分析し、自社のセキュリティ対策に活用する場合もあります。このようにセキュリティ対策の質自体を高める活動も重要な役割です。

 

・セキュリティマネジメント

情報システム部門だけでなく、組織全体がセキュリティに対して正しい知識を持ち、迅速に対応できるように教育することもCSIRTの役割です。インシデントは必ず起きるもの、という認識を社員全員が持ち、組織全体のセキュリティ意識を高めることがインシデントの発生を抑えることに役立ちます。それだけでなく、インシデントの早期発見にもつながり、被害を最小限に食い止めることも可能です。

 

企業にCSIRTを設置する際の注意点

CSIRTを導入するにあたって特に気をつけたいのは、経営陣の理解を十分に得ることと、外部連携の重要性を認識し、積極的にコミュニケーションを取ることです。

 

・経営層の理解を得る

CSIRTの設置と運用は、経営課題として企業全体で取り組む必要があることを経営陣・決済担当者に理解してもらうことが重要です。そのためには、CSIRTを導入する必要性やメリットを伝え、理解と協力を得る必要があります。

そのためには、セキュリティインシデントが自社に及ぼす被害・損失の例を伝え、予防・被害を最小限に抑えるためにCSIRTの設置が有効であることや、起こった時に最善策が取れるように準備する重要性やメリットを伝えることです。

 

・外部とも連携して設置する

インシデントが起こった際、被害を最小限に抑えるためにも関連組織や他のCSIRT、SOCといった外部との連携を構築しておくことが重要です。特にSOCとはしっかりコミュニケーションを取っておきましょう。SOCとの連携不足はインシデント発生時の対応が遅れるなど、被害が拡大する恐れがあります。

また、常に迅速・的確な対応ができるように、監査部門、コンプライアンス部門、広報部門などと連携して情報共有・協力体制を構築したり、外部から専門家を招いて社内教育を実施したりするのも効果的です。

 

まとめ

CSIRTとはセキュリティインシデントに対応する役割を担うチームです。CSIRTの設置には人的リソースの確保が不可欠です。セキュリティインシデントが発生した際に迅速に対応するうえで欠かせないものの、人手不足などの理由から人材確保が難しい場合もあります。そのような場合は、CSIRTの人的負担を軽減できるWAFサービスも同時に導入を検討しましょう。

クラウド型WAFサービス「Cloudbric WAF+」は、社内にセキュリティ専門家がいなくても手軽に運用・導入できるWebセキュリティ対策です。システムの規模・環境条件、セキュリティ要件によって利用プランを選べるので、自社に最適な対策を構築できます。セキュリティインシデントの脅威を防ぎ、安全で働きやすいシステム環境を目指しましょう。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

basic-auth-image

Basic認証とは?メリット・デメリットや脆弱性を徹底解説

Webアプリケーションの認証方式の中でも、極めて簡便な方法のひとつがBasic認証(ベーシック認証)です。Basic認証は、手軽にアクセス制限をかけることができますが、セキュリティ上の問題点も指摘されています。今回の記事では、Basic認証とは何か、改めてわかりやすく解説し、メリットと注意点も紹介します。

 

Basic認証(ベーシック認証)とは

Basic認証(ベーシック認証)とは、Webサイトにアクセス制限を施すための認証方法のひとつで、比較的簡単に導入できるため、広く用いられています。Basic認証によって制限されたページを閲覧するには、正確なユーザー名(ID)とパスワードの入力が必要となります。正しく入力が行われないと画面にエラーメッセージが表示されます。「基本認証」とも呼ばれます。

一般に公開されているWebサイトの中で、有料会員のみが閲覧できるページを作成したり、社内の特定のメンバーのみ利用できるページを作ったりするときによく利用されます。また、公開前のページの閲覧に制限をかけたい場合や、自作のポートフォリオを特定のクライアントにのみ閲覧してもらいたい場合などにも利用できます。

Basic認証は「.htaccess」および「.htpasswd」の2種類のヘッダーによって設定されます。認証を施したいフォルダに「.htaccess」および「.htpasswd」のファイルを設定し、それぞれに特定のコードを作成するだけで完了します。

ユーザーがリンクをクリック、またはURLを入力すると、ブラウザからWebサーバーに向けてリクエストが送信されます。この時、Basic認証が導入されている場合、Webサーバーからブラウザに認証が必要であることが伝えられます。これにより、ブラウザ上に認証ダイアログが表示され、ユーザー名およびパスワードの入力認証を求めます。認証された後、特定のユーザーだけがアクセス可能なページや階層の利用が可能となります。

Basic認証は、Webサーバーの機能であり、基本的にはほとんどのWebサーバーで使用可能です。ただし、レンタルサーバーを使用している場合には設定が行えない場合があります。

 

Basic認証のメリット

Basic認証は長く用いられてきた認証方法であり、主に以下3つのメリットがあります。

 

・簡単に設定できる

Basic認証は「.htaccess」ファイルと「.htpasswd」ファイルの2つのヘッダーの設置のみで使用が可能なため、比較的簡便に設定できます。ファイルの作成はメモ帳で行えるため、急場しのぎの場合や簡易的にセキュリティ対策が必要な時に効果的です。手軽に認証機能を追加したい場合に有効な手段です。

 

・ログイン情報が記憶される

Basic認証に成功した後、ブラウザを閉じなければ、別のWebサイトを見た後でもまた認証なしで閲覧できます。また、Basic認証に一度成功すれば、ユーザー名とパスワードはこの時使用したブラウザに記憶されます。次にログインする際に再入力の手間がかかりません。

ただし、別のデバイスやブラウザからアクセスする際には再度認証が必要となります。また、ブラウザの種類やネットワーク状態によってはログイン情報の記録ができない場合があります。加えて、スマホでもログイン情報が記憶されないことが多いです。

 

・ディレクトリ単位でアクセス制限ができる

Basic認証は「.htaccess」ファイルを置いたディレクトリが認証の範囲となるため、同じ階層に一括でアクセス制限を加えることが可能です。また、「.htaccess」ファイル内に細かい設定を施すことで、特定のページや範囲にのみアクセスに制限を施すことも可能であり便利です。PDFファイルや画像などにもアクセスに制限をかけられます。

 

Basic認証のデメリット

Basic認証の主なデメリットは以下3点です。

 

・クローラーが巡回できない

クローラーとはWebサイトの情報を自動で収集するプログラムで、Webの検索結果を表示するために動いています。検索エンジンの検索結果はクローラーが巡回して収集した情報をもとに表示されています。

しかし、Basic認証を施すことで、クローラーも制限されたページを巡回できなくなり、検索結果に表示されなくなります。SEO対策で検索結果を上位表示させたい場合にはBasic認証は悪影響になるため、避けた方が望ましいです。

 

・サーバーをまたいだ認証設定が不可能

Basic認証によりアクセスが制限される範囲は、ディレクトリ単位となるため、複数のサーバーをまたいだ設定は不可能です。複数のサーバーが存在する場合は、それぞれのサーバーごとにファイルを設定する必要があります。

 

・セキュリティが脆弱

Basic認証では、ユーザー名とパスワードはBase64という簡単なコードに変換されますが、デコードによって元の文字列が簡単にわかってしまいます。認証を行うたびに、ユーザー名とパスワードが暗号化されないまま送信されるので、通信を傍受して情報を盗み取られるリスクがあります。

また、一度ログインすると、ブラウザにユーザー名とパスワードが保存される仕組みで、ログアウトの機能がありません。そのため、悪意のある第三者がブラウザを勝手に利用すれば、情報の漏えいや悪用のおそれがあります。パソコンの共用を避けたり、一時的に席を離れる時はパソコンの画面にロックをかけたりといった対策が必要です。

Basic認証は手軽な認証方法ですが、それだけでは不十分です。機密情報を含まない情報を、限られたユーザー間でやり取りする場合のみ、Basic認証を利用しても問題ありませんが、それ以外のケースでは、より安全性の高い認証方式を採用するべきです。また、WAFの導入によってセキュリティ対策を強化すると良いでしょう。

 

まとめ

Basic認証は簡単に設定することができるうえ、ディレクトリ単位でアクセス制限ができるため、急ぎでセキュリティ対策を行う場合や細かく制限をかけたい時に便利な認証方法です。ただし、脆弱性も指摘されています。

脆弱性をカバーするには、より安全な認証方式を採用するほか、Webサイトの保護に特化したセキュリティ対策・WAFサービスの導入が有効です。Basic認証で対応しきれない悪意のある攻撃からWebサイトを保護できます。

また、「Cloudbric WAF+」は、Webセキュリティに必須なWAF・DDoS攻撃対策・脅威IP遮断サービスなど5つのサービスがひとつに統合されているため、セキュリティをより強化したい企業におすすめです。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

GDPRとは EU版個人情報保護法の対象となる日本企業や行うべきこと

GDPRとは? EU版個人情報保護法の対象となる日本企業や行うべきこと

EU域内で事業を展開する際に避けて通れないのが、GDPRの遵守です。GDPRは、個人情報とプライバシーの保護に関するEUの法律であり、EU域内に拠点がない日本企業でも対象となり得ます。もし違反した場合、多額の制裁金が課される可能性があるため注意が必要です。
この記事でGDPRについて理解を深め、EU域内の個人や企業に向けてのビジネスにお役立てください。

 

GDPR (EU一般データ保護規則)とは?

GDPRとは、欧州連合(EU)におけるデータ保護に関する法律です。EU版の個人情報保護法ともいえます。どのような法律なのか、概要や個人情報の定義、違反した場合にどうなるかについて解説します。

 

・GDPRの概要

GDPRの正式名称は「EU一般データ保護規則(General Data Protection Regulation)」です。頭文字を取ってGDPRと呼ばれています。個人情報の保護と、基本的人権の確保を目的として、2018年5月25日から施行されました。

EU内、厳密には、EEA(欧州経済領域)内における個人データの扱いを規定しています。個人データを取り扱う際は本人の同意を得ること、個人データを暗号化すること、システムの機密性を確保することなどを求めています。ECサイトなどネット上の取引にも適用されるため、注意が必要です。

EUではもともと「EUデータ保護指令(Data Protection Directive 95)」によって、個人データの保護が規定されていました。しかし、EUデータ保護指令に代わって施行されたGDPRは、個人データとプライバシー保護をさらに厳格に規定しています。
なお、2020年にEUを脱退したイギリスについても、GDPRの内容に基づいた「UK GDPR」と呼ばれる法律が施行されており、同様の対策が必要です。

日本企業であっても、EU域内から自社サイトへのアクセスがある場合なども対象になります。GDPRの内容については、日本の個人情報保護委員会によって日本語訳されていますので、参照してみてください。

(参照:個人情報保護委員会|EU(外国制度)GDPR(General Data Protection Regulation:一般データ保護規則

 

・GDPRに違反した場合はどうなるか

GDPRに違反した場合、被害者への損害賠償責任を問われるほか、EUから高額な制裁金を科される場合があります。

制裁金の最高額は2,000万ユーロ、もしくは直前の会計年度における全世界売上総額の4%のうち、高いほうの金額です。1ユーロ160円の場合、日本円にしておよそ30億円以上の計算になります。
たとえ大企業だとしても、大きな打撃になる金額ですので、違反しないよう細心の注意が必要です。

(参照元:個人情報保護委員会|一般データ保護規則(仮日本語訳)第8章 救済、法的責任及び制裁 第83 条 制裁金を科すための一般的要件 94~97ページ)

 

・GDPRによる個人情報の定義

GDPR第4条において個人情報は以下のように定義されています。

引用”「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別され得る者をいう。”

(引用元:個人情報保護委員会|一般データ保護規則(仮日本語訳)第1章 一般規定 第4条 定義 3ページ)

例えば以下のようなデータが考えられます。

 

▼定義から想定される個人データの種類

  • 氏名、メールアドレス
  • クレジットカード情報
  • パスポート情報
  • オンライン識別子(IPアドレス、cookie)
  • 位置情報
  • 指紋や顔写真など生体認証のもととなり得る情報
  • 出身地、部族

 

GDPRの対象となる日本企業 (適用範囲)

GDPRの対象となるのは、以下の日本企業です。

  1. EUに支社・子会社を置く企業
  2. EU内の個人や企業に対してサービスを提供したり取引があったりする企業
  3. 自社WebサイトにEU圏からアクセスがある企業

これらの企業においては、個人情報に関するデータを扱う場合、GDPRの原則に基づく必要があります。また、現地法人であったり、EU域内で個人情報を収集して日本で処理したりする場合も対象になりますので注意が必要です。

 

・1. EUに支社・子会社を置く企業

支社や子会社など、拠点がEU域内に存在する企業は、GDPRが適用されます。顧客データはもちろん、現地法人の従業員のデータも適正に扱わなければなりません。

GDPRでは、CookieやIPアドレス、位置情報などの個人データも保護対象です。そのため、EU域内に個人データを扱うサーバーやデータベースが設置されている場合でもGDPRの対象となります。
また、EU域内で個人データを収集し、日本でデータを処理するケースでは、GDPRの原則に基づいたデータ処理が求められます。

 

・2. EU内の個人や企業に対してサービスを提供したり取引があったりする企業

GDPRは、日本からEU域内にインターネット上でサービスを提供している企業にも適用されます。例えば、日本からEU域内に発送しているECサイトも含まれます。EU域に向けてサービスを提供しているかどうかは、サイトの言語や取り扱う通貨などによって、総合的に判断されます。

 

・3. 自社WebサイトにEU圏からアクセスがある企業

EU域内から自社サイトにアクセスがあれば、GDPRの対象と見なされます。例えば、EU域内のユーザーに対してターゲティング広告を行ったり、レコメンドが表示されたりする場合です。GDPRではターゲティング広告で用いられるCookieも個人情報と定義されているので、注意する必要があります。

 

GDPR対策として日本企業が行うべきセキュリティ対策

GDPR対策のためにまず行うべきなのは、セキュリティ対策です。GDPRの第32条では、データ保護のために暗号化を推奨しています。個人情報を扱うものには、PCやPOS端末などの機器やHDDなどの記録媒体、SAPやERPといったソリューションが含まれ、そのすべてに対して暗号化を行うには多大の労力を要します。

(参照元:個人情報保護委員会|一般データ保護規則(仮日本語訳)第4 章 管理者及び処理者 第2 節 個人データの安全性 第32 条 取扱いの安全性 37ページ)

そんなときには、データ暗号化ソリューションD’Amo(ディアモ)(https://www.pentasecurity.co.jp/damo/)の導入がおすすめです。
D’Amoは、セキュリティ専門企業であるペンタセキュリティが開発した製品で、オンプレミスやクラウドどちらにも対応しており、あらゆるレイヤーに対して高度な暗号化を実装します。

また、外的要因による個人データの流出を防ぐためにはWAFの導入も有効です。WAFとは、「Web Application Firewall」の略で、Webアプリケーションの脆弱性をついた攻撃から、Webサイトを保護するものです。WAFを導入すると、サーバーへの通信を解析・検査して、悪意を持った攻撃と判断した場合は自動的に通信が遮断されます。ECサイトやインターネットバンキングなどの脆弱性を悪用したサイバー攻撃を防ぎ、安全なWeb環境が実現できます。

 

まとめ

GDPRはEU域内における個人情報保護に関する法律であり、違反すると多額の制裁金が課されるおそれがあります。日本企業であっても、EU域内から自社サイトへのアクセスがある場合なども対象になるので、注意が必要です。
GDPRへの対応として、セキュリティ対策を強化する必要があります。暗号化ソリューションやWAFなどを活用して、個人情報を保護しましょう。

Cloudbric WAF+(クラウドブリック・ワフプラス)は、セキュリティ専門企業ペンタセキュリティが提供するクラウド型のセキュリティプラットフォームです。社内にセキュリティ専門の担当者がいなくても運用・導入が容易で、Web環境のセキュリティを守れます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

ゼロデイ攻撃とは 増加する背景や主な手口、企業として行うべき対策 (800 x 450 px)

ゼロデイ攻撃とは? 増加する背景や主な手口、企業として行うべき対策

ここ数年ゼロデイ攻撃が増えつつあることから、企業はセキュリティ対策に早急に取り組むことが大切です。本記事では、ゼロデイ攻撃とは何かといった概要から主な手口、近年被害が増えてきた背景、過去の事例まで解説します。また、ゼロデイ攻撃の特性を押さえたうえで、被害を最小限にするために企業が講じるべき対策について紹介します。

 

ゼロデイ攻撃とは?

ゼロデイは英語で「Zero-Day」と表記し、セキュリティ対策の時間がない(0日)ことを意味します。通常、ソフトウェアのプログラムで脆弱性が見つかった場合、ベンダーは修正パッチなどを提供します。しかし、その提供がされる前に脆弱性を素早く突いて攻撃を仕掛けるのがゼロデイ攻撃の手口です。
また、ゼロデイ脆弱性とは、ソフトウェアで見つかった脆弱性のなかで、その存在が発表される前や、修正パッチが提供される前の脆弱性を指します。

 

・特徴

年々巧妙化するサイバー攻撃に注意を払っていたとしても、セキュリティホールは基本的に存在します。しかし企業が脆弱性を見つけられておらず、修正パッチ配布前のいわゆる「ゼロデイ脆弱性」の状態では、適切に対応できません。そのため未然に防ぐのが難しく、サイバー被害が広がりやすいのが特徴です。

 

・有名な事例:シェルショック事件 (2014年)

ゼロデイ攻撃で大きな問題となったのが、2014年9月に起こった「シェルショック事件」です。Linuxなどでユーザとの橋渡し役(シェル)として使われていたプログラム「Bash」において、遠隔からも不正にコマンドを実行されてしまうといった脆弱性が判明しました。
多くの企業では、Bashをサーバーの基幹部分で使っています。すぐにサーバーを停止できない企業などで適切に対応できず、大きな混乱を招きました。
このBashの脆弱性を突いて、実際にアメリカ国防総省では、データをスキャンされる事件が発生しています。日本では、警視庁が調査に入るといった事態にまで発展したこともありました。

 

近年ゼロデイ攻撃が増えている背景

IPAが公開している「情報セキュリティ10大脅威」によると、ゼロデイ攻撃は2021年時点でランク外だったのが、22年で7位、23年には6位と、その脅威は近年増す一方です。
その理由としては、以下のようなことが考えられます。

参照:IPA|情報セキュリティ10大脅威 2023

IPA|情報セキュリティ10大脅威 2022
参照元:https://www.ipa.go.jp/security/10threats/10threats2022.html

まずは、ゼロデイ攻撃の検出数増加です。未然に防ぐことが困難な脅威として認知され、近年多くのベンダーなどがゼロデイ脆弱性を検知し報告するようになりました。実際にゼロデイ攻撃を受けた数は確認できないものの、検出数が増えることで件数も平行して伸びていることが考えられます。

またデジタル化が進み、モバイルデバイスが一般社会で浸透しているほか、IoTを導入する企業は少なくありません。それら機器の内部に使われているソフトウェアも複雑化しています。IoTの場合、機器類がインターネットに常時接続されていることもゼロデイ攻撃を受けやすい一因です。

 

ゼロデイ攻撃に使われる主な手口

ゼロデイ攻撃の手口としては、大きく2つの種類があります。攻撃のターゲットを絞った「標的型」と、一気に不特定多数へ攻撃する「ばらまき型」です。
ゼロデイ攻撃ではばらまき型が多く見られますが、近年では標的型も増えています。特定の企業やユーザにターゲットを定め、マルウェアを含んだメールを送りつける方法がよく報告されています。

WordPressのセキュリティについて、詳しくは関連記事「WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策」もご覧ください。

 

企業として行うべきゼロデイ攻撃対策

ゼロデイ攻撃は脆弱性の判明前や修正パッチの適用前のわずかな時間に行われるため、多くのケースで被害が拡大してしまいます。そうした事態を防ぐために企業が対策できることとしては、主に以下の4つが考えられます。

 

・デジタル環境を常に最新状態にする

基本的な対策として確実にしておきたいのは、コンピュータのOSやインストールしているソフトウェアなどを最新化しておくことです。コンピュータまわりの環境を早めにバージョンアップしておくと、最新の更新内容に脆弱性の修正が含まれているため、被害を抑えやすくなります。

 

・サンドボックスを導入する

コンピュータ上の仮想環境として独立している「サンドボックス」を活用することも有効な対策です。先に述べたように、ゼロデイ攻撃ではマルウェアをしのばせてメール送信するケースが多く見られます。マルウェアが潜んでいるおそれのあるメールを開く際に仮想環境のサンドボックスで開くことで、万一、マルウェアが含まれた添付ファイルを開いてしまっても直接的な被害を避けられます。
セキュリティソフトでスキャンしているからと安心するのは危険です。検知できないうちに攻撃を受けているおそれがあるため、サンドボックスを早期発見に役立ててください。

 

・EDRを導入する

EDR(Endpoint Detection and Response:エンドポイントセキュリティ)製品は、コンピュータやサーバーなどで怪しい挙動をしていないかどうか監視する役目を担っています。
ゼロデイ攻撃を従来のセキュリティソフトですべてを検知することは困難です。しかしEDRを使うと、末端部分の怪しい挙動を検知しやすくなります。ゼロデイ攻撃を受けたとしても、EDRは未知の脆弱性に有効なため、早期にリカバリーできるのがメリットです。ただし、現時点では誤検知されることもあるため、まだ万全ではありません。

 

・ロジック方式のWAFを導入する

WAF(Web Application Firewall)は、ネットワークやWebアプリの手前に設置し、通信内容を確認するソフトウェアです。Webアプリに脆弱性が見つかった場合も、攻撃の影響が及ぶ前に遮断できるのが特徴です。
また、WAFは一般的なファイアウォール(FW)やアンチウイルスでは防げない、Webアプリへの攻撃に対応しています。それらをまとめて採用することで、攻撃防御力がより向上します。

ただ、現在WAFは「シグネチャー方式」、つまり既知の脅威となる情報と突き合わせ、脆弱性が見つかってから遮断するタイプが主流です。これではゼロデイ攻撃に特化した対策はできません。
そのため、近年はひとつの遮断ルールを設定するだけで数百もの攻撃を遮断できる「ロジック方式」が注目されています。

 

まとめ

ひとたびゼロデイ攻撃を受けると、企業はセキュリティ上の甚大な影響を受けかねません。近年は検知数自体が増えたことや、ソフトウェアの複雑化、インターネットの常時接続などにより、その脅威は増大しつつあります。

そのため、ひとつのルールを設定するだけで、ゼロデイ攻撃への対策が数多く可能になる、ロジック方式のWAFの導入がおすすめです。とくにクラウド型の「Cloudbric WAF+」なら、社内に情報セキュリティの専門的なスキルを持った人材がいなくても手軽に利用できるうえ、必要なセキュリティ機能を一元的に活用できます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策

WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策

WordPressは世界で広く使われるオープンソースのCMSです。プログラミングの知識が無くても、Webサイトを作成できるため非常に人気がありますが、広く普及している分、脆弱性を突かれた攻撃を受けることもあります。WordPressのセキュリティを高めるためにはどのような対策をしたらよいのか、実際の攻撃事例も含めて解説します。

 

WordPressのセキュリティに関する問題点:脆弱性の指摘

WordPress(ワードプレス)はWebサイトを作成できるCMS(Contents Management System)の1種です。
2003年に誕生したWordPressは、基本無料で利用できるオープンソースのソフトウェアで、プログラミングの知識が無くても、ブログやWebサイトを簡単に作れます。
デザインのテンプレートが豊富で、追加機能を付与できるプラグインの種類も多いため、世界中で広く使われています。W3Techsの調査によると、全てのWebサイトのうち約43%はWordPressを用いており(2024年1月時点)、もっとも人気のあるCMSです。
(参照元:W3Techs 「WordPress の使用統計と市場シェア」)

多くのWebサイトで用いられているWordPressですが、その使用率の高さや、オープンソースであることから、サイバー攻撃の標的にもなりやすいといわれています。

 

WordPressのセキュリティ脆弱性を狙われた事例

2022年には、テーマ変更ができるプラグイン「OneTone」の脆弱性を狙ったSQLインジェクション攻撃がありました。データベースに侵入し、リダイレクトで他のサイトへ転送するコードが埋め込まれる被害が多発しました。このプラグインの開発者はアップデートを停止しており、脆弱性への対策がなされなかったため、OneToneを使用していたWebサイト管理者の多くは、他のプラグインへ変更せざるを得ませんでした。

2017年頃には、WordPressに搭載された「REST API」という機能の脆弱性を狙ったゼロデイ攻撃がありました。全世界で155万を超えるサイトが改ざんの被害に遭い、大きな問題となりました。
2019年にはプラグインの「WP GDPR Compliance」の脆弱性へのゼロデイ攻撃がありました。管理者ではなくても新規ユーザー登録や管理権限の付与が可能だったため、サイト内にマルウェアを組み込まれるなどの被害が多発しました。

2015年頃には、プラグイン「Fancybox」の脆弱性を突かれたクロスサイトスクリプティング攻撃が行われました。サイト利用者を他の不正なサイトへ誘導するものです。人気のあるプラグインであったため、被害の数も多くなりました。

「SQLインジェクション」、「ゼロディ攻撃」については、詳しくは下記関連記事もご覧ください。

SQLインジェクションとは? 攻撃の仕組みや被害例、対策方法を解説

ゼロデイ攻撃とは? 増加する背景や主な手口、企業として行うべき対策

 

WordPress利用の際に行うべきセキュリティ対策

WordPressは便利なものですが、セキュリティ対策を怠れば、サイバー攻撃の被害に遭う可能性もあります。以下に取り上げるセキュリティ対策を行い、リスクを減らしましょう。

 

・WP本体・テーマ・プラグインのバージョンを常に最新にする

WordPressの動作環境に関わる全てのものを最新のバージョンに保ちます。
WordPress本体や、テーマ・プラグインのアップデートには、バグ修正だけではなく、脆弱性への対応が含まれます。そのため、特に理由が無い限り、アップデートされたものはすぐに更新するのを習慣にしましょう。
自動アップデート機能もありますので、こまめにチェックする余裕が無い場合は、この機能をオンにしておくのもおすすめです。

 

・不要なテーマ・プラグインは削除する

前段で紹介したテーマ「OneTone」などは開発者がアップデート対応をしなかったことで被害が拡大しました。
有効化していないテーマやプラグインだとしても、インストールしたまま放置していると、その脆弱性を突かれる可能性があります。そのため、利用しないテーマやプラグインに関しては、削除しておきましょう。

 

・ログインページをデフォルトから変更する

WordPressのログインページは、初期状態のままだと簡単にログインページを特定できます。

https://ドメイン名//wp-admin/
もしくは
https://ドメイン名//wp-login.php/

そのため、デフォルトのログインページからURLを変更することも有効なセキュリティ対策です。ログインページのURLを変更することで、悪意のあるユーザーがログイン画面にたどり着きにくくなります。
WordPress本体には、ログインページを変更する機能はありませんので、専用のプラグインを用いる必要があります。

 

・ID・パスワードを強化(画像認証・二段階認証)にする

ログイン画面にたどり着かれた場合でも、簡単に突破されないよう、ID・パスワードを複雑にすることも重要です。ログインパスワードは、小文字、大文字、記号や英数字を混ぜ、簡単に思い浮かばないものに設定します。なるべく長く、複雑なものにすることが有効です。

また、画像認証や二段階認証を実装すると、より不正アクセスを防ぎやすくなります。WordPressの機能に、画像認証や二段階認証は無いため、セキュリティ対策関連のプラグインを導入して実装します。

 

・IP制限をかける

WordPressのログインページにIPアドレス制限をかけるのも有効です。例えば、自社オフィス以外のIPを受け付けないように設定を変更することで、不正なアクセスを防げます。

 

・定期的に国内外で発見された脆弱性を把握する

国内外で発見される脆弱性の情報に定期的に目を通すことも必要です。新たに発見された脆弱性に速やかに対応することで、セキュリティを高めることができます。脆弱性を確認できるサイトには以下のようなものがあります。

▼脆弱性を確認できるサイト

・WAFを導入する

WAFとは、「Web Application Firewall」の略です。外部からの攻撃を検知してWebサイトを防御できます。悪意を持った攻撃と判断された場合は、自動的に通信が遮断されるので、クロスサイトスクリプティングやSQLインジェクションなど、WordPressの脆弱性を突いた攻撃を防ぐ効果があります。WAFを導入することで、Webサイトの改ざんや個人情報漏えいのリスクを減らしましょう。

 

まとめ

WordPressは便利なCMSですが、脆弱性を突いた攻撃を受けることがあります。WordPress本体だけでなく、テーマやプラグインも常に最新の状態に保つことで、安全性を高められます。また、セキュリティ対策にはWAFの導入も有効です。
ペンタセキュリティの「Cloudbric WAF+」は、クラウド型のWebセキュリティプラットフォームです。CVEソース基盤に対応しており、新種や亜種の脆弱性にも速やかに対応できます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

アイキャッチ_SQLインジェクションとは 攻撃の仕組みや被害例、対策方法を解説

SQLインジェクションとは? 攻撃の仕組みや被害例、対策方法を解説

Webサービスが広く普及するなか、脆弱性が放置されているWebサイトやWebアプリケーションが少なくないのが現状です。この脆弱性をついて第3者がSQL文を挿入し、データベースへ不正にアクセスしたりデータを改ざんしたり、情報を盗み取ったりするSQLインジェクションの被害が増加しています。本記事では、こうしたSQLインジェクションの仕組みや被害例、効果的な対策について解説します。

 

SQLインジェクションとは?

「SQLインジェクション」とは、第3者がWebサイトの脆弱性を悪用し、データベースへの不正なアクセスやデータの改ざん、情報窃取などを企むサイバー攻撃です。

「SQL(Structured Query Language)」は、最も普及しているデータベース言語のひとつです。ISO(国際標準化機構)によって標準化されており、データベースを操作・制御します。

SQLインジェクションでは、脆弱性が放置されたWebサイトの入力フォームや検索ボックスなどの入力欄に、不正な操作をさせるためのSQL文を挿入することで、データの削除や窃取、システムの認証を回避して不正にログインといった被害を発生させます。

関連記事:2023年のサイバー攻撃における代表的な事例や被害額まとめ

近年SQLインジェクションは増加傾向にあり、2023年1~3月には前年同期比で1.5倍もの被害件数が報告されています。
(参照元:株式会社サイバーセキュリティクラウド「『SQLインジェクション』が前年同期比で+150%増加 ~2023年1-3月『Webアプリケーションを狙ったサイバー攻撃検知レポート』を発表~」)

また、IPAの調査によると、2023年の脆弱性の種類・影響別累計届出件数において、SQLインジェクションは2番目に多く報告されています。
(参照元:IPA「ソフトウェア等の脆弱性関連情報に関する届出状況[2023年第3四半期(7月~9月)]」)

 

SQLインジェクション攻撃の仕組み

ユーザーがWebサイトのフォームに情報を入力した際、通常は入力値に基づいて、サーバに送信される適切なSQL文が生成されます。そのSQL文に従ってデータベースが操作され、適切な結果がユーザーに返ってくる仕組みです。

しかしWebサイトに脆弱性がある場合、悪意を持った第3者が入力欄から不正なSQL文を挿入すると、そのSQL文によってデータベース内のデータの改ざんや個人情報の窃取といった不正な操作が行われてしまいます。

 

SQLインジェクション攻撃の被害例

 

・情報が盗まれる

情報漏えいは、SQLインジェクションの代表的な被害のひとつです。
例えば、顧客の個人情報や企業の機密情報などの漏えいも多数発生しています。IDやパスワードの流出によりアカウントが乗っ取られたり、クレジットカード情報が悪用されて不正送金の被害に発展したりする恐れもあります。

 

・データベースのデータが改ざん・削除される

SQLインジェクションによるデータの改ざんでは、ECサイトにおける商品の紹介文や価格が書き換えられてしまうといった事例があります。Webサイトに偽の情報が掲載されていると企業の信用が損なわれてしまいます。
また、データベース内のデータをすべて削除・破壊される攻撃を受けて、事業継続が難しくなるケースもあります。

 

・Webサイトを改ざんされる

不正なSQL文の命令によってサーバのファイルが書き換えられ、Webページが改ざんされてしまうこともあります。閲覧するとマルウェアに感染してしまう悪質なサイトのURLがページに埋め込まれ、ユーザーがその悪質なサイトに誘導されてしまうという被害も報告されています。

 

・攻撃の踏み台にされる

SQLインジェクションによって乗っ取られたメールアカウントからスパムメールを大量に送付するなど、攻撃に利用されてしまうこともあります。
また、SQLインジェクションでバックドアという侵入経路がサーバに仕掛けられることで、知らないうちに別のサーバを攻撃する踏み台にされてしまう事例もあります。

 

SQLインジェクションの対策方法

SQLインジェクションの被害を受けてしまうと、企業価値の毀損やブランド力の低下など、大きな影響を及ぼします。従ってセキュリティの強化対策は、企業の将来性を左右する重要なポイントです。以下で、SQLインジェクションへの対策方法4点を紹介します。

 

・1. プレースホルダを利用する

Webサイト画面の入力値がそのままSQL文として読み込まれると、悪意のある第3者が入力した不正なSQL文が、そのまま実行されてしまいます。この問題を解決するには、プレースホルダを使ってSQL文を組み立てるのが有効です。
プレースホルダとは、SQL文の変数部分に当てはめる記号のことです。プレースホルダを入れることで、変数部分と操作命令に関わる特殊な文字列の部分がそれぞれ確定します。こうすることで、変数部分に特殊な文字列が入力されて不正なSQL文を生成しようとしても無効化できます。

プレースホルダは、次に解説する「エスケープ処理」と組み合わせることで、さらなる安全性を目指せます。
(参照元:IPA「安全なSQLの呼び出し方」)

 

・2. エスケープ処理 を行う

エスケープ処理とは、プログラム言語で利用される特殊な文字列や記号を、ルールに従って別の文字列に置き換えることです。SQLインジェクション対策の場合は、「シングルクォート(‘)」や「セミコロン(;)」などの記号が対象になります。

第3者によって挿入された、不正なSQL文に含まれる特定の文字列や記号を変換・削除し、攻撃を無効化します。なお、データベースごとに特殊記号の扱いは異なるので、それぞれのデータベースに合わせた対策が必要です。

 

・3. 動作環境をすべて最新に保つ

Webサイトを構築するためのCMS(WordPressなど)やOS、Webアプリケーションなど、すべての環境を最新の状態にアップデートすることも効果的です。

これらのアップデートは、バグ解消や機能追加だけではなく、脆弱性への対応も含まれています。サイバー攻撃は脆弱性を狙うため、動作環境をすべて最新の状態を保つことで、セキュリティを強化できます。

WordPressのセキュリティについて、詳しくは関連記事「WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策」もご覧ください。

・4. WAFを導入する

「WAF(Web Application Firewall)」を導入すると、サーバに対して悪意のある通信が行われた場合は、自動的に通信をシャットアウトしてくれます。従来のファイアウォールでは防ぎきれなかった、Webサイトの脆弱性への攻撃防止が可能です。特にクラウド型のWAFであれば、常に自動で最新のセキュリティ環境を維持できます。

 

まとめ

SQLインジェクションの被害は近年増加しています。有効なセキュリティ対策方法としては、プレースホルダやエスケープ処理 の利用、動作環境のアップデート、WAFの導入などが挙げられます。

ペンタセキュリティのWAF、「Cloudbric WAF+」は、クラウド型のセキュリティプラットフォームです。常に最新のセキュリティ環境を維持できるので、SQLインジェクション対策にも役立ちます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

image_CloudFront

Amazon CloudFrontとは? 料金やメリットを解説

「Amazon CloudFront」は、コンテンツ配信において近年注目されているAWSのサービスです。この記事では、Amazon CloudFrontのサービスの概要をはじめ、Amazon S3やAWS ELBとの違いについて解説します。また、導入することで得られるメリットや、基本的な料金体系も併せて紹介しますので、気になる方はぜひ参考にしてみてください。

 

Amazon CloudFrontとは?コンテンツを安全に配信できるネットワークサービス

Amazon CloudFront(以下、CloudFront)は、静的あるいは動的コンテンツファイルを直接サーバーから配信するのではなく、仲介してユーザーに配信するサービスです。コンテンツファイルには、動画やアプリケーションなども含まれます。

CloudFrontは、安全にコンテンツを配信できるようになっています。たとえば、高度なSSL機能が自動的に有効となっています。コンテンツに対するアクセス制限を設けたり、AWS の各種機能と連携したりすることも可能です。

また、コンテンツファイルを世界中にあるエッジサーバーにキャッシュさせておくことで、オリジンサーバー(コンテンツの配信元となるサーバー)の負担を減らせるのも大きなメリットです。

 

・CloudFrontとS3の違い

AWSのCDN(コンテンツデリバリネットワーク)サービスであるCloudFrontと違い、「Amazon S3(以下、S3)」は同じAWSでも、オブジェクトストレージサービスのことを指します。そのため、似ているようで目的が異なるサービスと認識しておく必要があります。

通常、S3だけではオリジンサーバーのみでしかオブジェクトを配信できません。しかし、CloudFrontを併用することで、エッジサーバーを利用できるようになります。CloudFrontとS3とを併用して、Webサーバーとして使用する例はよく見られます。

 

・CloudFrontとELBの違い

AWSで提供されているサービスでいえば、「AWS ELB」とどのように異なるのかも気になるところです。両者は、そもそも目的や機能が異なります。

まずCloudFrontの場合は、先に述べたように、CDN(コンテンツデリバリネットワーク)サービスです。静的あるいは動的なコンテンツを、高速かつセキュアにエンドユーザーへ提供することが主な目的となっています。

一方のAWS ELBは、いわゆるロードバランサーサービスです。複数のAmazon EC2インスタンスやコンテナにトラフィックを分散し、可用性や耐久性を向上させるのが主な目的となっている点で、大きく異なります。

 

CloudFrontを構成する主な機能

 

・オリジンサーバー

オリジンサーバーとは、Webアプリケーションやデータベースサーバーなど、コンテンツの本来のソースを格納するサーバーのことです。CloudFrontのオリジンサーバーには、Amazon EC2・S3・オンプレミスサーバーを指定できます。現状使用しているオンプレミスサーバーを指定することも可能です。

 

・ディストリビューション

ディストリビューションとは、ドメインにあてられるCloudFrontの設定のことです。CloudFrontではインスタンスを起動する際、使用するオペレーティングシステムとそのバージョンを指定することが必要です。その際にディストリビューションを作成します。

 

・エッジロケーション

エッジロケーションとは、世界中において物理的に配置されたデータセンターを指します。Amazon CloudFront CDN(コンテンツデリバリネットワーク)の一構成要素となっています。

近くにサーバーがあるため、コンテンツを世界中のエンドユーザーへ迅速に提供できるようになるのがメリットです。また、わざわざ元のオリジンサーバーにアクセスする必要がなくなるため、オリジンサーバーに負荷がかからない点も魅力的です。

 

・Behavior(ビヘイビア)

Behavior(ビヘイビア)とは、特定のパスパターンや条件に基づいて、振り先(オリジン)を変えられる機能です。CloudFrontでは「images/.jpg」や「api/」など、ファイルパターンを限定したものも設定できます。

 

CloudFrontのメリット

CloudFrontを使うことで、さまざまなメリットが得られます。ここでは、代表的な3つのメリットについて解説します。

 

・海外からのアクセスも低遅延で配信できる

先に述べたようにCloudFrontは、世界中にエッジサーバーがあるのが特長です。そのため、海外からのアクセスにも低レイテンシー(遅延)で配信できます。海外ユーザーにも高いパフォーマンスでストレスなく快適にコンテンツサービスを利用してもらえるのは、大きなメリットです。

 

・コストを削減できる

AWSのサービスは従量課金制となっています。自社にとって真に必要なサービスにだけ料金を支払えばよく、余分な機能にかかる費用を抑えられます。効率よくコスト削減をめざしたい場合にもおすすめです。

 

・セキュリティ性能を高められる

SSL/TLS暗号化が自動で有効化される点も、CloudFrontの注目すべきポイントです。AWS WAF(AWSのWebアプリケーションファイアウォール)との連携も可能なため、セキュリティ性能をより強化できます。

 

CloudFrontの料金

CloudFrontの料金は従量課金制なため、利用する量や地域によって料金が異なります。たとえば、課金対象として挙げられているのは次のような内容です。

  • 「オリジンへのリージョンレベルのデータ転送(アウト)」における日本価格は、1GBあたり「0.060 USD」となっています。
  • 「HTTPリクエスト」における日本価格は1万件あたり「0.0090 USD」、「HTTPSリクエスト」では1万件あたり「0.0120 USD」です。
  • 「インターネットへのデータ転送(アウト)」では、10TBまでなら1カ月単位1GBあたり「0.114 USD」、次の40TBまでなら「0.089 USD」といったように段階が分かれていき、5 PB 超で「0.060 USD」となっています。扱うデータ量が多ければ、1GBあたりの料金は安価になるためお得です。

なお、導入時の初期費用や維持費などはかかりません。

参考:AWS「Amazon CloudFront の料金

 

まとめ

Amazon CloudFrontは、コンテンツ配信を行う際に仲介してユーザーに配信するCDN(コンテンツデリバリネットワーク)サービスです。導入すると、さまざまなメリットを受けられます。たとえば、海外からのアクセスでも低遅延を実現できるほか、低コスト化やセキュリティ強化を図ることも可能です。また、必要なデータ量だけ使える従量課金制となっているのも注目すべきポイントです。

 

▼AWS WAFに特化した運用サービス「Cloudbirc WMS for AWS」はこちら

▼製品・サービスに関するお問い合わせはこちら