企業が行うべきセキュリティ対策

企業が行うべき情報セキュリティ対策とは?具体的な例とポイントを解説

by ブログ

企業が行うべきセキュリティ対策

企業が持続的に発展していくためには、損失につながる危険要因を適切に管理する、リスクマネジメントへの取り組みが欠かせません。そこで重要な役割を担うのが、事業活動を通じて収集された情報資産をさまざまな脅威から保護する「情報セキュリティ対策」です。本記事では、企業が実施すべき情報セキュリティ対策の具体例や押さえるべきポイントについて解説します。

 

情報セキュリティとは

情報セキュリティとは、事業活動において発生し得るセキュリティインシデントを多角的に評価・分析し、リスクの回避と損失の最小化を目指す施策の総称です。具体的には、「機密性」「完全性」「可用性」の3要素を対策基準の大枠として設定し、それぞれの観点から情報資産の安全性を強化します。そして、組織が保有する情報資産をマルウェアや不正侵入などの脅威から保護するとともに、ITシステムの恒常的な稼働を担保することが、情報セキュリティ対策の目的です。

  • 機密性
    情報セキュリティにおいて機密性とは、データベースに蓄積された情報資産が外部に流出しない状態を意味します。情報の機密性が低い状態では、外部からの不正侵入や、内部の人間による意図的な情報流出といったセキュリティリスクが懸念されます。
  • 完全性
    情報セキュリティの完全性とは、収集・蓄積された情報が正確かつ最新に保たれている状態を意味します。情報の完全性が保たれていない場合、データの改ざんや重複、ファイルの破損などを招く要因となり、データの正確性や信頼性を担保できません。
  • 可用性
    情報セキュリティにおける可用性とは、ITシステムの安定稼働を確保し、データを常時使用できる状態に保つことを意味します。ITシステムの可用性が確保されていない場合、ネットワーク障害やサーバーダウンなどによって、事業活動に多大な支障が生じる可能性があります。

【参考記事】情報セキュリティって何?|国民のための情報セキュリティサイト

 

 

情報セキュリティに対する脅威と対策

ここでは、事業領域において想定されるセキュリティインシデントと、主な対策について解説します。

 

ウイルス感染への対策

コンピュータウイルスとは、コンピュータのファイルに寄生して増殖する不正プログラムです。「トロイの木馬」や「ワーム」などと同じくマルウェアの一種であり、ウイルスに感染するとファイルのプログラムを書き換えられたり、情報を窃取される被害が想定されます。

代表的な対策として挙げられるのが、ウイルス対策ソフトウェアの導入です。ウイルス対策ソフトウェアは、既知のマルウェアに類似するプログラムを自動的に検出して無力化します。そのほかにも、アプリケーションを最新のバージョンに保つ、スパムメールの添付ファイルを開封しない、安全性が低いWebサイトをフィルタリングする、といった対策も有効です。

 

不正侵入への対策

不正侵入とは、不正な手段を用いてコンピュータやファイルにログインする行為を指します。不正侵入は、顧客情報の窃取や個人情報の流出といった被害につながることはもちろん、ほかのシステムを攻撃する踏み台として利用される事例も少なくありません。

不正侵入を防止するためには、ID/パスワード管理の徹底や、職務分掌規定に基づくアクセス権限設定などの対策が必要です。また、LANとインターネットの間でネットワーク層を保護するファイアウォールの設置や、アプリケーション層の脆弱性を狙う脅威から情報資産を保護するWAF(Web Application Firewall)の導入、といった対策も求められます。

代表的な対策一覧は以下のようなものです。

  • ID・パスワード管理の仕組み化
  • アクセス権限の設定
  • ファイアウォールの設置
  • WAFの導入
  • アクセスログの取得と監視

また、不正侵入への対策としてWAFの導入も効果的です。WAFはWeb Application Firewallの略称でWebアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。Cloudbric WAF+(クラウドブリック・ワフプラス)では、WAFサービスや脅威IP遮断サービスなどWebセキュリティに必要な5つのサービスを統合的に提供します。

【関連記事】クラウド型WAFサービス cloudbric WAF+

 

情報漏えいへの対策

情報漏えいとは、組織のデータベースに蓄積された情報資産が外部に流出することです。ウイルスや不正侵入による機密情報の漏えいや、内部の人間による意図的なデータの流出といった被害が想定されます。

情報漏えいを防ぐためには、情報管理における仕組みを整備し、そのルールを遵守する経営体制を構築しなくてはなりません。そのためには、ウイルス対策ソフトやファイアウォールなどを導入するだけでなく、顧客情報や製品開発情報といった機密情報の取り扱いに関するルールの策定が求められます。また、廃棄した物品から情報漏えいにつながるケースもあるため、PCやHDD、資料などの廃棄ルールを整備する必要があります。またWAFも情報漏えいの対策として効果的です。WAFでは個人情報の漏えいに繋がるOSコマンドインジェクションの脆弱性を悪用した攻撃に対して防ぐことができます。

代表的な対策一覧は以下のようなものです。

  • ウイルス対策ソフトやファイアウォールの導入
  • ID/パスワード管理やアクセス権限設定の最適化
  • データガバナンスの整備
  • 情報セキュリティに関する社員教育
  • 機器や資料などの廃棄ルールを徹底する

 

災害などによる機器障害への対策

地震大国と呼ばれる日本では、いかにしてITインフラの可用性を確保するかが重要課題です。たとえば、地震や火災などによってサーバーがダウンした場合、業務に支障をきたすのみならず、情報漏えいによる信用の失墜や損害賠償請求、売上機会の損失、株価の下落、ブランドイメージの低迷といった損害を招きかねません。

こうした事態を回避するためには、サーバーの冗長化やバックアップ環境の整備、ファイルサーバーのクラウド移行、予備電源の確保、データセンターの安全管理といった対策が求められます。また、災害発生時における復旧マニュアルを策定し、有事の際に柔軟かつ迅速に対応できる体制を整えることも大切です。

代表的な対策一覧は以下のようなものです。

  • サーバーの冗長化
  • バックアップ環境の構築
  • ファイルサーバーのクラウド移行
  • 予備電源の確保
  • データセンターの安全管理

 

 

情報セキュリティ対策のポイント

事業領域における情報セキュリティ対策を整備する際は、いくつか押さえるべきポイントが存在します。なかでも重要なポイントとして挙げられるのが、以下の3点です。

 

システムを最新の状態にする

現代はデジタル技術や情報通信技術の進歩・発展に伴い、マルウェアや不正侵入といったサイバー攻撃の手口も年々巧妙化かつ多角化していく傾向にあります。このような脅威から組織の情報資産を保護するためには、最新かつ最適なシステムを導入することが重要です。自社で導入しているシステムが適切か見直しを行い、それらが最新かどうかを確認しましょう。さらに導入したOSやソフトウェア、アプリケーションなどを常に最新バージョンに保つことが大切です。

 

テレワークへの対応をする

近年では、働き方改革の推進や新型コロナウイルスなどの影響により、テレワーク制度を導入する企業が増加傾向にあります。テレワーク環境では、オフィス外から社内ネットワークにアクセスする必要があり、リモート型の遠隔勤務に対応したセキュリティ体制を確立しなくてはなりません。安全かつ高速なファイル共有基盤を構築する必要があるため、ファイルサーバーのクラウド移行や仮想デスクトップ基盤の導入を検討するとともに、データガバナンスの整備やセキュリティガイドラインの策定といった施策が求められます。

 

従業員へ教育と管理を行う

情報セキュリティを強化するためには、マルウェアのような外部環境への対策だけでなく、人材のITリテラシー向上やデータガバナンスの策定といった内部環境の整備が欠かせません。そのためには、情報セキュリティに関する研修や教育制度を確立し、従業員一人ひとりが情報漏えいの事例やサイバー攻撃の手口などを学ぶ必要があります。そして、意図的な情報の持ち出しを防止する仕組みを整備し、そのルールを遵守する企業文化を醸成することで、組織全体における情報セキュリティの強化に寄与します。

 

まとめ

情報セキュリティとは、「機密性」「完全性」「可用性」の3要素に基づいてセキュリティリスクを分析し、組織の情報資産を保護するとともに、ITシステムの継続的な稼働を担保する一連の施策です。

事業活動ではIT化の進展に伴って、「ウイルス感染」「不正侵入」「情報漏えい」「機器障害」などのセキュリティリスクが想定されます。したがって、ウイルス対策ソフトやWAFの導入、アクセス権限設定の最適化、OSやソフトウェアのアップデート、サーバーの冗長化といった対策が必要です。

そして同時に、従業員への教育制度やデータガバナンスを整備することで、組織全体における情報セキュリティの強化につながります。

 

DDoS攻撃

DDoS攻撃はその場しのぎで対応?DDoS攻撃の実態と、企業で必要な対策をご紹介

by ブログ

DDoS攻撃

代表的なサイバー攻撃の1つとして「DDoS攻撃(分散型サービス拒否攻撃)」があります。昨今、日本国内ではランサムウェアによるサイバー攻撃が頻発していますが、DDoS攻撃も決して見逃すことのできない油断禁物なサイバー攻撃のひとつです。DDoS攻撃は巧妙なため対策が難しいとも言われていますが、今回は日本国内におけるDDoS攻撃の実情と対策方法について解説します。

 

DDoS攻撃とは

DDoS攻撃とはサーバなどのシステムに大量のデータを送り付けることで、システムをダウンさせたり、アクセスしにくくさせるサイバー攻撃です。システムのダウンはサイトダウンにつながるため企業の営業活動等に大きな被害を与えかねません。
DDoS攻撃を仕掛ける目的としては、嫌がらせや脅迫などとありますが、最近では金銭を要求するランサム型DDoS攻撃も頻発しています。そのためDDoS攻撃の目的はさまざまと言えるでしょう。

 

時代と共に進化しているDDoS攻撃

DDoS攻撃は攻撃手法が比較的シンプルなため、サイバー攻撃の中ではよく目にする定番のサイバー攻撃と言えるでしょう。以前はDoS攻撃が主流でしたが、現在はDDoS攻撃をよく見かけると思います。DoS攻撃とDDoS攻撃はどのような違いがあるのでしょうか。

DoS攻撃:一台の機器(PC)から大量のデータを送り付ける
DDoS攻撃:複数の機器(PC)から大量のデータを送り付ける

最近ではDoS攻撃はほぼ見かけなくなり、DDoS攻撃が主流となっています。従来のDoS攻撃の場合、一台の機器(PC)から攻撃を仕掛けるということは、IPアドレスも1つのためそのIPアドレスを遮断すれば棒業できました。ただし昨今、主流となっているDDoS攻撃の場合、複数機械(PC)=IPアドレスも複数となるため攻撃を仕掛けてくるIPアドレスを全てブロックするというのは非常に難しいです。

 

DDoS攻撃の実例

対策が取りにくいDDoS攻撃ですが、実際に攻撃を受けるとどのような被害があるのか例を見ていきたいと思います。

 

東京メトロ・大阪メトロ

9月に東京メトロと大阪メトロが親ロシア派ハッカー集団「キルネット」によりDDoS攻撃を受けました。またSNSには犯行声明として「東京の地下鉄を止める」などといった声明が出されています。これにより東京メトロや大阪メトロのホームページにアクセスしにくくなるなどの被害が報告されました。

 

政府サイト

こちらも9月に政府が運営するサイトでアクセス障害が発生しました。デジタル庁が所管する行政情報のポータルサイト、「eーGov」など一部でアクセス障害が発生し、こちらも「キルネット」によるDDoS攻撃と見られ、また当ハッカー集団がSNS上にてサイバー攻撃を行った旨の投稿をしました。

 

自治体サイト

2月に広島県や県内自治体が運営するWebサイトが閲覧しにくい状態が発生しました。広島県が使用しているセキュリティクラウドに対し、30分から1時間ごとにDDoS攻撃が行わました。広島県はDDoS攻撃の影響を受けていないメールやLINEなどを活用し、対応を追われました。

 

DDoS攻撃は一時的な攻撃という認識から対策を後回しにしがちですが、DDoS攻撃を一度受けた企業は再度DDoS攻撃を受ける傾向があったりや、またDDoS攻撃を本格的なサイバー攻撃を仕掛ける前段階の攻撃として様子見として仕掛けてくる場合もあります。またサイトに接続しずらくなるため、ユーザの離脱や企業に対する信頼度の低下などにもつながる恐れがあるため、被害を最小限に食い止めるためにもしっかりと対策を講ずることがポイントとなります。

 

DDoS攻撃にもさまざまなタイプがある

増幅型(Volumetric)攻撃

増幅型攻撃は、攻撃のターゲットとなるサーバで処理できるネットワーク・トラフィックの限界を超過するトラフィックを伝送し、すべての可用帯域幅を枯渇させる攻撃手法です。非常に単純な攻撃方式ですが、ボットネットの規模によっては非常に致命的な攻撃方式であるため、現在でも多く利用されています。 特にDRDoS(Distributed Reflection Denial of Service)反射型 DDoS 攻撃は、攻撃者の存在を隠蔽して、より深刻な攻撃を誘導することができるため、注意が必要です。

リソース消耗型攻撃

リソース消耗型攻撃は、ネットワーク帯域幅やシステムの CPU、セッションなどのリソースを消耗させ、通常のユーザのアクセスを妨害させる攻撃形態です。存在していないクライアントがサーバに接続しているように偽り、接続可能なリソースを消耗させ、通常のユーザではサービスを利用できなくなります。

アプリケーション層攻撃

〇HTTP Flooding
HTTP Flooding は、アプリケーション攻撃の代表的な手法であり、大量の HTTP リクエストを発生させ、 攻撃対象サーバのリソースを枯渇させる攻撃です。正常なリクエストと類似のリクエストを利用して攻撃を発生させるため、事前に備えることが難しく、小規模のボットネット(botnet)でもターゲットとなるサーバの運用を妨害することもできます。

〇RUDY Attack
RUDY(R-U-Dead-Yet)Attack は、POST メソッドを利用した代表的な Slow 攻撃です。POST メソッドのリクエストで送信するデータのサイズ(Content-Length)を非常に大きく設定し転送します。サーバは、当該リクエストを受信し Content-Length 分の転送が完了するまで待機しますが、一定時間の間隔で 1 文字ずつ送信し、長時間接続を維持させます。結果的に通常のユーザからのリクエストは拒否され、ターゲットとなるサーバの運用を妨害します。

まとめ

一言にDDoS攻撃対策といってもDDoS攻撃の構造は非常に巧妙であり、CDNでの対策にも限界があり対策がなかなか難しいのが現状です。そこでお勧めなのが「Cloudbric ADDoS」です。Cloudbric ADDoSは全世界に設置されたエッジ・ロケーションにて大規模トラフィック(最大65Tbpsまで対応)を分散処理し、WebサイトをDDoS攻撃から安全に保護します。またDNSの変更だけでお手軽に導入ができ、また導入から導入後の運用までセキュリティ・エキスパートが担当しますので、専門知識は不要です。ぜひDDoS攻撃にはCloudbric ADDoSの導入をご検討ください。

ランサムウェア

盲点を突いてくるランサムウェアの脅威認知と企業での対応策を解説

by ブログ

ランサムウェア

日本国内では連日サイバー攻撃による被害が報告されていますが、その中でも特にランサムウェアによる被害が急増しています。警視庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの被害は21年上半期が61件だったのに対し、22年上半期は114件と倍近く報告されています。そこで今回はランサムウェアの被害の実態とその被害から学び取れるセキュリティ対策について解説します。

 

ランサムウェアとは

昨今、日本国内で多くの企業に被害を及ぼしているランサムウェアとはそもそも何でしょうか。
ランサムウェアとは、企業のシステムなどへ不正に侵入し、重要なデータやファイルを暗号化し、暗号解除のためのパスワードを知りたければ身代金の支払いを要求するサイバー攻撃の一種で、日本語では身代金要求型ウイルスとも言います。ランサムウェアに感染してしまうと、会社システムに多大な影響を及ぼし、業務全体がストップしてしまう可能性もあります。また身代金を支払ったとしてもパスワードを教えてくれる確証はないため、感染後の対応が非常に困難なサイバー攻撃の1つです。最近ではDDoS攻撃の脅威を追加した「三重脅迫型」攻撃も増加しており、企業としても避けたいサイバー攻撃と言えます。

 

日本国内でのランサムウェアの被害状況

前述のとおり、日本国内ではランサムウェアによる被害報告が前年度と比べ、倍近く報告されています。また全世界に目を向けてみると全サイバー攻撃中、ランサムウェア攻撃が占める割合が20%と高い比率をしめており、その被害総額も200億ドルと甚大な被害を及ぼしています。ランサムウェアに感染してしまうと、業務にも多大な影響を及ぼしかねず、最近ですと、日本国内でも複数の医療機関がランサムウェアのターゲットとなり、甚大な被害を被っています。次の内容で実例を紹介しながら、どのような被害があったのか見てみましょう。

大阪急性期・総合医療センター

大阪急性期・総合医療センターとは、大阪市住吉区にある地方独立行政法人の医療機関です。病床数は865床と多く、急性期医療から高度な専門医療に対応しています。この施設は大規模で幅広い医療に対応していて、かつ大阪府内に3ヶ所しかない高度救命救急センターであり重要な施設になります。

サイバー攻撃の内容

この施設は、2022年10月31日に、ランサムウェアによるサイバー攻撃を受けました。
当時、サーバ上の画面に英文脅迫メッセージが確認されており、脅迫文には暗号化したファイルを復号したければビットコインでの支払いを要求する旨が記載されていたとのことです。同センターは要求には応じず、今後の対応については厚生労働省などと協議するとし、また政府からもソフトウェア協会の専門家3名を現場に派遣し、調査を実施しています。この攻撃の影響で 1週間経過しても、電子カルテシステムが復旧できず、緊急以外の手術や外来診療は一時停止する事態となりました。完全復旧のめどとしては2023年1月を予定しているとのことです。

なぜランサムウェア攻撃を仕掛けられたのか?

ランサムウェア攻撃の被害調査にあたり、同センターが委託していた給食提供サービス「ベルキッチン」の事業者であるデータセンター内サーバーを通じ、侵入された可能性があることが判明しました。同センターの電子カルテのオーダリングシステムで食事内容等の食事情報に関係する発注が行われ、院内の給食関係システムに情報集約後、ベルキッチン宛てに送信される構造でした。サーバ間はベルキッチン側の仕様で、攻撃自体はVPN機器に対して行われており、ソフトウェアの更新も行われていない脆弱な状態が悪用された可能性が指摘されています。同センターは徳島県つるぎ町立半田病院と同一機器を使用しており、半田病院もランサムウェア攻撃の被害を受けるに至りました。

徳島県つるぎ町立半田病院も標的に

前述のとおり大阪急性期・総合医療センターでの事件に付随して、2021年10月に徳島県のつるぎ町立半田病院 でもランサムウェアによる被害が報告されています。同じく電子カルテシステムで患者情報を確認出来なくなり、診療報酬の請求も止まりました。大阪市の病院と同様に、新規患者受け入れ停止など業務の大幅な制限を余儀なくされ、対策を比較検討した結果、新規のサーバーに同様のシステムを構築する対策を実施しました。その対策に要した概算費用は2億円にのぼりました。

 

2つの被害の共通点

こちらの2つの事例にはある共通点があります。それは両病院とも同じ会社が提供するVPNを使用していた点です。システムがアップデートされておらず、その脆弱性をつかれ攻撃の対象となりました。VPNは低コストで拠点間通信が可能であることから、企業のセキュリティ対策の一環として広く普及しています。ただし、VPNの種類によっては、セキュリティレベルに差があるため、今回の事例のように情報漏洩のリスクが完全にゼロではありません。VPNの構造自体にはセキュリティがある程度確保されていますが、企業がVPNを導入し利用するにあたり、利用方法が難しく正しく活用できていなかったり、アップデートの不十分やVPNの認証が1段階などの要素がサイバー攻撃の抜け穴となる可能性があります。そのためVPNを導入して終わりではなく、ユーザが簡単に利用でき、また多要素認証を導入しセキュアなシステム構築などが企業に求められます。

 

まとめ

ランサムウェアは企業に多大な被害をもたらすため、企業等では事前に対策を講じ、回避することが重要なポイントとなってきます。そこでお勧めしたいのが「Cloudbric RAS」です。Cloudbric RASはVPNを構築せず、 DNS情報の変更のみで手軽に導入 ができ、安全な社内システムへのアクセスを提供します。またユーザは特別な操作をする必要はないためトレーニングなどは必要なく、また Google OTP及びメールアドレス認証を行うことで「二要素認証」を実現し、よりセキュアな環境を提供します。外部からの社内システムアクセスに係わるセキュリティ懸念点の払拭には、ぜひCroudbric RASの導入をご検討ください。

MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

by ブログ

 

MFA、MFAとは?定義から必要性、セキュリティを強化するためのポイントを徹底解説

クラウドサービスやテレワークが普及し、企業や従業員が外部から社内の機密情報にアクセスする機会が増えつつあります。利便性が高まっていることは確かですが、不正アクセスなどのリスクについても考え直さなければなりません。アプリケーションやシステムにおいて、情報へのアクセス権限を確かめる認証機能は、セキュリティ対策として最も基本的な仕組みの1つです。ここでは、認証の方式として近年注目されているMFA(「多要素認証」)について解説し、なぜMFAが必要なのか、MFAを使ってセキュリティをさらに強化するためのポイントについて解説します。

 

MFAとは

MFAは、複数の要素を組み合わせて認証を行うことでなりすまし等の被害を防ぐセキュリティ対策の1つです。ここではMFAの概要について、より詳しく解説していきます。

MFAの定義

MFAは「Multi-Factor Authentication」の略称で、日本語では「多要素認証」と言われます。アプリケーションやシステムにおいて、アクセスを試みているユーザが正規のユーザかどうかを確かめることを「認証」と言います。MFAはその認証の中でも、複数の要素を用いて認証する仕組みのことを指しています。

MFAが成立するためには、次の3つの要素のうち、2つ以上を組み合わせる必要があります。
・知識情報(パスワードや秘密の質問など)
・所持情報(ICカード、スマートフォンなど)
・生体情報(指紋、声紋、虹彩など)

「知識情報」は、その人が「知っている」情報のことです。パスワードや秘密の質問への答えなど、正規の利用者しか知らないはずの情報を使って認証します。

「所持情報」は、その人が「持っている」情報のことです。ICカード内のチップや、スマートフォンのようなモバイル端末など、正規の利用者しか持っていないはずの情報を使って認証します。

「生体情報」は、その人が「どのような身体的特徴を持つか」を示す情報です。指紋や虹彩といった、人によって異なる身体的特徴を使って認証します。

MFAは、これら3要素のうち2要素以上を使った認証を指します。異なる要素を2つ以上必要とするため、なりすましのリスクが大きく下がるのが特徴です。

二段階認証との違い

「MFA(多要素認証)」と似た言葉として、「二段階認証」という認証方式があります。二段階認証は、要素の違いを問わず、2回のチェックを行う認証方式のことです。例えば、「パスワード」の入力を求めた後で「秘密の質問」による認証を行う、という仕組みは「二段階認証」です。パスワードも秘密の質問も同じ「知識情報」のため、多要素ではありません。多要素認証は、あくまでも異なる要素を組み合わせなければなりませんが、二段階認証は要素の違いは考慮せず、ただ「2回認証する」ということだけに着目した認証方式です。

ゼロトラストとの関係

MFAは、ゼロトラストによるセキュリティを実現するための認証方式として採用され始めています。近年では、「ゼロトラスト」というセキュリティの考え方があります。「ゼロトラスト」とはネットワークの内外やデバイスを問わず、「何も信頼しない」ことを前提としてセキュリティ対策を講じる、という考え方のことです。内部のネットワークやデバイスを信頼しないため、より厳格な認証方式としてMFAが利用されているのです。MFAはゼロトラストによるセキュリティを実現するための方策の1つとして、多くの場面で採用され始めています。

 

MFAで使われる認証方式の例

MFAには様々な例があります。実際にMFAでよく使われる認証方式の例について解説します。

ワンタイムパスワード(知識情報・所持情報)

1つ目は「ワンタイムパスワード」です。IDとパスワードを入力した後で、ユーザのデバイス宛てにワンタイムパスワードを送信し、そのワンタイムパスワードの入力によって再度認証します。ID・パスワードという「知識情報」と、デバイスという「所持情報」を使った多要素認証です。

デジタル証明書(知識情報・所持情報)

2つ目は「デジタル証明書」です。あらかじめ特定の端末に証明書をインストールしておき、パスワード等の情報と共に認証を行います。特定の端末からしかアクセスできないため、より厳密な端末管理ができます。パスワードをはじめとする「知識情報」と、証明書をインストールした端末という「所持情報」を利用した多要素認証です。

リスクベース認証

3つ目「リスクベース認証」です。厳密には、リスクベース認証は多要素認証の一種ではありませんが、リスクベース認証のために多要素認証が使われるのが一般的です。リスクベース認証とは、普段と異なる場所や時間・デバイスでのアクセスが試みられた際に、パスワード等による通常の認証に加え、さらに追加での認証を要求する認証方式を指します。常に多要素認証を要求するよりも利便性が高い、というメリットがあります。追加での認証の際にはワンタイムパスワードを利用するなど、パスワード等の知識情報とは別要素での認証がより効果的です。

 

 MFAの必要性

そもそも、MFAはなぜ必要なのでしょうか。ここでは、MFAの必要性と役割について解説します。

なぜMFAが必要なのか

MFAは、セキュリティを強化するために必要な仕組みです。パスワードのみによる従来の認証方法は、パスワード管理の甘さやブルートフォース攻撃などによる不正アクセスのリスクが高く、扱う情報によっては不十分なセキュリティ対策でもあります。MFAは、1つの要素による認証を突破されただけでは情報漏えいに至らないため、特に扱う情報の重要性が高い場合は、強固なセキュリティを築くために必要と言えます。

MFAは企業の情報資産を守れる?

MFAは、企業の情報資産の保護につながることが期待されています。企業では、多くの重要な情報資産を扱うため、個人よりも強固なセキュリティを構築しなければなりません。近年ではリモートワークなどの普及に伴い、外部から企業内部のシステムやネットワークにアクセスする機会も増えています。そうした事態の変化に伴い、企業に求められるセキュリティのために、MFAの導入を検討すべき事例は増えているでしょう。

 

MFAでのセキュリティを強化するためのポイント

MFAがセキュリティ対策として効果があるとは言っても、ただMFAを導入すれば良いという訳ではありません。ここでは、MFAでセキュリティをさらに強化するためのポイントについて解説します。

パスワードポリシーの強化

MFAをはじめ、パスワードを使ったあらゆる認証方式では、パスワードポリシーを強化することが大切です。具体的には、「最低8文字以上」「英大文字小文字・数字・記号のうち3種以上を使用する」「IDと同一の文字列は利用不可」といった形で、推測されにくいパスワードポリシーを設定し、定期的な変更を義務付けることが大切です。

情報の使いまわしを避ける

パスワードのように、認証情報の使いまわしを避けることもポイントです。複数のサービスで同じパスワードを使いまわすと、一つのサービスから情報漏えいがあった場合に他のサービスでも不正アクセスにつながる可能性が高まります。企業では社員教育を徹底し、複数のサービスで認証情報を使いまわさないように注意すると良いでしょう。

端末やパスワード管理の徹底

MFAは、複数の要素での認証によって不正アクセスを防ぐ仕組みです。そのため、パスワードの流出や端末の紛失などが万が一あったとしても、即座に不正アクセスにつながるとは言い切れません。しかし、強固なセキュリティを維持するためには、パスワードや端末を厳重に管理しなければなりません。MFAだからと油断せず、厳重な管理や社員教育が大切です。

 

まとめ

MFA(「多要素認証」)は、知識情報、所持情報、生体情報の3つの要素のうち、2要素以上を組み合わせて認証する認証方式です。単一の要素のみでの認証に比べてセキュリティを強化できるため、機密情報へのアクセスの際などに導入することをおすすめします。
MFAを始めとするセキュリティ対策を施す際には、専門家の手によるサービスを利用するのがおすすめです。MFAを実現するのにおすすめのソリューションが「Cloudbric RASです。ゼロトラストを基盤としたセキュリティプラットフォームで、セキュアな認証を実現できます。また、ユーザも管理者もブラウザベースで利用できるため、利便性にも優れています。WAFソリューション「Cloudbric WAF+」との併用でさらにセキュリティを強化できるため、Webアプリケーションを利用している企業での導入が特におすすめです。

個人向けVPNはCloudbric VPN

個人向けVPNは必要?メリットからおすすめの使い方まで徹底解説

by ブログ

個人向けVPNはCloudbric VPN

近年「VPN」というネットワーク技術の利用が注目されています。安全な接続を確立するため、主に企業で利用されているVPNですが、個人での利用を勧める声もあります。しかし、そもそも個人でのVPNの利用は必要なのでしょうか?ここでは、個人向けVPNの概要と必要性、おすすめの使い方について解説します。

 

個人向けVPNとは

そもそも、個人向けVPNとはどのようなものなのでしょうか。ここでは、VPNの概要に加え、一般に企業で使われるVPNと個人向けVPNの違いについて解説します。

 

そもそもVPNとは

VPNとは「Virtual Private Network」の略称で、特定の人だけが利用できる専用のネットワークを指します。インターネット回線上に仮想的なトンネルを構築し、そのトンネル内を特定の人だけが利用できるように設定することで、通信を保護する技術です。VPNは、通信の暗号化やアクセス制御など、情報の窃取を防ぐ機能が備わっているため、セキュリティ上の理由で主に利用されます。フリーWi-Fiのように、多くの人が利用するインターネット回線を通じて機密情報にアクセスする際に重宝するため、リモートワークが普及する近年、様々な場面で利用されている技術です。

 

個人向けVPNと企業向けVPNの違い

VPNは個人でも構築できるものの、近年では簡単かつ安全に通信を利用できるVPNサービスが多数提供されています。以前は主に企業で利用されていたVPNサービスですが、個人が利用することを想定したVPNサービスもあります。企業向けのVPNと個人向けのVPNには、利用されている技術に関する大きな差はありません。企業でVPNを利用する場合、セキュリティ対策がより強固で細かい設定ができるVPNサービスを選ぶと良いでしょう。個人の場合は、セキュリティ対策以外に接続の手軽さやコストもポイントになります。

 

個人向けVPNは必要?

VPNは仮想的な専用回線を構築し、通信を保護できる技術ですが、「個人でインターネットを使うのにわざわざ必要?」と思う方も多いでしょう。実際、日常的に自宅のWi-Fiやキャリアの回線を利用している場合は、必ずしもVPNが必要ない場合もあります。しかし、個人でVPNが必要になる例や、VPNを使うことによるメリットも多数あります。ここでは、個人向けVPNの必要性と、VPNの利用が向いている方の特徴について解説します。

 

個人向けVPNが必要な理由とメリット

個人向けVPNが必要な最大の理由は、「セキュリティ対策が強化できるから」です。近年、サイバー攻撃や情報漏えいなどに関するニュースが多数報道されています。以前は大企業が被害に遭うことが主でしたが、最近では中小企業や個人がターゲットになる場合も増え、大きな被害に遭うこともあります。そのため、個人でもセキュリティ対策を強化できれば、それに越したことはないのです。もちろん、プロバイダーが提供しているセキュリティ対策だけで十分に対応できる場合もあります。しかし、個人向けVPNを利用することで、状況に応じたより適切なセキュリティ対策を施すことができるようになります。VPNを新たに導入する際のコストや設定の難しさが気にかかる方もいるかもしれませんが、近年では無料のVPNサービスや、操作が簡単なVPNサービスも提供されています。また、詳しくは後ほどご紹介しますが、VPNを利用することで特定のサービスを安く利用できる場合もあります。個人向けVPNには多くのメリットがあるため、一度ご利用を検討してみることをおすすめします。

 

個人向けVPNの利用がおすすめの人とは

それでは、どのような方が個人向けVPNの利用を検討すると良いのでしょうか。日常的にインターネットを利用している方であれば、どなたでも利用を検討してみることをおすすめしますが、特におすすめなのは「フリーWi-Fiを利用する方」「海外のコンテンツにアクセスする方」です。いずれも、セキュリティ対策がきちんとしていなければリスクの高い通信です。これらの通信を頻繁に利用する方は、特にVPNの利用が必要と言えるでしょう。

 

個人向けVPNの使い方例

ここでは、個人向けVPNの使い方例について解説します。安全に利用できるだけでなく、お得にサービスを利用できたり、国によって限定されたコンテンツにアクセスできたり、といった利点もあります。

 

海外のコンテンツへのアクセス

日本から海外のコンテンツを閲覧したくても、制限がかかってアクセスできない場合があります。居住地によってアクセスに制限を施す仕組みを「ジオブロック」と呼びますが、VPNを使うことでこのジオブロックを回避できる場合があります。海外のVPNサーバーを経由することで、その国特有のコンテンツにアクセスすることができます。

 

海外から日本へのアクセス

海外から日本にアクセスする際にも、VPNは役立ちます。先ほどと同じく、ジオブロックを回避して日本のコンテンツにアクセスする、という使い方だけでなく、セキュリティ対策としても有効です。海外のホテルや施設のWi-Fiを利用する際にも、日本の場合と同じくセキュリティ対策に気を配る必要があります。特に観光地などの場合、ホテルや施設が提供している正規のWi-Fiと並べて、紛らわしい名称のWi-Fiスポットを設置し、通信内容を窃取する、といった手口もあります。より安全性を高めるためにも、海外から日本のコンテンツにアクセスする際にもVPNを利用すると良いでしょう。

 

フリーWi-Fiの安全な利用

街中で手軽に利用できるフリーWi-Fiですが、基本的には重要情報の送受信に利用すべきではありません。通信が暗号化されておらず、傍受できる可能性があるため、個人情報等が窃取される恐れがあります。近年ではテレワークやフリーランスなど、働き方の多様化が進み、カフェなどでフリーWi-Fiを利用してインターネットにアクセスする方も多いでしょう。VPNを使うことで通信の匿名性を確保できるため、フリーWi-Fiを利用する際は必ずVPNを使うことをお勧めします。

 

Cloudbric VPN」を利用して韓国コンテンツへアクセス

弊社が提供している個人向け無料VPNサービス「Cloudbric VPN」の場合、アメリカ(アトランタ、フレモント)、ドイツ(フランクフルト)、インド(ムンバイ)、韓国(ソウル)、シンガポール、日本(東京)と国・地域を指定して利用ができます。例えば最近、日本でも大人気の韓国ドラマやK-popを視聴・閲覧したい時、日本からのアクセスには制限がかかっていることが多くあります。そういう時にCloudbric VPNを利用し、サーバーを韓国(ソウル)に設定することで、韓国国内でアクセスするのと同様の環境が構築され、日本にいながら韓国のコンテンツの視聴・閲覧が可能となり、韓国ドラマやK-popなどのコンテンツを楽しむことができます。

 

無料のVPNサービスと有料VPNサービス

個人で利用できるVPNサービスの中には、有料のものも無料のものもあります。ここでは両者の違いと、無料のVPNサービスを使う際のポイントについて解説します。

 

無料と有料どちらがおすすめ?

一般に、有料のVPNサービスの方が、通信速度や通信容量、セキュリティの面で優れている場合が多く、より安全かつ快適に通信を利用したい場合は有料のサービスを選ぶことをおすすめします。しかし多くの有料VPNサービスは月数百円程度のコストがかかるため、長期間利用する場合は大きな出費になるかもしれません。無料のVPNサービスの場合、コストがかからないという魅力はありますが、信頼できないベンダーが提供しているサービスは、通信速度やセキュリティの観点からおすすめできません。しかし、無料のVPNサービスの中にも、優れたセキュリティや通信速度を確保しているものがあります。無料だからこそ気軽に利用できる、という面もあるため、信頼できるベンダーのものであれば利用してみることをおすすめします。

 

無料のVPNサービスを選ぶ際のポイント

無料のVPNサービスを選ぶ際は、「セキュリティの強固さ」、「操作の簡単さ」といった機能面のポイントに加え、「ベンダーの信頼性」もポイントになります。いくら無料でも、信頼できるベンダーのサービスでなければ、逆に個人情報をはじめとする通信内容を窃取されてしまったり、サイバー攻撃に利用されてしまったり、といったリスクもあります。口コミ等を確認して、信頼できるベンダーかどうか、検討しておくことをおすすめします。

 

まとめ

個人向けVPNサービスは、企業向けのものと同じく、安全な接続の確立に役立ちます。特に海外のコンテンツにアクセスしたり、フリーWi-Fiを利用したりと、接続の匿名性や安全性に不安がある場合には利用を検討することをおすすめします。もちろん、家のWi-Fiから国内のコンテンツにアクセスするだけ、という場合には必ずしも必要ないかもしれません。有料のサービスでコストがかかるのも気になる、という方も多いでしょう。しかし、近年では無料のVPNサービスでも良質なものが提供されており、その中でも「Cloudbric VPN」がおすすめです。無料のサービスながら、高度な暗号化とゼロログで安全な接続を確立しつつ、VPN全般の課題でもある速い通信速度も確保しています。会員登録なしでも利用でき、操作が分かりやすいのも「Cloudbric VPN」の魅力です。ぜひご利用を検討してみてください。

▼Cloudbric VPNについて詳しくはこちら

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

2022年上半期のサイバー攻撃動向

2022年上半期のサイバー攻撃の動向~企業に求められるセキュリティ対策を解説~

by ブログ

2022年上半期のサイバー攻撃の動向

2022年上半期は世界情勢の不安定化によりサイバー攻撃が活発化し、日本国内でもその影響が色濃く残った時期でした。そこで上半期に日本国内でどのようなサイバー攻撃が発生し、実際にどのような被害があったのか、企業に求められるセキュリティ対策も含めわかりやすく解説していきます。

 

2022年上半期のサイバー攻撃について

2022年上半期におけるサイバー攻撃は世界的に見ても増加傾向にあり、企業のみならず、一般市民においても注視するべき脅威の一つとなりました。特に国内ではランサムウェアによる感染被害が多発し、医療・福祉、建設、小売など業種問わず様々な企業において事業活動の停止や遅延等が発生し、社会経済活動に多大な影響を及ぼしました。また不正アクセスによる情報流出なども顕著に見受けられ、サイバー攻撃による影響はより一層、深刻な状態であると言えます。

 

2022年上半期の代表的なサイバー攻撃「ランサムウェア」の概要と被害実態について

前述の通り、2022年上半期の代表的なサイバー攻撃として「ランサムウェア」が挙げられます。ランサムウェアとはハッカーがパソコンやサーバのデータを暗号化し、その暗号解除の引き換えに身代金を要求するサイバー攻撃です。警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」の報告資料によると、2022年上半期のランサムウェアの被害の報告件数は114件に及び、2021年上半期の61件の2倍以上と右肩上がりで急増しています。また114件の被害報告の内、企業規模別に見てみると、36件が大企業、59件が中小企業と企業規模に問わず被害が発生しており、企業としても注視すべきサイバー攻撃の1つと言えます。

 

2022年上半期:企業や自治体を襲ったサイバー攻撃

〇自治体を襲ったサイバー攻撃:

広島県は2月16日から数日間、大量のデータをサーバに送り付けシステムをダウンさせようとするDDoS攻撃を受けていると発表しました。この影響で県や県内23全ての自治体のホームページ接続しにくい状態が続き、サイトの利用や自治体とのメールやりとりへ被害が生じました。

 

〇自動車関連企業を狙ったサプライチェーンに対するサイバー攻撃:

3月1日に国内大手自動車関連会社が国内にある全14工場28ラインを停止しました。原因は当該企業の関連会社を襲ったサイバー攻撃によるものでした。攻撃者は関連会社の子会社が独自に利用していたリモート接続機器に脆弱性があり、そこから子会社のネットワークに侵入後、さらに当社内ネットワークへ侵入し、ランサムウェアを仕掛けました。これによりサーバやパソコン端末の一部でデータが暗号化され、システムが停止するに至りました。サプライチェーンのため一社でもサイバー攻撃により関連システムが停止すると、関連会社すべてに影響を及ぼすため、サプライチェーンのより一層のセキュリティ強化が叫ばれた事件となりました。

 

〇大手菓子メーカー、サイバー攻撃で164万人以上の個人情報流出の疑い:

3月13日に大手菓子メーカーがランサムウェアにより、社内システムの一部がダウンするなどの問題が発生しました。これによりサーバーの一部データが暗号化され、またハッカーからのメッセージもあり、一部の商品の製造に影響が及びました。またこの攻撃により、当該企業が運営するサイトにおいて、2018年5月1日から2022年5月13日に商品購入をしたことがある顧客を中心に164万人以上の個人情報が流出した可能性があることを明らかにしました。

 

〇衣料品チェーン大手を襲ったサイバー攻撃:

全国に店舗がある衣料品チェーン大手が、5月11日に不正アクセスによりシステム障害が発生しました。ランサムウェアによる攻撃でグループ全店(約2200店舗)で在庫の取り寄せができない状態となりました。

このようにサイバー攻撃は業種や企業規模を問いません。企業がサイバー攻撃を受けた場合、サービスや製造停止などの実質的な被害はもちろん、調査にも多大な時間と費用が発生し、企業の信頼失墜にもつながります。また事例をみてわかるように、企業だけが被害を被るだけではなく、私たちの日常生活のすぐそばでサイバー攻撃は発生しているため、利用者にも大きな被害を及ぼします。

 

企業でのサイバー攻撃対策の在り方

企業において、サイバー攻撃を受けた後に対応を行う事後対応が一般的です。ただ上記でも述べたように、サイバー攻撃を受けてから具体的な対処・対策をするには手遅れです。日頃からサイバー攻撃に対しての正しい危機感を持ち、また企業に合ったセキュリティ対策が求められますが、セキュリティ対策は一概にこうすれば良いと言い切れないため、事前対応の観点での企業におけるセキュリティ対策は非常に難しいのが現実です。

 

頻発しているサイバー攻撃、企業はどうすればいい?

サイバー攻撃対策といっても対策方法は多種多様で、企業のセキュリティ担当者、またセキュリティ担当者がいない企業にとっては、何から取り組めばいいのか頭を抱えて悩むポイントになるかと思います。そのような状況の中でぜひご提案したいのが「Cloudbric WAF+」です。Cloudbric WAF+は2022年上半期に発生したサイバー攻撃に対する対策として、非常に効果的なサービスです。ランサムウェア対策に有効なWAF機能はもちろん、L3/L4/L7に対するDDoS攻撃も防ぐことができ、その他にもSSL証明書の発行、悪性ボット及び脅威IPの遮断など企業の情報セキュリティに必須な5つのサービスを提供しています。また導入前から導入後の運用までセキュリティ・エキスパートに任せることができるため、一人情シスや社内にセキュリティ専任担当者がいない企業でも手軽にご導入いただけます。Cloudbric WAF+を導入することで、企業セキュリティに「+α」の価値を付加し、より強固な企業情報セキュリティをご提供します。

 

DX概要から導入事例、時代に求められるセキュリティまで徹底解説

DXとは?概要から導入事例、時代に求められるセキュリティまで徹底解説

by ブログ

DX 、DX推進に必要なセキュリティ対策について

DXという言葉が様々な場面で使われています。しかし現状、デジタル化によって新しいビジネスモデルを確立し、企業の力を高めていくDX推進のためには、課題もまだまだ残っており、また DX推進に伴うサイバーリスクに対する各種セキュリティ対策も共に解決すべき課題の一つです。この記事では、DXの概要と現状、導入事例に加え、DX時代に求められるセキュリティ対策について解説します。

 

DXの概要

そもそもDXとは、いったいどのような言葉なのでしょうか。ここでは、DXの概要と、よく混同される「IT化」「デジタル化」との違いを解説します。

DXとは

「DX」とは、「Digital Transformation」の略称で、直訳すると「デジタル変革」という意味の言葉です。DXの定義については曖昧な部分もありますが、広義には「デジタル化によって社会や生活のスタイルが変わること」を意味しています。経済産業省は産業界におけるDXについて次のように定義しています。「企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること」(デジタルガバナンス・コード2.0)
ビジネスにおいてDXとは、「デジタル化によってサービスやビジネスモデル、業務、組織などを変革し、自社の競争力を高めていくこと」を意味します。単にITを導入するだけでなく、それによって企業として新しい価値を築いていくことがDXには求められます。

IT化、デジタル化との違い

「DX」という言葉は、しばしば「IT化」「デジタル化」といった言葉と混同されます。簡単に言えば、「IT化」と「デジタル化」はDXのための手段にすぎません。「IT化」とは、「既存のアナログな作業にITを用い、便利にする」といった意味で使われる言葉です。既存の業務プロセスを崩さず、情報を活用しやすい状態に整理することがIT化と言われます。「デジタル化」とは、一部またはより広い範囲での業務プロセスのデジタル化を指します。例えば、書類の電子化や口頭連絡に代わるチャットツールの利用がそれに当たります。
IT化やデジタル化を推進しただけでは、企業の業務効率化は進むかもしれませんが、自社の新しい競争力の獲得には至りません。IT化とデジタル化は、DXのための準備段階に過ぎません。

 

日本のDX推進

DXが叫ばれるようになって数年経ちますが、日本ではいまだにDXに未着手、または途上の企業が多いと言われています。2022年7月に発表された、経済産業省の「DXレポート2.2」によれば、DX推進指標を提出している企業の数は増加傾向にあり、スコアも上昇していることから、着実にDXの重要性は広まりつつあると言われています。対して、企業の予算におけるデジタル投資の割合は以前と大きな変化が見られないことから、既存のビジネスに予算を割く企業が多く、DX推進が思うように進んでいないという現状もあります。
日本のDX推進を阻む要因としては、「DXについての理解不足」「既存システムの老朽化・ブラックボックス化」「デジタル人材不足」といったことが指摘されます。DXについての理解が浅いために予算があてられなかったり、既存のシステムが老朽化しているため、そちらの改修に予算を割かねばならなかったり、といった課題があります。また、DXを推進するための専門家が自社におらず、優秀な人材確保が難しいという点から、DXの重要性は認知していても手を打てない、といった企業も少なくありません。
結論として、DX認知度は確実に高まってきてはいるが、まだまだ課題も多く、DX推進は思うように進んでいない、というのが日本の現状です。

DX推進の導入事例

日本のDX推進はまだまだ途上とは言え、DXに成功した事例も多数報告されています。ここでは、日本でのDX推進の導入事例をいくつかご紹介します。

ソニー損害保険株式会社

保険大手の「ソニー損害保険株式会社」では、自動車保険とAIを組み合わせてDXを成功させました。AIを活用して運転スキルや運転傾向に関するデータを収集して事故のリスクを判定し、安全運転と判定された場合に保険料を一定額返金する、というサービスです。運転スキルの判定、という難易度の高い業務にAIを活用した、DX成功事例と言えるでしょう。

SREホールディングス

不動産テック企業の「SREホールディングス」は、蓄積された取引データを元に、不動産取引価格の自動査定ツールを導入しました。不動産業界にこれまでなかったビジネスモデルを確立したとして、DXグランプリにも選ばれています。

トライグループ

教育事業の大手「トライグループ」は、オンラインで授業が受けられる「Try IT」でDXを実現しました。スマホやタブレットで効率的に映像授業を受講できるシステムで、100万人を超える会員や、オンラインに特化した教室の設立など、新しいビジネスモデルを確立しています。

 

DX推進とセキュリティ

DX推進の認知度が高まる中で、セキュリティ対策の重要性も主張されています。DX推進には、新しいツールやクラウドのようなプラットフォームなど、新しい技術を導入する必要があります。データやその利用方法が複雑化していくため、セキュリティ対策が不十分なままDXが進められてしまう、という事例もあります。リモートワーク推進のために導入したVPNの設定不備のためにネットワークを狙ったサイバー攻撃を受けたり、管理システムの設定不備で外部から機密情報にアクセス可能な状態になっていたり、といったインシデントが典型例です。新しいシステムの導入に伴って、従来のセキュリティ対策を見直してさらに強固なものにする必要が生じています。

 

DX時代に求められるセキュリティとは

それでは、DX時代に求められるセキュリティ対策とは、具体的にどのようなものなのでしょうか。ここでは、種類別にいくつか対策例をご紹介します。

デバイスのセキュリティ

1つ目はデバイスのセキュリティ対策です。DX推進に伴って、パソコンやタブレット、スマートフォンといったデバイスの活用場面がさらに増えると予想されます。社内で管理できるPCだけでなく、テレワーク用のノートPCや、個人のスマートフォンを業務に使うことも増えています。デバイスのマルウェア対策や、情報漏えい対策などが不十分だと、思わぬインシデントにつながるかもしれません。マルウェア対策ソフトの導入や、システムへのアクセス制御などのセキュリティ対策が必要です。

ネットワークのセキュリティ

2つ目はネットワークのセキュリティ対策です。ネットワークに関するセキュリティは、昨今「境界型」のセキュリティから「ゼロトラスト」のセキュリティへと移行しています。クラウドやモバイル端末などの普及に伴い、ネットワークの社内・社外といった境界が曖昧になったことで、従来の境界型のセキュリティでは対応しきれない場面が増えつつあります。アクセスの全てを信頼せず、その都度認証を行って対策する「ゼロトラスト」のセキュリティの導入が推奨されています。

導入するツール・システムのセキュリティ

3つ目は導入するツール・システムのセキュリティです。DX推進に伴って、新しいツールやシステムを開発・導入する場面も増えるでしょう。導入するツール・システムにセキュリティ上の不備があっては、インシデントにつながるリスクも高まります。ツールやシステムの導入に際しては、信頼できるベンダーのものを選択したり、事前にセキュリティテストを実施したり、また導入後の定期的な見直しも必要になります。

Webサービスのセキュリティ

最後に、Webサービスのセキュリティです。社内の業務などのために、Webサービスを利用する企業も増えつつあります。Webサービスは攻撃の種類も多く、日々インシデントも多数報告されています。WAFの導入や脆弱性診断の実施など、Webサービスのセキュリティを強固に保つ仕組みを考えなければなりません。

 

まとめ

「DX」は、「デジタル化によってサービスやビジネスモデル、業務、組織などを変革し、自社の競争力を高めていくこと」を指す言葉です。単なる電子化やシステム導入のことではなく、企業に新しい価値をもたらしていかなくてはなりません。日本のDX推進はまだまだ途上にあり、考慮すべき課題も多数残っています。DX推進を検討するうえで無視できないのがセキュリティ対策です。デバイスやネットワーク、ツールのセキュリティ対策に加え、重要性の高いのがWebサービスのセキュリティです。Webサービスのセキュリティ対策には、「Cloudbric WAF+」がおすすめです。WAFサービスに加え、SSL証明書発行、DDoS攻撃対策、悪性ボットや脅威IPの遮断と、企業における必須の5つのセキュリティサービスを、手軽に導入・運用できる魅力的なソリューションです。 DX時代に求められるWebサービスセキュリティには、ぜひ「Cloudbric WAF+」をご検討ください。

Cloudbric WAF+

VPNとは?メインイメージ

VPNとは?仕組みからメリット、選び方まで徹底解説

by ブログ

VPN

「VPN」という言葉を聞いたことがあるでしょうか?「VPN」とは、特定の人だけが利用できるような仮想的な専用ネットワークのことで、セキュリティ対策などのために利用されています。強固なセキュリティが必要な企業だけでなく、個人で安全なインターネット通信を確保したい方も、導入を検討すると良いでしょう。この記事では、「VPN」の概要とメリット・デメリットに加え、選び方まで解説します。

 

VPNとは

VPNとは、「Virtual Private Network」の略称で、インターネット回線上に仮想の専用ネットワークを構築し、特定の人のみがアクセスできるようにすることで、安全な通信を保護することができます。インターネットを通じた通信は今や必要不可欠な技術ですが、考慮しなければならないのがセキュリティです。特にフリーWi-Fiなど、多くの人が利用できるネットワークは情報漏えいや改ざんの危険もあり、通信を守るための仕組みが求められています。VPN接続を行うことで、通信のトンネリング、暗号化、認証といった設定ができるため、セキュリティを向上させることができます。また、VPNを利用すれば、セキュリティ以外にも多くのメリットがあります。次はVPNのメリットについて説明いたします。

 

VPNのメリット

VPNには多くのメリットがあります。ここでは「セキュリティの向上」「コスト削減」「モバイルアクセスが可能」という3つのメリットをご紹介します。

・セキュリティの向上

VPNを利用することで、一般にセキュリティを向上させることができます。安全な仮想的トンネルをつくる「トンネリング」や、データを盗聴・改ざんできないように保護する「暗号化」、受信者と送信者が互いに正しい相手かを確認する「認証」など、セキュリティを向上させる設定が可能です。

・コスト削減

また、VPNは専用回線を引くのではなく、既存インターネット回線を利用することもできるため、専用線を引くよりも低コストに抑えられます。専用線を引くだけのコストはかけられないが、セキュアな通信を実現したいという方におすすめです。

・モバイルアクセスが可能

VPNはインターネットを利用して通信を行うため、モバイル端末を使って専用のネットワークにアクセスすることもできます。リモートワークが普及した昨今、自宅から会社のサーバーやネットワークにアクセスする際にもVPNを利用できます。

 

VPNのデメリット

VPNにはデメリットもあります。デメリットも把握して慎重に検討しなければ、情報漏えいやパフォーマンスの低下など、思わぬ事態を招く恐れもあります。ここでは、「セキュリティ」と「通信速度」に関して2つのデメリットをご紹介します。

・セキュリティ

VPNは、セキュリティに強いサービスを正しく設定すれば、情報漏えい等のリスクを低減することができます。しかし、マルウェアの検出まではできないため、ウイルス対策ソフトなど、別途セキュリティ対策を施さなければなりません。

・通信速度

また、VPNを利用することで満足な通信速度が得られない場合もあります。特にインターネットを利用するインターネットVPNは、時間帯によってパフォーマンスが変動することもあります。通信速度が必要な場合はより安定した回線を選ぶと良いでしょう。

 

個人向けVPNと企業向けVPN

VPNは、主に企業で利用されていますが、人によってはVPNを構築する必要性も生じます。パフォーマンスがよく、セキュリティが強固なVPNは、個人でも利用する価値があるものです。ここでは、個人向けのVPNと企業向けのVPNについて解説します。

・個人向けVPNの必要性と特徴

個人向けVPNは、オフィスと自宅をつなぐようなVPNとは違い、あくまでも個人のデバイスと通信事業者との間の通信を暗号化するためのものです。個人でもVPNを利用することで、フリーWi-Fiをより安全に利用できたり、情報を発信したり、会員登録性のWebアプリを利用する場合などに、個人情報を安全に守ることができます。そのため、個人でVPN利用するのがおすすめなのは、よりセキュリティが強固なネットワークを使ってインターネットをしたい方や、外国のサイトに頻繁にアクセスする方です。とは言え、インターネット回線以外にVPNサービスを導入するには、一定のコストがかかります。個人でVPNサービスを契約する際には、セキュリティの強固さや通信パフォーマンス、各種デバイスからの接続しやすさに加え、契約にかかるコストも考慮すると良いでしょう。もちろん、信頼できるベンダーであることも最低条件です。サポート体制など、いざという時に頼れるベンダーのサービスを選びましょう。

・企業向けVPNの必要性と特徴

企業でVPNを利用する場合は、自社のWebサービスやシステムへのアクセスを、よりセキュアなものにするという目的が一般的です。特に昨今、リモートワークが普及していることもあり、社外から社内のファイルシステムなどにアクセスする機会も増えているので、情報漏えいや改ざんなどのサイバー攻撃を防ぐために対策を講じておく必要があります。企業の立場から考えてみると、VPNサービスを導入する際にはセキュリティの強固さと接続や管理のしやすさに優れたサービスが必要となります。

 

VPNを選ぶ際のポイント

この章ではVPN、その中でも個人向けVPNを選ぶ際のポイントについて解説します。VPNサービスの導入を検討している方は、「セキュリティ」「通信速度」「対応デバイスの種類・数」「コスト」「ログ管理」という5つのポイントを考慮すると良いでしょう。

・セキュリティ

まず大切なのはセキュリティの強固さです。VPNはセキュリティ対策として利用されることも多く、セキュアなサービスでなければ意味がありません。VPNにはいくつか種類がありますが、既存のインターネット回線を利用する「インターネットVPN」はセキュリティに少々難があるため、「IP-VPN」等を利用すると良いでしょう。暗号化技術の複雑さなど、情報漏えいを防ぐような仕組みが備わったサービスを選ぶよう、注意が必要です。

・通信速度

VPNを利用した通信は、通信速度の低下を引き起こす場合があります。そのため、自社のサービスの利用や個人のインターネットの利用等に支障をきたさないよう、一定の帯域を確保してくれるサービスを選ぶと良いでしょう。とは言え、高度な通信パフォーマンスを確保するためにはコストがかかる場合もあります。予算とパフォーマンスの兼ね合いを図りながら、適切なVPNを選ぶのが必要です。

・対応デバイスの種類・数

多くのVPNサービスでは、WindowsやMacといったPCからの接続だけでなく、AndroidやiPhoneからの接続にも対応しています。自宅や外出先など、様々なデバイスから接続したい場合には、接続可能なデバイスの種類や、同時に接続可能なデバイスの数も考慮する必要があります。一定期間無料で利用可能なサービスもあるため、利用してみてから本契約に進むのも良いでしょう。

・コスト

VPNサービスを選ぶ際は、コストにも気を遣うと良いでしょう。サービスの中には価格が極端に安かったり、無料のものもあったりしますが、セキュリティなど、他の要件が確保されていることが大切です。機能と価格を照らし合わせて、十分な機能を有したサービスを選びましょう。

・ログ管理

VPNサービスを利用する目的は個人情報を守るためです。VPNサービスを利用すれば、他人は利用者のインターネット活動を覗くことができませんが、VPNプロバイダーは確認することができます。そのため、プロバイダーのログ政策を確認することは重要です。ログなし、もしくはゼロログでサービスを提供しているプロバイダーは利用者のログを収集及び保持しないため、全ての人からプライバシーと匿名性を確保することができます。

 

Cloudbric VPN」は高度化された暗号化技術とセキュリティを提供し、ユーザとインターネット間の安全な通信を支援します。ユーザ登録も必要ないため利便性も高く、ゼロログでサービスを提供しているため全ての人から匿名性やプライバシーを確保することができます。また、高性能VPNプロトコルを使用しているため、いつも速い通信速度で安全にインターネットを利用することができます。

安全で速いVPNをお探しの方は、ぜひ「Cloudbric VPN」の利用を検討してみてください。

Cloudbric VPN

まとめ

「VPN」は、特定の人だけが利用可能な仮想的な専用回線のことです。暗号化やトンネリングといった機能を有しているため、セキュリティ対策として一定の効果がありますが、信頼できるサービスを使い、正しく設定しないとインシデントにつながる恐れもあります。VPNサービスを選ぶ際は、セキュリティの強固さだけでなく、通信速度やサポート体制、コストなど、様々な要件を考慮しなければなりません。弊社からのチェックポイントを参考にして、個人や自社に最も合うVPNサービスを選択してください。

WAF導入

Webセキュリティ対策の基本であるWAFとは?メリットから選び方のポイントまで解説!

by ブログ

WAFの基礎知識イメージ

多くの企業でWebアプリケーションが利用されている今日、Webアプリケーションを狙った攻撃も多様化し、対応を迫られている企業も多いと思います。Webアプリケーションのセキュリティ対策の代表が「WAF」です。WAFは、Webアプリケーションへの通信を監視し、攻撃性のある通信を遮断するセキュリティ対策ですが、数ある製品の中からどのような基準で選べばよいのでしょうか。

ここでは、WAFの概要と機能やメリット、種類に加え、選ぶ際のポイントまで解説します。

 

WAFとは?

まず、WAFの概要について解説します。WAFとは、Webアプリケーションに対するセキュリティ対策の一種です。ここでは、FW、IPS/IDSといったその他のセキュリティ対策との相違についてもご紹介します。

WAFとは

WAFとは、「Web Application Firewall」の略称で、文字通りWebアプリケーションの防御に特化したファイアウォールを指します。ショッピングサイトやSNSといった、「Webアプリケーション」と呼ばれる多くのWebサイトをサイバー攻撃から守るために使われています。WAFはWebアプリケーションの前面に配置され、脆弱性を悪用した攻撃からWebアプリケーションを守ります。一般にWebアプリケーションは、クライアント(ユーザー)からサーバーにリクエストが送られ、サーバー側がリクエストに応じたレスポンスをクライアントに返す、という仕組みで成り立っています。WAFはクライアントからの通信をサーバーが受ける前に解析し、攻撃性のあるものを検知・防御することで、Webアプリケーションを攻撃から守ります。WAFを配置することで、Webアプリケーションに脆弱性があっても被害に遭うリスクを低減することができます。もちろん脆弱性がないように改修することが根本的な対策ですが、改修が難しい脆弱性がWebアプリケーションにある場合や、修正に時間がかかる場合にWAFは重宝します。

 FW、IPS/IDSとの違い

Webアプリケーションを守るセキュリティ対策として、WAFと並んでよく知られているのが、「FW」と「IPS/IDS」です。両者とWAFはどのように異なるのでしょうか。「FW」は「Fire Wall」の略称です。FWはネットワークレベルでのセキュリティ対策で、通信の送信元と送信先の情報(IPアドレスやポート番号)を元にしてアクセスを制限します。通信の内容を確認しない、という点でWAFとは異なり、正常な通信を装った攻撃には対処しきれません。「IPS/IDS」はそれぞれ「Intrusion Prevention System/Intrusion Detection System」の略称です。共にプラットフォームレベル、つまりOSやミドルウェアに対するセキュリティ対策で、IPSは攻撃の検知と遮断が、IDSは攻撃の検知ができます。WAFとは違い、IPS/IDSはアプリケーション層に対するセキュリティ対策ではありません。

 

WAFの機能とメリット

具体的にWAFにはどのような機能があるのでしょうか。ここではWAFの機能とメリットについて、さらに詳しくご紹介します。

WAFの機能

WAFの主な機能として、「通信監視」「Cookie保護」「シグネチャー更新」「ログ収集と分析」といったものが挙げられます。

・通信監視

通信監視は、WAFの最も基本的な機能です。Webアプリケーションに送られてくる通信を常に監視して、攻撃性の高い通信を拒否することで、Webアプリケーションを保護します。

・Cookieの保護

Webアプリケーションを狙った攻撃の中には、Cookieを狙った攻撃も多数あります。Cookieにはログイン中のセッション情報など、重要な情報が含まれており、保護する必要があります。WAFはCookieの暗号化などの機能を備えており、Cookieを狙った攻撃からWebアプリケーションを守ります。

・シグネチャー更新

WAFの中には、は通信を監視する際、「シグネチャー」と呼ばれる攻撃的な通信のパターンと照合することで許可/不許可を判断するタイプがあります。シグネチャーを更新しないと、いつまでも古い攻撃にしか対応できません。WAFには、シグネチャーの更新機能があり、常に最新の攻撃に対応できるような仕組みを保っています。

・ログ収集と分析

WAFが拒否した通信の内容は、ログやレポートに記録されていきます。後からこのログを確認することで、最新の攻撃手法や対策を講じやすくなります。

 

WAFのメリット

WAFのメリットとして、「多くの攻撃を防げる」「効率のいい防御」「事後対策ができる」といった点が挙げられます。

・多くの攻撃を防げる

今日、Webアプリケーションを狙った攻撃には多くの種類があります。脆弱性を突いた攻撃のすべてに対する対策を施すにはコストも時間もかかります。WAFによっては対応しきれないものもあるため注意が必要ですが、多くの攻撃を防ぐことができます。

 ・効率のいい防御

WAFはWebサーバーの前面に配置して通信を監視するセキュリティ対策です。そのため、一つのWebサーバーに複数のアプリが配置されている場合でも、WAF一つで効率的にセキュリティ対策を施すことができます。

・事後対策ができる

万一セキュリティインシデントが発生した場合でも、WAFを配置することでサービスを復旧させ、脆弱性の改修に着手することができます。事前的な対策としてのみならず、WAFは事後対策としても有効なセキュリティ対策です。

 

WAFの種類

WAFにはいくつか種類があります。設置形態によって、「ソフトウェア型」「アプライアンス型」「クラウド型」の三種類があり、クラウド型はさらに「シグネチャー方式」と「ロジックベース」に分かれます。

3種類のWAF

「ソフトウェア型」のWAFは、既存のWebサーバーに直接インストールするタイプのWAFです。ハードを用意する必要はありませんが、複数のサーバーにインストールする場合には台数分のコストがかかります。また、サーバーに直接インストールするため負荷がかかるというデメリットもあります。「アプライアンス型」のWAFは、クライアントとサーバーの間に機器を設置するタイプのWAFです。サーバーの台数に関わらず一台で済みますが、ハードを用意する必要があり、ネットワークの変更などの手間もかかります。「クラウド型」のWAFは、クラウドを経由して利用できるWAFです。他の2種類に比べてコストが低いのが特徴で、運用もベンダー側に任せることができます。クラウド型のWAFは、攻撃の検知の仕方によって「シグネチャー方式」と「ロジックベース」にさらに分かれます。

 ・クラウド型WAF:シグネチャー方式

「シグネチャー方式」は、主な攻撃のパターンを含む「シグネチャー」と通信を照合することで攻撃を検知する仕組みです。シグネチャー方式は既存の攻撃パターンに対する防御としては有効ですが、新しい攻撃が見つかるたびにシグネチャーを更新しなければならず、シグネチャーを増やせば増やすほどリソースを消費します。シグネチャーがまだ用意されていないゼロデイ攻撃に対応できない、という点にも注意すべきでしょう。

 ・クラウド型WAF:ロジックベース

「ロジックベース」は、事前に定められたロジックに従って攻撃を検知するタイプです。様々な攻撃パターンを解析することでロジックを導き出して攻撃の検知に用います。つまり、「攻撃パターンのパターン」をロジックとして使うため、シグネチャー方式に比べて必要なリソースをかなり抑えることができます。処理速度と性能を高いレベルで保ったまま、攻撃を防ぐことができます。パターンそのものを用いて攻撃を検知するシグネチャー方式とは違い、ゼロデイ攻撃にも対応できるというメリットもあります。

 

WAF導入時にチェックすべきポイント

数あるWAFの中からどれを選ぶべきか、迷うこともあると思います。ここでは、WAF導入時にチェックすべきポイントとして、「費用」「セキュリティ機能」「サイトの処理性能への影響」「サポート体制」を解説します。

・費用

一点目は「費用」です。WAF専用機器の設置やソフトウェアにかかる初期費用と、導入後にかかる運用費用の二種類があります。一般に、ソフトウェア型やアプライアンス型よりも、クラウド型の方がコストを抑えやすく、月額数万円単位で利用できるというメリットがあります。

セキュリティ機能

二点目は「セキュリティ機能」です。いくらコストが低くても、セキュリティ機能に難があれば意味がありません。セキュリティサービスとして十分なレベルの機能を有しているか、確認する必要があるでしょう。

・サイトの処理性能への影響

三点目は「サイトの処理性能への影響」です。WAFはWebアプリケーション、Webサイトを守るために配置されるため、WAFの導入はサイト自体への負荷につながります。そのため、WAFを導入した際にWebアプリケーションの利用が大きく妨げられないか、配慮する必要があります。事前にベンダーと相談のうえ、導入を検討しましょう。

サポート体制

四点目は「サポート体制」です。WAFの使い方への質問や、セキュリティインシデントが発生した場合などにベンダーが迅速に対応してくれるか、といった点も重要です。インシデントに対して迅速に対応できないと、クライアントの信頼を失いかねません。ベンダーの実績やサポート内容を確認しましょう。

 

まとめ

WAFの導入は今や必須になりつつあります。多種多様なサイバー攻撃から効率よくWebアプリケーションを防御できるため、脆弱性の改修に手間がかかる場合の保険的対策としても有効です。WAFを選ぶ際には、費用や機能、サポート体制といったポイントに注意して複数の種類があるWAFの中で企業の環境と用途に応じ、最適なWAFを導入しましょう。Cloudbric WAF+はクラウド型サービスであり、WAF機能だけではなく、DDoS攻撃防御、SSL証明書の発行、悪性Bot・脅威IP遮断機能まで利用することができます。マネージドサービスも提供しているため、社内にセキュリティ担当者がいなくても手軽に導入・運用することができるサービスので、ぜひ検討してみてください。

Cloudbric WAF+

DDoS攻撃の種類記事のメインイメージ

DDoS攻撃の種類と企業がとるべき有効な対策とは?

by ブログ

DDoS攻撃の種類 image

「DDos攻撃」というサイバー攻撃を聞いたことがあるでしょうか。大量の通信を送り付けてサービスを利用停止に追い込む攻撃です。DDos攻撃は公に報じられることも多く、標的になると大きな被害が想定される攻撃です。ここでは、DDos攻撃の概要と被害状況や攻撃の種類に加え、有効な対策について解説します。

 

DDos攻撃とは?

「DDos攻撃」とは、複数のコンピューターからウェブサイトやサーバー等に対して過剰なアクセスを試行したり、大量のデータを送信したりする攻撃です。「DDos攻撃」は、「Distributed Denial of service Attack」(分散型サービス拒否攻撃)の略称です。似た用語として、「Dos攻撃」があります。こちらは「Denial of Service Attack」(サービス拒否攻撃)の略称です。両者の違いは、攻撃が単一のコンピューターから仕掛けられるか、複数のコンピューターから仕掛けられるか、という点にあります。

「Dos攻撃」は、単一のコンピューターからの攻撃です。大量のアクセスを仕掛けることでサーバーの処理の限界を超えさせ、サービス停止に追い込む攻撃です。単一のコンピューターからの攻撃のため、事前に同一IPアドレスからのアクセス回数に制限を設ける、といった対策がとられてきました。そうした対策が必ずしも通用しないのが、新たに登場した「DDos攻撃」です。

「DDos攻撃」は、マルウェア等に感染させた複数のコンピューターを不正に乗っ取り、攻撃を仕掛けます。複数のコンピューターを利用し、IPアドレスを分散させることから、「Distributed」(分散型)と呼ばれます。特定のIPアドレスを制限することが難しく、第三者のコンピューターを不正に乗っ取っているため、真の攻撃者を特定することが難しい、という特徴があります。

想定される被害

「DDos攻撃」の標的になると、サービスや企業に大きな被害が及びます。サービスの停止による損害や、企業の信頼の喪失、攻撃を理由にした脅迫などが一般的な被害です。また、「DDos攻撃」によるサービス停止の混乱に乗じて別のサイバー攻撃を仕掛け、サーバーから情報を不正に盗んだり、データを書き換えたり、といった攻撃がなされる恐れもあります。

 

DDos攻撃の発生状況と被害例

そんなDDos攻撃ですが、国内外問わず多くの被害事例があります。ここでは、国内での発生状況と、主要な被害事例をご紹介します。

日本国内での発生状況

DDos攻撃は、日本国内でも日々観測・報告されています。IIJの調査によれば、2022年1月から4月に観測されたDDos攻撃の件数はそれぞれ、「541件」「448件」「637件」「409件」と推移しています。月によって波はあるものの、毎月数百件はDDos攻撃が観測・報告されていることになります。一般に、DDos攻撃の標的となるのは個人ではなく一般企業や公的機関です。特に大きな企業や機関の場合、攻撃者の標的になりやすく、大きな被害が想定されますが、被害にあった場合の損害を考えると、中小企業でもDDos攻撃の対策を講じる必要があるでしょう。

主要な被害事例

日本国内だけでなく、DDos攻撃は世界的にも多くの被害を生んでいます。ここでは、日本国内を中心に被害事例をピックアップしてご紹介します。

・2015年 東京五輪大会組織委員会へのDDos攻撃

2015年11月、東京オリンピック大会組織委員会の公式HPに対して大量のアクセスがあり、サーバーの運営会社の判断で通信が遮断されました。サイトは12時間にわたって閉鎖されてしまいました。

・2016年 マルウェア「Mirai」による大規模DDos攻撃

2016年話題になったのが、マルウェア「Mirai」を利用したDDos攻撃です。「Mirai」はセキュリティの甘いIoT機器を標的として侵入して端末を乗っ取るマルウェアで、DDos攻撃に悪用されました。攻撃者は数十万の端末を乗っ取って大規模なDDos攻撃を仕掛けたとされています。

・2018年 「ファイナルファンタジーXIV」を狙ったDDos攻撃

2018年10月、スクウェア・エニックス社の人気オンラインゲーム「ファイナルファンタジーXIV」がDDos攻撃を受けます。日本やヨーロッパなどすべてのデータセンターが標的になり、一ヶ月以上の長期間にわたって被害が続きました。

 

DDos攻撃の種類

DDos攻撃は、その攻撃手法からいくつかの種類に分けられます。ここでは、DDos攻撃の種類について主要なものを解説していきます。

・SYNフラッド攻撃 / FINフラッド攻撃

SYNフラッド攻撃 / FINフラッド攻撃は、「接続要求」と「切断要求」を大量に送る攻撃です。Webサーバーとクライアント(ユーザー)との通信規格である「TCP」において、通信は①「クライアントからの接続要求(SYN)/切断要求(FIN)」→②「サーバーの応答」→③「クライアントからの確認応答」という手順で成立/終了します。この接続要求(SYN)と切断要求(FIN)を利用した攻撃が、SYNフラッド攻撃 / FINフラッド攻撃です。攻撃者が接続元のIPを偽ってSYN/FINを送信すると、サーバー側は②の応答を送信し、クライアントからの③「確認応答」を待ちます。サーバーが確認応答を待ち続けることでサーバーのリソースが枯渇してしまうと、サービス停止に追い込まれます。

・ACKフラッド攻撃

「ACK」とは、先ほどの②と③に該当する「応答」および「確認応答」のことです。接続/切断には必ず接続要求(SYN)や切断要求(FIN)が必要ですが、それらを送らずに「確認応答」を送信すると、サーバー側は通信を廃棄し、「接続拒否」と返す仕組みになっています。この「確認応答」(ACK)を大量に送信することでサーバーのリソースを枯渇させるのが、ACKフラッド攻撃です。

・Slow HTTP DoS Attack

Slow HTTP DoS Attackは、先の2つの攻撃とは違い、少ない数のパケットを利用した攻撃です。長時間にわたってパケットを送信することでセッションを占有し、他ユーザーのアクセスを妨げます。パケット数が少なく済むため、大規模なサイトであっても少ないリソースで攻撃することが可能な攻撃手法です。

・DNSフラッド攻撃

DNSフラッド攻撃は、Webサーバーそのものではなく、そのWebサーバーの名前解決を担うDNSサーバーに対して大量の通信を送る攻撃です。「名前解決」とは、WebサイトのURLを表すドメイン名を、実際の通信送り先である「IPアドレス」に変換することを指し、DNSサーバーは送られてきたドメイン名をIPアドレスに変換してWebサーバーに送信します。DNSサーバーに対して大量の通信を送信することで、DNSサーバー間の通信を占有するのが、DNSフラッド攻撃です。

・ UDPフラッド攻撃

UDPとは通信規格の一種で、TCPとは違い、「SYN」や「ACK」といった事前の接続手順が省略された通信です。TCPよりもオーバーヘッドが低いという利点がありますが、接続確認等が行われないため悪用されやすいという欠点もあります。UDPフラッド攻撃は、そんなUDPを利用した攻撃です。大量のUDPパケットを送りつけることで、サーバーに負荷をかける攻撃手法です。

 

DDos攻撃への対策

標的になると大きな被害が想定されるDDos攻撃。それでは、どのような対策が有効なのでしょうか。ここでは、主要な対策を4つご紹介します。

特定IPアドレスからの通信制限

DDos攻撃はコンピューターからの通信を利用した攻撃です。そのため、そのコンピューターからの通信を制限すれば、攻撃の対策にはなります。しかし、Dos攻撃とは違い、DDos攻撃は複数のコンピューターからの攻撃のため、この対策は不十分なものとされています。

特定の国からのアクセスを遮断

日本人のみを利用者として想定しているサイトであれば、海外からのアクセスや特定の国からのアクセスを遮断する、という対策も有効です。日本国内の企業が受けるDDos攻撃は一般に、海外のサーバーを経由して行われるため、海外からのアクセスを遮断することもDDos攻撃の対策になります。海外の利用者も想定したサービスの場合は、この対策を採用すると可用性を損なう恐れがあるため、万能な対策とは言い切れません。

WAFの導入

今日、サイバー攻撃全般への対策として注目されているのが「WAF」(Web Application Firewall)です。WAFはアプリケーションへの通信を常に監視し、攻撃性のあるものを検知、遮断することでWebアプリケーションを守るツールです。Cloudbric WAF+はクラウドベースで提供されるWAFで利用準備に手間がかからず、新しい攻撃パターンにも迅速に対応できる、という特徴があります。また、WAF機能だけではなく、安全に通信するために必要なSSL証明書の提供、95ヵ国から収集した脅威情報をもとに脅威IPを遮断する機能、スパイウェア、スパムボットなどのような悪性ボットを遮断する機能、L3、L4、L7DDoS攻撃防御機能も提供する5in1Webセキュリティ対策です。

Cloudbric WAF+のより詳しい情報はこちらをご覧ください。

Cloudbric WAF+

DDos攻撃専用対策ツールの導入

DDos攻撃専用の対策ツールを導入するというのも有効な対策です。Cloudbric ADDosは、DDos攻撃専用のセキュリティサービスです。リアルタイムに通信を監視しており、最大で65Tbpsの通信を分散させて緩和し、DDos攻撃の被害を未然に防ぎます。広い対応帯域や高速な処理スピード、脅威の分析や共有といった様々な機能を備えており、Cloudbric WAF+をはじめとする各種WAFと組み合わせて利用することもできます。

Cloudbric ADDoSのより詳しい情報はこちらをご覧ください。

Cloudbric ADDoS

まとめ

DDos攻撃は、大量の通信を送ることで標的のサーバーのリソースを枯渇させ、サービスを利用停止に追い込むサイバー攻撃です。標的にされると損害が予想される他、企業の信頼の喪失や他のサイバー攻撃の隠れ蓑として利用されるなど、大きな被害が想定されます。日本国内でも月に数百件のDDos攻撃が観測されており、企業としてはきちんと対策を講じたいところです。弊社が提案する対策を参考にして、安全なDDoS対策を講じて頂ければ幸いです。