コーポレートサイトにもWebセキュリティ対策が必要な3つの理由を徹底解説!

コーポレートサイトにもWebセキュリティ対策が必要な3つの理由を徹底解説!

by ブログ

コーポレートサイトとは、一般的には企業の公式サイトのことですが、「会社案内」「会社概要」「事業内容」などが記載されていることから企業の顔ともいえる存在です。他にも、企業理念や採用情報、プレスリリースなども掲載するケースも多く、さまざまなユースケースに活用されています。

ところで、国立研究開発法人情報通信研究機構(NICT)が発表した観測レポートによると、下図のとおり日本国内で観測された悪意のある第3 者からのサイバー攻撃は年々増加傾向にあります。

2020年には、WebサイトへのDRDoS攻撃(DoSリフレクション攻撃)の観測結果が1,820,722件とのことで、なかにはコーポレートサイトへの攻撃も含まれていました。このような背景にありながら、コーポレートサイトは顧客情報を取り扱っているECサイトと比べ、Webサイトセキュリティ対策が甘い傾向があります。本記事では、コーポレートサイトもWebセキュリティ対策が必要な理由と最適な対策方法について解説しています。

 

コーポレートサイトにWebセキュリティ対策が必要な2つの理由とは? 

冒頭でも説明したとおり、日本国内で観測された悪意のある第3者からのサイバー攻撃は年々増加傾向にあります。そのため、顧客情報や社内情報を守るためのWebセキュリティ対策をしている企業も少なくありません。

悪意のある第3者からのサイバー攻撃には、コーポレートサイトを集中的に狙うケースも珍しくありませんが、コーポレートサイトのWebセキュリティ対策を行っている企業は、実はそれほど多くないのが現状です。例えば、2021年5月にはマッチングアプリ「omiai」などで知られる株式会社ネットマーケティングのコーポレートサイトがサイバー攻撃を受け、顧客の個人情報が流出した事件もありました。

コーポレートサイトへのサイバー攻撃が増えている理由は何でしょうか。

 

理由|経営者側のWebセキュリティに対する認識が甘い

コーポレートサイトへのサイバー攻撃が増加している理由の1つが、経営者側のWebセキュリティに対する認識の甘さです。以前はサイバー攻撃といえば、国家や企業などの組織体の戦略変更やイメージダウン・株価操作などを狙う組織犯罪、産業スパイ活動を目的とした内容が多くを占めていました。そのため、当時経営者は、政府機関や大企業でなければ攻撃のターゲットにはならないという認識を抱えていました。

しかし、現代社会では大企業を狙って多額の詐欺を行ったり、政治的な目的を持ったサイバー攻撃ではなく、中小企業をターゲットにしたサイバー攻撃も増加しています。

そもそも、サイバー攻撃の目的も、下記のように多様化しています。

  • 情報の悪用
  • 顧客信用度やブランドイメージの低下
  • 事業やサービスの中断や停止

そのため、資産や機密情報の規模にかかわらず、どんな企業でも攻撃される可能性があるため、セキュリティ対策を経営戦略として行うことは経営者としての責務となっています。それにもかかわらず、Webセキュリティに対する認識が甘い経営者が多いため、経済産業省とIPA( 情報処理推進機構 )は2015年に「サイバーセキュリティ経営ガイドライン」を策定し、経営者に対してセキュリティ対策を推進するよう求めています。

 

理由②|企業としてのセキュリティ投資への割合が低い

企業のWebセキュリティ対策にかける予算(投資)の割合が低いことも、コーポレートサイトへのサイバー攻撃が増えている理由の1つです。現在、日本でも多くの企業が、DX(デジタルトランスフォーメーション)時代に向けてIT関連に予算を投じています。しかし、海外の企業と比べ、日本の企業はその予算に占めるWebセキュリティ関連の予算の割合は低いです。

NRIセキュアテクノロジーズ(NRIセキュア)が発表した「企業における情報セキュリティ実態調査2019」によると、IT関連予算に占めるWebセキュリティ関連予算の割合が10%以上と回答した企業は、米国企業は80%弱。一方で、日本企業は約30%に留まりました。

Webセキュリティ対策にコストをかける(セキュリティ投資をしている)企業の割合が低いことに加え、中小企業の場合、そのセキュリティ投資が間違った投資手段となっていることも珍しくありません。下記の内容が、間違ったWebセキュリティ投資例といえます。

  • 被害の発生確率と被害額に合った攻撃対策ツール等を導入していない
  • 個人情報の重要度を理解していない
  • 専門家や担当者の意見を聞かず、経営者の判断のみで行っている
  • 社外との情報共有ができていない
  • 最新もしくは高価格な製品・サービスを短絡的に選択して導入している

コーポレートサイトをサイバー攻撃から守るためには、正しい方法でWebセキュリティ投資を行うことが重要です。

 

コーポレートサイトのWebセキュリティ対策を成功させたい!3つのポイントで徹底解説!

日本の中小企業におけるセキュリティ投資が、間違った方向性で行われていることも少なくないことは前述しました。それでは、コーポレートサイトの正しいWebセキュリティ対策方法は、どのようにすればよいのでしょうか?

結論をいえば、コーポレートサイトのWebセキュリティ対策を成功させるポイントは、下記の3つです。

  • 経営側のWebセキュリティに対する理解度を上げる
  • 個人情報の重要度を再認識する
  • セキュリティ対策を導入してもすべてを委託企業任せにしない

 

経営側のWebセキュリティに対する理解度を上げる

コーポレートサイトにおいて、専門家や担当者の意見を聞かず経営者の判断のみで行ったWebセキュリティ対策は間違った対策になりやすいです。経営者の多くが「自社は大丈夫」と思い込んで、攻撃を受けたり情報が漏れて初めてセキュリティ対策の不備を自覚するケースも多いです。

また、自社に合った対策でなく、一般に良く知られているFW(ファイアウォール)やログの監視といった、現在ではそれだけでは不十分な対策のみ実施している企業も多いです。そのため、正しいWebセキュリティ投資を行うためには、まず経営陣に現在に適した対策方法を理解してもらうことが必至です。

 

個人情報の重要度を再認識する

コーポレートサイトがサイバー攻撃を受けたことで、個人情報が盗み出されたり、改ざんされたりする可能性があります。そもそも、コーポレートサイトだから個人情報を扱わないわけではありません。コーポレートサイトで個人情報は扱わず別システムで管理していても、サイバー攻撃によって、お問い合わせ入力フォームを改ざんされる危険性が伴います。また、そこから別システムに侵入して、情報を盗み出すという手口も存在します。

コーポレートサイトで個人情報は扱っていなくても、情報流出の危険性はあるため、個人情報の重要度は十分に理解しておくことが大切です。

 

すべてを委託企業任せにしない

最新もしくは高価格な製品・サービスを選べば、正しいWebセキリティ投資ができるわけではありません。正しいWebセキュリティ投資には、被害の発生確率と被害額に合った攻撃対策ツールを導入しなければいけません。

多くの企業がコーポレートサイトのWebセキュリティ対策のすべてを委託企業任せにするケースも少なくありません。しかし、突発的な事例に対処することが困難なためおすすめしません。コーポレートサイトのWebセキュリティ対策のすべてを委託企業任せにしていた場合、下記のようなリスクがあります。

  • セキュリティ面でのリスク
  • 品質低下のリスク
  • 自社内にノウハウが蓄積されない

Webセキュリティ対策をベンダーに委託するのなら、この3つのリスクは意識しておく必要がありますが、まずはすべてを委託企業任せにしないことをおすすめします。

 

コーポレートサイトにWAFを導入すべき理由を解説!

悪意のある第3者のターゲットとなりやすいコーポレートサイトを、サイバー攻撃から守る方法としておすすめなのが「WAF」です。WAFとは「Web Application Firewall」の略で、簡単に説明すると、Webアプリケーションの前面に配置される下記のような特徴を持つセキュリティ対策のことです。

  • Webアプリケーションの脆弱性を悪用した攻撃を防御できる
  • 複数のWebアプリケーションへの攻撃をまとめて防御できる
  • 脆弱性を悪用した攻撃が検出できる

そもそも、FWやログの監視といったWebセキュリティ対策のみで十分だという認識は間違いです。そして、経営陣のそのような認識を改めることが、正しいWebセキリティ投資を行うために必要だということは前述しました。確かに、それらも必要なWebセキュリティ対策の1つですがが、それだけではコーポレートサイトは守れません。しかしWAFであれば、FWやIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることができない攻撃も防御可能です。

WAFには、下記の3つのタイプが存在し、それぞれで導入および運用方法が異なります。大手企業の場合はアプライアンス型を、中小企業はクラウド型のWAFを採用することが多いですが、自社のシステム環境に合ったWAFを導入することが重要です。

  • クラウド型
  • アプライアンス型
  • ソフトウェア型

そのため、サイバー攻撃による被害の発生確率と被害額に合った対策が行えることも、コーポレートサイトを守る方法としてWAFをおすすめする理由です。

ペンタセキュリティでは、オンプレミス環境に合わせたアプライアンス型WAF「WAPPLES」、AWS、Azure等パブリッククラウドやプライベート環境に最適化されたソフトウェア型WAFの「WAPPLES SA」、DNS情報変更のみで簡単導入できるクラウド型WAFサービス「Cloudbric WAF+」など、企業環境に合わせて様々なタイプのWAFを提供しております。

Cloudbric WAF+の場合、基本的なWAF機能に加え、無償SSL機能、DDoS対策、悪性ボット遮断、脅威IP遮断など5つのWebセキュリティサービスを1つの統合したプラットフォームにて提供するクラウド型セキュリティサービスとして注目されています。

 

まとめ

今回は、コーポレートサイトにもWebセキュリティ対策が必要な理由について解説してきました。悪意のある第3者がターゲットとするのは、ECサイトのような顧客情報を扱うサイトだけではありません。また、データサーバーを直接狙わず、コーポレートサイトから情報漏洩を誘発させる手口も存在します。

そのため、企業経営者は、正しいWebセキリティ対策とはどういったことなのかを正しく認識しておくことが重要です。また、Webセキュリティ投資への割合が低いのであれば、それを見直し、正しい方法でWebセキュリティ投資を行ってください。

 

owasp top10 2021

2021年版「OWASP Top 10 」を徹底解説!

by ブログ

セキュリティ対策というと難しく考えることが往々にしてよくありがちですが、はじめから順に自分で考えなくても、先人たちの知恵の結晶ともいえる資料が世の中にはたくさんあります。言うまでもなく国内にもいろいろありますが、海外にも注意を向けてみると多方面にわたり重要な意味を持つセキュリティ関連のドキュメントや資料があります。今回は、Webアプリケーションセキュリティについて情報を収集しているとよく見つける『OWASP Top 10』について徹底解説していきます。Webアプリ開発者やセキュリティ担当者であればぜひとも知見を広げておきたい内容です。

 

OWASPとは

Open Web Application Security Project(OWASP)はソフトウェアのセキュリティをより良くすることを研究対象とした営利を目的とせずに活動する団体で、機能を発揮できるように『オープン・コミュニティ』モデルの下で組織をまとめて動かされており、誰でもプロジェクト、イベント、オンライン・チャットなどに参加して貢献できます。団体の基本的な方針や精神は、人を限定せずにありとあらゆる資料と情報が無料でWebサイトから簡単にアクセスできることで、ツール・ビデオ・フォーラム・プロジェクトからイベントまで、あらゆるものが提供されています。結果として、オープン・コミュニティに対する貢献をした人の幅広い知識と経験に裏付けの得られた、汎用的なWebアプリケーション・セキュリティ開発環境におけるソースコードや設計などといった情報が保管されているデータベースとなっています。

 

OWASP Top 10とは

OWASP Top 10は、Webセキュリティの致命的・決定的な欠点が発見された頻度・脆弱性の重大度・考えられる事業への影響の大きさに基づいてランク付けされています。レポートの目的は開発者とWebアプリケーション・セキュリティ専門家に世間で最も広く行き渡っているセキュリティ・リスクに関する知識や見識などを提供して、レポートの調査結果と推奨事項をセキュリティ・プラクティスに組み込むことによって、アプリケーションにおけるこれらのすでに知られているリスクの存在を必要な分だけに抑えることです。

OWASPは世界中のセキュリティ専門家間でくいちがいなく同じである意見に基づいており、2003年からTop 10はリストの状態をそのまま保ちつづけており、Webセキュリティ市場の進歩と変化のスピードに合わせて更新されています。Top 10の価値は提供されている実際に役に立つ情報にあるため、現在も多くの大手企業において主要なチェックリストやWebアプリケーションの開発標準として貢献しています。Top 10に対応できていない場合、監督する責任者からコンプライアンス標準の面で不備がある可能性の含みを持たせるものとみなされがちですので、ソフトウェア開発ライフサイクル(Software Development Life Cycle)に組み込むことは、安全が保証されている開発に関する最善の方法が考えのうちに入っている説得力のある証拠となります。

 

2021年のOWASP Top 10でどんなことが変化したのか

新しく3つのカテゴリがあり、名前とスコープが変更された4つのカテゴリと2021年のTop 10にいくつかが統合され、そもそもの原因に焦点を当てるために名前が変更されました。

01:2021 –壊れたアクセス制御

5番目の位置から上に移動すると、アプリケーションの94%が、平均発生率3.81%の何らかの形の壊れたアクセス制御についてテストされ、提供されたデータセットで最も多く発生し、318kを超えています。含まれている注目すべき一般的な弱点列挙(CWE)には、CWE-200:不正なアクターへの機密情報の公開・CWE-201:送信データによる機密情報の公開・CWE-352:クロスサイトリクエストフォージェリが含まれます。

参考文献

 

02:2021 –暗号化の失敗

根本的な原因というよりも広範な症状であり、以前は機密データの公開として知られていた#2に1つの位置をシフトすると、暗号化に関連する障害(またはその欠如)に焦点が当てられます。これはしばしば機密データの漏洩につながります。含まれている注目すべき一般的な弱点列挙(CWE)は、CWE-259:ハードコードされたパスワードの使用・CWE-327:壊れたまたは危険な暗号アルゴリズム・CWE-331:不十分なエントロピーです。

参考文献

 

03:2021 –インジェクション

インジェクションは3番目の位置までスライドします。アプリケーションの94%は、最大発生率19%、平均発生率3%、及び274k回の発生率で何らかの形の注入についてテストされました。含まれている注目すべき一般的な弱点列挙(CWE)は、CWE-79:クロスサイトスクリプティング・CWE-89:SQLインジェクション・CWE-73:ファイル名またはパスの外部制御です。

参考文献

 

04:2021 –安全でない設計(NEW)

2021年の新しいカテゴリで、設計及びアーキテクチャの欠陥に関連するリスクに論争点をあてており、脅威モデリング、安全な設計パターン及び参照アーキテクチャの使用を増やす必要があります。コミュニティとして、私たちはコーディングスペースの『左シフト』を超えて、Secure byDesignの原則にとって重要なアクティビティを事前にコーディングする必要があります。注目すべき一般的な弱点列挙(CWE)には、CWE-209:機密情報を含むエラーメッセージの生成・CWE-256:資格情報の保護されていないストレージ・CWE-501:信頼境界違反・CWE-522:保護が不十分な資格情報が含まれます。

参考文献

 

05:2021 –セキュリティの設定ミス

前版の#6から上昇して、アプリケーションの90%が何らかの形の構成ミスについてテストされ、平均発生率は4%で、このリスクカテゴリでのCommon Weakness Enumeration(CWE)の発生率は208kを超えました。高度に構成可能なソフトウェアへのシフトが増えるにつれ、このカテゴリーが上昇するのは当然のことです。含まれている注目すべきCWEは、CWE-16:構成・CWE- 611:XML外部エンティティ参照の不適切な制限です。

参考文献

 

06:2021 –脆弱で古いコンポーネント

コミュニティ調査のトップ10で2位でしたが、データでトップ10に入るのに十分なデータもありました。脆弱なコンポーネントは、リスクのテストと評価に苦労している既知の問題であり、含まれているCWEに共通の弱点列挙(CWE)がマップされていない唯一のカテゴリであるため、デフォルトのエクスプロイト/影響の重み5.0が使用されています。含まれている注目すべきCWEは、CWE-1104:メンテナンスされていないサードパーティコンポーネントの使用・2013年と2017年のトップ10の2つのCWEです。

 

07:2021 –識別と認証の失敗

以前はBrokenAuthenticationとして知られていたこのカテゴリは、2番目の位置からスライドダウンし、識別の失敗に関連するCommon Weakness Enumerations(CWE)が含まれるようになりました。含まれている注目すべきCWEは、CWE-297:ホストの不一致による証明書の不適切な検証・CWE-287:不適切な認証・CWE-384:セッション固定です。

参考文献

 

08:2021 –ソフトウェアとデータの整合性の障害(NEW)

2021年の新しいカテゴリで、整合性を検証せずに、ソフトウェアアップデート、重要なデータ、およびCI / CDパイプラインに関連して仮定することに焦点を当てています。Common Vulnerability and Exposures / Common Vulnerability Scoring System(CVE / CVSS)データからの最大の加重影響のひとつです。注目すべき一般的な弱点列挙(CWE)には、CWE-829:信頼できない制御領域からの機能の組み込み・CWE-494:整合性チェックなしのコードのダウンロード・CWE-502:信頼できないデータの逆シリアル化が含まれます。

参考文献

 

09:2021 –セキュリティログと監視の失敗

セキュリティのログと監視の失敗は、OWASPトップ10 2017の10位からわずかに上昇したトップ10コミュニティ調査からのものです。ログ記録と監視はテストが難しい場合があり、多くの場合はインタビューや侵入中に攻撃が検出されたかどうかを尋ねます。このカテゴリのCVE / CVSSデータはそれほど多くありませんが、不当に他者の領域を侵すことへの検出と対応はきわめて大切なことです。それでも、説明責任、可視性、インシデントアラート、およびフォレンジックに非常に影響を与える可能性があります。このカテゴリは、CWE-778:Insufficient Loggingを超えて拡張・CWE-117:ログの不適切な出力中和・CWE-223:セキュリティ関連情報の省略・CWE-532:ログファイルへの機密情報の挿入が含まれます。

参考文献

 

10:2021 –サーバー側リクエスト偽造(SSRF)(NEW)

このカテゴリは、トップ10コミュニティ調査から追加されました。データは、平均以上のテストカバレッジと平均以上のエクスプロイトおよびインパクトの潜在的な評価を伴う比較的低い発生率を示しています。新しいエントリは、注意と認識のためのCommon Weakness Enumerations(CWE)の単一または小さなクラスターである可能性が高いため、それらが焦点の対象となり、将来のエディションでより大きなカテゴリにロールインできることが期待されます。

参考文献

 

OWASP Top 10 2021 –次のステップ

設計上、OWASPトップ10は本質的に最も重要な10のリスクに限定されています。すべてのOWASPトップ10には、含めるために詳細に検討された『最前線』のリスクがありますが、最終的には成功しませんでした。データをどのように解釈しても、他のリスクはより一般的で影響力がありました。成熟したappsecプログラム・セキュリティコンサルタント・ツールベンダーに向けて取り組んでいる企業は、提供するサービスの対象範囲を拡大したいと考えています。次の3つの問題は、特定して修正する価値があります。

 

コード品質の問題

コード品質の問題には、既知のセキュリティ上の欠陥またはパターン・複数の目的での変数の再利用・デバッグ出力での機密情報の公開・オフバイワンエラー・チェック時間/使用時間(TOCTOU)の競合状態・署名されていないまたは署名された変換エラーが含まれます。このセクションの特徴は、通常、厳格なコンパイラフラグ・静的コード分析ツール・リンターIDEプラグインで識別できることです。現代の言語は設計により、Rustのメモリ所有権と借用の概念・Rustのスレッド設計・Goの厳密な型指定と境界チェックといった問題の多くを排除しました。

参考文献

 

サービス拒否

十分なリソースがあれば、サービス拒否は常に可能です。ただし、設計とコーディングの慣行は、サービス拒否の規模に大きく影響します。リンクを知っている人なら誰でも大きなファイルにアクセスできると仮定します。そうしないと、すべてのページで計算コストの高いトランザクションが発生します。その場合、サービス拒否は実行に必要な労力が少なくてすみます。

参考文献

 

メモリ管理エラー

Webアプリケーションは、Java・.NET・node.js(JavaScriptまたはTypeScript)などのマネージドメモリ言語で記述される傾向があります。ただし、これらの言語は、バッファオーバーフロー・ヒープオーバーフロー・解放後の使用・整数オーバーフローといったメモリ管理の問題があるシステム言語で記述されています。Webアプリケーション言語が名目上メモリが『安全』であるという理由だけで、基盤がそうではないことを証明する多くのサンドボックスエスケープが何年にもわたってありました。

参考文献

 

まとめ

OWASP Top 10はWebアプリケーションのセキュリティ分野において、最新のサイバー攻撃のトレンドを認識するためにことのほか役に立ちます。Webアプリ開発者やセキュリティ担当者であれば新しく告げ知らされた攻撃のトレンドを知っていると、その攻撃と類似する他の攻撃にも最前線に立って対応できます。また、公共のために業務する各機関においてもWebセキュリティにおける重要なガイドラインや指標として認識されており、取り上げられている項目に対応できていない場合、セキュアな開発を実施する最善の方法を取り入れていないとジャッジが下される可能性があります。日本国内においては、『IPA(独立行政法人情報処理推進機構)』や『JPCERTコーディネーションセンター』がガイドラインとして取り入れています。

 

AWS WAF利用とCloudbric WMS

「AWS WAF」とは?利用状況やおすすめ機能などを紹介!

by ブログ

Webアプリケーションの脆弱性を悪用した攻撃の遮断やDDoS対策として注目されているWAFサービス。そんなWAFサービスのなかでも、今回は特に注目されている「AWS WAF」について解説しています。悪意のある第3者による攻撃が後を絶たず、小規模企業でもターゲットとされる可能性がある昨今、「AWS WAF」はセキュリティ面において有力なシステムとしてさまざまな企業で活用できる可能性を秘めているサービスです。そんな運用管理サービス「AWS WAF」の1つとして、この度新たに誕生した「Cloudbric WMS for AWS」についても紹介もしていますので、ぜひ、最後までご覧ください。

 

「AWS WAF」とは?利用状況やおすすめ機能について解説!

WAFは「Web Application Firewall」の略で、近年増えているWebアプリケーションの脆弱性を悪用した悪意のある第3者からの攻撃から、Webアプリケーションを守るセキュリティ対策の1つです。例えば、米アマゾンドットコムでは、同社の世界規模のECサイト(オンラインショップ)の運営基盤として使用している機能を、下記のような従量制のサービスとして提供しています。

  • 仮想サーバなどを貸し出すIaaS(Infrastructure as a Service)サービス
  • アプリケーション実行環境を提供するPaaS(Platform as a Service)サービス
  • 固有の機能を持つソフトウェアを利用させるSaaS(Softwar as a Service)サービス

そんなAWSを利用したクラウド型WAFサービスの提供が「AWS WAF」で、。まずは、「AWS WAF」の利用状況について確認してみましょう。

 

最新情報!「AWS WAF」の利用現況は?

 

画像クレジット:Canalys

現在、世界中のデータセンターから200 以上のフル機能のサービスを提供していることもあり、AWSは世界で最も包括的で広く採用されているクラウドプラットフォームとなっています。市場調査会社Canalysが発表した2021年第1四半期におけるグローバルのクラウド市場規模の資料によると、AWSはクラウドインフラ市場で30%以上の利用状況を誇ります。

そんなAWSのサービスの1つである「AWS WAF」は、従来の一般的なWAFサービスと比べて安価かつ容易にWAFを導入可能です。また、後述する優れた機能があることから、Webアプリケーションのセキュリティ対策として、多くの企業で選ばれています。

 

【厳選】おすすめ!AWS WAFの機能3選

「AWS WAF」には、様々な優れた機能が搭載されています。

  • リアルタイムでの可視化機能
  • APIを使用した完全管理機能
  • 「AWS Firewall Manager」での一元管理機能

それでは、詳しくみていきましょう。

リアルタイムでの可視化機能

「AWS WAF」では、リアルタイムメトリクスを使用し、「IPアドレス」「地理位置」「URI」「User-Agent」「ヘッダーなどの各種リクエストの詳細」の可視化が可能です。また、望ましくないアクティビティを実行するボットも可視化できるため、特定の攻撃が発生した際のカスタムアラームを簡単に設定できます。

APIを使用した完全管理機能

「AWS WAF」には、フル機能のAPIによる完全管理機能があります。具体的には、フル機能のAPIによってAWSが提供している標準のルールだけでなく、「Webセキュリティルールの作成」「デプロイ」「メンテナンスの自動化」などのAPIを活用して新たな管理ルールの作成が可能。さらに、新たな作成した管理ルールをアップデートして、自社に合わせた運用もできます。

「AWS Firewall Manager」での一元管理機能

「AWS WAF」は、「AWS Firewall Manager」への統合が可能です。「AWS Firewall Manager」とは、企業・組織内にあるアカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるセキュリティ管理サービスのことです。この「AWS Firewall Manager」に統合することで、複数のAWSアカウントにまたがる「AWS WAF」を一元設定・一元管理できるようになります。

 

「AWS WAF」を導入するメリットとデメリットを紹介!

前述した優れた機能の数々が利用できることは、「AWS WAF」導入の大きなメリットですが、その他にも得られるメリットが存在します。また、導入によって発生の可能性があるデメリットについてもあるため、注意しなければなりません。

「AWS WAF」のメリット

「AWS WAF」は他のAWSサービスと同じく従量課金制です。利用した分でしか料金が発生しないため、従来のWAFサービスと比べてコスト的に優れており、料金体系も分かりやすいことが特徴です。従来のWAFサービスは、セキュリティルールを設定しても、それがシステムに反映させるまで時間がかかっていました。しかし、「AWS WAF」ならすぐに反映できるため、脅威による問題が発生した場合に即座に対応できます。

 クラウドタイプのサービスなので、導入時にソフトのインストールやハードウェアの準備をする必要がないため、すぐに導入できます。

  • DDoS攻撃
  • バッファオーバーフロー
  • SQLインジェクション
  • OSコマンドインジェクション
  • ディレクトリトラバーサル
  • クロスサイトスクリプティング
  • ブルートフォースアタック 

上記のようなサイバー攻撃を防止してくれるところは大きなメリットといえるでしょう。

「AWS WAF」のデメリット

「AWS WAF」は、状況にあわせてルール作成ができますが、そのルールを細かく設定する場合には専門的な知識が必要です。そのため、もし何かしらの問題が発生して、その対策として細かなルール設定が必要となった場合、専門スキルや関連する専門知識が乏しいと設定に時間がかかり対応が遅れてしまうでしょう。

AWS WAFから提供されているマネージドルールを利用することも可能ですが、最新のサイバー攻撃から企業のWebアプリケーションを安全に守るためにはセキュリティ対策を更に強化する必要があります。専門ベンダーにより提供されるWAFを導入する方がより確実なセキュリティ対策となるでしょう。

 

正式リリース!AWS WAF運用管理サービス「Cloudbric WMS for AWS」の紹介!

「AWS WAF」で細かなルール設定をする場合には、専門的な知識が必要であるということは前述しました。その対策として、今回紹介するサービスがセキュリティ専門家によるAWS WAF運用管理サービス「Cloudbric WMS for AWS」です。AWSをプラットホームとしたWAFに関連したサービスの1つとして、正式リリースを開始しました。

「AWS WAF」は導入しやすく・コスト的にも優れたWAFサービスですが、安定的な運用のためには専任のセキュリティ担当者が不可欠となります。大手であれば専任のセキュリティ担当者を雇うことも難しくありませんが、中小企業では対応が困難な場合もあります。

AWS WAF運用管理サービス「Cloudbric WMS for AWS」は、AWS WAFにおける効率的な運用管理を実現し、最高のセキュリティレベルを保証します。弊社のセキュリティの専門家によって、低コストで「AWS WAF」のルール作成・最適化・運用や24時間365日体制でのサポートします。自社でのルール作成・管理・運用が難しいことが「AWS WAF」導入の課題としてあるのなら、ぜひとも検討してみてはいかがでしょうか。

 AWS WAF運用管理サービス「Cloudbric WMS for AWS」の料金やサービス内容についての詳細を知りたい方は、こちらをご覧ください。

cloudbric - press release

【セミナーレポート】パブリッククラウド、セキュリティの必然性と戦略とは

by ブログ

先日、ペンタセキュリティシステムズ株式会社とデジタル・インフォメーション・テクノロジー株式会社(DIT社)は、「パブリッククラウド、セキュリティの必然性と戦略 」をテーマに共同セミナーを行いました。

パブリッククラウド活用時、最も注目すべきポイントであるセキュリティの必然性と戦略、企業側のマインドセットについて分かりやすく解説していますので、時間があれば、是非チェックしてみてください。

 

それでは、セミナーの内容を簡単にまとめてお届けしたいと思います。

企業のDX進展などに伴い、日本国内のパブリッククラウドサービス市場は高成長を続けています。

MM総研の調査によると、2024年までのクラウドサービス市場全体の年平均成長率は18.4%と高水準になる見通しとなっています。

オンプレミスからクラウドへの移行が進むにつれ、クラウド利用を前提としたシステム開発を進める環境が整い、結果としてクラウドシフトに弾みがつくと見られます。その中でも特に「パブリッククラウド」の場合は、今後も高い成長が続くと予測されます。

パブリッククラウド活用が急速に進んでいる今こそ、改めて、「セキュリティ」を考えてみる必要があります。

従来のオンプレミスでのセキュリティを考えてみると、比較的シンプルでした。「閉じる」、つまり機密性を重視し、情報共有が狭い範囲で行われるようにし、安全性を確保するという考え方であったと言えます。しかし、「オープンされている」、「共有されている」といったパブリッククラウド上では、従来の考え方のままでは問題発生は避けられません。パブリッククラウドといった時代の大きな流れに対して、企業側にも新たな心構えが求められます。

 

クラウドのセキュリティを考えるには、まずクラウドの特殊性を考慮しなければなりません。それは「データ」です。

殆どのクラウドサービスでは「責任共有モデル」という考え方を提案しています。責任共有モデルに基づき、インフラとプラットフォームにおけるセキュリティは、CSP(クラウドサービスプロバイダー、Cloud Service Provider)の責任範囲で、データ保護に関しては利用者の責任範囲となっています。

ここで企業側は責任転嫁モデルと揶揄せずに、データを保護するセキュリティ対策を企業の方で考えて行くという「データ主導権モデル」として取り組んでいく必要があります。

そして、データの主導権を持つ企業自ら、「セキュリティ投資」という観点での対策を立てていく必要があります。企業イメージとお客様からの信頼もセキュリティ投資と直結しているだけあって、ビジネスを守る、事業継続性という考え方での取り組みが必要です。

他にも、パブリッククラウド上で選択できるセキュリティ・ソリューション形態や戦略などについて詳しく解説しておりますので、是非動画をチェックしていただければと思います。また第2弾では、パブリッククラウドを利用されている企業のセキュリティにおける悩みの解決策としての「DIT Security」について話します。こちらも是非チェックしてみてください。

https://youtu.be/gpER3_bE7Yk

 

セミナーの資料ダウンロード

[tek_button button_text=”セミナー資料ダウンロード” button_link=”url:%23popmake-31109|title:%e3%80%90%e3%82%bb%e3%83%9f%e3%83%8a%e8%b3%87%e6%96%99%e3%80%91%e3%83%91%e3%83%96%e3%83%aa%e3%83%83%e3%82%af%e3%82%af%e3%83%a9%e3%82%a6%e3%83%89%e3%80%81%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86||” button_position=”button-center”]
 

what is ztna2

ZTNA(Zero Trust Network Access)の重要性とは?メリットなども解説!

by ブログ

働き方改革とコロナ禍の影響から、日本企業でもテレワークのリモート・在宅勤務の導入が増加しています。そして、テレワーク増加と比例して増加している事例がVPNの脆弱性を狙ったサイバー攻撃です。

そんななか、VPNのような境界型セキュリティでは防ぐことのできないサイバー攻撃に対応できる次世代のセキュリティとして注目されている概念が「ZTNA(Zero Trust Network Access)」です。ZTNAの概念やセキュリティモデルについての詳細は、こちらの記事で解説しています。

ZTNA(Zero Trust Network Access)とは?概念とセキュリティモデルを解説!

本記事では、次世代セキュリティとして注目されるZTNAの重要性と導入のメリットについて解説しています。ぜひ、最後までご覧ください。

 

企業担当者必見!ZTNA(Zero Trust Network Access)の重要性とは?

ZTNAが注目されるようになった背景には、ITの技術や働き方の変化によって、VPNなどの従来の境界型セキュリティでは守り切れない事例が頻出してきたことが挙げられます。IT技術の変化や企業のクラウド環境への移行が進むとともに、求められるセキュリティ対策も変わってきました。そしてテレワークのリモート・在宅勤務の増加など働き方が急激に変化する中、リモートアクセスに対するセキュリティ対策を見直す必要があるという議論がはじまって、従来のVPNに代わる対策としてZTNAが注目されました。

それでは、なぜZTNAの導入が重要なのでしょうか?まずは、クラウド環境におけるZTNAの重要性について、詳しく解説していきます。

クラウド環境ではZTNAが重要!

近年、ランニングコスト削減効果や安価でスピーディーな環境構築などを目的にクラウド環境の導入・移行に踏み切る企業が増加傾向にあります。クラウド環境とは、離れた場所にあるシステムの本体(物理的なサーバなど)から、インターネットなどのネットワークを介して、ユーザにサービスを提供する形態のことです。

境界型セキュリティと呼ばれている従来のセキリティは、下記のポイントを軸に対策されています。

  • 外部ネットワークとの「境界線(ペリメータ)」でセキュリティ対策を行う
  • 内側(社内)と外側(社外)の接点における悪意のある第3者の存在

つまり、従来のセキュリティ対策としての考え方は、外側は信用できず内側は信頼できるという意識が働いていました。システムの本体が内側にあれば、従来のセキュリティ対策でも、悪意のある第3者からの攻撃は防げるでしょう。

しかし、クラウド環境で離れた場所にシステムの本体がある場合、境界型セキュリティでは攻撃を防ぐことはできません。それに対して、ZTNAは、ゼロトラストという「ネットワークの外側も内側も依存しない」という考えでセキュリティ対策を行うため、クラウド環境にも対応しています。だからこそ、クラウド環境に移行した企業や移行を考えている企業は、クラウド環境にある情報資産を守れるセキリティ対策として、ZTNAの導入は重要となります。

 VPNが安全な対策であると言えない理由は?

境界型セキュリティとして最も一般的で、テレワークでのリモート・在宅勤務での主流となっていた仕組みと言えば、VPNがあります。テレワークの推進やコロナ禍の影響でリモート・在宅勤務をする方が増加したことで、社内ネットワークに外部から安全にアクセスする際に使うVPNは急速に多くの企業に拡がりました。しかし、VPN製品の脆弱性が相次いで発見され問題となりました。そして、その脆弱性を利用したサイバー攻撃や攻撃者の侵入が次々と発覚し、もはやVPNは安全なセキュリティ対策ではないといわれています。

 また、脆弱性があることだけでなく、VPNのような境界型セキュリティは「内側が安全」と考えられているため、他者のなりすまし攻撃に弱いという特性があります。そのため、社内ネットワークへの攻撃を防ぐことは困難といえるでしょう。

ZTNAは脱VPN事故に不可欠!

VPNを狙った悪意のある第3者によって、VPN事故(VPNの欠陥をついた攻撃による情報流出などの事故)が発生する可能性は十分あります。VPNは、もはや安全なセキュリティ対策とはいえなくなっており、一刻も早く「脱VPN」への対策が必要といえるでしょう。そして、そんな脱VPN対策として注目されている概念が、ZTNAの導入です。

 

VPNの代わりに注目されるZTNA(Zero Trust Network Access)のメリットとは?

ZTNAであれば、VPNなどの境界型セキュリティでは守り切れない資産を守ることができますが、他にも下記のようなメリットが得られます。

  • アクセス速度が早まる
  • セキュリティが強固となる
  • 管理者の負担が減る
  • ユーザの増加に柔軟に対応できる

それでは、ZTNA導入におけるそれぞれのメリットについて、詳しくみていきましょう。

アクセス速度が早まる 

ZTNAは、VPNとは異なり、許可された限られたユーザしかネットワーク上のアプリケーションやデータにはアクセスができません。そのため、これまでより無駄なアクセスが減り、接続が最適化されたことでアクセス待ちの時間が短縮します。また、クラウド環境でVPNを利用したリモートワークは、下記のようなアクセス経路を辿ります。

  1. リモート端末
  2. 社内ネットワーク
  3. クラウド

そのため、社内ネットワークに対して、VPNアクセスとクラウドへのアクセスで2重に負担がかかることで速度が遅延しやすいという特性がみられます。ZTNAを導入すれば、効率的なクラウド利用が可能となるでしょう。

 セキュリティが強固となる

ユーザがIDとパスワードによる認証が通過すれば、ZTNAでは、アクセス権限を持つアプリケーションのみアクセスが可能となるよう権限の制御が可能です。もしユーザの端末が乗っ取られても、悪意のある第3者は限られたアプリケーションにしかアクセスできないため、被害を抑えられるでしょう。また、IPアドレスは許可されないユーザには公開されないため、IPアドレスの外部公開によるサイバー攻撃の軽減も期待できます。

 管理者の負担が減る 

VPNの場合、拠点ごとにアクセス制御ポリシー(保護リソースに対するアクセスをユーザに許可するか拒否するかを定義する一連の条件)の管理が必要です。ZTNAを導入すれば、組織全体のアクセス制御ポリシーがすべてクラウド上で一元管理できるため、拠点ごとに管理する必要がありません。そのため、管理者の負担が大きく軽減されるでしょう。また、ACL(アクセス制御リスト)も簡素化できることから、さらに管理者の負担は減るところは大きなメリットです。

ユーザの増加に柔軟に対応できる

VPNの場合、ユーザが増加すると、利用規模に対してサーバなどの性能や容量が負荷に耐えられません。そのようなシステム障害の発生を防止するためには、サイジングの必要性や急なユーザ追加に対して、柔軟に対応しなければなりません。しかし、ZTNAを導入すれば、性能による問題などの処理はすべてクラウド上で行えるため、急にユーザ増加があっても柔軟で迅速な対応ができます。

 

ZTNAソリューションのおすすめ「Cloudbric RAS」を紹介!

脱VPNのセキュリティ対策として、ZTNAを選ぶ企業もあることでしょう。すでに、各企業からいくつものZTNA製品(ZTNAソリューション)の提供を開始しています。しかし、製品によって提供形態やサービス内容が異なるため、ZTNAの導入をする際は製品を見極めて自社にあったサービスを選ぶことが重要。そして、導入するZTNA製品を見極める際のポイントとして、は、下記の4つが挙げられます。

  • セキュリティ能力
  • 情報の管理のしやすさ
  • 相互運用性の良さ
  • 問題が起きた際の対処・対応速度

これら4つのポイントからおすすめするZTNAソリューションといえば「Cloudbric RAS」があります。マルチ・クラウド上に構築されている複数のWebアプリケーションに対し、利用者単位でアクセス権限を設定できるクラウド型セキュリティサービスです。

 

さいごに

今回は、ZTNAの重要性やメリットなどについて解説してきました。セキュリティコンサルティングを世界的に展開しているガートナー社によると、現在「VPN」を利用している企業の約6割が、2023年までにZTNAへ移行すると予想しています。これまで、VPNは利用すべき安全対策といわれてきましたが、今の時代や環境に対応できていない事例が数多く報告されているのが現状。今後のテレワークを推進や会社のクラウド化を目指しているのなら、ぜひZTNAを導入して、脱VPNを検討してみてはいかがでしょうか。

 

ZTNA ソリューション「Cloudbric RAS」の詳細はこちら

Cloudbric RAS

what is ztna

企業担当者必見!ZTNAとは?概念とセキュリティモデルを解説!

by ブログ

現代社会において、インターネットを利用するさまざまなサービスの通信手段としてVPN接続が活用されています。しかし、多くの利用があることもあり、VPN接続の脆弱性を悪用した第3者によるサイバー攻撃が年々増加しています。そして、VPN接続の脆弱性を悪用したサイバー攻撃・トラブルを解決できる新しいセキュリティとして注目されている仕組みが「ZTNA(Zero Trust Network Access)」ソリューションです。

本記事では、従来の境界型セキュリティからの転換を実現するZTNAについて解説しています。また、クラウド環境でのZTNAの重要性や従来のVPN接続を使い続けたときの危険性のうち、日本国内でのVPN関連事故の事例も紹介していますので、ぜひご覧ください。

 

企業担当者必見!ZTNA(Zero Trust Network Access)の概念とは?

まずは、ZTNAの概念について解説します。ZTNAとは、「Zero Trust Network Access(ゼロトラストネットワークアクセス)」の略語です。ゼロトラストとは、ネットワークの外側も内側も何も信頼しないという概念です。従来のセキュリティは、外側は信用できなくても内側は信頼できるという概念で対策されていました。その理由は、悪意のある第3者からのサイバー攻撃から保護する対象(データ・情報)がネットワークの内側にあったためです。しかし、クラウド時代の到来により、現在は保護する対象がネットワークの外側に存在しているケースが主流を占めています。そのため、こうした保護する対象がネットワークの内側と外側に点在するようになったことで、従来のセキュリティ対策では守り切れない状況に陥っています。そこで、生まれた概念がZTNAです。 具体的には、「ゼロトラスト」の概念から考えられたセキュリティソリューション(コンサルティング・対策・運用監視・インシデント対応までをトータルサポートするセキリティ対策)を行います。

ZTAとの違いは?

ZTNAと同義の言葉に、ZTA(Zero Trust Architecture、ゼロトラスト・アーキテクチャ)があります。そもそも、アーキテクチャという言葉は、「建築(物)・建築術・建築様式、・構造・構成」などの意味を持ちます。そして、ITの分野では、コンピュータやソフトウェア・システム、あるいはそれらの構成要素などにおける、基本設計や共通仕様・設計思想などを指します。

つまり、ZTNAはゼロトラストの概念を取り入れたセキュリティソリューションのことであり、ZTAとの違いはゼロトラストの特徴をそのまま反映させたシステム構想を意味します。

VPNの代わりに注目されるZTNAのメリットとは?

VPN接続とは、インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワークのことで、インターネットを利用するさまざまなサービスの通信手段として利用されています。

基本的に、VPN通信は暗号化できることから、安全に通信可能と言われています。そのため、ネットワークの外側と内側の境界線を構築し、セキリティ強化が見込めます。

一方、ZTNAには境界線が存在しないことから、ネットワークの内側外側のどちらにも脅威が存在することを前提にセキュリティ対策を行わなければなりません。そのため、より強固なセキュリティ対策が行われる必要があります。

 ZTNAのメリットには、下記の4つが挙げられます。

  • 高度なユーザ認証ができ、より詳細な制御が可能
  • 最小の権限での認可が可能となり、セキュリティ管理者の負担が軽減する
  • 端末ごとの信頼性評価で接続の可否を判断するため、乗っ取られても被害を最小限に抑えられる
  • ユーザに対する透明性がアップする

ZTNAの重要性やメリットについては、こちらの記事で詳しく解説しています。

ZTNAの重要性とは?メリットなども解説!

次章では、そんなZTNAのメリットを活かせるセキュリティモデルについて解説します。

 

ZTNA(Zero Trust Network Access)のセキュリティモデルは?

次世代のセキュリティモデルと言われているZTNAには、「サービス主導型」「クライアント主導型」の2つのタイプが存在します。これら2つのタイプの解説と、ZTNAソリューションの例を紹介します。

「サービス主導型」は、SDP(Software Defined Perimeter)と呼ばれる概念を取り入れたタイプです。Webアプリケーション構築プラットフォームやソフトウェアを利用してアクセス制御やサイバー攻撃を防ぎます。通常、Web制作会社や開発会社が快適にアプリケーションを構築し、クライアントに提供できるようにするためのプログラムを採用します。

一方、「クライアント主導型」は、クライアントが必要に応じて、バックアップ・リカバリー処理を指示する方法を採用した形態であるため、クライアント主導型の方が、ユーザにとって導入しやすいといわれています。

ZTNAソリューションの例|Cloudbric RAS

「Cloudbric RAS(クラウドブリック・ラス)」は、マルチ・クラウド上構築されている複数のWebアプリケーションに対し、利用者単位でアクセス権限を設定できるクラウド型セキュリティ・サービスです。既存のDirectConnectやVPNの構築などが不要で、DNS情報を変更するだけで利用開始でき、ユーザ向け認証用画面と管理者向け統合管理画面の2つのインターフェースを提供することが特徴です。

企業システムをドメイン単位で管理できるようになるため、複数のシステムが一元管理できることも大きな魅力です。また、認証セキュリティの強化によってZTNAだけでなく、従業員と企業の安全の確保でき、簡単かつ安全なテレワーク環境の実現できます。 

「Cloudbric RAS」の詳細を確認する

 

日本でのVPN関連事故の事例を紹介!

ここでは、VPN接続のリスクと関連事故の事例について紹介します。それでは、詳しくみていきましょう。

Pulse Secure社のVPN製品

2021年4月下旬、Pulse Secure社がVPN製品「Pulse Connect Secure」で深刻な脆弱性(CVE-2021-22893)が存在し、その脆弱性を狙ったサイバー攻撃による被害を受けていたことを発表しています。悪意のある第3者がこの脆弱性を悪用した場合、認証を回避して任意のコードを実行可能となります。同年5月に、この脆弱性を修正したバージョンが提供されており、日本国内での被害はありませんでした。

 しかし、国内での悪用は確認されており、修正バージョンの提供まで約1か月間かかったことから、今後被害が確認される可能性もあるでしょう。

また、Pulse Secure社のVPN製品は、他にも下表のような脆弱性が確認されています。

バージョン 概要
CVE-2019-11510 HTTPS経由で送信・細工されたURIを処理することにより、任意のファイルが読み出される可能性
CVE-2019-11509 管理用Webインターフェースにログインしたユーザによって、PulseSecureアプライアンス上で任意のコードを実行される可能性
CVE-2019-11508 Pulse Connect SecureのNetwork File Share (NFS) の実装には脆弱性があり、認証されたユーザが悪意あるファイルをアップロードすることによって、ローカルシステム上に任意のファイルが書き込まれる可能性
CVE-2019-11542 管理用Webインターフェースにログインしたユーザから受け取った、細工されたメッセージを処理することによって、スタックバッファオーバーフローが発生する可能性
CVE-2019-11541 Reuse Existing NC(Pulse) SessionオプションでSAML認証を使用しているユーザの認証情報が漏えいする可能性
CVE-2019-11540 Pulse Secureには脆弱性があり、遠隔の攻撃者によって VPN サーバに接続するエンドユーザを対象としたセッションハイジャック攻撃が行われる可能性
CVE-2019-11539 管理用Webインターフェースにログインしたユーザによって、任意のコマンドが実行される可能性
CVE-2019-11538 Pulse Connect Secure の Network File Share(NFS) の実装には脆弱性があり、認証されたユーザによってローカルファイルシステム上の任意のファイルにアクセスされる可能性

Citrix社製品のVPN製品

2019年12月にCitrix社の一部のVPN製品で、任意のコードを実行可能な脆弱性(CVE-2019-19781)が確認されました。さらに2020年1月11日には、この脆弱性を悪用する攻撃コードが、インターネット上で公開されていることも確認されました。また、同年7月にも、Enterprise Cloud 2.0(ECL2.0)のロードバランサー(NetScaler VPX)メニューで提供しているCitrix社のNetScalerで、脆弱性(CVE-2020-8257/CVE-2020-8258)が確認されました。これらの脆弱性を狙って、国内外で継続した非常に多くのサイバー攻撃が行われたとのことです。

 

さいごに

今回は、ZTNAの概念とセキュリティモデルについて解説してきました。コロナ禍の影響もあり、テレワークのリモート/在宅勤務を導入する日本企業が増えています。そのため、日本国内でもVPNの脆弱性を狙ったサイバー攻撃が活発化しています。これまでは、VPNだけでも安全に通信ができました。しかし、クラウド環境への変化に加え、働き方の多様化によって安全であるはずのVPN接続は安全ではなくなっています。時代の変化に合わせ、悪意のある第3者からの攻撃から重要な情報・データを守るためには、ZTNAを導入しVPN環境から脱することも検討する必要性が高まりつつあります。

 

ZTNA ソリューション「Cloudbric RAS」の詳細はこちら

Cloudbric RAS

脅威インテリジェンスについて

【注目】次世代のセキュリティ戦略とは?脅威インテリジェンスについて解説!

by ブログ

悪意のある攻撃者は絶えず新しい脆弱性を探し出し、システムやネットワークにさまざまなサイバー攻撃を仕掛けてきます。このような社会的背景から、脅威インテリジェンス(Threat Intelligence、スレットインテリジェンス)の価値は、グローバル規模で高まりをみせています。

本記事では、次世代のセキュリティ戦略として注目されている脅威インテリジェンスについて解説しています。また、脅威インテリジェンスの市場規模や企業が取り組むメリット、今後の展望などについても紹介していますので、ぜひ参考にしてください。

 

脅威インテリジェンスとは?グローバル市場規模について考察!

まずは、脅威インテリジェンスとは何なのか?詳しくみていきましょう。

脅威インテリジェンスとは?

脅威インテリジェンスの「脅威」とは、リスクを発生させる要因・情報資産に損失を与える要因のことです。そして、脅威には、主に下記の3つの要因が挙げられます。脅威インテリジェンスでの脅威は、「意図的脅威」を意味します。

  • 意図的脅威:悪意のある攻撃者による悪意ある行為
  • 偶発的脅威:故意でない行為による情報の漏洩
  • 環境的脅威:自然災害などによるシステムの停止

ちなみに、もともとインテリジェンスの意味は、知能やそれの働き、あるいは知能が働くうえで利用する情報群などを内包した概念のことです。「インテリジェンス=情報・諜報」とも和訳できるため、脅威インテリジェンスは、「脅威情報」と捉えがちですが、実はそうではありません。

実質的な意味は、脅威インテリジェンスが単なる脅威に関する情報に留まることではなく、複数の脅威情報から、攻撃者の動機・標的・攻撃パターンを分析し、その分析結果による根拠に基づいたサイバー攻撃に関するデータのことを指します。

 

脅威インテリジェンスのグローバル市場規模は?

巧妙化する悪意のある攻撃者からの脅威を防止するためには、攻撃の予兆となる情報をいち早く収集し、あらかじめ対策を行うことが必要です。そして、複数のソース(情報源)から収集した情報・データを分析し、実用的な知見を提供するサービスが「脅威インテリジェンスサービス」です。

脅威インテリジェンスサービスが誕生した時期は比較的最近ですが、市場規模は年々拡大しており、「SDKI Inc.」が2021年08月04日に発刊した「脅威インテリジェンス市場の新レポート」によると、脅威インテリジェンス市場は2022年には89.4億米ドルの市場価値となると推定されています。さらに、同レポートでは2030年までに291.6億米ドルに達するとも推定されています。

そして、予測期間中に、脅威インテリジェンス市場が最も高く成長すると予想されている国としてはインド、中国、オーストラリア、香港、日本等のアジア太平洋(APAC)地域が含まれています。実際、アジア太平洋地域では、中小企業および大規模組織で、脅威インテリジェンスサービスの導入が加速しています。

 

次世代のセキュリティ戦略!脅威インテリジェンスの活用と企業が取り組む3つのメリットとは?

脅威インテリジェンスサービスの採用・導入は、現代のようなグローバル社会において次世代のセキュリティ戦略・対策として注目されています。脅威インテリジェンスを活用すれば、従来の対策では防ぐことのできなかった新種の脆弱性に対応することが可能となります。

企業が脅威インテリジェンスの取り組む場合、下記の3つの取り組みを行うことが重要です。

  • 情報の明確化
  • 報告内容の明瞭化
  • プロセスの構築

それぞれについて、詳しく解説していきます。

情報の明確化

脅威インテリジェンスは、さまざまな情報源から大量の情報を集める必要があります。しかし、情報収集には大きな労力と負担がのしかかります。その労力を軽減させるためにも、まずは収集対象とする情報とその情報源を明確化することが重要です。そして、情報を明確化するためにも、下記の3つの分類ポイントは意識しましょう。

  • サイバーセキュリティ戦略の立案に利用される情報
  • リスク評価やインシデント対応に利用される情報
  • 脅威で観測される具体的な事象に関する情報

このように分類することで、脅威情報が明確化でき、さらに収集後の分析に繋げやすくなります。

報告内容の明瞭化

分析結果によって得られた脅威インテリジェンスは、その内容を社内で共有しておかなければ意味がありません。また、報告する相手によって報告の粒度や内容が異なります。社内で共有する際の報告形式の構造化と、必要な内容と粒度で伝わる報告内容の明瞭化した記述も重要なポイントです。

プロセスの構築

利用に関する一連の活動をプロセス化することも重要です。脅威インテリジェンスの内容が社内で共有できていても、具体的なアクションを起こさなければ効果は発揮しません。得た情報から、具体的なアクションを起こすためのプロセス構築にも取り組んでおくことも、脅威インテリジェンスの活用のポイントです。

脅威インテリジェンスの活用で得られる3つのメリット!

次に、脅威インテリジェンスを活用することで得られるメリットについて紹介します。

攻撃の検知と攻撃の明確化

悪意のある攻撃者による攻撃があっても、その攻撃が検知できていなければ対応はできません。脅威インテリジェンスを活用することで、未知の脅威も検知可能です。また、脅威インテリジェンスサービスには攻撃の明確化して可視化してくれる内容も含まれるため、より優れたWebセキュリティへの意思決定が可能となります。

攻撃の事前予測と防御

脅威インテリジェンスを活用すれば、攻撃の事前予測や攻撃発生時に迅速な対応(防御)ができます。脅威インテリジェンスサービスのなかには、膨大な情報から分析によって導き出された推測等に基づき、不正なプログラムが実際に動く前に発信元やコードの内容から、危険性を事前に予測して防いでくれます。

対応方法のプロセス化

対応方法がプロセス化できることも、脅威インテリジェンスの大きなメリットです。対応方法をプロセス化しておくことで、攻撃への対応をその場で考えるのではなく、既存の対応方法から最適な対応を当てはめることができるため、迅速に対処できます。

 

次世代のセキュリティ戦略における脅威インテリジェンスの今後の展望は?

前述したとおり、脅威インテリジェンスの市場規模は、2022年には89.4億米ドル、2030年までには291.6億米ドルの市場価値となると推定されています。今後も、悪意のある攻撃者が次々に新たな手口を生み出し、Webセキュリティ上の脅威が高まっていくと予測されます。その脅威に対抗できる手法である脅威インテリジェンスは、「未知の脅威に対する防御ができる」「攻撃を未然に防ぐことができる」「サポートサービスなど手軽に導入できる」などの理由で、今後利用が拡大していくと考えられます。

また、日本で利用可能な脅威インテリジェンスサービスは、過去~現在の脅威情報が中心ですが、今後発生しうる脅威や侵害の予兆を捉えることも重要です。そのため、攻撃リスクそのものを低減してくれるサービスや低コストなサービスも増えていくことでしょう。

 

さいごに

今回は、次世代のセキュリティ戦略である「脅威インテリジェンス」について解説してきました。日本を取り巻くサイバー脅威は益々巧妙化・進化を続けているため、脅威インテリジェンスの取り組みはいち早くスタートしておくべきです。脅威インテリジェンスに取り組むことで、迅速で情報に基づいたセキュリティの意思決定ができるようになり、侵害に対する防御を受動的なものからプロアクティブなものに変えることができるでしょう。もし、自社単独での取り組みが困難な場合は、脅威インテリジェンスサービスの採用・導入をおすすめします。

Cloudbric Security Platformにて提供されるすべてのサービスは、95ヵ国から収集したWeb脆弱性やリスク情報など脅威インテリジェンスを活用しております。従来の対策では防ぎきれなかった新種の脆弱性に対応する様々なサービスをご利用頂けますので、ぜひ参考にしてください。

 

Web攻撃と脆弱性

【必見】最新版!Web攻撃と脆弱性について10のパターンを紹介!

by ブログ

近年、Webサイトを対象とした悪意のある攻撃者からのサイバー攻撃が後を絶ちません。ペンタセキュリティ株式会社とクラウドブリック株式会社が共同で公開した2021年第2四半期のWeb脆弱性トレンド情報によると、Web脆弱性発生件数は上昇傾向にあり、2021年6月は70件が発生しました。Webアプリケーションの脆弱性を狙った攻撃が巧妙化し、セキュリティ対策の必要性はますます高まっています。 そのため、Webアプリケーションを利用したサービス提供をしているのなら、最新のWeb攻撃の動向や事例は、知っておくべきでしょう。

 本記事では、Webアプリケーションの脆弱性を狙ったWeb攻撃の動向や事例についてまとめました。

Web攻撃動向レポートのダウンロードはこちら

 

最新版!Web攻撃と脆弱性10選

Webアプリケーションとは、インターネット上で稼働するシステムの総称で、主に、Webサーバー上で動作し、ChromeなどのWebブラウザで操作します。それに対して、スマートフォンなどの端末やパソコンにインストールして利用するアプリケーションはネイティブアプリケーションと呼んでいます。ちなみに、これらの2つの大きな違いは、利用する際にインターネットアクセスの有無で、一般的には、Webアプリケーションはインターネットへアクセスする必要があるため、攻撃者からのサイバー攻撃に遭遇する危険性が伴います。 

それでは、最新のWebアプリケーションへ主に発生する10のWeb脆弱性について詳しく見てみましょう。

  • クロスサイトスクリプティング
  • サービス運用妨害(DoS)
  • メール不正中継
  • バッファオーバーフロー
  • 強制ブラウズ
  • ディレクトリトラバーサル
  • コマンドインジェクション
  • SQLインジェクション
  • URLパラメータの改ざん
  • ファイルアップロード

過去のWebアプリケーション脆弱性についての記事は、こちらをご覧ください。

 

クロスサイトスクリプティング(XSS攻撃)

「クロスサイトスクリプティング」とは、悪意のあるスクリプトが挿入されたWebサイト(ページ)を直接的なターゲットとしているのではなく、サイト利用者・閲覧者をターゲットとした攻撃のことです。例えば、攻撃者が悪意のあるスクリプトを埋め込み、それを利用者が閲覧し実行してしまった場合、利用者は偽サイトに移動(クロスサイト)してしまいます。

クロスサイトスクリプティングは、Webアプリケーションへ主に発生するWeb攻撃(脆弱性)の1つとされており、それに気付かずに情報を入力してしまい、フィッシング詐欺やセッションハイジャックに遭う危険性があります。

 

サービス運用妨害(DoS攻撃) 

「サービス運用妨害」とは、処理に時間のかかるアルゴリズムを採用しているなどの脆弱性を狙ったWeb攻撃です。一般的には、Webアプリケーションへ主に発生するWeb攻撃に起因することから、DoS攻撃とも呼ばれています。例えば、Webサーバーに対して通常の範囲を超えたアクセスメール送信などを行い、メモリやCPUを全稼働させて処理速度を低下させます。

 また最近、DoS攻撃の進化版でもあるDDoS攻撃(不正な方法で乗っ取った複数のマシンを使ったDoS攻撃)の攻撃・被害件数も増加傾向がみられます。

 

メール不正中継

メールサーバ(SMTP)はメールが送られてきた際、自身のドメイン宛てのメールではなかった場合、別のメールサーバに転送します。そして、この機能を利用して攻撃者が他人のサーバを使い、送信元の身元が分からない大量の迷惑メールを送信する攻撃のことを「メール不正中継」と呼びます。Webアプリケーションへ発生するWeb攻撃のポイントとしては、主に下記の2つがあります。

  • 使用している電子メール配送プログラムに、メール中継に関する制限を設定していない
  • そもそも設定がないなどの脆弱性がある

これらの脆弱性により、メール不正中継などのサイバー攻撃を受けてしまう危険性があります。

また、攻撃者から大量の迷惑メールが送られてくることで、サーバが本来必要のないメール配信処理をすることになり、提供しているWebアプリケーションを利用したサービスに影響が出ます。

 

 バッファオーバーフロー

「バッファオーバーフロー」とは、データの受け取りや保管のために用意された領域(バッファ)に想定以上の長さのデータを書き込んでしまうが原因で発生するWebアプリケーションにおけるWeb攻撃のことです。溢れたデータが隣接する領域を不正に書き換えてしまったり、それによって動作異常が発生したりします。

 バッファオーパーフローは、典型的なWebアプリケーションの脆弱性の1つで、攻撃者が外部から故意に想定よりも膨大なデータを送り込んでプログラムを異常終了させたり、攻撃用のコードを送り込んで実行させたりするということです。

 

強制ブラウズ

利用しているWebアプリケーションに、URLへのアクセスを適切に制御していない脆弱性がある場合、「強制ブラウズ」という攻撃に遭遇する危険性があります。強制ブラウズとは、Webページ上からリンクを辿るのではなく、アドレスバーからURLを直接入力して本来システム側では公開していないはずのディレクトリやファイルなどにアクセスを試みること、つまり、強制的にブラウザに表示させられてしまいます。

  • ディレクトリの配置ミス
  • ファイルの配置ミス
  • Webサーバの設定ミス

Webアプリケーションにおける矯正ブラウズの脆弱性発生の原因としては、主に、上記3つが挙げられます。

 

ディレクトリトラバーサル

「ディレクトリトラバーサル」とは、「../」のような文字列を使ってサーバのディレクトリ・パスを遡る攻撃のことです。Webサーバに置いたままにしている非公開ファイルにアクセスし、そこに保存されている情報を盗まれる危険性があります。

Webアプリケーションを利用して目的のデータを表示させるようなサービスを提供しているサイトに入力される可能性のあるデータに対する考慮不足があった場合、ディレクトリトラバーサルの被害に遭遇する危険性が伴います。

 

コマンドインジェクション

「コマンドインジェクション」とは、コマンド(コンピュータの利用者がOSのシェルに与える文字列による命令のこと)を利用し、Webアプリケーションの脆弱性を悪用する攻撃です。WebアプリケーションのコードにOSコマンドの呼び出し処理があり、ユーザーが入力したデータがコマンドの一部分を構成している場合に発生します。

  • 攻撃者がWebサーバ内に保存されているファイルを読み出す
  • システムに関係する操作、プログラムを不正に実行することが可能
  • 情報漏洩だけでなく、サーバー自体が乗っ取られてしまう危険性がある

コマンドインジェクションによって、上記のような危険性が伴います。

 

SQLインジェクション

「SQLインジェクション」とは、データベース言語(SQL)を利用して、Webアプリケーションの脆弱性を悪用する攻撃のことをいいます。コマンドインジェクションと同様に、攻撃者がWebサーバ内に保存されているファイルを読み出したり、システムに関係する操作、プログラムを不正に実行されたりします。

ユーザIDとパスワードを入力するサイトで、入力情報がアプリケーション内部でSQL文として解釈されてしまう脆弱性がある場合に、被害を受けてしまうため注意が必要です。

 

URLパラメータの改ざん

URLパラメータとは、URLにパラメータというプログラムを付け加えたシステムのことです。URL末尾に「?」が付け加えられ、「?」以降の文字列がパラメータとなります。

 このURLに付加されるパラメータ(URLパラメータ)をアドレスバーから直接改ざんして、不正アクセスを行う攻撃が「URLパラメータの改ざん」の手口で、Webサイトが改ざんされたり、Webサーバが誤動作するようにされてしまいます。

 

ファイルアップロード

「ファイルアップロード」とは、攻撃者がWebシェル(悪意のあるプログラム)をアップロードして、悪意のあるスクリプトを注入することです。Webサーバーなどに意図しない動作を引き起こさせたり、情報を抜き出されたりします。ファイルのアップロード機能のあるページの脆弱性を衝いてくる攻撃です。

 

Web攻撃による脆弱性に関する事例を紹介!

当社の「EDB/CVEレポート」で公開している通り、2021年第2四半期(4・5・6月)の脆弱性件数は合計169件でした。

ここでは、2021年第2四半期に脆弱性が観察されたWebアプリケーションの事例として、WordPress事例を紹介します。WordPressとは、Webサイトやブログを簡単に作成できるアプリケーションのことで、Webアプリケーションに起因するシステムの脆弱性により、Web攻撃を受けやすいことが特徴です。しかし、インターネット上の40.0%以上のサイト・ブログでWordPressが採用されていることを受け、WordPressの脆弱性を突いたサイバー攻撃が後を絶ちません。

2021年第2四半期で発生した、サイバー攻撃の手口といえばクロスサイトスクリプティングとSQLインジェクション。しかし、WordPressの事例では、ファイルアップロードなども確認されています。

概要について、下表にまとめました。

日付 脆弱性カテゴリ 脆弱性名
2021.5.19 クロスサイトスクリプティング WordPress Plugin Stop Spammers 2021.8 – ‘log’ Reflected Cross-site Scripting (XSS)
2021.5.24 クロスサイトスクリプティング WordPress Plugin ReDi Restaurant Reservation 21.0307– ‘Comment’ Stored Cross-Site Scripting (XSS)
2021.5.25 クロスサイトスクリプティング WordPress Plugin Cookie Law Bar 1.2.1 – ‘clb_bar_msg’ Stored Cross-Site Scripting (XSS)
2021.5.28 クロスサイトスクリプティング WordPress Plugin LifterLMS 4.21.0 – Stored Cross-Site Scripting (XSS)
2021.6.1 クロスサイトスクリプティング WordPress Plugin WP Prayer version 1.6.1 – ‘prayer_messages’ Stored Cross-Site Scripting (XSS) (Authenticated)
2021.6.7 ファイルアップロード WordPress Plugin wpDiscuz 7.0.4 – Arbitrary File Upload (Unauthenticated)
クロスサイトスクリプティング WordPress Plugin Smart Slider-3 3.5.0.8 – ‘name’ Stored Cross-Site Scripting (XSS)
2021.6.8 ファイルアップロード WordPress Plugin wpDiscuz 7.0.4 – Remote Code Execution (Unauthenticated
2021.6.9 クロスサイトスクリプティング WordPress Plugin visitors-app 0.3 – ‘user-agent’ Stored Cross-Site Scripting (XSS)
2021.6.23 SQLインジェクション WordPress Plugin Poll_ Survey_ Questionnaire and Voting system 1.5.2 – ‘date_answers’ Blind SQL Injection
クロスサイトスクリプティング WordPress Plugin WP Google Maps 8.1.11 – Stored Cross-Site Scripting (XSS)
2021.6.28 クロスサイトスクリプティング WordPress Plugin YOP Polls 6.2.7 – Stored Cross Site Scripting (XSS)

なかには、深刻度が緊急(Critical)および重要(High)の指標も存在し、悪用された場合、第3者に遠隔から任意のコードを実行される危険性(RCE)もあります。Web脆弱性が確認される度に修正はされていますが、今後も注意が必要です。

 

まとめ

今回は、Webアプリケーションへ主に発生するWeb脆弱性の種類と事例について解説してきました。攻撃者はさまざまな巧妙な手口で、Webアプリケーションへの攻撃(脆弱性)を狙ってきます。また、WordPressなどのWebアプリケーションはとても便利ですが、脆弱性については数多く報告されています。そのため、脆弱性を狙った攻撃から守るためにも、Webセキュリティは最新の状態に更新しておきましょう。

最新のWeb脆弱性の情報はこちらからご確認ください。

Web攻撃動向レポートはこちら

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

クラウドマイグレーションとは?オンプレミス環境の違いについて

【企業向け】クラウドマイグレーションとは?オンプレミス環境との比較解説

by ブログ

総務省の「令和2年版情報通信白書」によると、企業によるクラウドマイグレーションの割合は64.7%(令和元年度:58.7%)でした。このことからも、自社で物理的なサーバを保有して管理・運用するオンプレミス形態の環境から、クラウドマイグレーションする企業が増加傾向にあることが分かります。クラウドマイグレーションによって、クラウド環境に移行すれば、コストの大幅カットが見込めるといわれていますが、他にもさまざまなメリットがあります。本記事では、クラウドマイグレーションとオンプレミス環境との違いについて解説していきたいと思います。

 

クラウドマイグレーションとオンプレミス環境との違いについて

ここでは、クラウドマイグレーションとオンプレミス環境との違いについて解説しています。その前に、クラウドマイグレーションについて詳しくみていきましょう。

クラウドマイグレーションとは?

クラウドマイグレーションとは、自社内に設置した物理的なサーバで運用してきたシステムを、外部の事業者のクラウド環境のサービスでのシステム運用に切り替えることです。和訳すると、「クラウド化」「クラウド移行」といった意味です。

 クラウド環境とは、従来、個々のストレージや自社の物理サーバに保存していたデータを、外部の一ヵ所で集約・管理し、必要なときにインターネットを経由して利用できる環境のことで、そのクラウド環境を提供しているサービスのことを総称して、「クラウドサービス」と呼んでいます。クラウドサービスは、利用者が場所を選ばずどの端末からでも利用することができることから、数年前から需要が高まっています。そして、このような社会的背景から、企業のクラウドマイグレーションへの移行が進む傾向にあるということがいえます。

 

オンプレミス環境との違いは?

もともと、大手企業を中心に導入が進んできたオンプレミス環境。オンプレミス環境とは、自社内に設置したサーバ-や情報システム設備で、社内のさまざまなシステムを運用する環境のこと。和訳するとは、「自社運用」という意味です。それでは、企業が導入するクラウドマイグレーションとオンプレミス環境には、どのような違いがあるのでしょうか。クラウドマイグレーションとオンプレミス環境との比較項目として、下記の5つを挙げることができます。

  • 品質
  • コスト
  • 調達スピード
  • カスタマイズ性
  • セキュリティ面

この5つの項目を下表にまとめてみました。

クラウドマイグレーション オンプレミス環境
品質 オンプレミス環境に比べて通信速度が劣る  通信速度は速く、安定している
コスト 基本、月額利用料以外の費用がかからない 初期導入費や維持・管理費など、さまざまな費用がかかる 
調達スピード 即日の利用開始が可能 利用できるまでに時間がかかる
カスタマイズ性 自由にカスタマイズできない 自由にカスタマイズが可能
セキュリティ面 自社での対策は必要ない 自社で対策が必要となる

<品質>

5G化などにより通信速度は年々向上しています。しかし、クラウドマイグレーションでは、ネットワークを介して離れたところにあるサーバへアクセスするため、回線の速度と質は安定していません。一方、オンプレミス環境は社内のネットワークを利用しているため、回線の速度と質が安定しています。ただし、オンプレミス環境の品質は、サーバ・システムを構築したエンジニアのスキルによって差異が生じます。

<コスト>

自社内に物理サーバを設置してシステムを運用するためには、必要となる機器の購入費や設置に関する工事費など、さまざまな初期費用がかかります。また、運用や管理にもコストがかかり、拡張となれば新たな購入費や工事費などが必要です。しかし、クラウドマイグレーションを導入すれば、自社でサーバー環境を保有する必要がないため、初期費用だけでなく、運用・管理に必要となる費用を大幅に抑えることができます。ただし、利用するサービスによっては月額利用料は利用した従量によって変動することがあります。そのため、月額費用が固定されるオンプレミス環境と比べて予算化が難しい場合もあります。

<調達スピード>

必要となる機器の購入や工事が必要になり、設置しても調整しなければ運用がスタートできないのがオンプレミス環境です。そのため、調達・導入・運用には相当な時間がかかります。クラウド環境はオンプレミス環境と比べてすぐに使用可能であることが特徴です。自社のシステムにマッチングするための調整時間は必要ですが、サーバ構築を自社内で行わないため、調達スピードはクラウドマイグレーションの方が圧倒的にスピーディーです。

<カスタマイズ性>

クラウドマイグレーションするデメリットとして、システムのカスタマイズが行いにくいことが挙げられます。一方、オンプレミス環境は、自社でサーバー・システムを管理・運用しているため自由にカスタマイズすることが可能です。しかし、クラウドマイグレーションをは、契約した他社が提供しているサービスを活用しているため、システム環境を自由に変更・カスタマイズすることは困難です。ただし、リソース面でのカスタマイズは可能なサービスが多く、リソースのカスタマイズ性でいえば、オンプレミス環境よりも優れています。

<セキュリティ面>

企業を狙った新たなサイバー攻撃の手法は年々増加しています。オンプレミス環境では、障害が起きたり、サイバー攻撃を受けた場合、自らでWebセキュリティ対策をしなければなりません。しかし、クラウドマイグレーションは提供する会社が基本的なWebセキュリティ対策を行うため、コストをかけずにセキュリティ対策を取ることは大きなメリットといえます。ただし、外部とのネットワークを利用するクラウドマイグレーションは、外部からのハッキングや情報漏れなどのリスクは高くなるため、WAF(Webアプリケーションファイアウォール)等を導入しセキュリティを更に強固にする必要もあります。

 

企業がクラウドマイグレーションに移行する3つのメリットとは?

次に、企業がクラウドマイグレーションに移行する3つのメリットについて解説します。

<低コストで導入可能>

一般的に、オンプレミス環境でシステム運用する場合は、下記のような費用がかかります。

  • サーバーの設置費
  • 付帯設備費
  • ハードウェアやソフトウェアの購入費
  • ライセンスの購入費
  • システムの維持・管理費

これらの費用は、場合によっては数千万円かかることもあり、企業運営にとって大きな課題でした。しかし、クラウドマイグレーションであれば、これらのコスト削減が可能です。さらに、システム運用や維持・管理のために、エンジニアなどの専門家を雇う必要もなくなるため、人件費も抑えることができます。

<障害時にかかる復旧が容易>

どんなに慎重にシステム管理していても、突然何らかの原因でシステムに障害が発生する危険性はあります。もし、オンプレミス環境で運営していれば、障害が発生した場合自らで対応しなければなりません。社内に専門チームがあればすぐに復旧できますが、そうでなければ復旧には相当な時間を要します。

 それに対してクラウドマイグレーションは、障害への対応は基本的に提供会社が行います。しかも、専門的な知識を持つ運用スタッフが対応するため、短時間で復旧することは大きなメリットといえるでしょう。

 また、障害時にサーバが破損して、会社の大切なデータが失われてしまうリスクも軽減できます。

<屈強なセキュリティ>

クラウドマイグレーションでは、経済産業省の「クラウドセキュリティガイドライン」をベースに、情報セキュリティ管理・対策を行っています。経済産業省が策定した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の通称で、クラウドという概念が広まった当初、運用にあたっての明確なルールは存在せず、多くの顧客情報や社外秘とされる情報が流出する危険性がありました。この問題に対処するべく策定され、発生した事例に対応できるように制定されたルールが「クラウドセキュリティガイドライン」です。詳細を見ると、企業のクラウドマイグレーション運用において、クラウドセキュリティガイドラインに則ってWebセキュリティ管理を行っているため、安心して利用できるということです。

ちなみに、クラウドマイグレーション事業者が適切なデータ保護やセキュリティ対策を実施していることをマークとして表示する制度もあります。実績のある会社のクラウドマイグレーションであれば、屈強なWebセキュリティ対策も可能でしょう。

しかし、クラウドを導入するにあたって、注意しなければならないこともあります。IaaS、PaaS、SaaSなど種類によって違いますが、ユーザ側にもセキュリティ面での責任はあります。例えば、SaaSの場合、クラウド上のデータ管理についてはユーザの責任範囲であることが一般的です。

だからこそ、オンプレミス環境であっても、そしてクラウド環境であっても、ユーザ自らセキュリティに対して徹底的な検討を行い、どのようなセキュリティ対策を導入するかを決定していくことが求められます。

詳しい内容は下の記事を参考してください。

https://www.cloudbric.jp/blog/2021/03/cloud_security_u_must_know/

 

さいごに

今回は、企業におけるクラウドマイグレーションをテーマに解説してきました。クラウドマイグレーションには、コスト面やセキュリティ面など、多くのメリットがあるため導入を検討している企業も増加傾向にあります。しかし、すべての面でクラウドマイグレーションがオンプレミス環境より優れているということではありません。

例えば、オンプレミス環境で利用できていたシステムが、クラウド環境にしたら利用できないこともあります。また、トラブルが発生したりするなど、クラウドマイグレーションに移行したことによって、既存システムとの連携が困難となるケースも報告されてます。

そして、十分な検討なく短期間でクラウド移行を進めることによって外部からのハッキング等に十分に対策を取っていない状況でセキュリティ事故が起きたりするケースもあります。

そのため、企業でのクラウドマイグレーション導入は、セキュリティ対策を含めて、慎重に検討しましょう。

 

クラウド型WAFサービス「Cloudbric WAF+」

Cloudbric WAF+

2021年度版サイバー攻撃の動向

サイバー攻撃の動向や事件・事故とは?セキュリティ問題について考察!

by ブログ

コロナ過を踏まえインタネットは個人だけでなく企業・法人にも欠かせない存在となり、2021年現在、企業におけるデジタル化への対策は待ったなしの状況となっています。インタネットを通じて日々膨大な情報が行き交っていますが、世界規模でみれば同時に悪意のある第3者によるサイバー攻撃事例が日々発生しています。

このようなサイバー攻撃に対抗する手段として、政府も「サイバーセキュリティ基本法」を策定するなど動きか活発化しています。サイバー攻撃を防ぐためにも、Webセキュリティ対策は最重要です。また、現代社会におけるサイバー攻撃に関する動向や、直近で発生した事件・事故、セキュリティ問題についても知っておく必要があります。

 本記事では、2021年度上半期に発生したサイバー攻撃の事件・事故などについて解説しています。

 

2021年度!セキュリティ問題と脅威ランキングTOP3

まずは、2021年度に発生した脅威やセキュリティ問題について、詳しくみていきましょう。

3位|テレワークなどのニューノーマルな働き方を狙ったサイバー攻撃 

2020年以降、新型コロナウイルスの感染防止を目的に、テレワークでの働き方が推進されています。このような社会的な背景から、テレワークなどのニューノーマルな働き方を狙った企業へのサイバー攻撃件数が増加しています。そもそも、悪意のある第3者がテレワークでの働き方をターゲットとする理由は、従業員の出社を前提とした従来のWebセキュリティ対策ではカバーできないことが挙げられます。つまり、企業努力によるWebセキュリティ対策を施していても、従業員個人では認識が甘く、穴を突いてサイバー攻撃を仕掛けてくるということです。また、突然の緊急事態宣言の発令で、セキュリティ対策に関する計画を立てる間もなくニューノーマルな働き方の導入をすることになった企業も少なくありません。そのため、ニューノーマルな働き方を推進している現代社会において、Webセキュリティの脆弱性が問題視されています。 

2位|標的型攻撃による機密情報の窃取 

機密情報を狙った標的型攻撃は、2021年度も継続して発生しています。標的型攻撃とは、明確な目的を持って特定の企業などに狙いを定めて仕掛けるサイバー攻撃のことです。悪意のある第3者が標的型攻撃を行う目的は、攻撃対象への嫌がらせが目的です。また、その際に機密情報を窃取するケースも少なくありません。

金額的被害だけでなく、顧客の個人情報など企業にとって致命的な情報が流出した場合、Webセキュリティが問題視され、取引停止や企業イメージの失墜など、間接的被害を受ける可能性もあるので要注意です。

 1位|ランサムウェアによる被害 

2020年度は5位だった、ランサムウェアによるサイバー攻撃が、2021年度は急増しています。ランサムウェアとは、コンピュータウィルスの1種で、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語です。パソコンだけでなく、タブレット端末やスマートフォンのOSにも感染する危険性が伴います。

ランサムウェアに感染すると、Webセキュリティ問題が発生して保存しているデータが、勝手に暗号化されて使えない状態にされたり操作できなくなったりしてしまいます。企業や店舗に嫌がらせをすることが目的の場合もありますが、復旧を条件に悪意のある第3者が金銭(身代金)を要求してくるケースも少なくありません。また、金銭を支払っても、ランサムウェアによる攻撃で窃取された情報やデータを暴露されてしまうケースも発生するため、このような事例では、絶対に身代金は支払わないようにしましょう。

 

2021年度!サイバー攻撃の動向や事件・事故の事例3選

次に、2021年度に発生したサイバー攻撃の動向や事件、事故の事例を紹介します。なお、GSX発表の「2021年ニュース一覧」を参考にしています。

ランサムウェア攻撃の事例(DearCryによる攻撃)|2021年3月

2019年後半以降、ランサムウェアによる攻撃は2重の脅迫を用いた手口での攻撃が増加しているだけでなく、新種・亜種のランサムウェアウィルスが続々と確認されています。

2021年3月16日にはMicrosoft社が、「Microsoft Exchange Server」のWebセキュリティの脆弱性を悪用した「DearCry」と呼ばれる新しいランサムウェアが確認されたことを発表しました。「DearCry」は、悪名高いランサムウェア「WannaCry」の亜種だとみられています。「Microsoft Exchange Server」 のオンプレミス版に存在している複数のWebセキュリティの脆弱性が、パッチによって修正されるまでにゼロデイを狙ってばらまかれました。

その後は、米国やカナダ・オーストラリアを中心に、多くのサイバー攻撃やWebセキュリティ問題が報告されました。

スマホ決済の不正利用の事例(PayPayを使った不正チャージ)|2021年3月

2021年3月18日、警察庁が、スマートフォン決済サービスを利用した不正チャージ事件についての情報を公開しました。事件が発生したのは2020年9月、確認された被害は全国11行で157件、被害額は2760万円に上っています(9月17日午前0時時点)。また、ドコモ口座とPayPayだけでなく、ゆうちょ銀行の口座と連携するメルペイやKyash・LINE Pay・PayPal・支払秘書などでも被害が確認されました。

警察庁はこの事件が悪意のある第3者がどのような手口でサイバー攻撃を行ったのかという内容を発表しましたが、主な手口のポイントは、下記の3つです。

  • 携帯電話販売代理店から不正入手した個人情報を無断で利用し、預貯金口座をスマートフォン決済サービスとひも付けてチャージを実施
  • 第3者の電子メールアカウントを無断利用して、スマートフォン決済サービスのアカウントを作成
  • アカウント作成から被害口座との連携を短期間で大量に行い、買い子が別の端末から連続して決済を実施

 いずれも、Webセキュリティの脆弱性を衝いたサイバー攻撃でした。

ニューノーマルな働き方を狙った事例(RDP総当たり攻撃)|2020~2021年

2020~2021年にかけて急増しているWebセキュリティ問題を衝いたサイバー攻撃が、テレワーク端末を狙った「RDP総当たり攻撃」です。テレワークの導入に取り組んでいる企業で、この攻撃を受けた事例が数多く報告されています。

 RDP(Remote Desktop Protocol)とは、導入したサーバに対してクライアント端末からリモートデスクトップ接続する機能を提供するマイクロソフトのサービスのことです。RDPを導入した端末をリモートデスクトップ接続するために利用する「ID/パスワード」に対して、不正アクセスを試みるために総当たり攻撃をしてくる手法を「RDP総当たり攻撃」と呼びます。近年、コロナ禍の影響で、企業によるテレワーク導入が急加速しました。そして、USBモデムやSIM内蔵端末を利用するためにグローバルIPを割り当てた端末が急増したことが、Webセキュリティ問題の増加に繋がったと考えられています。

 

さいごに

今回は、2021年度のサイバー攻撃の動向や事件・事故などについて、詳しく解説してきました。また、各事例に対するWebセキュリティ問題についても考察してきました。

Webセキュリティ対策の精度は年々進化していますが、それ以上にサイバー攻撃の手口は巧妙化しています。そのため、2021年上半期以上に、下半期はテレワークなどのニューノーマルな働き方を狙った攻撃、OSやアプリのWebセキュリティの脆弱性を狙った攻撃は激化すると予測されます。また、総務省発布の「平成30年度情報通信白書」によると、政府が積極的にセキュリティ問題に取り組んでいることが明確化されているため「サイバーセキュリティ基本法」の動向にも注目です。

そして何より、今後も引き続き、Webセキュリティ問題に警戒することが重要といえるでしょう。