株式会社 キャスト・ワークス様の Cloudbric WAF+の導入事例が公開されました。
導入までの経緯、感想、導入効果、おすすめのポイント等について紹介しております。
ぜひご覧ください。
https://www.cloudbric.jp/reference/2021/07/cast-works/
Console
|
2021年上半期Webアプリケーション脅威解析レポート公開
WATTレポート(最新Webアプリケーション脅威解析レポート、Web Application Threat Trend Report)はアジア・パシフィック地域のマーケットシェア1位を誇るWAFの「WAPPLES」とクラウド型WAFサービスの「Cloudbric WAF+」の検知ログをペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が共同分析した結果をまとめたものです。
セキュリティ担当者に向けた最新のWeb脅威情報を提供していますので、ぜひ参考にしてください。
WATTレポートのダウンロードをご希望の方は、以下のリンクをクリックしてください。
[tek_button button_text=”WATT Report ダウンロード” button_link=”url:report-download/” button_position=”button-center”]
中堅・中小企業のWebセキュリティ対策は何から取り組むべき?
インターネットの普及を背景に、悪意のある第3者からのサイバー攻撃に備えて、Webセキュリティ対策をしておく必要があります。もちろん、大企業だけでなく、中堅・中小企業も同様に、Webセキュリティ対策は意識しておかなければなりません。そもそも、悪意のある第3者からの攻撃を受けているのは大企業だけではなく、近年は中堅・中小企業が被害に遭う割合が増加傾向にあります。しかし、そんな中堅・中小企業のWebセキュリティ対策の方法が分からないこともあるでしょう。
本記事では、中堅・中小企業のWebセキュリティ対策で取り組むべきことについて解説しています。
Webセキュリティ対策を立てていく中堅・中小企業の特徴とは?
年々、増加傾向にある悪意のある第3者からのサイバー攻撃。そのなかで、特にターゲットとされる事案が増加しているのが中堅・中小企業です。
中堅・中小企業がターゲットとされる理由は?
悪意のある第3者が中堅・中小企業を攻撃のターゲットにする理由は、大企業と比べてWebセキュリティ対策をきちんとしていないところが多いためです。そもそも、中堅・中小企業が大企業と比べてWebセキュリティ対策が不十分な理由は、「まさか自社がターゲットにされることはない」という意識の低さもありますが、経営状況も大きく影響するようです。Webセキュリティ対策には、膨大な費用もかかりますし、基本的には担当者を設けなければ上手く運用できません。
悪意のある第3者が中堅・中小企業をターゲットとする目的は?
悪意のある第3者が中堅・中小企業をターゲットとする目的は、大企業と比べて対策が疎かになっていることは前述しましたが、実はそれだけではありません。他にも、「本命のターゲットの足がかり」とする目的で狙われることがあります。そもそも、本命とする企業が強固なWebセキュリティ対策をしている場合、直接攻撃することは困難です。そのため、本名のターゲットと直接取引のある中堅・中小企業を足がかりとして狙うケースも珍しくありません。このようなた場合、足しかがりとするために狙われた中堅・中小企業は、サイバー攻撃による直接的な被害に加えて、情報を流出させてしまったことで取引先の大企業から損害賠償を求められるなど、間接的な被害も受けてしまうことも考えられます。
中堅・中小企業におけるWebセキュリティの脆弱性とは?
中堅・中小企業で、悪意のある第3者による攻撃を受ける可能性がもっとも高いツールが企業ホームページやキャンペーンページ等のWebサイトです。そして、そのWebセキュリティの脆弱性を衝いた攻撃の手口としては、主に以下の手法が存在します。
- SQLインジェクション
- クロスサイトスクリプティング
- DoS攻撃
- ランサムウェア
中堅・中小企業のサイトで「お問い合わせフォーム」を設けており、Webセキュリティ対策が不十分な場合は、SQLインジェクションやクロスサイトスクリプティングで攻撃される可能性があります。SQLインジェクションとは、お問い合わせフォームにデータベースの管理や操作を行うための言語である「SQL」を混在させた文章を送り、データベースが不正に操作されて情報を奪う手法をいいます。
SQLインジェクションについての詳細を知りたい方は、こちらの記事をご覧ください。
⇒SQL Injectionとは?脆弱性に対する3つの対策について解説!
また、クロスサイトスクリプティングは、お問い合わせフォームに不正なJavaScriptが埋め込まれたことで、Webサイトが不正改ざんされる手口です。ちなみに、お問い合わせフォームを設けていなくてもこれらのサイバー攻撃を受けることがあるため、中堅・中小企業にとって安心はできません。
例えば、DoS攻撃の被害を受ける危険性があります。DoS攻撃とは、Webサイトに短期間で数万回もアクセスすることにより、ページの表示を極端に遅くしたりサーバをダウンさせたりする手口のことをいいます。そして、これらの攻撃を受けた後、ウィルス(ランサムウェア型)によってパソコンなどが操作不能状態にされた後、悪意のある第3者が解除を条件にお金(身代金)を要求してくるランサムDDos攻撃をしてくる危険性もあります。
ランサムDDos攻撃についての詳細を知りたい方は、こちらの記事をご覧ください。
中堅・中小企業がサイトを運営する際に必要なWebセキュリティ対策とは?
中堅・中小企業にとって、悪意のある第3者が攻撃してくるツールとして、ホームページがターゲットとなりやすいことは前述しました。このような背景から、Webサイトを運営する中堅・中小企業は、しっかりとしたWebセキュリティ対策をしておく必要があります。しかし、その必要性が高いことは分かっても、具体的なWebセキュリティ対策について分からないこともあるでしょう。ここでは、Webセキュリティ対策の始め方や具体的な施策方法について解説しています。
Webセキュリティ対策は何から取り組むべき?
中堅・中小企業がWebセキュリティ対策に取り組むためには、何を守りたいのか明確にしましょう。大企業と違って、中堅・中小企業はWebセキュリティ対策に費やせる費用や人員が限られています。そのため、すべてのWebセキュリティ対策を施策することができない場合もあります。
次に、自社のWebセキュリティの現状を把握しましょう。自社の情報システムの現状はどうなっているのか、そして現在、どこまで対策できているのかを把握しなければなりません。そこを理解すると、中堅・中小企業において、守るべき対象を脅威から守るための施策方法を見出せます。そして、自社のWebセキュリティ対策の状況を把握するのに便利なツールが、独立行政法人情報処理推進機構(IPA)が提供している「5分でできる!情報セキュリティ自社診断シート」。これは、簡単な問いに回答していくだけで、自社のWebセキュリティ対策の現状や問題点などを見つけてくれるツールです。
Webセキュリティ対策の具体的な施策方法とは?
中堅・中小企業向けの対策として、まず紹介するのが「セキュリティプラットフォーム」の導入です。セキュリティプラットフォームとは、1つシステムで攻撃からの脅威に対抗する各種機能を一元管理できるプラットフォームのこと。導入すると、下記の内容が1つの管理画面で統合管理できるためおすすめです。
- ファイル操作制御
- アプリケーション制御
- ハードディスク/ストレージ制御
- ネットワーク制御
- 盗難紛失対策
- セキュリティ対策(アンチウイルスやファイアウォール)
- 標的型攻撃対策
- ランサムウェア対策
また「常時SSLの導入」も、中堅・中小企業向けのセキュリティ対策の1つ。さらに、中堅・中小企業は、Webサイトにかかる費用を少しでも安くするため、「お問い合わせフォーム」などの一部のページのみを共有SSLにしていることが多いです。ちなみに、会社独自のドメインに対してSSLを導入し、全ページを暗号化して保護する常時SSLを導入すれば、サイトの全ページが悪意のある第3者からの攻撃から守ることができます。しかし、これらの導入には、当然費用がかかります。
とはいえ、コロナ禍において中堅・中小企業が、前述したような内容で費用をかけることは抵抗があることでしょう。そこで、「サイバーセキュリティ対策助成金」を活用する方法があります。例えば、東京都と東京都中小企業振興公社が、都内にある中堅・中小企業を対象に、企業がWebセキュリティ対策を実施するために必要な設備等の導入経費の一部を助成してくれます。こうしたWebセキュリティ対策に対する助成を行っている県・市町村は数多く存在するため、探してみてはいかがでしょうか。
サイバーセキュリティ対策促進助成金について、詳細を知りたい方はこちらをご覧ください。
あとがき
今回は、中堅・中小企業のWebセキュリティ対策は何から取り組むべきなのか?というテーマで解説してきました。現代社会において、中堅・中小企業でもWebセキュリティ対策は重要です。Webセキュリティ対策が不十分だったことで、悪意のある第3者からの攻撃により直接的な被害を被る危険性があります。また、間接的な被害を受けたことで信用を失い、金銭的にも大損失に繋がる可能性があるため注意しなければなりません。
Webセキュリティ対策には、莫大な費用がかかることはありますが、損失のことを考えれば、早急に施策しておくべきでしょう。本記事が、何からWebセキュリティ対策に取り組めばよいのか分からない、中堅・中小企業の担当者様の参考になれば幸いです。
ちなみに、当社で提供するCloudbric WAF+は、Webサイトを守るための5つの対策を、統合したプラットフォームにて提供しております。
コストパフォーマンスと高度なセキュリティを両立できるWebセキュリティ対策をお探しの企業様にとって、最善の選択肢であると思いますので、ぜひチェックしてみてください。
Cloudbric WAF+の詳細はこちら
【2021年06月】定期Webセミナーのお知らせ
本セミナーでは、Cloudbric WAF+の新規機能の使い方、仕様変更のご案内を初め、セキュリティトレンド情報や、導入事例など、パートナー様に役立つ情報をお届け致します。
6月のテーマは「導入実績・導入事例のご紹介【2021年上半期】」です。Cloudbric WAF+の2021年上半期の導入実績および導入事例についてご紹介いたします。
■日時 : 2021年6月23日(水)16:00
■テーマ : 導入実績・導入事例のご紹介【2021年上半期】
■対象:パートナー様/エンドユーザ様
■場所: オンライン(※Zoomウェビナーにてライブ配信で行われます。)
■お申込み : https://zoom.us/webinar/register/8016104383077/WN_GUuK4chRQ9Wf5iu8WP-0OQ
■参加費: 無料
ITツール・Webサービス比較サイト「STRATE」に掲載されました。
この度、ITツール・Webサービス比較サイトSTRATE(ストラテ)にクラウド型WAF「Cloudbric WAF+」が掲載されました。Cloudbric WAF+の概要のほか、導入効果、料金、導入事例なども合わせてを紹介して頂いています。
詳細については下記リンクよりご覧ください。
掲載WebサイトURL
https://strate.biz/waf/cloudbric/
Cloudbric WAF+に関するお問い合わせについては、下記のお問い合わせフォームをご利用ください。
https://www.cloudbric.jp/inquiry/
ゴールデンウィーク休業のお知らせ
時下ますますご隆昌のことと存じます。
日頃より、弊社へのご支援およびご協力を賜り厚く御礼を申し上げます。
さて、誠に勝手ながら弊社では4月29日(木)~5月5日(水)までをゴールデンウィーク休業とさせて頂きます。
なお、Customer Support Center上での受付は通常通り行います。
休業中のお問い合わせにつきましては、2021年5月6日(木)以降に順次対応させて頂きます。
大変ご迷惑をおかけ致しますが、何卒ご了承くださいますようお願い申し上げます。
ゴールデンウィーク休業期間
2021年4月29日(木) ~ 2021年5月5日(水)
※通常業務は、2020年5月6日(木)より開始致します。
クラウドサービスの日本での利用実態と必要性
現在、クラウドサービスの市場は急速に成長していて、AWSやiCloud、Dropboxなどのサービスは企業での利用はもちろん、個人での利用においても年々増加傾向にあり、生活の上で当たり前の存在となってきています。今後ビジネスはもちろんのこと、個人のスマホやPCのデータの保存や、ゲームを初めとするエンターテイメントの世界においても、ローカルな環境ではなく、クラウド環境での作業と、データの保存がますます当たり前となってくることでしょう。今回はクラウドサービスの日本での利用実態や、なぜクラウドサービスが必要とされているのか、詳しく説明していきたいと思います。
クラウドサービスの利用率とは?
総務省が令和2年に発表した、令和元年における「企業におけるクラウドサービスの利用動向」によると、一部でもクラウドサービスを利用している企業の割合は56.9%と全体の過半数を上回っており、前年の46.9%から10%も高くなっていることが分かります。コロナウイルスによるテレワーク化、巣篭もり需要の影響を考えると、来年の発表では利用率はより高くなっているであろうことは想像に難くありません。また、クラウドサービスに対する企業からの評判はとても高く、総務省の同データにおいてクラウドサービスの効果は「非常に効果があった」は30.9パーセント、ある程度効果があった」は54.3%と、全体の85%以上の企業がクラウドサービスを肯定的に捉え、歓迎しているようです。
利用している企業の規模が大企業に近いほどクラウドサービスは利用される傾向にあり、資本金が50億円以上であれば、過半数を超える52.8%の企業がクラウドサービスを使っています。中小企業においては資本金が一億円未満の企業の利用率は30%以下となっており、社員の人数が多いなどの理由から、あらゆる立場、環境下においても利便性の高いクラウドサービスの利用が必要となってくることが分かります。業界別に見た場合、金融・保険業がもっとも多くクラウドサービスを導入していて、それに次いで卸売・小売業、建設業、製造業が積極的に導入しています。
クラウドサービスの利用方法、導入利用は?
クラウドサービスの利用方法として、ファイルの保管や、データ共有を目的とした使い方が過半数を超えてもっとも多く、次にサーバー利用、電子メール、社内情報共有、データバックアップと続いていきます。クラウドサービスを導入した理由としては、「資産、保守体制を社内に持つ必要がないから」がもっとも高く、そのほかでは「どこでもサービスを利用できるから」、「安定運用・可用性が高くなるから」、「災害時のバックアップとして利用できるから」などの理由が挙げられています。基本的にはデータのバックアップ・共有を目的とした使い方が多いことになります。
逆にクラウドサービスを利用しない企業からは、使わない理由として「仕事に必要がないから」「情報漏洩などのセキュリティ面において不安がある」「クラウドを導入する際の自社の既存システムの改修コストが高い」「メリットが分からない、判断ができない」「ネットワークの安定性に不安がある」といった意見が挙げられています。
この導入利用をもとに、クラウドサービスを利用するメリット、必要性と不安面についてを、より掘り下げて見ていきましょう。
クラウドサービスは安価で利用することができる
企業がクラウドサービス最大のメリットは、「自社で保守・運営をおこなうよりも、安価で利用することができる」ことがまず挙げられます。クラウドサービスが一般的に普及するまでは、何かしらシステムを導入する場合、自社内にサーバールームを作り、システムを最新の状態に維持し、メンテナンスをおこなうことのできる専属のエンジニアを雇い、オンプレミス型の運営を構築していく必要がありました。このオンプレミス型の環境は当然サーバーの維持費も掛かりますし、正社員としてエンジニアを雇えば、運営費用も膨大な額となります。しかし、クラウドサーバーであれば社内のサーバーをいちから構築していく必要はまったくありません。専門の業者のサーバーをクラウド下で借りるだけなので、初期費用は圧倒的に安くなります。そして、クラウドサービスをおこなっているほぼすべての業者には専門のエンジニアが在中していて、メンテナンスも彼らに一任することができます。何か困ったことがあれば彼らにすべて任せればいいので、企業がみずから雇う必要はありません。
このように導入コストと運営コストを大きく軽減できるのが、クラウドサービスが普及した最大の理由となります。低コストで自前でシステムを用意する必要がないのなら、導入する際のハードルは非常に下がりますし、自社にとって効果がないと分かった場合、すぐにサービスの利用を辞めることができるため、非常に低リスクで利用することができます。コスト削減は中小企業から特に評価されている事柄であり、現在大企業と比べ中小企業のクラウドサービス導入率が低いことを鑑みると、今後ますます中小企業のクラウドサービス利用率の増加が高くなっていくと予想されます。
どこにいても利用することができる
突然起きたコロナ禍の影響によって、多くの企業は仕事環境をテレワークへと変化せざるを得なくなりました。テレワークで仕事をおこなう際、困るのは社内と同等の環境で仕事をおこないにくいことにあります。このコロナ禍の状況にクラウドサービスは非常にマッチし、多くの企業がクラウドサービスを新たに導入する様になりました。
クラウドサービスを使えば社内のデータの共有だけではなく、遠隔操作でタブレットや低スペックのPCからでも社内環境と同等のスペックのPCとソフトウェアを扱うことができます。遠隔地でも仕事をおこなうことができることによって、本社のほかにいくつもの支部を持つ企業はオンプレミス環境よりも強い連携を作ることができ、場所や時間を選ばない様々な働き方ができる様になったため、育児や介護などを初めとする事情を抱えた人も仕事に参加しやすい環境を作ることができる様になりました。
クラウドサービスによる恩恵はデスクワークのみに留まらず、外出先からでも受発注の手続きをおこなうことができ、会議の資料の添付なども手軽にでき、だれかが資料に書き込めば、それをリアルタイムで共有することも可能となっています。
セキュリティ面での心配は?
気軽にどこからでも情報にアクセスできる様になった反面、企業が一番に不安に感じるのは、セキュリティ面についてのことです。機密情報を狙うハッカー達の手口が年々巧妙化していて、現在多くの企業で情報漏洩の不祥事が起きていることを踏まえると、自社で情報を管理することのないクラウドサービスにデータやシステムをまるごと預けてしまうのは、確かに不安な面もあるでしょう。
しかし、実際にクラウドサービスを利用している企業の大部分が「役に立っている」と答えた結果を見ても分かる様に、クラウドサービスはセキュリティ面においても確かな結果を出しています。クラウドサービスを運営している会社にとって、情報漏洩のアクシデントはまさに会社の信頼に関わる命綱とも言える存在です。そのため最新のセキュリティ環境を維持することは当然、常駐しているスタッフも熟練のプロが担当しています。テレワークによる急な変化に対応するために、下手に自社でセキュリテイ環境を作り保守するエンジニアを雇うよりも、遥かに信頼できる環境を作ることができます。ただし、セキュリティの質は提供している会社によって異なりますので、くれぐれも契約する相手は慎重に選ぶ様にしましょう。
さいごに
日本のクラウドサービスの利用率は欧米に比べ低い傾向にありますが、今後ますます増えていく傾向であることは間違いありません。現在大企業の利用率が大きいですが、コスト面やセキュリティの質の高さを考えると、中小企業が利用した時の恩恵が高いため、今後中小企業を中心としてクラウドサービスの利用が増加していくと考えられます。
196ヵ国800,000ユーザに愛用されている最大の独立オープンクラウドプロバイダーのLinodeクラウドサーバ・サービスは、リーズナブルな料金体系と競争力の高いインフラを実現します。そして、クラウドブリックは「Linode」の日本公式パートナーとして、Linodeクラウドサーバーの利用を希望する日本のお客様に手厚いサポート及びコンサルティングなどを提供致します。
Linodeへ新規登録だけで$100のクレジットをプレゼントするキャンペーンも行っておりますので、是非チェックしてみてください。
Linodeクラウドサーバ・サービスの詳細はこちら
https://www.cloudbric.jp/linode-vps/
クラウドブリック株式会社及びサービス紹介動画を公開しました。
平素は、弊社サービスをご利用頂き、誠にありがとうございます。
この度、お客様により分かりやすく弊社製品を認識いただくため、クラウドブリック株式会社紹介及びCloudbric WAF+サービス紹介動画をYoutubeに公開しました。
クラウドブリック株式会社のミッション及びWebセキュリティ、IoTやモバイルセキュリティなど各事業について簡単に分かりやすく説明した動画を製作しています。
そして、企業や組織のセキュリティ担当者にとって、最重要課題となるWebセキュリティ対策の「Clooudbric WAF+」を分かりやすく説明しておりますので、是非ご覧いただけたらと思います。Webセキュリティ対策の知識がない方にもおすすめの動画です。
クラウドブリック株式会社紹介
Cloudbric WAF+紹介
今後とも弊社製品をご愛顧いただきますよう宜しくお願い申し上げます。
企業における現在のWebセキュリティ問題と、クラウド型WAFによる対策
現在はクラウドサービスをはじめとしたWeb上のサービス・セキュリティの進化が目覚しく、多くの企業がそれらのサービスを利用しています。一方で、企業の機密情報を狙うハッカー達によるサイバー攻撃も同じように巧妙・複雑化し、セキュリティとのいたちごっこが続いていて、情報漏洩をはじめとする多くの被害が、企業の規模を問わず発生しています。
本記事では、2020年に起きたサイバー攻撃の傾向と、国内企業のWebセキュリティが脅かされた実際の事例を紹介し、その対策となるWebセキュリティ対策についても見ていきたいと思います。
2020年のサイバー攻撃の傾向
2020年上半期にはコロナウイルスの世界的な流行があり、ハッカー達はそれに便乗して、各国の政府や医療機関をはじめ、膨大な個人情報や機密情報を持つ企業などを標的にサイバー攻撃を行うケースが急増しました。不特定多数にばらまくスパムメールだけでなく、特定の企業を標的としたランサムウェアによる計画的な攻撃が急増し、より戦略的で高額の身代金を要求する事件が多発する結果となりました。
特定の法人企業を対象としたサイバー攻撃の特徴として「侵入経路の多様化」、「クラウド環境特有の脅威」、「侵入後の内部活動の常套化」の3つが挙げられます。メールによる攻撃はもちろん、テレワーク環境への移行に伴い、VPNによる通信の際、正規のユーザのアカウント情報を入手して本人になりすまして侵入したり、VPN装置の脆弱性を悪用する方法で攻撃がおこなわれたり、Zoomのインストーラーにバックドア型マルウェアとボットが含まれたものなどが確認されています。Zoom自体は正規の物を利用して正常に使用できるだけに、サイバー攻撃であることに気付くのが難しいという特徴を持っています。
以上のように、コロナ禍によるテレワーク環境の弱点をついた、「末端である従業員のモバイル端末を狙った攻撃」と、「クラウドサービスを狙った攻撃」が激化しているのが現在のサイバー攻撃の特徴だと言えるでしょう。
国内企業のWebセキュリティが脅かされた最新の事例
2020年はコロナ禍によってテレワークでの仕事が広く普及しましたが、それと同時に多くの企業が自社のセキュリティ面を見直し、強化していくことを余儀なくされました。現在の企業の機密情報を守るセキュリティは、自社内のみのクローズドな環境で完結するわけではなく、会社から離れた遠隔地からでも仕事をおこなえる、オープンな環境作りが必要となっています。しかし、テレワークで仕事を行うという試みは、日本ではまだまだ始まったばかりであり、末端の従業員のセキュリティに対する意識も含め、日本のセキュリティ対策はまだまだハッカーのサイバー攻撃に狙われやすい、多数の穴が空いている状態だといって良いでしょう。実際に2020年は数多くのサイバー攻撃が日本企業を襲い、多数の被害が出てしまう結果となりました。ここでそれぞれの被害の具体例を紹介していきますので、今後の為の参考にしてみましょう。
・電子決済サービスの不正利用
2020年もっとも被害が大きかったのは、電子決済サービスの不正利用です。2020年9月、銀行口座の情報を不正に入手した犯人がドコモ口座を開設しその銀行口座と連携し、被害者を装うことによって銀行からドコモ口座にお金を不正に出金するという、セキュリティの穴を突いた方法で多額のお金を騙し取った事件です。
最初にこの手口が露見したのはドコモ口座ですが、その後PayPay、Kyash、LINE Payにおいても同様の不正出金が確認されました。この事件による被害総額は2,800万円以上と言われています。
・ゲームメーカーの顧客情報流出
2020年11月には大手ゲームメーカーであるカプコンが「Ragnar Locker」と呼ばれるランサムウェアによってサイバー攻撃を受け、およそ35万件もの顧客情報が流出したとされています。
ハッカー達は盗んだデータを暗号化し使えなくさせ、データの復旧と引き換えに多額の金銭を要求し、さらには内部の機密情報をインターネット上で暴露するという脅迫でもお金を要求するという、「二重搾取型」の攻撃であった点がこの事件の特徴です。
コロナ禍によってオンラインゲームの需要が高まってる中、ゲームメーカーはサイバー攻撃に狙われた際のダメージが大きいと踏んで、カプコンがハッカー達の標的にされたと考えられています。
・特別定額給付金を装ったフィッシング詐欺
2020年5月に10万円の特別定額給付金が給付され始める中、自治体を装ったメール、ホームページによるフィッシング詐欺が大量に発生しました。
フィッシング詐欺によってアカウントIDやパスワードといった個人情報から、クレジットカードの番号や口座番号などの情報まで引出そうとしたり、ATMを用いて手数料を騙しとろうとするなど、悪質な手口での詐欺が横行することとなりました。
クラウド型WAFとは
現在、上記したサイバー攻撃に対するWebセキュリティ対策として、「クラウド型WAF」のサービスが注目されています。軽くクラウド型WAFの説明を行うと、まずはじめに「WAF(Web Application Firewall)」とは、Webサイト上のアプリケーションに特化したファイアウォールのことを指します。ユーザーからの入力を受け付けや、動的なページを生成したりするタイプのWebサイトを、不正な攻撃から守ることが WAFの役割となります。
通常のファイアウォールと違い、アプリケーションレベルでデータの中身を解析することができ、アプリケーションにセキュリティ上の問題があったとしても、それを無害化でき、ISMS(組織内の情報の機密性、完全性、可用性の3つすべてをバランスよく管理するための枠組み)の実現や、PCIDSS(クレジットカード情報保護を目的として定められた、情報セキュリティ基準のこと)に準拠しているため企業の情報戦略面としても需要が高く、注目されていました。
そして、クラウド型WAFとは、その名の通りクラウド上に設置するセキュリティ対策ツールとなります。現在ではWAFといえば、このクラウド型WAFが主流となっています。それでは何故現在クラウド型WAFに大きな需要があるのか、クラウド型WAFのメリットと、利用する上での注意点を交えて紹介していきましょう。
・クラウド型WAFのメリット
クラウド型WAFはクラウドサービスであるため、通常のWAFよりも安価で導入することが可能となっています。またサービス契約後日を待たずして利用できるため、トラブルに巻き込まれた際すぐに問題に対処することが可能になっています。
そしてクラウドサービスの特徴として、運用をベンダーに任せることができます。社内でセキュリティの専門家を直接雇用する必要がなく、メンテナンスも一任できるため、運用面でも大きくコストカットすることが可能となっています。
・クラウド型WAFを導入する際に注意すること
コスト面と利便性において大きなメリットを持つクラウド型WAFですが、導入する際に注意することがあります。まず先述したようにベンダー側に運営を一任できることがメリットのひとつと書きましたが、裏を返せば自社が運営に干渉することはほとんどできないため、サービスの質はすべて契約したベンダー次第ということになります。ベンダーに運営を一任する以上、トラブル発生の際すぐに対処できる専門家の人数や対応範囲など、そのサポートの質がどれくらいなのかが選定の際に重要となります。
またクラウド型であるため、自社のシステムに合わせたカスタマイズを行うことが非常に困難となります。そのため少しでも自社のシステムに沿った形のクラウド型WAFサービスを選んで、契約することが求められます。
他にクラウド型WAFはベンダーごとに料金形態が異なります。トラフィック量に合わせて料金が増減するものや、固定料金の場合もあるので、性能やサービスの質などと合わせて考慮しましょう。
さいごに
2020年以降、コロナ禍とクラウドサービスの増加による、セキュリティ環境の変化を突いたサイバー攻撃の特徴と、その対策となるクラウド型WAFのメリット・デメリットと注意点を見ていきました。
クラウド型WAFは安価で導入のしやすいことから、これからのセキュリティ対策として非常に利用されるようになるサービスですが、その特徴をきちんと踏まえた上で、自社に最適なベンダー選びを行うことが求められます。今回紹介した事例と特徴を踏まえて、より最適なセキュリティ環境を構築できたら幸いです。
Cloudbric WAF+は企業向けにカスタマイズされたセキュリティサービスを提供します。クラウドから仮想専用サーバー、オンプレミスまでお客様のシステム環境に合わせて提供できます。
Cloudbric WAF+の詳細はこちら
3月3日~5日 「Security Days 2021」出展のお知らせ
この度、2021年3月3日(水)~5日(金)に開催される「Security Days 2021」に出展致します。Security Daysは、国内最大級のセキュリティ専門イベントです。
3月4日に、弊社代表取締役社長の陣が「 認知しなければ分からないサイバー脅威とユーザオリエンテッドなセキュリティの必然性~責任共有モデルに潜むクラウドの懸念点とビジネスを守る真の企業セキュリティとは~」と題し、登壇させていただきます。そして、一石五鳥のビジネス向けWebセキュリティ対策の 当社のWebセキュリティ・プラットフォーム・サービスの「クラウドブリック」についてご紹介させて頂きます。
参加費は無料でございますが、事前登録制となっておりますので、下記のURLよりお申込みのうえ、ご視聴いただきますようよろしくお願い致します。
【Security Days 2021 開催概要】
■ 日時:2021年3月3日(水)~5日(金)
■ 入場料:無料(事前登録制)
■ 会場:東京都千代田区丸の内2-7-2JPタワー・KITTE 4F JPタワーホール&カンファレンス
■ 公式Webサイト:https://f2ff.jp/event/secd-2021-01
【セミナー概要 】
■ テーマ:認知しなければ分からないサイバー脅威とユーザオリエンテッドなセキュリティの必然性~責任共有モデルに潜むクラウドの懸念点とビジネスを守る真の企業セキュリティとは~
■ 日頃:3月4日(木)15:25-16:05
■ 参加お申込みページ:https://f2ff.jp/introduction/4825?event_id=secd-2021-01-tokyo