cyberattack_example

【2024年】サイバー攻撃の被害事例まとめ 最新動向と対策

企業を狙うサイバー攻撃は日々進化しており、攻撃を防止するセキュリティ対策の実施が急務です。そこで本記事では、情報システム担当者の方など企業のセキュリティ対策を知りたい方に、日本企業が狙われたサイバー攻撃の被害事例を紹介しながら、サイバー犯罪の最新動向について解説します。併せて、事前の対策として有効な方法やおすすめのツールも紹介するので、自社での対策にお役立てください。

 

サイバー攻撃とは

サイバー攻撃とは、ネットワークやコンピュータシステムを攻撃し、データの窃取・改ざん・破壊・漏えい、セキュリティソフトの無効化などを目的とする犯罪です。攻撃者のターゲットは、主に企業や政府機関です。機密情報の窃取や身代金の要求、政治・社会的な目的、個人的な復讐、承認欲求を満たすためなどさまざまな動機で狙います。

以下が代表的なサイバー攻撃の種類です。

  • マルウェア
  • フィッシング
  • ランサムウェア
  • サービス拒否(DoS/DDoS)攻撃
  • ゼロデイ攻撃

 

【2024年】国内のサイバー攻撃の被害事例4選

サイバー攻撃の被害は、日本企業でも発生しています。以下は、2024年の被害事例です。

関連記事:2023年のサイバー攻撃における代表的な事例や被害額まとめ

 

・大手総合エンターテインメント企業がサイバー攻撃で36億円の特別損失

この事例では、攻撃者はランサムウェアなどの方法で、約1.5テラバイトのデータを窃取しました。その結果、25万人以上の個人情報や社内文書、社外との契約書などの情報が漏えいし、攻撃者は一部をダークウェブ上で公開しています。この企業では、サイバー攻撃により、オフィシャルサイト、動画配信サイト、ECサイトなどが一時的に閲覧不可となり、書籍の物流システムや編集業務にも支障が生じました。この被害による特別損失は24億円と発表されています。

 

・大手スーパーマーケットがランサムウェア被害で社内の全ネットワークが遮断

大手スーパーマーケットでは、グループ会社を含む社内サーバーがランサムウェア攻撃を受け、一部のデータが暗号化されました。攻撃者は、VPN装置を狙いサーバーに侵入したものとみられています。この企業では、被害拡大防止のため全ネットワークを遮断し、社内外のネットワークがすべて停止しました。そのため売上や仕入れのデータ登録ができなくなり、従業員の勤怠管理、給与計算、請求書発行などの業務にも支障をきたしました。

 

・大型総合病院が不正アクセスで診療記録の一部が暗号化

ある大型総合病院では、ランサムウェアによる不正アクセスでサイバー攻撃を受け、病院の画像管理サーバーに保存されていた診療記録の一部が暗号化される被害が発生しました。そのため、病院は救急や一般外来の受け入れを制限し、紙カルテを使用しての診療をせざるを得ない状況となりました。病院には攻撃者から身代金の要求があったものの、身代金は支払わずシステムの再構築を行い、復旧させています。

 

・保育サービス企業がランサムウェア攻撃でデータが暗号化

保育サービスを展開するある企業では、社内サーバーが不正アクセスされ、個人情報や企業情報を含む可能性があるデータが暗号化される被害を受けました。この企業には複数の地方自治体が事業を委託しており、委託先施設も情報漏えいの可能性があると発表するなど、影響が多方面に及びました。同社は影響の範囲や原因の特定などの調査を継続しています。

 

サイバー攻撃の最新動向

サイバー攻撃は日々進化しており、攻撃による被害を防止するには、最新の動向や手口を把握する必要があります。

 

・サイバー攻撃数は増加傾向にある

近年、サイバー攻撃の件数は世界的に増加しています。国立研究開発法人情報通信研究機構の「NICTER観測レポート2023」では、サイバー攻撃関連通信が前年より18%増加したという結果が公表されました。

参照元:国立研究開発法人情報通信研究機構「NICTER観測レポート2023の公開

また、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社の調査では、2024年第3四半期に1組織当たりが受けたサイバー攻撃数は、平均で1,876件という結果が出ています。この件数は過去最高件数です。2023年の同時期と比べると75%アップ、2024年第2四半期比では15%アップしています。

参照元:チェック・ポイント・ソフトウェア・テクノロジーズ株式会社「チェック・ポイント・リサーチ、2024年第3四半期に世界中でサイバー攻撃が75%急増し、過去最高を記録したことを確認

 

・サイバー攻撃の年間被害金額

IBMの調査によると、日本企業42社が2024年2月までの1年間に受けたサイバー攻撃の平均被害額は、過去最多の約6億円でした。

参照元:IBM「2024年データ侵害のコストに関する調査

産経新聞「サイバー攻撃による企業の被害は平均7億円で過去最多 IBM調査

警察庁の「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2024年上半期のインターネットバンキングの不正送金被害は約24億4,000万円、フィッシング詐欺報告件数は63万3,089件です。また、同期に起きたランサムウェア攻撃の件数は114件、暗号化せずデータを窃取し身代金を要求するノーウェアランサムウェア攻撃は14件です。ランサムウェア攻撃の感染経路の約8割は、外部からのネットワーク経由であることもわかっています。

参照元:警察庁サイバー警察局 「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について
p.2、p.7、p.36

 

サイバー攻撃は事前の対策が重要

サイバー攻撃の多くは、システムの脆弱性や人的ミスを狙っています。特に、フィッシング攻撃やソーシャルエンジニアリングといった手法は、従業員の知識不足や不注意を利用して行われます。そのため、従業員への教育はサイバー攻撃への対策として極めて重要です。

基本的なセキュリティ知識や攻撃の手口を共有するとともに、疑似メールを用いた実践的な訓練を行うなどして対応力を高める必要があります。パスワード管理やデータの取り扱いに関するルールを明確にし、徹底して守るよう促すことも必要です。このような教育を通じて、全社的にセキュリティ意識の向上を図りましょう。

 

・セキュリティツールはWAFの導入がおすすめ

サイバー攻撃を防ぐには、セキュリティツールの導入も必須です。特におすすめなのがWAF(Webアプリケーションファイアウォール)です。
WAFはWebアプリケーション層で動作し、不正なHTTP/HTTPSリクエストを監視・制御して、サイバー攻撃からシステムを守ります。ファイアウォールやIDS/IPS、次世代ファイアウォール、UTMといった従来の対策では防御できない領域をカバーし、企業のWebビジネスを保護することが可能です。

中でもCloudbric WAF+(クラウドリック・ワフプラス)は、社内にセキュリティ担当者がいなくとも運用しやすいため、おすすめです。
Cloudbric WAF+は、企業に必須のセキュリティ機能として、以下の5つを搭載しています。

  • WAFサービス
  • DDoS攻撃対策サービス
  • SSL証明書サービス
  • 脅威IP遮断サービス
  • 悪性ボット遮断サービス

日本を含む数カ国で、攻撃検知の方法やAIに関する特許を取得した高度なセキュリティツールです。

Cloudbric WAF+

 

まとめ

サイバー攻撃の事例は、近年世界的に増加しています。システムの脆弱性などを狙い、ランサムウェア攻撃などで企業に多大な損失を与えます。そこで、高度なセキュリティレベルを保ち、攻撃を予防するツールの導入が必要です。特に、Cloudbric WAF+は社内に専門的な知識をもつ人材がいなくても高度なセキュリティ対策を構築できるため、導入の検討をおすすめします。

 
▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

image_cyber_atack_2023

2023年のサイバー攻撃における代表的な事例や被害額まとめ

年々手口が巧妙化し、脅威が増すばかりのサイバー攻撃。企業側でもさまざまな情報セキュリティ対策を講じていますが、その被害は拡大傾向にあります。自社の機密情報や顧客情報の漏えい、業務システムの停止など、被害状況は深刻です。本記事では、2023年に発生したサイバー攻撃の事例や発生原因、サイバー攻撃の種類、対処法などを解説しています。自社で必要な対策を練る際の参考にしてみてください。

▼2024年度版のサイバー攻撃の被害事例まとめはこちら

 

2023年に国内で起きたサイバー攻撃の代表的な事例

ここでは、2023年に国内で発生したサイバー攻撃の代表的な事例を紹介します。

 

・クラウド環境の誤設定で、約215万件の顧客情報が漏えい

2023年5月、大手自動車メーカーのIT・通信分野を担う事業会社において、クラウド環境の誤設定により、車載IDや車台番号など約215万件の顧客情報が公開状態となっていたことが判明しました。社内におけるデータ取り扱いのルール説明が不十分だったことが主な原因とされています。同社では事件の判明後に外部からのアクセスを遮断する措置を講じており、流出した可能性のある顧客情報が第三者によって二次利用されるなどの被害は確認されていないとのことです。また、これを受けて同社ではクラウド設定を監査するシステムを導入するとともに、従業員への教育を徹底するなどしてセキュリティ機能を強化するとしています。

 

・リスト型攻撃で約25万件のWeb履歴書が流出

総合転職サイトを運営する、ある人材紹介会社では、2023年3月、外部からの不正ログインによって約25万人のWeb履歴書情報が漏えいしました。社内調査によると、外部から不正に取得したIDやパスワードを使用してさまざまなサイトにログインを試みるリスト型攻撃が原因であるとわかっています。これを受け、同社では全ユーザーのパスワードをリセットし、不正ログインを行っていた送信元のIPアドレス群からの通信を遮断するなどの被害拡大防止策を実施しています。また、今後はIDやパスワード認証以外の方法でのシステムセキュリティ強化を目指すとのことです。

 

・外部委託業者への不正アクセスがきっかけで、約69万件の顧客情報が漏えい

ある大手保険会社は2023年1月、自社が保有する顧客情報の一部が流出した可能性があることを発表しました。流出した恐れのあるデータは同社の車両保険に加盟中の顧客と、過去に加入したことのある顧客のもので、性別や生年月日、氏名など約69万件とされています。外部委託業者が第三者からの不正アクセスを受けたことが原因で、顧客情報が海外のサイトに掲載されていたことから判明しました。再発防止策として、同社では委託先における個人情報の取り扱いに関する要件の厳格化などを進めています。

 

・サーバーへの不正アクセスによって約104万件の顧客情報が漏えい

カジュアル衣料品を中心にSPAブランドを展開する大手アパレル企業では2023年1月、社内の業務システムのサーバーが外部からの不正アクセスを受けました。不正アクセスの確認直後にネットワークの遮断や業務システムの停止などの被害拡大防止策を講じましたが、氏名・住所・生年月日・電話番号などを含む約104万件の顧客情報が流出した可能性があるとのことです。その後、さらに約22万件の顧客情報が流出した可能性も判明しました。物流システムを停止したことにより、同社が運営するECサイトも一時休止を余儀なくされました。これを受け、同社では各種アカウントのリセットや管理ポリシーの見直し、社内ネットワーク通信のセキュリティ強化、端末のリアルタイム監視体制の構築といった対策を実施しています。

 

海外で発生した有名なサイバー攻撃の事例

海外では民間企業への攻撃にとどまらず、社会インフラを脅かすような深刻なサイバーテロも発生しています。ここでは、近年に海外で起きた有名なサイバー攻撃の事例を紹介します。

 

・ランサムウェア「WannaCry」により、約430万円の被害

イギリスでは地域医療連携システムを提供するための公的機関のコンピュータが、ランサムウェア「WannaCry」に攻撃された事例があります。ウイルスに感染したコンピュータからはシステムの利用者情報が盗まれたほか、アクセス妨害や身代金の要求などの被害が発生。コンピュータを立ち上げることで感染拡大が懸念されるために、多くの医療機関の業務に支障が出たとのことです。また、一部の医療機関ではこの攻撃の影響でカルテ・処方箋・予約などの管理システムが停止しました。BBCの分析によれば、データ復旧の身代金として日本円で約430万円が支払われたとされています。

 

・某SNSの脆弱性が攻撃され、540万人の名簿データが漏えい

2022年11月には、アメリカのIT企業が運営する有名SNSにて、システムの脆弱性を狙ったサイバー攻撃で漏えいしていた情報が、誰でもアクセス可能な掲示板に公開されるという事件が起きました。その情報は約540万人分の名簿データで、アカウントIDやユーザー名のほか、二段階認証に必要な電話番号やメールアドレスなどの情報も含まれます。
非公開の電話番号やメールアドレスが流出したことで、それらを使って匿名アカウントの個人が特定できる状態となっていました。

 

・サプライチェーン攻撃により、アメリカ政府機関の機密情報が流出

2020年にはアメリカの政府機関にて大規模なサイバー攻撃が発生しています。発端となったのは、ネットワーク監視ツールを提供している大手IT企業がハッキングされたことです。攻撃者は同社製品の自動更新時にマルウェアを仕込み、それによって政府機関を含む100弱の組織のサーバーが不正アクセスの被害を受けました。サーバー攻撃の被害が確認された組織の中には国務省、財務省、米航空宇宙局なども含まれています。この事件の当時には新型コロナウイルスの感染が拡大しており、リモートワークのため社内ネットワークにログイン可能な端末の登録プロセスが簡略化されていたことが事件発生要因のひとつとして挙げられています。

 

日本でよく起きる12種類のサイバー攻撃

ここからは、日本国内で頻発するサイバー攻撃の中から代表的な12種類を挙げて解説していきます。複雑化しているサイバー攻撃に対処するために、それぞれの特徴を把握しておきましょう。

1.マルウェア
ウイルスやワーム、トロイの木馬など悪意のあるプログラムやソフトウェアの総称。感染すると個人情報の流出や端末に保存されているデータの改竄、端末の強制ロック、外部との勝手な通信などの被害に遭う可能性がある

2.ランサムウェア
マルウェアの一種。感染するとシステムへのアクセスが制限され、制限解除のために身代金を要求される

3.標的型攻撃
特定の個人や組織を狙った攻撃。ターゲット宛にウイルスが添付されたメールを送付する手口が知られている

4.Emotet
メールの添付ファイルを感染経路とするマルウェアの一種

5.不正アクセス
アクセス権限を持たない第三者が個人情報の取得などを目的に不正にサーバーやシステムへ侵入する行為

6.脆弱性を狙った攻撃
プログラムの不具合や設計上のミスなどセキュリティの脆弱性を悪用したサイバー攻撃

7.サプライチェーン攻撃
業務上のつながりを悪用し、セキュリティ対策に弱点がある関連会社や取引先を経由して不正アクセスを試みるサイバー攻撃

8.SQLインジェクション
Webアプリケーションの不備を悪用してデータベースを不正に操作する攻撃

9.パスワードリスト攻撃
あらかじめ何らかの方法で入手したIDとパスワードを悪用し、第三者が本人になりすましてサービスやシステムに不正アクセスを試みる攻撃

10.ゼロデイ攻撃
セキュリティの脆弱性が発見されてから、それへの対策が講じられるまでの間を狙って行われるサイバー攻撃

11.DDOS攻撃
サーバーやネットワークに複数端末から大量の通信を発生させることで処理不能に陥らせ、サービスを停止させる攻撃

12.ブルートフォース攻撃
IDやパスワードの考えられるパターンを総当たりで入力し、認証突破を試みる攻撃

 

サイバー攻撃の平均被害額は?

セキュリティ対策製品を提供するノートンライフロック社が2022年に発表したレポートによると、2021年の1年間におけるサイバー攻撃の被害額は320億円にものぼったことがわかっています。また、トレンドマイクロ社が2023年に実施した調査によれば、過去3年間でのサイバー攻撃の被害を経験した法人の累計被害額は平均1億2,528万円、ランサムウェアの被害を経験した法人の累計被害額は平均1億7,689万円にも及ぶという結果となりました。ランサムウェアの被害はサプライチェーンの関連組織にも広がることから、被害額が大きくなりがちです。そのため、自社だけでなく関連企業や取引先企業全体でのセキュリティ対策の強化が求められます。

出典:株式会社ノートンライフロック「サイバー犯罪調査レポート2022

出典:トレンドマイクロ株式会社「サイバー攻撃による法人組織の被害状況調査

 

まとめ

リモートワークの推進やクラウドの利用機会の増加により、企業はこれまで以上にサイバー攻撃の危険にさらされています。また、サイバー攻撃の手口は年々高度化、巧妙化しており、自社の情報資産を守るためには、従業員教育の徹底やWAFの導入といったセキュリティ対策の強化が必須です。本記事を参考に、自社に必要な対策を検討しましょう。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

▼2024年度版のサイバー攻撃の被害事例まとめはこちら

every nation 211214

Every Nation Philippines

Every Nation Philippines

Every Nation Philippinesはキリスト教関連の活動をしている非営利団体です。日本ではEvery Nation Japanという名前で関東・東海・北海道で宗教活動しています。

 

WAFを導入したきっかけ

「WAFはより積極的なサイバー攻撃への防御戦略」

NPOやNGOは支援者の寄付によって運営されているため、会員情報や個人情報など様々な情報を取り扱ってはいますが、 安全に対しての意識はいまだに低いと思います。個人情報を保管しているということは、情報流出という大きなリスクを抱えていることを意味します。個人情報保護法の改正以後、弊社の場合も個人情報のガイドラインに従って厳重に取り扱っているつもりですが、セキュリティ面で常に不安を抱えていました。意図的にハッカーに狙われ不正アクセスや情報漏洩などが起きてしまってからではもう手遅れになる可能性が非常に高いからです。そして、近年NPOを狙ったサイバー攻撃も報告されており、Webセキュリティ対策への課題を解決したいと感じたのが、クラウドブリックを導入したきっかけでした。

 

クラウドブリック(Cloudbric)を選択した理由

「十分な機能を持ちつつも、導入及び運用の手間やコストを大幅に削減」

クラウド型WAFの導入を決めてから、いくつかの製品を選び各製品が提供している無償トライアルを申し込んで実際に使用してみました。WAF導入当時、組織内にはセキュリティに詳しい担当者が存在しなかったため、WAFの機能などをいかに詳しく説明してもらえるか、セキュリティ担当者が不在でも運用や管理がスムーズにできるのか、限られた予算の中で、最大限のパフォーマンスを実現できるのかなどの項目をリスト化し点数をつけ、最も点数が高かったクラウドブリックを選択しました。無償トライアル期間の間、約1週間にかけて弊社のWebサイトを狙い、集中的にサイバー攻撃が発生していることが分かりました。クラウドブリックのダッシュボード上で攻撃のタイプ、攻撃ターゲットのURL、検知ログなどの詳しい情報がリアルタイムに確認できたので、即時に対応することができました。また、気になるところなどはサポートチームにお問い合わせし、即対応してもらえたのはリソースが少ないNPOにとって、非常に助かっているところです。

 

クラウドブリック(Cloudbric)の導入効果

「サイバー攻撃の対処だけではなく、情報の共有と意見交換まで」

WAF機能に関しては様々な導入実績が証明していると思いますが、実際使ってみて最もよかったのはユーザフレンドリーなダッシュボードでした。また、サイバー攻撃動向や最新のセキュリティトレンド情報などがメールマガジンにて定期的に送られるので、セキュリティ動向の把握に非常に役立っています。メールマガジンを読んで気になるところをクラウドブリック担当者に質問すると、親切に教えていただけたり、意見交換ができたりする部分がよかったです。役に立つ情報は社内で共有し、全社的にセキュリティ意識を高めるきっかけともなりました。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

NPOやNGOにとって、サイバーセキュリティ対策を導入するために予算を策定することは決して簡単なことではありません。それにも関わらずクラウドブリックを導入した決定的な理由は、高度化し続けるサイバー攻撃がどうしても他人事に思えなかったからです。今の時代、どこでも誰でもサイバー攻撃に遭う可能性が十分あります。Webサイトのセキュリティ対策を検討中である方なら、セキュリティ専門企業の技術力とコストパフォーマンスを両立できるクラウドブリックを積極的にお勧めしたいです。

7

C製薬会社

業種 医薬品製造業及び卸売業
規模 大企業

※本事例は、お客様のご希望により匿名で掲載しております。

今の時代、企業サイトはその企業の「顔」だと思っています。企業にとってWebサイトは、単に企業情報、サービスや製品情報などをお客様に周知させる役割だけでなく、企業のアイデンティティやビジョンを伝える役割も果たしています。まさに、企業イメージを向上させる重要な戦略となりました。だからこそ、Web攻撃によりアクセスが不可能になったり、セキュリティ事故につながったりすることだけは絶対に避けたい。巨大な金銭的損失にとどまらず、企業のイメージや信頼失墜に直結してしまい、回復するには相当な時間が必要となるでしょう。情報担当者としては、それを想像するだけで背筋がぞっとします。(C製薬会社 情報システム担当者)

 

WAFを導入したきっかけ

「Webサイトを24時間365日安全に運用・管理したい」

弊社のビジネスにおいて、Webサイトのセキュリティは極めて重要です。患者様とそのご家族、医療関係者様、株主様、投資家様への情報提供を筆頭に、臨床試験の参加者の募集や研究開発サイトの運用など、すべての作業がWebサイト上で行われています。よって、24時間365日絶え間なくWebサイトを安全に管理・運用することが我々にとっての最大な課題です。そこで、Webサイトのセキュリティ体制を整えるとともに、高度化が続くWeb攻撃をしっかりと防御できる対策でありながら、利便性を確保できるクラウド型WAFに興味を持つようになりました。

 

クラウドブリック(Cloudbric)を選択した理由

「高精度の検知能力で今まで見つからなかった攻撃パターンも検知」

クラウドブリックを導入する前には他社の製品を使っていました。広く知られている国産のクラウド型WAFサービスだったため、日本語の対応がしっかりとできるということがメリットで、利用する際も特に不便なところはありませんでした。
しかし最近にはWeb攻撃の手口がさらに巧妙化し攻撃回数も増回傾向にある反面、新規・検知漏れの攻撃パターンが検知できないという限界や例外処理の設定が難しい部分がありました。そのため現在のセキュリティ対策を再チェックした結果、新しいWAFの導入を検討する必要があると判断しました。その後、IT製品比較サイトでの調査を通じていくつかの候補製品を選定しました。その中でクラウドブリックの場合、無償トライアル制度を通じて機能などを十分にチェックしました。また製薬業界の導入実績の有無ところなど様々な観点から検討したので、最終的にクラウドブリックの導入を決定しました。

 

クラウドブリック(Cloudbric)の導入効果

「未検知の攻撃までしっかり検知・遮断 、業務効率も向上」

クラウドブリックの高精度の検知エンジンにより、未検知の攻撃を含め今まで検知できなかった様々な攻撃パターンがしっかり検知・遮断されるようになりました。これまで大きい事故が発生したことはありませんが、それは今まで気づいていなかっただけで、いつ何が起こってもおかしくない状況だったという怖さを感じると同時に、クラウドブリックの精度の違いを改めて実感し、安心しました。ダッシュボードにアクセスすると検知ログの詳細や攻撃現況まで一目で確認できるため、そのまま内部担当者に渡すことも可能になり、業務効率化の面でも非常に役立っています。以前使っていた他社WAFと比べ合理的な料金と高精度のセキュリティという点に加え、お問い合わせに対するフィードバックなど、サービス面でも大変満足しています。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

新しいWAFの導入を決して簡単に決定したわけではありません。以前使っていたWAFに対する信頼度が下がっていたため、様々な観点から慎重に検討を重ねた結果クラウドブリックの導入までに至りました。その分、高いセキュリティ機能と合理的な価格を両立した、素晴らしいコストパフォーマンスの WAFサービスに出会ったと思います。Webサイトセキュリティを高めていきたいセキュリティ担当者の方々に、クラウドブリックは自信を持っておすすめできるサービスだと思います。

8

Bブロックチェーンメディア

業種 ソフトウェア開発・供給
規模 ベンチャー企業
導入時期 2020年
※本事例は、お客様のご希望により匿名で掲載しております。

弊社の提供しているブロックチェーン技術自体がいかに安全だとしても、ブロックチェーン基盤のサービス運用がITシステム上で行われる以上、Webやアプリケーションへのセキュリティ対策をしっかりとる必要があります。(Bブロックチェーン メディア担当者)

 

WAFを導入したきっかけ

「Webサイトを利用するユーザの個人情報を安全に守りたい」

弊社はブロックチェーン基盤のフィンテック決済ソリューションの開発及びビジネス統合プラットフォームを運営しております。ユーザの流入を拡大するために、昨年からWebやアプリケーションなど様々な経路を通じてサービスを提供してきました。そして、ブロックチェーン基盤のサービスがいかに安全だとしても、サービスがWebサイト上で行われる以上、ユーザとの接点になるWebサイトのセキュリティを確報することが最も重要な課題だと判断しました。そこで、Webアプリケーションに対する総合的なセキュリティ対策としてWAF(Webアプリケーションファイアウォール)を導入することになりました。

 

クラウドブリック(Cloudbric)を選択した理由

「高い評判とダッシュボード機能、そして信頼性」

知り合いのITベンダーから勧められた製品を含み、最終的に残った候補の中の1つがクラウドブリックでした。1ヶ月の無償トライアルを通じて実際使ってみた結果、セキュリティ専門家でなくても非常に使いやい、という結論を導き出すことができました。
リアルタイムで攻撃状況を一目に確認できるダッシュボード機能と、疑わしい攻撃に対し管理画面上での1回のクリックで即遮断できるという操作の容易さが印象的でした。また、2019年には有名なIT製品の比較・検索サイトでWAF部門の1位を獲得したこと、そしてすでにクラウドブリックを導入している企業から好評を受けていることなどを考慮しつつ、慎重に検討を進め導入を決定しました。

 

クラウドブリック(Cloudbric)の導入効果

「サイバー攻撃を即時に検知・遮断でき、再発も防げた」

弊社の場合、サービス拡大によるセキュリティ面での不安を抱えていました。弊社のプラットフォームもまた個人情報を取り扱っているため、情報漏洩が最大の懸念事項でした。クラウドブリックの導入3ヶ月後、1日間に約5,000件に及ぶ攻撃が試されたことを知りました。しかし、クラウドブリックによりこれを即時に検知・遮断できたので、大きな事故にはなりませんでした。レポートを通じ詳しい攻撃内容を確認でき、このような攻撃の再発を防げますので、これからも安心してWebサイトの管理ができると思います。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

「うちは、小さな企業だからサイバー攻撃を受ける可能性は極めて低い。なぜセキュリティ対策に予算と人的リソースを投入すべきなのか」と思われる方もいるかもしれません。自分の経験からいいますと、セキュリティ対策において企業規模はさほど重要ではありません。ハッカーらは企業規模によって攻撃を行うわけではなく、わずかな隙間を発見するとそれを狙って攻撃を行うからです。むしろセキュリティ対策がしっかりできていない小さな企業だからこそ、大きな被害につながる可能性が高いと言えるでしょう。

弊社のようなベンチャー企業は、たった1回の情報漏洩事故でも経済的な損失に加え企業としての信用も損なうことになりますので、絶好のビジネスチャンスを逃すという結果につながります。そういった意味では、クラウドブリックはWebサイトを安全に守るための、Webセキュリティ対策の初めの一歩だと思います。クラウドブリックの導入こそが、中小企業に合ったリーズナブルな価格で検証されたWAFを利用できる、最善の選択だと思います。

 

6

A百貨店

業種 各種商品小売業
規模 大企業
導入時期 2019年

※本事例は、お客様のご希望により匿名で掲載しております。

ビジネスにおいて、一回失った信頼を取り戻すことは非常に難しいと思います。セキュリティ事故が発生した場合、莫大な被害が発生するだけではなく、お客様の信頼を失うことになるため、事前にしっかりとしたセキュリティ対策を整えることが非常に重要だと思います。特に、多数のお客様の個人情報を取り扱っている弊社としては、さらに強力なセキュリティ対策を取る必要があると判断しました。(A百貨店 ITインフラ担当者)

 

WAFを導入したきっかけ

「お客様の個人情報保護とリスクヘッジの実現」

弊社が運営している百貨店ECサイトはお客様を対象にする会員制サイトであるため、普段から個人情報の取り扱いには幾分気を使っていました。しかし、2018年から1日平均接続者数が増えるにつれ、管理すべきデータも急増してきました。お客様の個人情報をより安全に管理するために現在のセキュリティ対策が十分なのかを再検討した結果、Webサイトに対する新たなセキュリティ製品を導入することを決めました。その中で、「お客様の個人情報保護」と「リスクヘッジ」の両方を実現できるWAF(Webアプリケーションファイアウォール)が候補に挙がり、導入にまで至りました。

 

クラウドブリック(Cloudbric)を選択した理由

「導入の容易性、高い信頼性、合理的な価格」

数々のWAFを比較するにあたり、次の3つのポイントを考慮しました。

  • 簡単に導入や運用できるか
  • 性能面で信頼できるか
  • 合理的な価格で利用できるか

WAFを導入するとき、導入にかかる手続きが複雑だったり、要する時間が長い場合にはIT担当者に相当な負担がかります。クラウドブリックの場合、クラウド基盤で提供されるため、システムを停止せずDNS情報を変更するだけで導入できるという点が大きなメリットでした。
また、個人的にセキュリティソリューションで最も重要なのは「性能面で信頼できる製品なのか」という部分だと思いますが、クラウドブリックは特許技術を保有しており、グローバルから技術力を認められ受賞した履歴を持っていますので、この部分も意思決定に大きく作動しました。日本・米国・韓国で特許を持ち、グローバル受賞歴も持っているという事で、クラウドブリックに対する信頼がさらに増しました。
最後に、合理的な価格設定も大きなメリットだと感じた部分です。優れた技術を提供しながらも企業の状況に応じ多彩なプランを提供しており、柔軟な価格設定のおかげで思ったよりもコストを抑えることができました。

 

クラウドブリック(Cloudbric)の導入効果

「発生していたのかすらわかっていなかった、サイバー攻撃の存在を認知」

クラウドブリックを導入し間もなく、大量のサイバー攻撃を受けたという事を確認できました。クラウドブリックで提供されているダッシュボード機能を使い、サイバー攻撃状況をリアルタイムで確認し、遮断することが可能になったのです。このユーザインターフェースを通じ、三日間にわたった集中攻撃の中84.94%がSQL Injectionによる不正アクセスであり、個人情報の漏えいを目的としていたことを把握できました。もし、攻撃が起きていたこと自体を認知できない状況だったら、大きな事故が発生することは間違いなかったでしょう。事前に防止することで、大きな被害を防ぐことができました。
もう一点便利な部分を挙げるとすれば、クラウドブリックはダッシュボードを通じ把握できるサイバー攻撃の情報及びセキュリティ状況に関するレポートを毎月作成してくれます。一目で攻撃状況に目を通すことができ、またその報告書を社内報告にも使え、業務の手際を軽くするという点も自分にとっては大きなメリットです。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

大きな事故と化す可能性があったサイバー攻撃を経験した後、さらにWAFの必要性を痛感するようになりました。目にも見えず、いつ起こるか予想すらできないサイバー攻撃はまさに「潜在的な脅威」であり、そこに費用を費やすという事を疑問に感じられるかもしれません。今までよかったからこの先もよいだろう、と思う方も多数いらっしゃるでしょう。しかし今回クラウドブリックを導入して感じたことは、「Webサイトを持ち、個人情報を取り扱う」企業ならどの企業でもハッカーのターゲットになる、という事です。備えあれば患いなしという言葉通り、あらかじめ対策をとっておく必要があるでしょう。
WAFの導入を検討している企業の方なら、コスト、性能、便利性全てを満たすクラウドブリックを利用することをお勧めします。