ゼロデイ攻撃とは 増加する背景や主な手口、企業として行うべき対策 (800 x 450 px)

ゼロデイ攻撃とは? 増加する背景や主な手口、企業として行うべき対策

ここ数年ゼロデイ攻撃が増えつつあることから、企業はセキュリティ対策に早急に取り組むことが大切です。本記事では、ゼロデイ攻撃とは何かといった概要から主な手口、近年被害が増えてきた背景、過去の事例まで解説します。また、ゼロデイ攻撃の特性を押さえたうえで、被害を最小限にするために企業が講じるべき対策について紹介します。

 

ゼロデイ攻撃とは?

ゼロデイは英語で「Zero-Day」と表記し、セキュリティ対策の時間がない(0日)ことを意味します。通常、ソフトウェアのプログラムで脆弱性が見つかった場合、ベンダーは修正パッチなどを提供します。しかし、その提供がされる前に脆弱性を素早く突いて攻撃を仕掛けるのがゼロデイ攻撃の手口です。
また、ゼロデイ脆弱性とは、ソフトウェアで見つかった脆弱性のなかで、その存在が発表される前や、修正パッチが提供される前の脆弱性を指します。

 

・特徴

年々巧妙化するサイバー攻撃に注意を払っていたとしても、セキュリティホールは基本的に存在します。しかし企業が脆弱性を見つけられておらず、修正パッチ配布前のいわゆる「ゼロデイ脆弱性」の状態では、適切に対応できません。そのため未然に防ぐのが難しく、サイバー被害が広がりやすいのが特徴です。

 

・有名な事例:シェルショック事件 (2014年)

ゼロデイ攻撃で大きな問題となったのが、2014年9月に起こった「シェルショック事件」です。Linuxなどでユーザとの橋渡し役(シェル)として使われていたプログラム「Bash」において、遠隔からも不正にコマンドを実行されてしまうといった脆弱性が判明しました。
多くの企業では、Bashをサーバーの基幹部分で使っています。すぐにサーバーを停止できない企業などで適切に対応できず、大きな混乱を招きました。
このBashの脆弱性を突いて、実際にアメリカ国防総省では、データをスキャンされる事件が発生しています。日本では、警視庁が調査に入るといった事態にまで発展したこともありました。

 

近年ゼロデイ攻撃が増えている背景

IPAが公開している「情報セキュリティ10大脅威」によると、ゼロデイ攻撃は2021年時点でランク外だったのが、22年で7位、23年には6位と、その脅威は近年増す一方です。
その理由としては、以下のようなことが考えられます。

参照:IPA|情報セキュリティ10大脅威 2023

IPA|情報セキュリティ10大脅威 2022
参照元:https://www.ipa.go.jp/security/10threats/10threats2022.html

まずは、ゼロデイ攻撃の検出数増加です。未然に防ぐことが困難な脅威として認知され、近年多くのベンダーなどがゼロデイ脆弱性を検知し報告するようになりました。実際にゼロデイ攻撃を受けた数は確認できないものの、検出数が増えることで件数も平行して伸びていることが考えられます。

またデジタル化が進み、モバイルデバイスが一般社会で浸透しているほか、IoTを導入する企業は少なくありません。それら機器の内部に使われているソフトウェアも複雑化しています。IoTの場合、機器類がインターネットに常時接続されていることもゼロデイ攻撃を受けやすい一因です。

 

ゼロデイ攻撃に使われる主な手口

ゼロデイ攻撃の手口としては、大きく2つの種類があります。攻撃のターゲットを絞った「標的型」と、一気に不特定多数へ攻撃する「ばらまき型」です。
ゼロデイ攻撃ではばらまき型が多く見られますが、近年では標的型も増えています。特定の企業やユーザにターゲットを定め、マルウェアを含んだメールを送りつける方法がよく報告されています。

 

企業として行うべきゼロデイ攻撃対策

ゼロデイ攻撃は脆弱性の判明前や修正パッチの適用前のわずかな時間に行われるため、多くのケースで被害が拡大してしまいます。そうした事態を防ぐために企業が対策できることとしては、主に以下の4つが考えられます。

 

・デジタル環境を常に最新状態にする

基本的な対策として確実にしておきたいのは、コンピュータのOSやインストールしているソフトウェアなどを最新化しておくことです。コンピュータまわりの環境を早めにバージョンアップしておくと、最新の更新内容に脆弱性の修正が含まれているため、被害を抑えやすくなります。

 

・サンドボックスを導入する

コンピュータ上の仮想環境として独立している「サンドボックス」を活用することも有効な対策です。先に述べたように、ゼロデイ攻撃ではマルウェアをしのばせてメール送信するケースが多く見られます。マルウェアが潜んでいるおそれのあるメールを開く際に仮想環境のサンドボックスで開くことで、万一、マルウェアが含まれた添付ファイルを開いてしまっても直接的な被害を避けられます。
セキュリティソフトでスキャンしているからと安心するのは危険です。検知できないうちに攻撃を受けているおそれがあるため、サンドボックスを早期発見に役立ててください。

 

・EDRを導入する

EDR(Endpoint Detection and Response:エンドポイントセキュリティ)製品は、コンピュータやサーバーなどで怪しい挙動をしていないかどうか監視する役目を担っています。
ゼロデイ攻撃を従来のセキュリティソフトですべてを検知することは困難です。しかしEDRを使うと、末端部分の怪しい挙動を検知しやすくなります。ゼロデイ攻撃を受けたとしても、EDRは未知の脆弱性に有効なため、早期にリカバリーできるのがメリットです。ただし、現時点では誤検知されることもあるため、まだ万全ではありません。

 

・ロジック方式のWAFを導入する

WAF(Web Application Firewall)は、ネットワークやWebアプリの手前に設置し、通信内容を確認するソフトウェアです。Webアプリに脆弱性が見つかった場合も、攻撃の影響が及ぶ前に遮断できるのが特徴です。
また、WAFは一般的なファイアウォール(FW)やアンチウイルスでは防げない、Webアプリへの攻撃に対応しています。それらをまとめて採用することで、攻撃防御力がより向上します。

ただ、現在WAFは「シグネチャー方式」、つまり既知の脅威となる情報と突き合わせ、脆弱性が見つかってから遮断するタイプが主流です。これではゼロデイ攻撃に特化した対策はできません。
そのため、近年はひとつの遮断ルールを設定するだけで数百もの攻撃を遮断できる「ロジック方式」が注目されています。

 

まとめ

ひとたびゼロデイ攻撃を受けると、企業はセキュリティ上の甚大な影響を受けかねません。近年は検知数自体が増えたことや、ソフトウェアの複雑化、インターネットの常時接続などにより、その脅威は増大しつつあります。

そのため、ひとつのルールを設定するだけで、ゼロデイ攻撃への対策が数多く可能になる、ロジック方式のWAFの導入がおすすめです。とくにクラウド型の「Cloudbric WAF+」なら、社内に情報セキュリティの専門的なスキルを持った人材がいなくても手軽に利用できるうえ、必要なセキュリティ機能を一元的に活用できます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

ASPICキャンペーン

「アスピック」レビューキャンペーン実施中

現在、ITサービスの比較・紹介サイト「アスピック」にて、レビュー投稿をすると1件につき1,500円のAmazonギフト券を贈呈するキャンペーンを実施しています。

新たにSaaS導入をお考えの方にとって、ご利用者様のレビューは検討する上で参考となる情報です。弊社サービスをお使いになったご感想やおすすめしたいポイントなどをぜひご投稿ください。

※レビュー投稿が規定数に達し次第、または2024年4月19日(金)に本キャンペーンは終了いたします。

 

キャンペーン概要

 

注意事項
  • 他サイトで投稿した内容の引用や転載はできません。
  • 企業名および氏名については「公開」「非公開」を指定することができます。
  • 投稿が規定数に達し次第、または2024年4月19日をもって本キャンペーンは終了いたします。
  • 公開までにコミュニティガイドラインに基づき審査を行います。審査結果によっては掲載ができない場合もあります。その場合はキャンペーン対象外となりますので、ご了承ください。
Pentasecurity_X_AWSISV

「AWS ISV Accelerate プログラム」 パートナー認定を取得しました

このたび、ペンタセキュリティ株式会社はアマゾン ウェブ サービス(以下AWS)より「AWS ISV Accelerate プログラム」のパートナーに認定されました。

AWS Web Application Firewall(以下AWS WAF)に適用可能なソリューションとしては、Cloudbric WMS for AWSCloudbric Rule Setがあります。

Cloudbric WMSは、CloudbricのセキュリティエキスパートがAWS WAFの最適化および運用管理を支援するサービスで、Cloudbric Rule Setは、AWS WAFに適用可能なマネージドルールです。マネージドルールはMalicious IP Reputation Rule Set、OWASP Top 10 Rule Set、Tor IP Detection Rule Set、Bot Protection Rule Setの4種類で、脅威インテリジェンスと最新の攻撃トレンドを研究し、セキュリティ脅威を事前に識別する Cloudbric Labsを活用して継続的にアップデートされており、AWS Marketplaceより購入が可能です。

 

ペンタセキュリティ代表 金 泰均のコメント

先日、クラウドセキュリティ分野の強化のため、ペンタセキュリティとCloudbricの合併、および社名変更を行いましたが、初めての成果がAWS ISV Accelerate プログラムの認定を取得したお知らせであり、嬉しい限りです。AWSとの継続的な協業を土台に、アジアを超えグローバル市場でも地位を高められるよう全力を尽くします。

 

AWS ISV Accelerate プログラムとは

AWS ISV Accelerate プログラムは、 AWS で実行される、または AWS と統合されるソフトウェアソリューションを提供する組織のための共同販売プログラムです。ISVとAWS 日本担当チームとの連携を強化し、新しいビジネスの推進と販売サイクルの迅速化を助けます。

WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策

WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策

WordPressは世界で広く使われるオープンソースのCMSです。プログラミングの知識が無くても、Webサイトを作成できるため非常に人気がありますが、広く普及している分、脆弱性を突かれた攻撃を受けることもあります。WordPressのセキュリティを高めるためにはどのような対策をしたらよいのか、実際の攻撃事例も含めて解説します。

 

WordPressのセキュリティに関する問題点:脆弱性の指摘

WordPress(ワードプレス)はWebサイトを作成できるCMS(Contents Management System)の1種です。
2003年に誕生したWordPressは、基本無料で利用できるオープンソースのソフトウェアで、プログラミングの知識が無くても、ブログやWebサイトを簡単に作れます。
デザインのテンプレートが豊富で、追加機能を付与できるプラグインの種類も多いため、世界中で広く使われています。W3Techsの調査によると、全てのWebサイトのうち約43%はWordPressを用いており(2024年1月時点)、もっとも人気のあるCMSです。
(参照元:W3Techs 「WordPress の使用統計と市場シェア」)

多くのWebサイトで用いられているWordPressですが、その使用率の高さや、オープンソースであることから、サイバー攻撃の標的にもなりやすいといわれています。

 

WordPressのセキュリティ脆弱性を狙われた事例

2022年には、テーマ変更ができるプラグイン「OneTone」の脆弱性を狙ったSQLインジェクション攻撃がありました。データベースに侵入し、リダイレクトで他のサイトへ転送するコードが埋め込まれる被害が多発しました。このプラグインの開発者はアップデートを停止しており、脆弱性への対策がなされなかったため、OneToneを使用していたWebサイト管理者の多くは、他のプラグインへ変更せざるを得ませんでした。

2017年頃には、WordPressに搭載された「REST API」という機能の脆弱性を狙ったゼロデイ攻撃がありました。全世界で155万を超えるサイトが改ざんの被害に遭い、大きな問題となりました。
2019年にはプラグインの「WP GDPR Compliance」の脆弱性へのゼロデイ攻撃がありました。管理者ではなくても新規ユーザー登録や管理権限の付与が可能だったため、サイト内にマルウェアを組み込まれるなどの被害が多発しました。

2015年頃には、プラグイン「Fancybox」の脆弱性を突かれたクロスサイトスクリプティング攻撃が行われました。サイト利用者を他の不正なサイトへ誘導するものです。人気のあるプラグインであったため、被害の数も多くなりました。

 

WordPress利用の際に行うべきセキュリティ対策

WordPressは便利なものですが、セキュリティ対策を怠れば、サイバー攻撃の被害に遭う可能性もあります。以下に取り上げるセキュリティ対策を行い、リスクを減らしましょう。

 

・WP本体・テーマ・プラグインのバージョンを常に最新にする

WordPressの動作環境に関わる全てのものを最新のバージョンに保ちます。
WordPress本体や、テーマ・プラグインのアップデートには、バグ修正だけではなく、脆弱性への対応が含まれます。そのため、特に理由が無い限り、アップデートされたものはすぐに更新するのを習慣にしましょう。
自動アップデート機能もありますので、こまめにチェックする余裕が無い場合は、この機能をオンにしておくのもおすすめです。

 

・不要なテーマ・プラグインは削除する

前段で紹介したテーマ「OneTone」などは開発者がアップデート対応をしなかったことで被害が拡大しました。
有効化していないテーマやプラグインだとしても、インストールしたまま放置していると、その脆弱性を突かれる可能性があります。そのため、利用しないテーマやプラグインに関しては、削除しておきましょう。

 

・ログインページをデフォルトから変更する

WordPressのログインページは、初期状態のままだと簡単にログインページを特定できます。

https://ドメイン名//wp-admin/
もしくは
https://ドメイン名//wp-login.php/

そのため、デフォルトのログインページからURLを変更することも有効なセキュリティ対策です。ログインページのURLを変更することで、悪意のあるユーザーがログイン画面にたどり着きにくくなります。
WordPress本体には、ログインページを変更する機能はありませんので、専用のプラグインを用いる必要があります。

 

・ID・パスワードを強化(画像認証・二段階認証)にする

ログイン画面にたどり着かれた場合でも、簡単に突破されないよう、ID・パスワードを複雑にすることも重要です。ログインパスワードは、小文字、大文字、記号や英数字を混ぜ、簡単に思い浮かばないものに設定します。なるべく長く、複雑なものにすることが有効です。

また、画像認証や二段階認証を実装すると、より不正アクセスを防ぎやすくなります。WordPressの機能に、画像認証や二段階認証は無いため、セキュリティ対策関連のプラグインを導入して実装します。

 

・IP制限をかける

WordPressのログインページにIPアドレス制限をかけるのも有効です。例えば、自社オフィス以外のIPを受け付けないように設定を変更することで、不正なアクセスを防げます。

 

・定期的に国内外で発見された脆弱性を把握する

国内外で発見される脆弱性の情報に定期的に目を通すことも必要です。新たに発見された脆弱性に速やかに対応することで、セキュリティを高めることができます。脆弱性を確認できるサイトには以下のようなものがあります。

▼脆弱性を確認できるサイト

・WAFを導入する

WAFとは、「Web Application Firewall」の略です。外部からの攻撃を検知してWebサイトを防御できます。悪意を持った攻撃と判断された場合は、自動的に通信が遮断されるので、クロスサイトスクリプティングやSQLインジェクションなど、WordPressの脆弱性を突いた攻撃を防ぐ効果があります。WAFを導入することで、Webサイトの改ざんや個人情報漏えいのリスクを減らしましょう。

 

まとめ

WordPressは便利なCMSですが、脆弱性を突いた攻撃を受けることがあります。WordPress本体だけでなく、テーマやプラグインも常に最新の状態に保つことで、安全性を高められます。また、セキュリティ対策にはWAFの導入も有効です。
ペンタセキュリティの「Cloudbric WAF+」は、クラウド型のWebセキュリティプラットフォームです。CVEソース基盤に対応しており、新種や亜種の脆弱性にも速やかに対応できます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

アイキャッチ_SQLインジェクションとは 攻撃の仕組みや被害例、対策方法を解説

SQLインジェクションとは? 攻撃の仕組みや被害例、対策方法を解説

Webサービスが広く普及するなか、脆弱性が放置されているWebサイトやWebアプリケーションが少なくないのが現状です。この脆弱性をついて第3者がSQL文を挿入し、データベースへ不正にアクセスしたりデータを改ざんしたり、情報を盗み取ったりするSQLインジェクションの被害が増加しています。本記事では、こうしたSQLインジェクションの仕組みや被害例、効果的な対策について解説します。

 

SQLインジェクションとは?

「SQLインジェクション」とは、第3者がWebサイトの脆弱性を悪用し、データベースへの不正なアクセスやデータの改ざん、情報窃取などを企むサイバー攻撃です。

「SQL(Structured Query Language)」は、最も普及しているデータベース言語のひとつです。ISO(国際標準化機構)によって標準化されており、データベースを操作・制御します。

SQLインジェクションでは、脆弱性が放置されたWebサイトの入力フォームや検索ボックスなどの入力欄に、不正な操作をさせるためのSQL文を挿入することで、データの削除や窃取、システムの認証を回避して不正にログインといった被害を発生させます。

関連記事:2023年のサイバー攻撃における代表的な事例や被害額まとめ

近年SQLインジェクションは増加傾向にあり、2023年1~3月には前年同期比で1.5倍もの被害件数が報告されています。
(参照元:株式会社サイバーセキュリティクラウド「『SQLインジェクション』が前年同期比で+150%増加 ~2023年1-3月『Webアプリケーションを狙ったサイバー攻撃検知レポート』を発表~」)

また、IPAの調査によると、2023年の脆弱性の種類・影響別累計届出件数において、SQLインジェクションは2番目に多く報告されています。
(参照元:IPA「ソフトウェア等の脆弱性関連情報に関する届出状況[2023年第3四半期(7月~9月)]」)

 

SQLインジェクション攻撃の仕組み

ユーザーがWebサイトのフォームに情報を入力した際、通常は入力値に基づいて、サーバに送信される適切なSQL文が生成されます。そのSQL文に従ってデータベースが操作され、適切な結果がユーザーに返ってくる仕組みです。

しかしWebサイトに脆弱性がある場合、悪意を持った第3者が入力欄から不正なSQL文を挿入すると、そのSQL文によってデータベース内のデータの改ざんや個人情報の窃取といった不正な操作が行われてしまいます。

 

SQLインジェクション攻撃の被害例

 

・情報が盗まれる

情報漏えいは、SQLインジェクションの代表的な被害のひとつです。
例えば、顧客の個人情報や企業の機密情報などの漏えいも多数発生しています。IDやパスワードの流出によりアカウントが乗っ取られたり、クレジットカード情報が悪用されて不正送金の被害に発展したりする恐れもあります。

 

・データベースのデータが改ざん・削除される

SQLインジェクションによるデータの改ざんでは、ECサイトにおける商品の紹介文や価格が書き換えられてしまうといった事例があります。Webサイトに偽の情報が掲載されていると企業の信用が損なわれてしまいます。
また、データベース内のデータをすべて削除・破壊される攻撃を受けて、事業継続が難しくなるケースもあります。

 

・Webサイトを改ざんされる

不正なSQL文の命令によってサーバのファイルが書き換えられ、Webページが改ざんされてしまうこともあります。閲覧するとマルウェアに感染してしまう悪質なサイトのURLがページに埋め込まれ、ユーザーがその悪質なサイトに誘導されてしまうという被害も報告されています。

 

・攻撃の踏み台にされる

SQLインジェクションによって乗っ取られたメールアカウントからスパムメールを大量に送付するなど、攻撃に利用されてしまうこともあります。
また、SQLインジェクションでバックドアという侵入経路がサーバに仕掛けられることで、知らないうちに別のサーバを攻撃する踏み台にされてしまう事例もあります。

 

SQLインジェクションの対策方法

SQLインジェクションの被害を受けてしまうと、企業価値の毀損やブランド力の低下など、大きな影響を及ぼします。従ってセキュリティの強化対策は、企業の将来性を左右する重要なポイントです。以下で、SQLインジェクションへの対策方法4点を紹介します。

 

・1. プレースホルダを利用する

Webサイト画面の入力値がそのままSQL文として読み込まれると、悪意のある第3者が入力した不正なSQL文が、そのまま実行されてしまいます。この問題を解決するには、プレースホルダを使ってSQL文を組み立てるのが有効です。
プレースホルダとは、SQL文の変数部分に当てはめる記号のことです。プレースホルダを入れることで、変数部分と操作命令に関わる特殊な文字列の部分がそれぞれ確定します。こうすることで、変数部分に特殊な文字列が入力されて不正なSQL文を生成しようとしても無効化できます。

プレースホルダは、次に解説する「エスケープ処理」と組み合わせることで、さらなる安全性を目指せます。
(参照元:IPA「安全なSQLの呼び出し方」)

 

・2. エスケープ処理 を行う

エスケープ処理とは、プログラム言語で利用される特殊な文字列や記号を、ルールに従って別の文字列に置き換えることです。SQLインジェクション対策の場合は、「シングルクォート(‘)」や「セミコロン(;)」などの記号が対象になります。

第3者によって挿入された、不正なSQL文に含まれる特定の文字列や記号を変換・削除し、攻撃を無効化します。なお、データベースごとに特殊記号の扱いは異なるので、それぞれのデータベースに合わせた対策が必要です。

 

・3. 動作環境をすべて最新に保つ

Webサイトを構築するためのCMS(WordPressなど)やOS、Webアプリケーションなど、すべての環境を最新の状態にアップデートすることも効果的です。

これらのアップデートは、バグ解消や機能追加だけではなく、脆弱性への対応も含まれています。サイバー攻撃は脆弱性を狙うため、動作環境をすべて最新の状態を保つことで、セキュリティを強化できます。

 

・4. WAFを導入する

「WAF(Web Application Firewall)」を導入すると、サーバに対して悪意のある通信が行われた場合は、自動的に通信をシャットアウトしてくれます。従来のファイアウォールでは防ぎきれなかった、Webサイトの脆弱性への攻撃防止が可能です。特にクラウド型のWAFであれば、常に自動で最新のセキュリティ環境を維持できます。

 

まとめ

SQLインジェクションの被害は近年増加しています。有効なセキュリティ対策方法としては、プレースホルダやエスケープ処理 の利用、動作環境のアップデート、WAFの導入などが挙げられます。

ペンタセキュリティのWAF、「Cloudbric WAF+」は、クラウド型のセキュリティプラットフォームです。常に最新のセキュリティ環境を維持できるので、SQLインジェクション対策にも役立ちます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

all3_1200_628_2

【オンラインセミナー】3月5日(火)13:00より「ITトレンドEXPO2024」にて講演

 

このたび、2024年3月5日(火)から開催されるオンライン展示会「ITトレンドEXPO2024」にて、講演を行うことが決定いたしました。

 

■「ITトレンドEXPO2024」概要

ITトレンドEXPOは、株式会社Innovation&Co.の運営する法人向けIT製品の比較・検討サイト「ITトレンド」が主催する業界最大級のオンライン展示会です。「ビジネスシーンに、新たな出会いを。」をコンセプトに、DX化をテーマにしたセッションや展示エリアを強化するとともに、ビジネスのテーマでもあるIT化や効率化など、課題を解決できる製品やサービスにも触れることが可能です。

 

  • 名称:ITトレンドEXPO2024
  • 開催日時:2024年3月5日(火)〜 3月8日(金)※ライブ配信による開催
  • 費用:無料
  • 主催:株式会社Innovation & Co.
  • 視聴申込:https://it.expo.it-trend.jp/

 

■セッション概要

近年、パブリッククラウドの利用は、ビジネスの効率化と価値創出の肝になっていますが、同時にサイバー攻撃リスクを回避するためにはセキュリティ対策を十分に考慮する必要があります。パブリッククラウドは「責任共有モデル」を採用しており、データやアプリケーションのセキュリティは企業自らが意思決定と施策を行わなければなりません。

本セッションでは、AWSを活用している企業のWebセキュリティにフォーカスして、情報システム部門がリーダーシップを発揮するために必要な3つのポイントを取り上げながら、クラウドネイティブな選択肢であるAWS WAF活用時のセキュリティ課題とベストプラクティスを紹介します。

 

  • タイトル:押さえておきたい!AWS WAF活用時のセキュリティ課題とベストプラクティス、企業リーダーシップの重要性
  • 講演日時:2024年3月5日(火)13:00~13:30
  • 講演者:日本法人代表取締役社長 陳 貞喜
  • 詳細:https://it.expo.it-trend.jp/session/time#session-239
image_CloudFront

Amazon CloudFrontとは? 料金やメリットを解説

「Amazon CloudFront」は、コンテンツ配信において近年注目されているAWSのサービスです。この記事では、Amazon CloudFrontのサービスの概要をはじめ、Amazon S3やAWS ELBとの違いについて解説します。また、導入することで得られるメリットや、基本的な料金体系も併せて紹介しますので、気になる方はぜひ参考にしてみてください。

 

Amazon CloudFrontとは?コンテンツを安全に配信できるネットワークサービス

Amazon CloudFront(以下、CloudFront)は、静的あるいは動的コンテンツファイルを直接サーバーから配信するのではなく、仲介してユーザーに配信するサービスです。コンテンツファイルには、動画やアプリケーションなども含まれます。

CloudFrontは、安全にコンテンツを配信できるようになっています。たとえば、高度なSSL機能が自動的に有効となっています。コンテンツに対するアクセス制限を設けたり、AWS の各種機能と連携したりすることも可能です。

また、コンテンツファイルを世界中にあるエッジサーバーにキャッシュさせておくことで、オリジンサーバー(コンテンツの配信元となるサーバー)の負担を減らせるのも大きなメリットです。

 

・CloudFrontとS3の違い

AWSのCDN(コンテンツデリバリネットワーク)サービスであるCloudFrontと違い、「Amazon S3(以下、S3)」は同じAWSでも、オブジェクトストレージサービスのことを指します。そのため、似ているようで目的が異なるサービスと認識しておく必要があります。

通常、S3だけではオリジンサーバーのみでしかオブジェクトを配信できません。しかし、CloudFrontを併用することで、エッジサーバーを利用できるようになります。CloudFrontとS3とを併用して、Webサーバーとして使用する例はよく見られます。

 

・CloudFrontとELBの違い

AWSで提供されているサービスでいえば、「AWS ELB」とどのように異なるのかも気になるところです。両者は、そもそも目的や機能が異なります。

まずCloudFrontの場合は、先に述べたように、CDN(コンテンツデリバリネットワーク)サービスです。静的あるいは動的なコンテンツを、高速かつセキュアにエンドユーザーへ提供することが主な目的となっています。

一方のAWS ELBは、いわゆるロードバランサーサービスです。複数のAmazon EC2インスタンスやコンテナにトラフィックを分散し、可用性や耐久性を向上させるのが主な目的となっている点で、大きく異なります。

 

CloudFrontを構成する主な機能

 

・オリジンサーバー

オリジンサーバーとは、Webアプリケーションやデータベースサーバーなど、コンテンツの本来のソースを格納するサーバーのことです。CloudFrontのオリジンサーバーには、Amazon EC2・S3・オンプレミスサーバーを指定できます。現状使用しているオンプレミスサーバーを指定することも可能です。

 

・ディストリビューション

ディストリビューションとは、ドメインにあてられるCloudFrontの設定のことです。CloudFrontではインスタンスを起動する際、使用するオペレーティングシステムとそのバージョンを指定することが必要です。その際にディストリビューションを作成します。

 

・エッジロケーション

エッジロケーションとは、世界中において物理的に配置されたデータセンターを指します。Amazon CloudFront CDN(コンテンツデリバリネットワーク)の一構成要素となっています。

近くにサーバーがあるため、コンテンツを世界中のエンドユーザーへ迅速に提供できるようになるのがメリットです。また、わざわざ元のオリジンサーバーにアクセスする必要がなくなるため、オリジンサーバーに負荷がかからない点も魅力的です。

 

・Behavior(ビヘイビア)

Behavior(ビヘイビア)とは、特定のパスパターンや条件に基づいて、振り先(オリジン)を変えられる機能です。CloudFrontでは「images/.jpg」や「api/」など、ファイルパターンを限定したものも設定できます。

 

CloudFrontのメリット

CloudFrontを使うことで、さまざまなメリットが得られます。ここでは、代表的な3つのメリットについて解説します。

 

・海外からのアクセスも低遅延で配信できる

先に述べたようにCloudFrontは、世界中にエッジサーバーがあるのが特長です。そのため、海外からのアクセスにも低レイテンシー(遅延)で配信できます。海外ユーザーにも高いパフォーマンスでストレスなく快適にコンテンツサービスを利用してもらえるのは、大きなメリットです。

 

・コストを削減できる

AWSのサービスは従量課金制となっています。自社にとって真に必要なサービスにだけ料金を支払えばよく、余分な機能にかかる費用を抑えられます。効率よくコスト削減をめざしたい場合にもおすすめです。

 

・セキュリティ性能を高められる

SSL/TLS暗号化が自動で有効化される点も、CloudFrontの注目すべきポイントです。AWS WAF(AWSのWebアプリケーションファイアウォール)との連携も可能なため、セキュリティ性能をより強化できます。

 

CloudFrontの料金

CloudFrontの料金は従量課金制なため、利用する量や地域によって料金が異なります。たとえば、課金対象として挙げられているのは次のような内容です。

  • 「オリジンへのリージョンレベルのデータ転送(アウト)」における日本価格は、1GBあたり「0.060 USD」となっています。
  • 「HTTPリクエスト」における日本価格は1万件あたり「0.0090 USD」、「HTTPSリクエスト」では1万件あたり「0.0120 USD」です。
  • 「インターネットへのデータ転送(アウト)」では、10TBまでなら1カ月単位1GBあたり「0.114 USD」、次の40TBまでなら「0.089 USD」といったように段階が分かれていき、5 PB 超で「0.060 USD」となっています。扱うデータ量が多ければ、1GBあたりの料金は安価になるためお得です。

なお、導入時の初期費用や維持費などはかかりません。

参考:AWS「Amazon CloudFront の料金

 

まとめ

Amazon CloudFrontは、コンテンツ配信を行う際に仲介してユーザーに配信するCDN(コンテンツデリバリネットワーク)サービスです。導入すると、さまざまなメリットを受けられます。たとえば、海外からのアクセスでも低遅延を実現できるほか、低コスト化やセキュリティ強化を図ることも可能です。また、必要なデータ量だけ使える従量課金制となっているのも注目すべきポイントです。

 

▼AWS WAFに特化した運用サービス「Cloudbirc WMS for AWS」はこちら

▼製品・サービスに関するお問い合わせはこちら

20240208_pentasecurity_banner

【ウェビナー】2月8日開催「AWSへの移行時の鍵、セキュリティの設定は最適ですか?」

 

2024年2月8日(木)にオンラインセミナー「AWSへの移行時の鍵、セキュリティの設定は最適ですか?~AWSに特化した運用代行サービスの選び方とAWS WAFの適切な運用や対策について解説」を開催いたします。

クラウドへの移行は、ビジネスの効率化と拡張の鍵です。中でも「AWS」はその柔軟性と拡張性、付帯している機能・サービスの多様さ等から、多くの企業が採用する主流の選択肢となっています。導入や運用に関しては、外部に委託する場合も多いですが、「任せておけば安心」というわけにはいきません。本セミナーでは、AWSを活用したい企業に対して【AWS運用代行サービスの選び方】に加え、いま最も注目されている【AWS WAFの適切な運用と対策】についてご紹介します。

AWSを使ってみたい、既に利用しているものの最適化していきたい、管理体制を再構築したい、セキュリティ設定を確認したいなど、AWSの運用やセキュリティリスクに不安を抱えているユーザー企業の方はぜひご参加ください。

 

■日時:2024年2月8日(木)14:00~15:00

▽お申し込みはこちら

image_EC2

Amazon EC2とは? わかりやすく機能や料金、作成手順を解説

AWS(Amazon Web Services)は世界三大クラウドサービスの一角を担うとともに、クラウド市場においてトップシェアを誇るサービスです。そんなAWSを代表するサービスとして知られるのが、Amazon EC2(Amazon Elastic Compute Cloud)です。近年、システム環境のクラウドマイグレーションを推進する企業が増加傾向にあり、Amazon EC2をITインフラの運用基盤に選択する企業が少なくありません。そこで本記事では、Amazon EC2の概要やメリットについて解説します。

 

Amazon EC2とは?AWSが提供する仮想サーバー

Amazon EC2とは、AWS上に仮想化されたサーバーを構築するサービスを指します。Amazon EC2は、AWSに搭載されるIaaS型のサービスのひとつで、ハードウェアを導入することなくクラウド上にサーバーを構築できる点が最大の特徴です。物理的なサーバーやネットワーク機器が不要なため、ITインフラの構築における初期費用と、保守・運用の管理コストを大幅に削減できます。

 

Amazon EC2の主な機能

・インスタンス
Amazon EC2で作成された仮想サーバー

・インスタンスタイプ
CPUやメモリなどの組み合わせをタイプ別に選択する機能

・インスタンスストア
一時的なストレージとして使用する揮発性のブロックストレージ

・Amazon マシンイメージ(AMI)
EC2インスタンスの構築に必要な起動テンプレート

・セキュリティグループ
EC2インスタンスに設定できる仮想ファイアウォール機能

・キーペア
「公開鍵」と「秘密鍵」を組み合わせて情報セキュリティを高める機能

・タグ
独自のメタデータを割り当てて検索性を高める機能

・Virtual Private Cloud(VPC)
パブリック環境から分離された領域に、仮想化されたプライベートネットワークを構築する機能

インスタンスとは、オブジェクト指向プログラミングのクラス定義に基づいて実体化されたオブジェクトを指します。簡単にいえば、設計図(クラス)を具現化した実体を指し、Amazon EC2では実際に作成された仮想サーバーを意味する概念です。そしてAmazon EC2では、複数のインスタンスタイプが用意されており、自社の要件に適したタイプを選択します。

また、クラウドコンピューティングはパブリック環境でITリソースを共有するという性質から、セキュリティの脆弱性を懸念する声が少なくありません。Amazon EC2はその点、セキュリティグループ機能によって仮想化されたファイアウォールを設置し、トラフィックやログインを制御するとともに、キーペア機能やVPCによって強固なセキュリティ性を確保します。

 

Amazon EC2 を活用するメリット

 

・サーバー構築にかかる時間を削減できる

サーバーをオンプレミス環境に構築する場合、要件定義・基本設計・詳細設計・構築・実装・テスト・運用・保守という膨大なフローが必要です。

Amazon EC2は、AWS上で「インスタンスを起動」をクリックし、AMIやインスタンスタイプを選択することで、簡単にサーバーを構築できます。また、物理的なITインフラの運用・保守にリソースを割く必要がない点も大きなメリットです。

 

・状況に合わせてスペックを選択できる

Amazon EC2のスペックは、基本的にインスタンスタイプで決定されます。選択するインスタンスタイプによってCPUやメモリの組み合わせが異なり、要件に応じて自由にスケールアップ、もしくはスケールダウンが可能です。サーバーの負担が増加する繁忙期や、リソースの利用量が異なる時期に合わせてスペックを変更できるため、コスト面の最適化を図りながらリソースを無駄なく活用できます。

 

・仮想サーバーの冗長化を簡単に行える

ITインフラの可用性を確保するためには、サーバーの冗長化が必要です。オンプレミス環境でサーバーの冗長化を実行する場合、ハードウェアの導入にコストと手間を要するのはもちろん、管理スペースの増設や運用・保守コストの増大を招きます。

Amazon EC2は、冗長化に必要なネットワークをAWS上に構築できるため、オンプレミス環境と比較すると、短期間で冗長化を図れる点が大きなメリットです。

 

・インスタンスにかかる負荷状況に合わせて自動的に調節できる

オンプレミス環境でITインフラを運用する場合、トラフィックを予測してサーバーのスペックを設計しなくてはなりません。その場合、需要を見誤ってトラフィックの負荷にサーバーが耐えられなくなったり、反対に過剰スペックによってコストが無駄になったりする可能性があります。

AWSでは、Amazon EC2 Auto Scalingと呼ばれるサービスが用意されており、仮想サーバーの負荷状況に応じてEC2インスタンス数を自動的に増減できるため、トラフィックに見合ったスペックを維持できます。

 

Amazon EC2の料金体系

 

・オンデマンドインスタンス

オンデマンドインスタンスは、稼働時間に応じて料金が発生する基本的なプランです。いわゆる従量課金制の料金体系であり、EC2インスタンスを稼働していない時間は、原則としてコストが発生しません。長期間の契約や初期費用が必要ないため、開発段階にあるアプリケーションの運用や、短期間の利用に適している料金体系です。

 

・Savings Plans

Savings Plansは、1年または3年の期間で特定の使用量を契約するプランです。長期契約を結ぶ代わりに、オンデマンドインスタンスよりも割安で運用できます。サーバーレスのプログラム実行環境を提供するAWS Lambdaや、コンテナをサーバーレスで実行できるAWS Fargateなどとの併用も可能で、使用量が一定以下かつ利用期間が確定している場合に適した料金体系です。

 

・Amazon EC2 スポットインスタンス

AWS上の使われていない余剰のリソースを利用して、EC2インスタンスを利用するプランです。Savings Plansと同じく、オンデマンドインスタンスと比較して割安で運用できる料金体系となっています。ただし、割引料金でお得に利用できる反面、状況によってはインスタンスを起動できなかったり、途中で中断されたりする可能性がある点に注意が必要です。

 

Amazon EC2のインスタンス作成手順

  1. セキュリティグループを作成する
  2. Amazon EC2インスタンスを作成する
  3. インスタンスにSSH接続を行う

まずは、EC2インスタンスに設定できる仮想ファイアウォール機能のセキュリティグループを作成します。次にAmazon EC2を起動して、管理画面の「インスタンスを起動」をクリックし、「AMIの選択」→「インスタンスタイプの選択」→「キーペアの作成」に移行します。その後、「ネットワーク」と「ストレージ」の設定を実行して、EC2インスタンスの作成完了です。EC2インスタンスの作成完了後は、公開鍵・秘密鍵を発行してSSH接続をします。

 

まとめ

Amazon EC2は、AWS上に仮想サーバーを構築するサービスです。ハードウェアを導入することなくクラウド環境にサーバーを実装できるため、ITインフラの構築・運用における初期費用と管理コストを大幅に削減できます。

ただし、近年はアプリケーション層の脆弱性を突くサイバー攻撃が巧妙化しており、パブリック環境でITリソースを運用する際は、WAFの導入が推奨されます。AWSには、SQLインジェクションやDDoS攻撃からアプリケーション層を保護するAWS WAFというサービスがあるものの、Amazon EC2と連携するためには専門的な知識と技術が必要です。

Amazon EC2とAWS WAFの連携を検討中の企業様は、AWS WAFの導入から運用に至る一連のサイクルを専門家がサポートする、「Cloudbric WMS for AWS」をぜひご利用ください。

 

▼Cloudbirc WMS for AWSについて詳しくはこちら

▼製品・サービスに関するお問い合わせはこちら

image_isecurity_trend_2024

情報セキュリティの最新トレンドは? 2024年の予測と行うべき対策

近年はサイバー攻撃の手段が巧妙化し、生成AIやディープフェイクを悪用したなりすましによる被害が報告されています。また、間近に迫るオリンピックや選挙などを前に、サイバー攻撃の脅威は増す一方です。本記事では、そうした攻撃から自社の情報を守るために、企業が講じるべき対策と、2024年の情報セキュリティのトレンドを解説します。

 

情報セキュリティ・サイバー攻撃の最新トレンドは?

サーバー攻撃の手口は巧妙化しており、攻撃者はあの手この手でさまざまな攻撃をしかけています。企業側も、サイバー攻撃の最新トレンドを把握して対策を講じることが必要です。そこで、ここからは近年新たに登場してきたサイバー攻撃の手口を紹介します。

 

・暗号化せず情報を窃取する

これまでは、不正に侵入した端末内やシステムのデータを勝手に暗号化して使用不可能な状態にし、身代金を要求するランサムウェアという手口が知られていました。しかし、近年新たに被害が確認されているのが、暗号化せずにデータを窃取する「ノーウェアランサム」という手口です。端末・システムの内部侵入後にデータを盗み、それを流出させない対価として身代金を要求する点ではこれまでと同様ですが、データの暗号化はしません。そのため、通常のランサムウェアよりも手間がかからず、警察庁では今後この手の攻撃が増える可能性があるとして警戒を呼びかけています。
また、暗号化されないため業務が中断されることもなく、被害の発生に気づきにくいのも特徴です。暗号化されてしまえば企業側は否応なしに被害の公表を余儀なくされます。ノーウェアランサムは被害に遭ったことがバレたくないという企業側の心理をついているといえるでしょう。
対策としては、アンチウイルスソフトやEDRといった通常のランサムウェア対策に加え、フィルタリングやアクセス制限、脆弱性の管理などによってセキュリティ対策を全社的に強化することが重要です。

参考:警視庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について

 

・クラウドを狙う

業務効率化を目的にクラウドアプリを利用する企業や組織が増えていますが、インターネットを経由したサービスであるためにセキュリティ面でのリスクも伴います。クラウド環境におけるアクセス権限の設定ミスやセキュリティの脆弱性によって、本来は公開されるべきでない情報が流出してしまう事例は珍しくありません。
近年ではクラウドの情報管理の甘さを狙って不正アクセスし、暗号資産のマイニングに悪用する「クリプトジャッキング」という手口も広がっています。端末の電源やクラウドの空き容量を第三者が勝手に利用して行われるため、業務での使用中に大量のリソースが消費され、端末の停止などを引き起こす恐れがあります。

 

・AIを悪用する

さまざまな分野で活用が進んでいるAIですが、残念なことにマルウェアの開発を加速する目的でも悪用されています。たとえば、フィッシング詐欺のメール文面をChatGPTなどの生成AIに代筆させることで、より説得力のあるメールが短時間で書けるようになるほか、動画に映る人物の顔を入れ替えるディープフェイク技術や音声合成技術を悪用して他人になりすまし、金銭を脅し取る犯罪などが実際に報告されています。こうした手口が大々的に広まると、企業や政府の社会的な信頼が損なわれる恐れもあり、近年の社会問題となっています。
AIを活用すればネットワークやシステムの脆弱性を検知することも可能です。これまでは企業側がセキュリティ対策に活用してきた技術ですが、これを悪用すればより高度な方法でのサイバー攻撃が可能になります。こうした脅威を完全に防ぐことは困難であるものの、AIを使った攻撃に対してはAIを活用し、機械学習によって必要な対策をその都度講じていくことが求められます。

 

・選挙やオリンピックに関連して攻撃する

サイバー攻撃は選挙やオリンピックなど社会的なビッグイベントを狙って増える傾向にあります。実際に東京オリンピック2020では、大会期間中、運営に関わるシステムやネットワークに対して4億5,000万回ものサイバー攻撃がありました。これはロンドン大会(2012年)の2倍以上の数字で、2024年のパリ五輪でも多くの攻撃が予想されています。具体的な攻撃の一例として、マルウェアが仕込まれた「サイバー攻撃の被害報告について」という名前のファイルを添付したメールが関係者に送られていたことや、運営委員会に大量のデータを送りつけるDDoS攻撃などが報告されています。
また、2024年には台湾総統選やアメリカ大統領選が控えており、AIやディープフェイクを使ったなりすまし、フェイクニュースの増加が想定され、混乱や分断を避けるための対策が必要です。

 

2024年のセキュリティ対策予測と行うべき対策

進化するサイバー攻撃による被害を防ぐために、企業や組織はどのような対策を行えばよいのでしょうか。

 

・AIを活用したサイバー攻撃対策が求められる

前述の通り、攻撃者はChatGPTのような生成AIをサイバー攻撃に利用していることがわかっています。ウイルスを仕込んだメールの自動送信なども普及しており、今後もAIを活用したサイバー攻撃が増えることが予想されます。影響を軽減するためには、インシデントレスポンスと復旧計画の強化が重要です。また、CSPMやCSPなどのツールを活用してクラウドの管理および監視を継続的に行う、機密情報を暗号化するなどの対策も求められます。

 

・サイバー保険が注目される

サイバー保険とは、サイバー攻撃によって生じる経済的な損失から、企業や個人を保護するための保険のことです。顧客情報の漏えいなどによって第三者に被害が及んだ場合の損害賠償責任や事故対応費用、訴訟費用、自社の損失利益などの補償が含まれています。
マーケッツアンドマーケッツ社の調査では、世界におけるサイバー保険の市場規模は2023年の103億ドルから2028年には176億ドルに成長すると予測しています。国内でも注目され始めており、大手保険会社を中心にサイバー保険の取り扱いが進んでいる状況です。

参考:マーケッツアンドマーケッツ社
https://www.marketsandmarkets.com/Market-Reports/cyber-insurance-market-47709373.html

 

・ゼロトラストセキュリティの考え方が普及する

ゼロトラストとは、文字通り「何も信頼しない」という考え方を前提としたセキュリティ対策のことです。ネットワーク内のすべてのデバイスやユーザーを信頼せずにセキュリティ対策を講じます。
従来は危険な外部と安全な内部のネットワーク間に境界を設け、境界の外側からくる脅威をブロックするセキュリティが主流でした。それが近年では、社内のユーザーであっても無条件に信用せず、その都度アクセスを確認し、認証を行う方法に変化しています。ゼロトラストを前提とすることで、不正アクセスや情報の持ち出しのリスクも最小限に抑えることが可能です。

 

まとめ

AIを活用したサイバー攻撃が増える中、企業側としてもAIを活用してセキュリティを強化する必要があります。近年のサイバー攻撃は手口が高度化しており、被害の発覚が遅れがちです。ゼロトラストの概念に基づき、社内外におけるすべてのアクセスをその都度、管理・監視する対策が必要です。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら