クラウドサービスを簡単に探し、情報収集できる検索サイト「クラウドレーダー」にて、社内にセキュリティ専門家がいなくても手軽に運用・導入できるCloudbric WAF+が紹介されました。
・掲載日:2022年8月24日
・掲載記事:詳細はこちらをご覧ください。
ご興味のある方はぜひご覧ください!
Console
|
C製薬会社
| 業種 | 医薬品製造業及び卸売業 |
| 規模 | 大企業 |
※本事例は、お客様のご希望により匿名で掲載しております。
今の時代、企業サイトはその企業の「顔」だと思っています。企業にとってWebサイトは、単に企業情報、サービスや製品情報などをお客様に周知させる役割だけでなく、企業のアイデンティティやビジョンを伝える役割も果たしています。まさに、企業イメージを向上させる重要な戦略となりました。だからこそ、Web攻撃によりアクセスが不可能になったり、セキュリティ事故につながったりすることだけは絶対に避けたい。巨大な金銭的損失にとどまらず、企業のイメージや信頼失墜に直結してしまい、回復するには相当な時間が必要となるでしょう。情報担当者としては、それを想像するだけで背筋がぞっとします。(C製薬会社 情報システム担当者)
WAFを導入したきっかけ
「Webサイトを24時間365日安全に運用・管理したい」
弊社のビジネスにおいて、Webサイトのセキュリティは極めて重要です。患者様とそのご家族、医療関係者様、株主様、投資家様への情報提供を筆頭に、臨床試験の参加者の募集や研究開発サイトの運用など、すべての作業がWebサイト上で行われています。よって、24時間365日絶え間なくWebサイトを安全に管理・運用することが我々にとっての最大な課題です。そこで、Webサイトのセキュリティ体制を整えるとともに、高度化が続くWeb攻撃をしっかりと防御できる対策でありながら、利便性を確保できるクラウド型WAFに興味を持つようになりました。
クラウドブリック(Cloudbric)を選択した理由
「高精度の検知能力で今まで見つからなかった攻撃パターンも検知」
クラウドブリックを導入する前には他社の製品を使っていました。広く知られている国産のクラウド型WAFサービスだったため、日本語の対応がしっかりとできるということがメリットで、利用する際も特に不便なところはありませんでした。
しかし最近にはWeb攻撃の手口がさらに巧妙化し攻撃回数も増回傾向にある反面、新規・検知漏れの攻撃パターンが検知できないという限界や例外処理の設定が難しい部分がありました。そのため現在のセキュリティ対策を再チェックした結果、新しいWAFの導入を検討する必要があると判断しました。その後、IT製品比較サイトでの調査を通じていくつかの候補製品を選定しました。その中でクラウドブリックの場合、無償トライアル制度を通じて機能などを十分にチェックしました。また製薬業界の導入実績の有無ところなど様々な観点から検討したので、最終的にクラウドブリックの導入を決定しました。
クラウドブリック(Cloudbric)の導入効果
「未検知の攻撃までしっかり検知・遮断 、業務効率も向上」
クラウドブリックの高精度の検知エンジンにより、未検知の攻撃を含め今まで検知できなかった様々な攻撃パターンがしっかり検知・遮断されるようになりました。これまで大きい事故が発生したことはありませんが、それは今まで気づいていなかっただけで、いつ何が起こってもおかしくない状況だったという怖さを感じると同時に、クラウドブリックの精度の違いを改めて実感し、安心しました。ダッシュボードにアクセスすると検知ログの詳細や攻撃現況まで一目で確認できるため、そのまま内部担当者に渡すことも可能になり、業務効率化の面でも非常に役立っています。以前使っていた他社WAFと比べ合理的な料金と高精度のセキュリティという点に加え、お問い合わせに対するフィードバックなど、サービス面でも大変満足しています。
クラウドブリック(Cloudbric)導入を検討している企業への一言
新しいWAFの導入を決して簡単に決定したわけではありません。以前使っていたWAFに対する信頼度が下がっていたため、様々な観点から慎重に検討を重ねた結果クラウドブリックの導入までに至りました。その分、高いセキュリティ機能と合理的な価格を両立した、素晴らしいコストパフォーマンスの WAFサービスに出会ったと思います。Webサイトセキュリティを高めていきたいセキュリティ担当者の方々に、クラウドブリックは自信を持っておすすめできるサービスだと思います。
「不正アクセス等のサイバー攻撃、どのように対応するか? ~昨今多発している不正アクセス等のサイバー攻撃対策に効果的なクラウド型WAFサービスをご紹介~」ウェビナーのご案内
この度、「ペンタセキュリティシステムズ株式会社×大興通信株式会社」の合同セミナーを開催することが決定しました。
「不正アクセス等のサイバー攻撃、どのように対応するか? ~昨今多発している不正アクセス等のサイバー攻撃対策に効果的なクラウド型WAFサービスをご紹介~」をテーマに、大興電子通信株式会社からは、「昨今多発している不正アクセスなどのサイバー攻撃対策」、当社からは「サイバー攻撃対策に有効なクラウド型WAFサービスのご紹介」と、最新のサイバー脅威トレンドから具体的な対策方法まで 各社からお話させて頂きます。
オンライン(Zoom)での開催となりますので、お気軽にご参加ください!
【セミナー概要】
■主 催:ペンタセキュリティシステムズ/大興電子通信
■日 程:2022年7月28日(木) 14:00~15:00
■会 場:オンライン(Zoomウェビナー)
■参加費:無料
■申込締切: 7月27日(水) 12:30
【講演プログラム】
13:45~14:00 受付
14:00~14:05 オープニング(マジセミ)
14:05~14:15 昨今多発している不正アクセス等のサイバー攻撃対策、どのように対応するか?(大興電子通信)
14:15~14:45 不正アクセス等のサイバー攻撃対策に有効な低コストで簡単導入・運用が可能なクラウド型WAFサービスのご紹介(ペンタセキュリティシステムズ)
14:45~14:55 質疑応答
終了いたしました。
ペンタセキュリティ、手軽に導入・運用できるWebセキュリティサービスをInterop Tokyo 2022で初公開
情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、本社:韓国ソウル、以下ペンタセキュリティ)は2022年6月15日(水)から17日(金)まで3日間、幕張メッセで開催された「インターネットによる、人々のための革新と信頼Interop Tokyo 2022(以下Interop Tokyo 2022)」に出展し、選択的導入できるクラウドブリックセキュリティプラットフォーム(サービスサイト:https://www.cloudbric.jp/)を公開した。
開催29回目を迎えたInterop Tokyo 2022には393社・団体が参加し、最先端のネット技術と応用分野の動向が確認できる展示及び講演会が行われた。今回のリアルイベントには約9万人の来場客が訪れ、大盛況のうちに閉会した。ペンタセキュリティのブースにも多くの来場者が訪問し、最先端のWebセキュリティ技術や対策について興味を示した。
Interop Tokyo 2022で紹介したクラウドブリックセキュリティプラットフォームは企業のWebセキュリティに必要とされている全てのソリューションを統合された1つのプラットフォームで提供するサービスである。企業情報セキュリティの基本対策であるWAFサービス「Cloudbric WAF+」を中心に、「Cloudbric ADDoS」、「Cloudbric CDN」など、Webセキュリティ対策に必要なサービスを選択し、組み合わせて導入することで、よりセキュアなWebセキュリティ対策を講じることができる。
・専門家でなくても簡単に導入・運用できるWebセキュリティ対策
クラウドブリックセキュリティプラットフォームの中で最も注目を集めたのは「Cloudbric WAF+」であった。現場ではサービスの説明だけではなく、実運用を想定したデモも行われた。デモでは、リアルタイムでサイバー攻撃の脅威情報を確認することができる、脅威の見える化を実現したところが注目を浴びた。また、ユーザーフレンドリーなダッシュボードで操作、設定変更が容易にできることにも多くの来場者が興味を示した。
一方、AWS WAFの自動運用サービス「Cloudbric WMS」の説明や実運用を想定したデモも行われた。AWS WAFはセルフサービスであり、セキュリティに関する知識や運用できる人材が必要であるため、導入及び運用することが難しいという課題があった。Cloudbric WMSはセキュリティ専門家が導入から運用までサポートするマネージドサービスであるため、このような課題を解決した製品として認められ、多くの来場者から注目を集めた。
ペンタセキュリティ日本法人代表取締役社長の陳は「Webセキュリティは担当者が必要なほどに複雑であり、会社に合うセキュリティサービスを導入するためには、投資も必要である。中小企業はそのような資金、人材が不足しているため、セキュリティの重要性はわかっているものの、対策の導入に踏み切ることができない」とし、「今回の展示会で紹介したセキュリティプラットフォームサービスにより、リーズナブルな価格で各企業に適切なセキュリティ対策を提供することが可能になった」と述べた。
■クラウドブリックセキュリティプラットフォームについて
企業Webサイトやシステムを守るために必要とされているすべてのソリューションを統合された一つのプラットフォームで提供します。クラウドブリックセキュリティプラットフォーム上で必要なWebセキュリティサービスを備えており、必要なサービスを『選択的導入』することが可能です。企業では、自社システムに合った最適なサービス選択を行うことで、より高度なセキュリティ対策を実施することができます。より詳しい製品情報は下記のリンクをご覧ください。
プラットフォームサービスとは?:https://www.cloudbric.jp/cloudbric-security-platform/
Cloudbric WAF+:https://www.cloudbric.jp/cloudbric-waf/
Cloudbric ADDoS::https://www.cloudbric.jp/cloudbric-addos/
Cloudbric CDN:https://www.cloudbric.jp/cloudbric-cdn/
Cloudbric WMS:https://www.cloudbric.jp/cloudbric-wms/
Bブロックチェーンメディア
| 業種 | ソフトウェア開発・供給 |
| 規模 | ベンチャー企業 |
| 導入時期 | 2020年 |
※本事例は、お客様のご希望により匿名で掲載しております。
弊社の提供しているブロックチェーン技術自体がいかに安全だとしても、ブロックチェーン基盤のサービス運用がITシステム上で行われる以上、Webやアプリケーションへのセキュリティ対策をしっかりとる必要があります。(Bブロックチェーン メディア担当者)
WAFを導入したきっかけ
「Webサイトを利用するユーザの個人情報を安全に守りたい」
弊社はブロックチェーン基盤のフィンテック決済ソリューションの開発及びビジネス統合プラットフォームを運営しております。ユーザの流入を拡大するために、昨年からWebやアプリケーションなど様々な経路を通じてサービスを提供してきました。そして、ブロックチェーン基盤のサービスがいかに安全だとしても、サービスがWebサイト上で行われる以上、ユーザとの接点になるWebサイトのセキュリティを確報することが最も重要な課題だと判断しました。そこで、Webアプリケーションに対する総合的なセキュリティ対策としてWAF(Webアプリケーションファイアウォール)を導入することになりました。
クラウドブリック(Cloudbric)を選択した理由
「高い評判とダッシュボード機能、そして信頼性」
知り合いのITベンダーから勧められた製品を含み、最終的に残った候補の中の1つがクラウドブリックでした。1ヶ月の無償トライアルを通じて実際使ってみた結果、セキュリティ専門家でなくても非常に使いやい、という結論を導き出すことができました。
リアルタイムで攻撃状況を一目に確認できるダッシュボード機能と、疑わしい攻撃に対し管理画面上での1回のクリックで即遮断できるという操作の容易さが印象的でした。また、2019年には有名なIT製品の比較・検索サイトでWAF部門の1位を獲得したこと、そしてすでにクラウドブリックを導入している企業から好評を受けていることなどを考慮しつつ、慎重に検討を進め導入を決定しました。
クラウドブリック(Cloudbric)の導入効果
「サイバー攻撃を即時に検知・遮断でき、再発も防げた」
弊社の場合、サービス拡大によるセキュリティ面での不安を抱えていました。弊社のプラットフォームもまた個人情報を取り扱っているため、情報漏洩が最大の懸念事項でした。クラウドブリックの導入3ヶ月後、1日間に約5,000件に及ぶ攻撃が試されたことを知りました。しかし、クラウドブリックによりこれを即時に検知・遮断できたので、大きな事故にはなりませんでした。レポートを通じ詳しい攻撃内容を確認でき、このような攻撃の再発を防げますので、これからも安心してWebサイトの管理ができると思います。
クラウドブリック(Cloudbric)導入を検討している企業への一言
「うちは、小さな企業だからサイバー攻撃を受ける可能性は極めて低い。なぜセキュリティ対策に予算と人的リソースを投入すべきなのか」と思われる方もいるかもしれません。自分の経験からいいますと、セキュリティ対策において企業規模はさほど重要ではありません。ハッカーらは企業規模によって攻撃を行うわけではなく、わずかな隙間を発見するとそれを狙って攻撃を行うからです。むしろセキュリティ対策がしっかりできていない小さな企業だからこそ、大きな被害につながる可能性が高いと言えるでしょう。
弊社のようなベンチャー企業は、たった1回の情報漏洩事故でも経済的な損失に加え企業としての信用も損なうことになりますので、絶好のビジネスチャンスを逃すという結果につながります。そういった意味では、クラウドブリックはWebサイトを安全に守るための、Webセキュリティ対策の初めの一歩だと思います。クラウドブリックの導入こそが、中小企業に合ったリーズナブルな価格で検証されたWAFを利用できる、最善の選択だと思います。
不正アクセスの発生状況は?実情と対策まとめ
企業の不正アクセス被害が多数報道されています。個人情報の漏えいなど、企業としての信頼を失いかねない報道なだけに、注目している方も多いのではないでしょうか。そこで、今回は不正アクセスの概要と被害状況や事例に加え、不正アクセス対策について説明していきます。
不正アクセス
そもそも「不正アクセス」とは、どのような行為を指す言葉なのでしょうか。「不正アクセス」という言葉は広い意味を持ちますが、一般的には、「サーバーやシステムなどに対し、アクセスする権限を持たないにも関わらず、不正にアクセスすること」を指します。企業への不正アクセスによって想定される一般的な被害としては、情報の漏えい、システムの乗っ取り、ファイルやサイトの改ざんといったところが挙げられます。
企業の情報システムの多くは、顧客の個人情報や取引の情報など外部に公表してはならない情報を含んでいます。ECサイト等で不正アクセスが発生すると、買い物客のクレジットカード情報等の流出により、大きな被害が発生します。Webサイトへの不正アクセスが成功すると、内部の設定を改ざんし、本来の動作とは異なる動作をさせることが可能になる場合があります。例えば、サイト内に任意の罠サイトへのリンクを設置することで、ユーザのPCをウイルスに感染させたり、スクリプトを実行させる攻撃も可能となります。また、不正アクセスが発生した場合、被害にあうのが自社のシステムだけとは限りません。システムを乗っ取られた場合、そのシステムを踏み台にしてさらに外部の組織の攻撃に利用される可能性もあります。
いずれの被害も、発生した場合にはシステムの利用や業務の存続に多大な影響が生じるだけでなく、知り合いや取引先企業の信頼を失う恐れがあります。特に企業の場合には、社会的な信頼を失う大きなリスクがあり、十分な対策が必要です。狙われやすいのは個人よりも一般企業がほとんどで、重要な情報資産を保持している企業がターゲットになる可能性が高いとされています。
不正アクセスの発生原因は、システムへのセキュリティ対策の不十分さや、無線LANやセキュリティソフトの設定の不備や古さ、利用者のセキュリティ意識の低さ等が挙げられます。それらに対する対策については、後ほど詳しく解説します。
不正アクセスの発生状況
実際に日本ではどのくらいの不正アクセスが発生しているのでしょうか。総務省の発表によれば、過去数年で不正アクセスの被害は増加傾向にあると言えるようです。2017年の不正アクセス認知件数が1202件、2018年の認知件数が1486だったのに対し、2019年の不正アクセス認知件数は2960件と前年の倍以上に上がっています。2020年の認知件数2806件、2021年の認知件数1516件と、ここ2年は減少していますが、それでも年に1000件を超える不正アクセスの被害が発生しています。またそれらの認知件数の内、例年、90%以上は一般企業が受けた被害です。大学や行政機関、プロバイダにも年に数件~数十件の不正アクセス被害が発生していますが、狙われやすい一般企業のセキュリティ対策が求められています。
不正アクセスが発生した場合に、攻撃者がどのような行為を行ったのかという情報も公開されています。2021年の場合、半数近い45.7%を占めているのは、「インターネットバンキング等での不正送金等」、次いで23.0%を占めているのが「インターネットショッピングでの不正購入」です。いずれも、攻撃者の金銭的な利益に直結する行為です。その他の行為としては、「メールの盗み見等の情報の不正入手」(11.5%)、「知人になりすましての情報発信」(4.7%)、「オンラインゲーム・コミュニティサイトの不正操作」(4.3%)が続きます。
(出典:総務省https://www.soumu.go.jp/main_content/000807446.pdf)
不正アクセスの実例
ここでは、実際に起こった不正アクセスの実例についてご紹介します。
上智大学Webサイト改ざん被害
2022年2月18日頃に確認された不正アクセス被害です。上智大学の複数のウェブサイトが改ざんされ、サイトの利用者が外部のアダルトサイトへと誘導するような画面がランダムで表示される仕組みになっていたとのことです。原因としては、パスワードを特定された可能性が高いとされています。現在では、サイトは全て復旧しています。
(出典:上智大学https://www.sophia.ac.jp/jpn/news/PR/220224_web503.html)
森永製菓不正アクセス被害
2022年3月13日、森永製菓株式会社が運用する複数のサーバーに障害が発生し、第三者による不正アクセスが確認されたとのことです。被害状況としては、複数のサーバーへの不正な侵入と、一部のデータがロックされていたようです。顧客への商品発送に関する情報が含まれており、氏名や住所、電話番号、メールアドレス等が流出した可能性があります。また、サーバーへの侵入経路としては、インターネット回線に設置していたネットワーク機器の脆弱性を利用したものとされています。
(出典:森永製菓株式会社https://www.morinaga.co.jp/company/newsrelease/detail.php?no=2178)
宇都宮ケーブルテレビ株式会社情報漏えい被害
2021年11月に発生した不正アクセス被害です。宇都宮ケーブルテレビ株式会社が運営する通販サイト「いいもの、あるよ!」において、第三者による不正アクセスと、それに伴う個人情報漏えいが判明しました。システムの一部脆弱性をついた、第三者の不正アクセスにより、不正なファイルの設置と、決済用のアプリケーションの改ざんが行われたことが原因です。クレジットカード名義、番号、セキュリティコード等のクレジットカード情報の漏えいが確認されています。
(出典:宇都宮ケーブルテレビ株式会社https://aruyo21.jp/user_data/news_detail.php?id=1004)
不正アクセス対策
それでは、そうした不正アクセスに対して、企業はどのような対策を行えばよいのでしょうか。企業として講じておくべき必須の対策をご紹介します。
OS等を最新の状態に保つ
OSやアプリケーション等のソフトウェアには、日々脆弱性が見つかっています。各ベンダーは、それらの修正パッチや最新版を定期的にリリースしているため、アップデートを怠って古いバージョンのソフトウェアを利用していると、それらに潜む脆弱性を利用して不正アクセスの被害にあう恐れがあります。ベンダーの情報やセキュリティ関連のニュースに目を通し、ソフトウェアを最新の状態にしておきましょう。
ログイン方法の複雑化
不正アクセスの発生原因として多数報告されているのが、システムへの不正なログインです。パスワードの漏えいや特定により、本来アクセス権限のない第三者によるログインを許容してしまう、というものです。そのため、パスワードを特定が困難なものに設定すること、具体的には「アルファベットの大文字と小文字、数字、記号を使用した8桁以上のもの」といった、強固なパスワードポリシーを設定し、定期的にパスワードを変更する、といったことが挙げられます。パスワード以外にも、SMSや生体情報を用いた多要素認証の仕組みを実装することでログイン方法を複雑化する、という手法も有効となります。
利用者のセキュリティ意識の徹底
システムへの不正アクセスを防ぐためには、それを利用する利用者のセキュリティ意識も重要となります。パスワードの管理もその一つですが、怪しいメールを開かない、怪しいサイトにアクセスしない、といったセキュリティ意識を高く持つことで、防ぐことができる被害もあります。社員へのセキュリティ教育を行うなど、利用者のセキュリティ意識を徹底することが、企業の情報資産の保護につながります。
セキュリティサービスの導入
利用者の意識徹底や、ソフトウェアを最新版に保つだけでは、不正アクセス対策としては十分とは言えません。セキュリティサービスを導入することで、悪意のある通信やDos攻撃、Botなどを防ぐことが可能となります。
Cloudbric WAF+のご紹介
悪意のある通信やDDoS防御対策、悪性Botなどを防ぐ「Cloudbric WAF+」についてご説明します。「Cloudbric WAF+」は高性能でシステムに対する攻撃を防ぎ、Dos攻撃や悪性Botの遮断、脅威IPの遮断、新規脆弱性への迅速な対応など、多数の高機能を備えたセキュリティプラットフォームです。Webシステムを利用する全ての企業におすすめのセキュリティサービスです。
より詳しい情報を確認したい方はこちらをご覧ください。
まとめ
不正アクセスは、第三者によるシステムへの不正な侵入を指します。不正アクセスが成功すると、重要な情報の漏えいやシステムの改ざん等、企業の信頼を失いかねない被害が発生します。社員をはじめ利用者のセキュリティ意識の徹底や、ソフトウェアの管理だけでなく、セキュリティサービスの導入によって、十分な対策を講じるようにしましょう。弊社が提案する対策を参考に安全な不正アクセス対策を講じて頂ければ幸いです。
2022年ゴールデンウィーク休業のお知らせ
時下ますますご隆昌のことと存じます。
日頃より、弊社へのご支援およびご協力を賜り厚く御礼を申し上げます。
さて、2022年ゴールデンウィーク休業期間における休業および営業について、下記のとおりお知らせいたします。
■ゴールデンウィーク休業期間
2022年4月29日(金) ~ 2022年5月5日(木)
※通常業務は、2022年5月6日(金)より開始致します。
■休業期間中の対応について
Customer Support Center上での受付は通常通り行います。
なお、休業中のお問い合わせにつきましては、2022年5月6日(金)以降に順次対応させて頂きます。
大変ご迷惑をおかけ致しますが、何卒ご了承くださいますようお願い申し上げます。
今、注目すべき次世代のWebセキュリティ対策「WAAP」とは?
Web脆弱性を突いた攻撃から、Webアプリケーションを守るセキュリティ対策として多くの企業で導入されているWAF(Web Application Firewall)」。企業のクラウド活用が加速している中、悪意のある第3者は次々に新たな手口を考案しており、サイバー攻撃の手法はますます巧妙化・多角化しています。従来のセキュリティ対策では守り切れないサイバー攻撃における新たな形のWebセキュリティ対策として、WAF、DDoS対策、ボット対策、APIセキュリティなどを組み合わせたクラウド型セキュリティサービス、「WAAP」という概念が登場しました。本記事では、WAFの進化型である「WAAP」について解説しています。
ガートナー社が提唱する「WAAP」とは?
「WAAP( Web Application and API Protection )」とは、主にIT分野でのリサーチを行っている企業であるガートナー社が提唱する概念で、Webアプリケーション保護対策に加えAPI保護機能を備えているクラウド型セキュリティサービスを示します。「2021 Gartner® Magic Quadrant™ WAAP」によると、今年「WAAP」を導入している組織の割合は10%を下回っていますが、2026年までに40%へと伸びると予想されます。また、2024年までに、マルチクラウド戦略を採用している組織の約70%がクラウド基盤のWAAPを検討するようになるということで、今後WAAPがWebセキュリティ対策の新たな主流となっていくと見られます。
前述しましたが、「WAAP」はWebアプリケーション保護対策に加えAPI保護機能を備えているクラウド型セキュリティサービスとなります。WAAPには以下の4つのコア機能が含まれています。
- WAF
- ボット対策
- DDoS対策
- APIセキュリティ
また、オプション機能としてDNSセキュリティやCDNといった機能を備えているWAAPもあります。
ガードナー社では、現在サービスを提供しているWAAP製品のアナリストたちによる評価をWebサイトで紹介しています。詳細はこちらをご覧ください。
WAFがWAAPに進化していく理由とは
WAAPは、WebアプリケーションだけでなくAPIも保護対象としています。
実は、APIはWAFでも守ることが可能です。しかし、その保護が不十分であったことが、WAFがWAAPに進化していく理由の1つです。そもそもWAFでAPIが守れるのは、APIがHTTP通信を用いられ、WAFの検査対象に含まれるためです。つまり、WAFでのAPI保護は、その通信がサイバー攻撃なのかどうかを見分けるだけです。分類し、その結果に応じて危険なら通信を禁止し、安全だと判断されたら通信を許可します。
その判断基準として脆弱性を狙うサイバー攻撃かどうかを見極めますが、そもそもWAFが主な保護対象としているWebアプリケーションの脆弱性とは、アプリケーションを構成するシステムやプログラムの実装上の不備のことです。この不備を衝くサイバー攻撃はある程度パターン化しているため、そのパターンのノウハウの蓄積情報をもとに判断しているという特性を持ちます。
APIの脆弱性も実装上の不備ともいえますが、APIは取得したい情報や処理して欲しい内容をパラメータとして付与し、通信を行います。そのため、外部サービスとAPI連携の数だけ仕様が存在していることから、仕様の不備を狙うサイバー攻撃をパターン化することは事実上困難です。さらにAPI提供元が突然仕様を変更したことで、サイバー攻撃の見分けができなくなってしまう可能性もあります。そのため、API保護では下記の2つが重要です。
- 攻撃者はAPI脆弱性調査するための、一般ユーザとは異なる挙動を検出し、アラートする機能
- API通信における正常な動作をAIを用いて自動学習し、ベースラインから乖離している通信についてアノマリー検出を行う機能
現在、APIを通じて社内外のさまざまなサービスを連携することで顧客の利便性を高めつつ、事業成長に繋げる動きが進んでいることから、APIを狙うサイバー攻撃が急増しています。しかし、主にWebアプリケーションを保護対象としているWAFのみだと、サイバー攻撃の選別に時間がかかったり、誤検知や仕様変更による検知の見逃しなどが発生しているのも現状です。そのため、API保護も考慮しているWAAPの重要性が高まりつつあります。
また、悪意のある第3者によるサイバー攻撃は多角化しているため、Bot攻撃やDDoS攻撃のなかにはWAFの保護対象外のサイバー攻撃もみられます。そのため、WAAPの今後は、WAFの機能にはないボット対策やDDoS対策の機能を超えたさらなる進化もみられるでしょう。
「Cloudbric WAF+」がガートナー社によるRepresentative Providersに選定!
新たなWAAP製品・サービスが次々と誕生しています。WAAPが全く新しい概念ではないとはいえ、がWAAP製品やサービスを選ぶ基準についてはまだ明確な基準がないのも事実です。だからこそ、ガートナーにより公開された報告書内容を前提に、WAAPについて理解し、自社システムに合った対策を導入することが重要です。
ガートナーは、 「Defining Cloud Web Application and API Protection Services」において、WAAPの定義、仕組み、特長などを解説しています。また、次のように代表プロバイダー も紹介してますので、是非参考にしてみてください。
今回、弊社の「Cloudbric WAF+」が、ガードナー社のRepresentative Providers(代表プロバイダー)に選定されました。Cloudbric WAF+は、1つのプラットフォームにて WAFサービスに加え、L3/L4/L7DDoS防御、SSL証明書、脅威IP遮断、悪性ボット遮断など、Webアプリケーションセキュリティに必要な機能を統合提供しております。APIセキュリティも提供しているため、あらゆる範囲からのサイバー攻撃に対し、強固なセキュリティでWebサイトを守ることが可能です。そして、高セキュリティでありながらリーズナブルに利用することができることから、日本国内だけでも6,550サイト以上の導入実績があります。
Cloudbric WAF+へのお問い合わせはこちら。
まとめ
今回は、ガートナー社によって提唱される「WAAP」について解説してきました。WAFだけでは守り切れない悪意のある第3者による攻撃は、今後も増えていくでしょう。そのような環境下で行うべきセキュリティ対策として、「WAAPの導入」や「API保護も可能なWAFを選ぶこと」は有効だと考えられます。ぜひ、自社にあったセキュリティ対策方法を導入して、万全なセキュリティ体制の構築してください。
「AWS WAF」とは?利用状況やおすすめ機能などを紹介!
Webアプリケーションの脆弱性を悪用した攻撃の遮断やDDoS対策として注目されているWAFサービス。そんなWAFサービスのなかでも、今回は特に注目されている「AWS WAF」について解説しています。悪意のある第3者による攻撃が後を絶たず、小規模企業でもターゲットとされる可能性がある昨今、「AWS WAF」はセキュリティ面において有力なシステムとしてさまざまな企業で活用できる可能性を秘めているサービスです。そんな運用管理サービス「AWS WAF」の1つとして、この度新たに誕生した「Cloudbric WMS for AWS」についても紹介もしていますので、ぜひ、最後までご覧ください。
「AWS WAF」とは?利用状況やおすすめ機能について解説!
WAFは「Web Application Firewall」の略で、近年増えているWebアプリケーションの脆弱性を悪用した悪意のある第3者からの攻撃から、Webアプリケーションを守るセキュリティ対策の1つです。例えば、米アマゾンドットコムでは、同社の世界規模のECサイト(オンラインショップ)の運営基盤として使用している機能を、下記のような従量制のサービスとして提供しています。
- 仮想サーバなどを貸し出すIaaS(Infrastructure as a Service)サービス
- アプリケーション実行環境を提供するPaaS(Platform as a Service)サービス
- 固有の機能を持つソフトウェアを利用させるSaaS(Softwar as a Service)サービス
そんなAWSを利用したクラウド型WAFサービスの提供が「AWS WAF」で、。まずは、「AWS WAF」の利用状況について確認してみましょう。
最新情報!「AWS WAF」の利用現況は?
画像クレジット:Canalys
現在、世界中のデータセンターから200 以上のフル機能のサービスを提供していることもあり、AWSは世界で最も包括的で広く採用されているクラウドプラットフォームとなっています。市場調査会社Canalysが発表した2021年第1四半期におけるグローバルのクラウド市場規模の資料によると、AWSはクラウドインフラ市場で30%以上の利用状況を誇ります。
そんなAWSのサービスの1つである「AWS WAF」は、従来の一般的なWAFサービスと比べて安価かつ容易にWAFを導入可能です。また、後述する優れた機能があることから、Webアプリケーションのセキュリティ対策として、多くの企業で選ばれています。
【厳選】おすすめ!AWS WAFの機能3選
「AWS WAF」には、様々な優れた機能が搭載されています。
- リアルタイムでの可視化機能
- APIを使用した完全管理機能
- 「AWS Firewall Manager」での一元管理機能
それでは、詳しくみていきましょう。
リアルタイムでの可視化機能
「AWS WAF」では、リアルタイムメトリクスを使用し、「IPアドレス」「地理位置」「URI」「User-Agent」「ヘッダーなどの各種リクエストの詳細」の可視化が可能です。また、望ましくないアクティビティを実行するボットも可視化できるため、特定の攻撃が発生した際のカスタムアラームを簡単に設定できます。
APIを使用した完全管理機能
「AWS WAF」には、フル機能のAPIによる完全管理機能があります。具体的には、フル機能のAPIによってAWSが提供している標準のルールだけでなく、「Webセキュリティルールの作成」「デプロイ」「メンテナンスの自動化」などのAPIを活用して新たな管理ルールの作成が可能。さらに、新たな作成した管理ルールをアップデートして、自社に合わせた運用もできます。
「AWS Firewall Manager」での一元管理機能
「AWS WAF」は、「AWS Firewall Manager」への統合が可能です。「AWS Firewall Manager」とは、企業・組織内にあるアカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるセキュリティ管理サービスのことです。この「AWS Firewall Manager」に統合することで、複数のAWSアカウントにまたがる「AWS WAF」を一元設定・一元管理できるようになります。
「AWS WAF」を導入するメリットとデメリットを紹介!
前述した優れた機能の数々が利用できることは、「AWS WAF」導入の大きなメリットですが、その他にも得られるメリットが存在します。また、導入によって発生の可能性があるデメリットについてもあるため、注意しなければなりません。
「AWS WAF」のメリット
「AWS WAF」は他のAWSサービスと同じく従量課金制です。利用した分でしか料金が発生しないため、従来のWAFサービスと比べてコスト的に優れており、料金体系も分かりやすいことが特徴です。従来のWAFサービスは、セキュリティルールを設定しても、それがシステムに反映させるまで時間がかかっていました。しかし、「AWS WAF」ならすぐに反映できるため、脅威による問題が発生した場合に即座に対応できます。
クラウドタイプのサービスなので、導入時にソフトのインストールやハードウェアの準備をする必要がないため、すぐに導入できます。
- DDoS攻撃
- バッファオーバーフロー
- SQLインジェクション
- OSコマンドインジェクション
- ディレクトリトラバーサル
- クロスサイトスクリプティング
- ブルートフォースアタック
上記のようなサイバー攻撃を防止してくれるところは大きなメリットといえるでしょう。
「AWS WAF」のデメリット
「AWS WAF」は、状況にあわせてルール作成ができますが、そのルールを細かく設定する場合には専門的な知識が必要です。そのため、もし何かしらの問題が発生して、その対策として細かなルール設定が必要となった場合、専門スキルや関連する専門知識が乏しいと設定に時間がかかり対応が遅れてしまうでしょう。
AWS WAFから提供されているマネージドルールを利用することも可能ですが、最新のサイバー攻撃から企業のWebアプリケーションを安全に守るためにはセキュリティ対策を更に強化する必要があります。専門ベンダーにより提供されるWAFを導入する方がより確実なセキュリティ対策となるでしょう。
正式リリース!AWS WAF運用管理サービス「Cloudbric WMS for AWS」の紹介!
「AWS WAF」で細かなルール設定をする場合には、専門的な知識が必要であるということは前述しました。その対策として、今回紹介するサービスがセキュリティ専門家によるAWS WAF運用管理サービス「Cloudbric WMS for AWS」です。AWSをプラットホームとしたWAFに関連したサービスの1つとして、正式リリースを開始しました。
「AWS WAF」は導入しやすく・コスト的にも優れたWAFサービスですが、安定的な運用のためには専任のセキュリティ担当者が不可欠となります。大手であれば専任のセキュリティ担当者を雇うことも難しくありませんが、中小企業では対応が困難な場合もあります。
AWS WAF運用管理サービス「Cloudbric WMS for AWS」は、AWS WAFにおける効率的な運用管理を実現し、最高のセキュリティレベルを保証します。弊社のセキュリティの専門家によって、低コストで「AWS WAF」のルール作成・最適化・運用や24時間365日体制でのサポートします。自社でのルール作成・管理・運用が難しいことが「AWS WAF」導入の課題としてあるのなら、ぜひとも検討してみてはいかがでしょうか。
AWS WAF運用管理サービス「Cloudbric WMS for AWS」の料金やサービス内容についての詳細を知りたい方は、こちらをご覧ください。
ZTNA(Zero Trust Network Access)の重要性とは?メリットなども解説!
働き方改革とコロナ禍の影響から、日本企業でもテレワークのリモート・在宅勤務の導入が増加しています。そして、テレワーク増加と比例して増加している事例がVPNの脆弱性を狙ったサイバー攻撃です。
そんななか、VPNのような境界型セキュリティでは防ぐことのできないサイバー攻撃に対応できる次世代のセキュリティとして注目されている概念が「ZTNA(Zero Trust Network Access)」です。ZTNAの概念やセキュリティモデルについての詳細は、こちらの記事で解説しています。
⇒ZTNA(Zero Trust Network Access)とは?概念とセキュリティモデルを解説!
本記事では、次世代セキュリティとして注目されるZTNAの重要性と導入のメリットについて解説しています。ぜひ、最後までご覧ください。
企業担当者必見!ZTNA(Zero Trust Network Access)の重要性とは?
ZTNAが注目されるようになった背景には、ITの技術や働き方の変化によって、VPNなどの従来の境界型セキュリティでは守り切れない事例が頻出してきたことが挙げられます。IT技術の変化や企業のクラウド環境への移行が進むとともに、求められるセキュリティ対策も変わってきました。そしてテレワークのリモート・在宅勤務の増加など働き方が急激に変化する中、リモートアクセスに対するセキュリティ対策を見直す必要があるという議論がはじまって、従来のVPNに代わる対策としてZTNAが注目されました。
それでは、なぜZTNAの導入が重要なのでしょうか?まずは、クラウド環境におけるZTNAの重要性について、詳しく解説していきます。
クラウド環境ではZTNAが重要!
近年、ランニングコスト削減効果や安価でスピーディーな環境構築などを目的にクラウド環境の導入・移行に踏み切る企業が増加傾向にあります。クラウド環境とは、離れた場所にあるシステムの本体(物理的なサーバなど)から、インターネットなどのネットワークを介して、ユーザにサービスを提供する形態のことです。
境界型セキュリティと呼ばれている従来のセキリティは、下記のポイントを軸に対策されています。
- 外部ネットワークとの「境界線(ペリメータ)」でセキュリティ対策を行う
- 内側(社内)と外側(社外)の接点における悪意のある第3者の存在
つまり、従来のセキュリティ対策としての考え方は、外側は信用できず内側は信頼できるという意識が働いていました。システムの本体が内側にあれば、従来のセキュリティ対策でも、悪意のある第3者からの攻撃は防げるでしょう。
しかし、クラウド環境で離れた場所にシステムの本体がある場合、境界型セキュリティでは攻撃を防ぐことはできません。それに対して、ZTNAは、ゼロトラストという「ネットワークの外側も内側も依存しない」という考えでセキュリティ対策を行うため、クラウド環境にも対応しています。だからこそ、クラウド環境に移行した企業や移行を考えている企業は、クラウド環境にある情報資産を守れるセキリティ対策として、ZTNAの導入は重要となります。
VPNが安全な対策であると言えない理由は?
境界型セキュリティとして最も一般的で、テレワークでのリモート・在宅勤務での主流となっていた仕組みと言えば、VPNがあります。テレワークの推進やコロナ禍の影響でリモート・在宅勤務をする方が増加したことで、社内ネットワークに外部から安全にアクセスする際に使うVPNは急速に多くの企業に拡がりました。しかし、VPN製品の脆弱性が相次いで発見され問題となりました。そして、その脆弱性を利用したサイバー攻撃や攻撃者の侵入が次々と発覚し、もはやVPNは安全なセキュリティ対策ではないといわれています。
また、脆弱性があることだけでなく、VPNのような境界型セキュリティは「内側が安全」と考えられているため、他者のなりすまし攻撃に弱いという特性があります。そのため、社内ネットワークへの攻撃を防ぐことは困難といえるでしょう。
ZTNAは脱VPN事故に不可欠!
VPNを狙った悪意のある第3者によって、VPN事故(VPNの欠陥をついた攻撃による情報流出などの事故)が発生する可能性は十分あります。VPNは、もはや安全なセキュリティ対策とはいえなくなっており、一刻も早く「脱VPN」への対策が必要といえるでしょう。そして、そんな脱VPN対策として注目されている概念が、ZTNAの導入です。
VPNの代わりに注目されるZTNA(Zero Trust Network Access)のメリットとは?
ZTNAであれば、VPNなどの境界型セキュリティでは守り切れない資産を守ることができますが、他にも下記のようなメリットが得られます。
- アクセス速度が早まる
- セキュリティが強固となる
- 管理者の負担が減る
- ユーザの増加に柔軟に対応できる
それでは、ZTNA導入におけるそれぞれのメリットについて、詳しくみていきましょう。
アクセス速度が早まる
ZTNAは、VPNとは異なり、許可された限られたユーザしかネットワーク上のアプリケーションやデータにはアクセスができません。そのため、これまでより無駄なアクセスが減り、接続が最適化されたことでアクセス待ちの時間が短縮します。また、クラウド環境でVPNを利用したリモートワークは、下記のようなアクセス経路を辿ります。
- リモート端末
- 社内ネットワーク
- クラウド
そのため、社内ネットワークに対して、VPNアクセスとクラウドへのアクセスで2重に負担がかかることで速度が遅延しやすいという特性がみられます。ZTNAを導入すれば、効率的なクラウド利用が可能となるでしょう。
セキュリティが強固となる
ユーザがIDとパスワードによる認証が通過すれば、ZTNAでは、アクセス権限を持つアプリケーションのみアクセスが可能となるよう権限の制御が可能です。もしユーザの端末が乗っ取られても、悪意のある第3者は限られたアプリケーションにしかアクセスできないため、被害を抑えられるでしょう。また、IPアドレスは許可されないユーザには公開されないため、IPアドレスの外部公開によるサイバー攻撃の軽減も期待できます。
管理者の負担が減る
VPNの場合、拠点ごとにアクセス制御ポリシー(保護リソースに対するアクセスをユーザに許可するか拒否するかを定義する一連の条件)の管理が必要です。ZTNAを導入すれば、組織全体のアクセス制御ポリシーがすべてクラウド上で一元管理できるため、拠点ごとに管理する必要がありません。そのため、管理者の負担が大きく軽減されるでしょう。また、ACL(アクセス制御リスト)も簡素化できることから、さらに管理者の負担は減るところは大きなメリットです。
ユーザの増加に柔軟に対応できる
VPNの場合、ユーザが増加すると、利用規模に対してサーバなどの性能や容量が負荷に耐えられません。そのようなシステム障害の発生を防止するためには、サイジングの必要性や急なユーザ追加に対して、柔軟に対応しなければなりません。しかし、ZTNAを導入すれば、性能による問題などの処理はすべてクラウド上で行えるため、急にユーザ増加があっても柔軟で迅速な対応ができます。
ZTNAソリューションのおすすめ「Cloudbric RAS」を紹介!
脱VPNのセキュリティ対策として、ZTNAを選ぶ企業もあることでしょう。すでに、各企業からいくつものZTNA製品(ZTNAソリューション)の提供を開始しています。しかし、製品によって提供形態やサービス内容が異なるため、ZTNAの導入をする際は製品を見極めて自社にあったサービスを選ぶことが重要。そして、導入するZTNA製品を見極める際のポイントとして、は、下記の4つが挙げられます。
- セキュリティ能力
- 情報の管理のしやすさ
- 相互運用性の良さ
- 問題が起きた際の対処・対応速度
これら4つのポイントからおすすめするZTNAソリューションといえば「Cloudbric RAS」があります。マルチ・クラウド上に構築されている複数のWebアプリケーションに対し、利用者単位でアクセス権限を設定できるクラウド型セキュリティサービスです。
さいごに
今回は、ZTNAの重要性やメリットなどについて解説してきました。セキュリティコンサルティングを世界的に展開しているガートナー社によると、現在「VPN」を利用している企業の約6割が、2023年までにZTNAへ移行すると予想しています。これまで、VPNは利用すべき安全対策といわれてきましたが、今の時代や環境に対応できていない事例が数多く報告されているのが現状。今後のテレワークを推進や会社のクラウド化を目指しているのなら、ぜひZTNAを導入して、脱VPNを検討してみてはいかがでしょうか。
ZTNA ソリューション「Cloudbric RAS」の詳細はこちら