waap

WAAPとは?次世代Web防御の仕組みとWAFからの進化を徹底解説

by ブログ

近年、APIやクラウドサービスの普及により、Web攻撃の多様化が進んでいます。従来のWAFでは対応しきれない脅威も増え、より包括的な防御が求められるようになりました。

こうした課題を解決する次世代ソリューションが「WAAP(Web Application and API Protection)」です。この記事では、WAAPの仕組みやWAFとの違い、導入のメリットを解説します。

 

WAAPとは

近年、Webアプリケーションを狙うサイバー攻撃はますます巧妙化し、従来のWAF(Web Application Firewall)だけでは防ぎきれないケースが増えています。特に、スマートフォンアプリや企業間連携で利用されるAPI通信を悪用した不正アクセスや情報漏えい、ボットによる自動化攻撃、さらにはDDoS攻撃など、アプリ層を狙う脅威が多様化しています。

こうした背景から、米ガートナー社が提唱した概念が「WAAP(Web Application and API Protection)」です。WAAPはWAFの機能に加え、API保護・悪性ボット対策・DDoS防御を統合した次世代のWebセキュリティソリューションで、クラウド時代における標準的な防御基盤として注目を集めています。

 

WAFとの違い

WAFは、Webアプリケーションへの不正な通信を検知・遮断するためのセキュリティ対策で、SQLインジェクションやクロスサイトスクリプティング(XSS)といった代表的な攻撃から守る役割を担います。

しかし、従来型のWAFではHTTP通信の一部しか解析できず、APIやボット、DDoSなど多様化する脅威には十分対応できない場合があります。これに対してWAAPは、WAFの機能を発展させ、API保護・ぼボット対策・DDoS防御を統合した包括的な防御を実現します。

つまり、WAFが「Webアプリ中心の防御」なら、WAAPは「アプリとAPIを一体で守る次世代統合防御」が特徴です。

 

WAAPの主な機能

WAAPは、WebアプリケーションとAPIを一体的に守るための多機能なセキュリティソリューションです。WAF・API保護・ボット対策・DDoS防御といった複数の防御機能を統合し、アプリ層からネットワーク層までを包括的に保護します。ここでは、WAAPを支える4つの主要機能について紹介します。

 

機能①WAF

WAAPの中核機能を担う機能にWAFがあります。WAFは主にWebアプリケーション層を対象とし、攻撃者による不正なリクエストや脆弱性の悪用をリアルタイムで検知・遮断します。

代表的な攻撃として、SQLインジェクションやクロスサイトスクリプティング(XSS)などが挙げられ、WAFはこれらの脅威からWebサイトを守る重要な役割を果たします。また、通信内容を継続的に分析して異常を検出し、ログ記録によって攻撃傾向を可視化することも可能です。WAAP全体の「第一の防波堤」として、API保護やボット対策、DDoS防御と連携し、より強固で多層的な防御を実現します。

WAFについては以下の記事でも詳しく解説しています。あわせてお読みください。

セキュリティ対策に有効なWAFとは?仕組みや種類、おすすめ製品を紹介

 

機能②APIの保護

近年のシステム連携やモバイルアプリ開発では、APIを介した通信が欠かせません。WAAPでは、こうしたAPI通信を保護する機能を標準で備えており、不正アクセスや情報漏えいを防ぐ重要な役割を担います。

具体的には、APIの呼び出し内容やリクエストパラメータを詳細に解析し、不正トークンの利用や認証回避などの異常な挙動をリアルタイムで検知・遮断します。また、OpenAPIなどを活用してAPI構造を自動的に把握し、想定外のアクセスをブロックすることも可能です。

これにより、安全なデータ連携と安定したサービス運用を支え、WebアプリとAPIを一体的に守る基盤として機能します。

 

機能③ボット対策

近年、悪性ボットによる被害が急増しており、認証突破やアカウント乗っ取り、チケットや商品の自動購入といった不正行為が問題となっています。従来のアクセス制御では防ぎきれないAI搭載型ボットや分散型ボットネットも増え、Webサービスの安定稼働を脅かす要因となっています。

ボット対策機能としては、ユーザーエージェントや行動パターン、アクセス頻度などを解析し、悪性Botを識別します。そして、検出後は自動的にブロックやレート制限、CAPTCHA表示などを実行します。

これにより、正規ユーザーの利便性を損なうことなく、サービス品質とセキュリティを両立します。

 

機能④DDoS対策

DDoS(分散型サービス拒否)攻撃は、複数の端末から大量のリクエストを同時に送りつけ、サーバーやネットワークを過負荷状態にして停止させる攻撃手法です。近年では、クラウド環境やAPI通信を標的とした高度なL7(アプリケーション層)攻撃が増加しており、従来のネットワーク防御だけでは対応が難しくなっています。

DDoS対策機能としては、通常の通信と攻撃トラフィックをリアルタイムで識別し、異常なリクエストを自動的に遮断します。これにより、クラウド上のスクラビングセンターで不要な通信を除去し、正規のアクセスのみを通過させることが可能です。

この仕組みにより、攻撃を受けてもWebサービスを安定して稼働させることができ、企業の信頼性維持とビジネスの継続性を確保します。

DDoS攻撃への対策については、以下の記事でも詳しく解説しています。あわせてお読みください。

DDoS攻撃の種類と企業がとるべき有効な対策とは?

 

WAAP導入のメリット

WAAPを導入することで、企業は単なる攻撃防御にとどまらず、運用効率や可用性の向上といった多面的な効果を得られます。多層防御による強固なセキュリティ、統合管理による運用の効率化、不正アクセスの防止、そしてビジネス継続性の確保まで、幅広いメリットが期待できます。ここでは、その主な効果を順に紹介します。

 

メリット①多層防御による高いセキュリティ

サイバー攻撃は年々高度化・多様化しており、WAFやIPSなど単一の防御策だけでは十分に対処できません。特にAPIの不正利用やボットによる自動攻撃、DDoS攻撃など、複数層を同時に狙う攻撃が増えています。

WAAPは、WAF・API保護・ボット対策・DDoS防御を統合的に運用し、多層的なセキュリティを実現可能です。アプリケーション層からネットワーク層まで一貫して監視し、攻撃経路や影響を最小限に抑えられます。これにより、企業は強固で持続的な防御体制を維持できます。

 

メリット②運用の効率化

クラウドやAPIの普及により、企業のセキュリティ運用は複雑化し、担当者の負担が増しています。WAFやDDoS、ボット対策を個別に管理すると工数がかさみ、限られた人員では対応が困難です。

WAAPはこれらの防御機能を統合し、単一画面で一元管理を実現します。脅威検知やルール更新を自動化することで、作業負荷とミスを抑えます。これにより、少人数でも効率的にセキュリティを維持し、運用コスト削減と防御力強化を両立します。

 

メリット③不正アクセスの防止

不正ログインや情報搾取などの攻撃は、パスワードリストやセッション乗っ取りなど手口が巧妙化しています。API経由の不正リクエストやボットによる自動攻撃も増加し、従来の単一対策では防ぎきれません。

WAAPは、WAFによる検査に加え、API保護・ボット対策・DDoS防御を連携させ、多層的に防御します。不審な通信をリアルタイムで遮断し、不正ログインや情報漏えいのリスクを大幅に低減することが可能です。これにより、安全で信頼性の高いアクセス環境を実現します。

 

メリット④ビジネス継続性の確保

多くの企業がクラウドやオンラインサービスに依存する今、システム停止は収益損失や信用低下に直結する重大リスクとなっています。DDoS攻撃やAPIの不正利用による障害でも、顧客離脱や業務中断を招く恐れがあります。

WAAPは、WAF・API保護・ボット対策・DDoS防御を連携させ、攻撃時でもサービスを継続できる体制を構築します。自動スケーリングやトラフィック制御により、アクセス集中時も安定稼働を実現し、可用性・信頼性の高いシステム運用を支えます。

 

WAAPを選ぶポイント

WAAPを導入する際は、単に機能の多さだけでなく、防御性能や運用性、信頼性といった総合的な視点から比較・検討することが重要です。ここでは、導入前に確認すべき3つのポイントとして「セキュリティ機能と性能」「運用コストと管理のしやすさ」「市場での評価」について解説します。

 

ポイント①セキュリティ機能と性能

企業のWebサービスは、多層的な脅威に常に晒されています。そのためWAAPを選ぶ際は、機能の有無だけでなく「どの程度の攻撃に耐えられるか」という性能面を重視することが重要です。

防御力が高くても、遅延や誤検知が多ければユーザー体験を損ないます。理想的なWAAPは、防御範囲と検知精度を両立し、ログ可視化や自動更新など運用面でも優れていることが求められます。これにより、セキュリティとパフォーマンスの両立を実現し、安定したサービス運用を支えます。

 

ポイント②運用コストと管理のしやすさ

マルチクラウド化やAPI活用の拡大により、企業のセキュリティ運用は複雑化しています。WAFやボット対策を個別に導入すると、運用や監視にかかる負担とコストが増します。

WAAPはこれらを統合管理でき、単一画面で設定・監視・分析が可能です。脅威検知やルール更新の自動化、24時間監視などのサポートを備えたサービスを選べば、担当者の負荷を大幅に軽減できます。少人数でも効率的に運用でき、コストを抑えつつ継続的なセキュリティ強化を実現します。

 

ポイント③市場の評価

WAAP市場は急速に拡大しており、各ベンダーが多様な機能を提供しています。しかし導入を検討する際は、機能だけでなく「実績」や「第三者評価」といった信頼性の指標も重要です。

特に米ガートナー社などの調査機関による評価レポートは、製品の性能や運用性を多角的に分析しており、選定時の有力な判断材料となります。こうした客観的な評価や導入実績を確認することで、自社に最適なWAAPを安心して導入し、長期的な信頼性を確保できます。

 

まとめ

近年のWebセキュリティ対策では、攻撃を「防ぐ」だけでなく「止まらないサービス」を維持することが重要視されています。WAAPはその実現を支える次世代の統合防御基盤ですが、導入にあたっては信頼性と実績を備えたソリューションを選ぶことが鍵です。

Cloudbricが提供する「Cloudbric WAF+」は、WAF・DDoS対策・ボット対策・API保護を統合したクラウド型セキュリティサービス で、AIによる自動検知と最適化を行い、ゼロデイ攻撃や未知の脅威にも対応します。さらに、ガートナー社による「Representative Providers」にも選出された実績を持ち、グローバルでも高い評価を得ています。

専門的な知識がなくても導入・運用が容易であり、中小企業から大企業まで幅広い業種で活用されています。Web

サイトからお気軽にお問い合わせください。

ITトレンド2024上半期_サイバー攻撃

ITトレンドの上半期ランキング2024で第1位を獲得

by お知らせ

 

法人向けIT製品の比較・資料請求サイト「ITトレンド」の上半期ランキング2024にて、Cloudbric WAF+が「サイバー攻撃対策」部門で1位を獲得しました。

▼ITトレンド 上半期ランキング2024
https://it-trend.jp/award/2024-firsthalf

このランキングは、2024年上半期にITトレンドでユーザーから最もお問い合わせが多かった製品を発表するものです。
※ランキング結果は2024年1月1日~5月31日までの期間の資料請求数をもとに集計しています。

 

ITトレンドに掲載されている製品・サービスは以下の通りです。

 

Cloudbricは企業のセキュリティ課題に応えるためのさまざまなクラウド基盤セキュリティサービスを取り揃えております。
詳しくはサービスページをご覧ください。

クラウド型WAFサービス「Cloudbric WAF+」

AWS WAFに特化した運用管理サービス「Cloudbric WMS」

 

ITトレンド2023年間

ITトレンドの年間ランキング2023で第1位を獲得

by お知らせ

 

法人向けIT製品の比較・資料請求サイト「ITトレンド」の年間ランキング2023にて、Cloudbric WAF+が「サイバー攻撃対策」部門で1位を獲得しました。

▼ITトレンド 年間ランキング2023
https://it-trend.jp/award/2023?r=award2023-top

このランキングは、2023年にITトレンドでユーザーから最もお問い合わせが多かった製品を発表するものです。
※ランキング結果は2023年1月1日~11月30日までの期間の資料請求数をもとに集計しています。

 

ITトレンドに掲載されている製品・サービスは以下の通りです。

 

Cloudbricは企業のセキュリティ課題に応えるためのさまざまなクラウド基盤セキュリティサービスを取り揃えております。
詳しくはサービスページをご覧ください。

クラウド型WAFサービス「Cloudbric WAF+」
脆弱性診断サービス「Cloudbric 脆弱性診断」

 

AWS WAFとは?

AWS WAFとは? 特徴や料金、メリット・デメリットを解説

by ブログ

近年、WebサイトやWebアプリケーションの安全の確保がますます重視されています。AWS WAFは、Amazon Web Servicesが提供するセキュリティサービスで、Web上のリソースをさまざまな脅威から守るためのソリューションです。本記事では、このAWS WAFの特徴や料金、そして導入のメリット・デメリットについて詳しく解説します。AWS WAFの導入を検討する際の参考情報として、ぜひご覧ください。

 

AWS WAFとは? 特徴などをわかりやすく解説

AWS WAFとは、どのようなサービスなのでしょうか。AWS WAFを理解するために、AWSとWAFそれぞれについてはじめに解説します。

 

・AWSとは?

AWS(Amazon Web Services)とは、Amazonが提供するクラウドサービスの総称です。AWSを導入すると、ストレージ、アプリケーション開発、データ分析、機械学習など、多種多様な機能を必要なときに必要なだけ利用できます。さらに、AWSはクラウドサービスであるため、運用コストが低く導入しやすくなっています。このため、多くの企業がWebサービスの展開や開発環境の構築、データ活用などにAWSを活用しています。

 

・WAFとは?

WAFとは“Web Application Firewall”の略で、WebサイトやWebアプリケーションの防御に特化したセキュリティツールです。WAFは以下のように、さまざまな攻撃からWeb上のリソースを保護します。

【WAFで対処できる代表的な攻撃例】

  • SQLインジェクション
  • クロスサイトスクリプティング(XSS)
  • DDoS攻撃
  • ブルートフォース攻撃
  • バッファオーバーフロー

 

・AWS WAFとは?

AWS WAFはその名の通り、AWSが提供するWAFです。その大きな特徴は、セキュリティ機能や脅威の検知ルールを柔軟にカスタマイズできることにあります。このため、企業は自社のニーズに応じてセキュリティ対策を選択・調整できます。その他、AWS WAFに含まれる主な機能や特徴は次の通りです。

【主要機能および特徴】

  • Webトラフィックフィルタリング機能
  • AWS WAF Bot Control
  • アカウント作成詐欺防止
  • アカウント乗っ取り詐欺の防止
  • リアルタイムの可視性
  • フル機能 API
  • AWS Firewall Manager への統合

このような機能を組み合わせてコンテンツへのアクセスを監視・制御し、Webリソースの安全を確保します。

 

AWS WAFの料金体系

作成するWeb ACLの数、および作成するルール数、さらにWeb ACLによって処理された Web リクエストの数によって料金が決まります。使用分のみの支払いとなり、初期費用はかかりません。AWS WAFは非常にコストパフォーマンスに優れたWAFですが、通信量が多い場合には高コストになる場合もありますので注意が必要です。

課金体系は以下の通りです。

  • 作成したWeb ACL数:1ACLあたり5USD/月
  • 作成したルール数:1ルールあたり1USD/月
  • AWS WAFへのリクエスト数:0.6USD/100万リクエストごと

詳しくは、AWS公式サイトをご確認ください。

 

AWS WAFの4つのメリット

AWS WAFを導入することで、企業は具体的にどのようなメリットを得られるのでしょうか。AWS WAFの強みを4つ解説します。

 

・メリット1:導入が簡単

AWS WAFの特長のひとつが、非常に簡単に導入できることです。従来のアプライアンス型のソリューションとは異なり、AWS WAFでは特別なソフトウェアのインストールや複雑な設定が必要ありません。AWS内で運用しているAmazon CloudFrontやAmazon API Gatewayといったサービスの設定でWAFを有効にするだけで利用を開始できます。最小限の労力と時間でセキュリティを強化できるのは非常に魅力です。

 

・メリット2:低コスト

AWS WAFの料金システムは従量課金制なので、実際に利用した分だけのコストしか発生しません。利用料金は、設定するルール数などに応じて変動する形です。AWS WAFには最低使用料金や初期費用の設定もなく、無駄な出費が生じません。自社のセキュリティ予算に応じてコストコントロールがしやすい点は、企業規模を問わず大きなメリットです。

 

・メリット3:Webアプリへの攻撃対策

AWS WAFは、Webサイトを含むWebアプリケーションを狙った攻撃への対策に特化したソリューションです。AWSが提供する基本ルールセットとAPIを活用することで、SQLインジェクション、クロスサイトスクリプティング(XSS)、DDoS攻撃など、多様な攻撃からWebアプリケーションを守れます。防御の際、トラフィックをほぼリアルタイムで監視できることもAWS WAFの強みです。このため、セキュリティの強化を目的に行う分析・監査用途のログを取るといった用途にも活用できます。

 

・メリット4:マネージドルールの活用

AWS WAFはカスタマイズ性に優れており、セキュリティの知見やノウハウに乏しい企業でも安心して使えるよう、マネージドルールが提供されています。これは、ルールのセットをテンプレートとして利用できるもので、AWS純正のものや他のセキュリティベンダーが組んだものなど、幅広い選択肢があります。例えば、SQLインジェクションを含む攻撃に対処する際は、「SQL database managed rule group」を選択できます。ルールセットの中から自社が必要なものを選ぶことで、専門的なセキュリティ知識がなくても、必要なルールを選んで安全な環境を構築できます。
WAF専門のセキュリティベンダーが提供するマネージドルールとして代表的なものに、Cloudbric Managed Rules for AWS WAFがあります。

関連記事:AWS WAFマネージドルールの公式版からおすすめまで、5つの製品を紹介

 

AWS WAFのデメリット

AWS WAFは多くの利点があるものの、運用には一定の知識が求められます。ルールセットが提供されていますが、最適化するためにはユーザー自身が脅威や対策に関する情報を収集することが不可欠です。マネージドルールは便利ですが、自社に適したものを判断するための知識も必要です。
さらに、AWS WAFのルールセットの詳細やパラメータは非公開であり、検知した攻撃のパターンや痕跡についての詳細な解析を行いたい場合や誤検知に対処する際に、情報の不透明性が問題となることがあります。
このように、AWS WAFには、運用の難易の高さやルールセットの不透明性といったデメリットもあるため、導入を検討する際は、長所と短所を総合的に考慮して判断することが大切です。

 

まとめ

AWS WAFはWebサイトやWebアプリケーションのセキュリティ対策として強力なツールですが、いくつかのデメリットも存在します。しかし、導入のしやすさや高いカスタマイズ性など、魅力的な利点も多く備えています。AWS WAFを活用すれば、自社に適したセキュリティ対策が可能となります。導入を検討する際は、本記事で紹介した情報を参考にしてください。

 

▼AWS WAF専用のマネージドルール「Cloudbirc Managed Rules for AWS WAF」

▼AWS WAFに特化した運用管理サービス「Cloudbirc WMS for AWS WAF」

▼製品・サービスに関するお問い合わせはこちら

 

ITトレンド2023上半期

ITトレンドの上半期ランキング2023で第1位を獲得

by お知らせ

 

法人向けIT製品の比較・資料請求サイト「ITトレンド」の上半期ランキング2023にて、Cloudbric WAF+が「サイバー攻撃対策」部門で1位を獲得しました。

▼ITトレンド 上半期ランキング2023
https://it-trend.jp/award/2023-firsthalf/cyber_attack

 

このランキングは、2023年上半期にITトレンドでユーザーから最もお問い合わせが多かった製品を発表するものです。
※ランキング結果は2023年1月1日~5月31日までの期間の資料請求数をもとに集計しています。

 

ITトレンドに掲載されている製品・サービスは以下の通りです。

 

Cloudbricは企業のセキュリティ課題に応えるためのさまざまなクラウド基盤セキュリティサービスを取り揃えております。
詳しくはサービスページをご覧ください。

クラウド型WAFサービス「Cloudbric WAF+」
脆弱性診断サービス「Cloudbric 脆弱性診断」
エッジDDoSプロテクションサービス「Cloudbric ADDoS」

 

株式会社SIG

株式会社SIG

by 導入事例

 

株式会社SIG

株式会社SIGは独立系IT企業として、様々な分野及び業種における情報システムや産業制御システムのようなシステム開発事業等に取り組んでいます。また、それらを支えるITインフラソリューション及びセキュリティなど幅広い分野でサービスを提供しています。

Cloudbric WAF+」の導入を検討したきっかけを教えてください。

Webサイトの構築や運営する方であれば、「WAF」という言葉を耳にしたことがあると思います。長引くコロナ禍で当社が運営するコーポレートサイトへのアクセスやお問い合わせが増加する中、Webサイトセキュリティの必要性を感じたこともあり、セキュリティ強化策として情報漏えいや脆弱性への対策としてWebアプリケーションレベルでのセキュリティ対策を最初にしておくべきだという意見も多く、WAFの導入を決定しました。

様々な選択肢がありましたが、他社と比べて費用が安く且つ性能の優れたWAFとして評価されている「Cloudbric WAF+」を導入することになりました。無償トライアル期間中においても、実際の運用環境を想定して自社環境に合ったセキュリティ対策で運用してみることができましたし、非常に使いやすかったので、そのまま実導入に至りました。

Cloudbric WAF+」選定時、最も重視されたポイントを教えてください。

導入のハードルが低く、必要な機能を必要な分だけ利用できるところが最も気に入りました。どれだけ多くの機能を搭載しているかも重要かもしれませんが、自分が考える「良いWAF」とは、新種や亜種の脆弱性をどれだけ精度高く検出できるかが左右すると思います。そういうところでいうと、「Cloudbric WAF+」を導入したのは最善の選択だったのではないかと思います。独自の「論理演算検知エンジン」を搭載して高い検知率を維持しながらも、Webサイトのトラフィック特性を学習する「特性学習AIエンジン」を用いて、最新の脆弱性にもいち早く対応できるということで、安心して任せることができました。

あとは費用面です。基本提供される機能だけでも十分で、追加費用を支払わなくともSSL証明書サービスなど様々なWebセキュリティ機能を利用できるので、無駄な支出を省くことができました。そして当社の場合、小規模のコーポレートサイトへのWAF導入であったため、プランによって受けられるサービスが異なるのではないかと多少心配な面もありました。しかし、利用プランに関係なく同じレベルの高いセキュリティを提供してもらえ、コストパフォーマンスの面で非常に満足しています。

Cloudbric WAF+」を利用した感想をお聞かせください。

よく考えてみると、個人情報や顧客情報、決済情報などを取り扱うサイトに対しては、Webアプリケーションの脆弱性対策としてWAFの導入が確かに効果的です。しかし、コーポレートサイトの場合、セキュリティ対策が比較的甘いケースが多く見受けられます。会員情報を扱っているわけでもないし、情報漏えいは心配ないということと、ECサイトや会員制サイトと比べてそんなに攻撃されることもないという認識がありますが、実際はそういうわけでもありません。Web改ざんであったり、お問い合わせフォームを利用した攻撃を行うなど様々なパターンで攻撃を仕掛けてくるため、コーポレートサイトに対しても細心の注意を払う必要があります。「Cloudbric WAF+」導入したことによって、当社サイトがこんなに攻撃を受けているという注意喚起にも非常に役立っていると思います。

Cloudbric WAF+」の導入後、効果はございましたか。

検知モードの際に、当社WebサイトにアクセスしたIPアドレス情報を共有して頂きましたが、その中から2つのIPアドレスによる大量のアクセスが確認されたことが分かりました。すぐに例外処理をして大きな問題にはなりませんでしたが、今まではこのような攻撃を受けているという意識がなかったため、正直攻撃が収まったということを実感しているわけではありません。しかし、セキュリティへの意識を高めるきっかけになったと思いますし、「Cloudbric WAF+」で明確に遮断されているという安心感もあります。

Cloudbric WAF+」を使用した際、最も気に入った機能を教えていただけますか。

セキュリティに詳しくない人にとっても、WAFを使ったことがない人にとっても、非常にシンプルで見やすく操作もしやすいところです。視覚的に飛び込んでくるダッシュボードなので、ダッシュボードにアクセスすると「Cloudbric WAF+」で実際にブロックした攻撃回数がグラフで表示され、発信国情報や攻撃目的なども一目で分かるようになっています。また、ボタンを押すだけで簡単にIPアドレスを遮断できるなど操作も簡単に行えて便利でした。

また、海外製のサービスではありますが、サポート対応がしっかりしているのもメリットだと思います。WAFの設定変更についてメールでお問い合わせしたところ、迅速且つ丁寧な対応をして頂きました。

最後に一言お願い致します。

企業インフラのクラウド化により、今まで以上にクラウド型WAFのニーズが高まると思います。数え切れないほどたくさんのWAF製品が存在しますが、中でも「Cloudbric WAF+」は競争力を十分備えた製品であると、個人的には確信しております。日本だけでも既に、7,000サイトを超える法人顧客に導入されていますが、それこそ、信頼できる確かな製品であるという何よりの証拠だといえるのではないでしょうか。WAF導入を検討される方なら、ぜひ参考にしてください。

株式会社ワールドスカイ

株式会社ワールドスカイ

by 導入事例

 

株式会社ワールドスカイ

株式会社ワールドスカイは、お客様が本当に必要なICT技術は何か、その技術のセキュリティリスクに問題は無いかを常に考え、研究し、最高のご提案を行えるように取り組んでいます。創業より、海外セキュリティ製品にこだわり、良い技術・製品・サービスを探してまいりました。海外の特性を活かし、日本独自の風習に合うようにコーディネイトすることにより、多くの企業様へ安心してご利用いただけるICT技術を導入させて頂いております。これからも「セキュリティを活かしたICTでお客様の課題解決」をモットーに、お客様の最高のパートナーになれるように日々精進いたします。

Cloudbric WAF+」の導入を検討したきっかけを教えてください。

弊社は、SI(システムインテグレーション)ビジネスを展開する企業として、Webアプリケーションへのセキュリティ対策としてコンサルティング、脆弱性診断などを提供しております。Webサイト上に大幅な追加・修正が生じた際は、脆弱性診断で対策を取る方法もありますが、金額面・恒久的な対策という側面を考慮した際、24/365で運用をサポートしてくれるサービス兼セキュリティ専門チームを活用することが効果的であるという判断に至り「Cloudbric WAF+」を採択しました。実際に「Cloudbric WAF+」を使用してみたところ、アプライアンスタイプのWAFに比べて初期費用や運用コストが非常に安く、予算を抑えることができました。運用面におきましても、弊社側で常にログを分析せずとも、脅威IPや最新の脅威データベースに基づいた対策をメーカ側で行っているため安心して利用できます。結果的に運用負荷の軽減にもつながっています。「Cloudbric WAF+」は弊社で取り扱っている製品でもあるため、性能、さまざまなメリットについても詳細を把握していたため、金額面、機能面、運用面を考慮し、導入を決めました。

Cloudbric WAF+」選定時、最も重視されたポイントを教えてください。

実際に「Cloudbric WAF+」をご利用いただいているお客様、セキュリティ関連でお付き合いのあるSI企業様などの評価は大事にしました。様々なWAFサービスがある中で、あるサービスは「知名度は高いが検知率が低い」といった声や、あるサービスでは「性能は良いが運用後のカスタマイズ費用が高い」など、それぞれのサービスには一長一短あることが判りました。弊社の場合セキュリティビジネスをしていく上でお客様視点からの声が直接聞けるので、そういう評価を重視しながら選定しました。

また、費用面でのメリットというところも気になるポイントでした。他社サービスの価格表と比較しながら、弊社のシステム環境と合わせて総合的に検討してみると、トータル的には他社より「Cloudbric WAF+」の方が安くなるという結論に至りました。結局、他社の評価と費用面でのバランスというところが「Cloudbric WAF+」を選ぶ決め手となったのではないかと思います。

Cloudbric WAF+」を利用した感想をお聞かせください。

「Cloudbric WAF+」を導入すると、30日間検知モニタリングを行い、ログ分析の詳細や運用状況などをまとめたレポートを共有してもらえます。実際、不正アクセスではない管理者IPが不正ログとして検知されていたため例外処理をするなど、本格運用する前に自社環境に合わせてセキュリティポリシーを提案してもらい、カスタマイズできるところが印象的でした。他社の場合、例外処理やお客様に沿ったポリシー調整となるとそこに対する追加費用が発生するケースがありますが、「Cloudbric WAF+」のサービスは、そのような部分がプランに含まれているので、そういう点がメリットではないかと思います。

デメリットとしては、やはり国産製品ではないため、国内においては、他社と比べて知名度が低めであることは少し残念だと思います。しかし、海外では世界中から数々の賞を受賞し、実際ご利用頂いているお客様にもそのセキュリティ技術力も相当認められているので信頼をおき利用しています。

Cloudbric WAF+」の導入後、効果はございましたか。

「Cloudbric WAF+」の導入後、ダッシュボードでログの確認などが分かりやすく構成されているので非常に助かっています。担当者としてセキュリティは気にしなければいけませんが、どうしてもフロント部分やサービス部分をメインとして見るため、その部分の比重が高くなってしまう傾向があることも事実です。その点、ダッシュボードやレポートでサイバー攻撃や不正アクセスをひと目で把握できるため、現状を把握するまでの手間を省くことができたと思います。また、「Cloudbric WAF+」はWAF機能だけでなく、無償SSLや基本的なDDoS攻撃対策など、プラスアルファ的なサービスも提供しているため、その他セキュリティ対策を導入する必要はなく、一元管理できるという点も管理者としては大きなメリットであると思います。

Cloudbric WAF+」を使用した際、最も気に入った機能を教えていただけますか。

ダッシュボードが見やすいところが「Cloudbric WAF+」の大きなメリットだと考えています。ダッシュボードからは各種設定ができ、ユーザエクスペリエンスに相当気を使っていることが目に見てわかります。

「Cloudbric WAF+」の導入を検討されているセキュリティ担当者様は、無償評価版を使用し、ダッシュボードから操作性を見てみるのは如何でしょうか。又は、無償評価版を申込みせずともクラウドブリックのホームページにて提供されるダッシュボードで実際に体験いただけるようです。

https://www.cloudbric.jp/free-trial/

あとは、サポート面がしっかりしていることだと思います。海外企業だとサポート面で日本語対応ができていないところも多く、どうしても不安が生じてしまうところもあります。しかし、クラウドブリックは日本法人があるため、サポート面において完全日本語で対応してくれるところ、そしてWebからも24/365できちんとと問い合わせ回答してくれるため、安心して利用できると思います。

最後に一言お願い致します。

「Cloudbric WAF+」はグローバルで販売しているサービスで、現在95ヵ国の10万以上のレファレンス実績を上げています。ですので、最近だと世界中から収集した脅威インテリジェンス(Threat Intelligence)などを活用して、最新の脅威データベースにも対応していると思います。そして、機能改善とか、拡張というところも積極的に行っているところは、更なる製品の質の向上という観点から個人的に期待している部分でもあります。弊社としては、「Cloudbric WAF+」のメリットとそういうところを含め、「セキュリティ専門家でなくても安心して使えるWAFサービス」としてお客様に積極的に提案していきたいと思います。WAF導入を検討されている担当者様なら、まず30日の無償トライアルからお気軽にご利用されることをご検討ください。

nakajitsu_logo

株式会社不動産SHOP ナカジツ

by 導入事例

株式会社不動産SHOP ナカジツ

愛知・福岡・千葉に30店舗展開し、不動産仲介業(おうち探し館!)の他にリフォーム(Asobi-リノベ)、新築住宅(Asobi-創家(すみか))など幅広く手掛ける「ワンストップサービス」が特徴の総合不動産企業「不動産SHOPナカジツ」。
不動産業界の既存モデルにとらわれず、ユーザーファーストのサービスを展開し、中古住宅+リノベーション事業においては全国3位の実績を誇るなど急成長を遂げている。

Cloudbric WAF+の導入を討したきっかけをえてください。

ずいぶん前のことになりますが、DDoS攻撃を受けて社内システムがダウンしたことがありました。幸いなことに、大きな被害は発生していませんでした。しかし、いつ、どこから仕掛けてくるか全く予測のつかないDDoS攻撃の恐ろしさを改めて実感する瞬間であったし、ホームページやWebサーバーへのセキュリティ対策を見直すきっかけにもなったと思います。DDoS攻撃は、攻撃対象に大量のトラフィックを送り付けてサービスを停止させることが一般的ですが、だからといって全てのトラフィックを遮断してしまうと、正常なトラフィックまで遮断されサービスが利用できない状況が生じてしまいます。うちのホームページに訪ねてくださるお客様に迷惑をかけるわけにはいかないので、我々には異常のあるトラフィックをしっかり遮断し、正常なトラフィックのみを通すことのできる性能の高いセキュリティ対策が必要でした。それでWAFを含め総合的なWebセキュリティ対策を探し始めたのです。

Cloudbric WAF+選定時、最も重視されたポイントをえてください。

誤検知をなるべく起こしたくない、もし起こしたとしてもなるべく速く対応したい、運用面ではそういったところを重視しました。 弊社の場合、ホームページからいらっしゃるお客様が多く、ホームページに障害が起きたり、なんらかの理由でアクセスできなかったりするなど、ホームページが使えなくなる状況がそのまま利益にも関わってくるんです。また、検知率がどんなに高くても、誤検知がそれほど多ければ台無しになってしまうので、検出力を高い水準に維持しながら誤検知率を減少できる製品にしたいなと思いました。
WAFはシグネチャー型とロジックベース型と2種類を検討させて頂きまして、検知率、誤検知率など検知能力が優れているロジックベース型のCloudbric WAF+に決定しました。海外の第三者機関から公認された結果などが非常に分かりやすく示されてあったので、そういうところが決め手になったのではないかと思います。あと、運用時に即時に対応できる仕組みになっていること、そして即対応してくれることもCloudbric WAF+を選択した理由の一つです。

Cloudbric WAF+を利用した感想をお聞かせください。

まず、弊社の場合Cloudbric WAF+の導入において、WAF機能を最優先で考えたのですが、SSL証明書サービスや、基本的なDDoS対策、脅威IPや悪性ボットの遮断など、様々なWebセキュリティ対策を一緒に提供して頂き非常に良かったです。コストパフォーマンス的にも非常に大きなメリットではないかと思います。
Cloudbric WAF+は導入後の約1ヶ月間、遮断モードで運用します。その期間に生成された検知ログをもとに、自社に合ったカスタマイズされたセキュリティポリシーを作成し、これからの運用に反映されるらしいです。実際、遮断モードで検知された約75,000件のログ情報など詳細レポートとして作成していただきました。そしてその情報をもとにセキュリティポリシーを提案して頂き、本当にうちに合ったセキュリティ対策で運用できることが印象的でした。

Cloudbric WAF+の導入後、果はございましたか。

導入後しばらくして、約7万件の攻撃が検知されて少し驚いた記憶があります。Cloudbric WAF+の管理画面上でロシアを発信国としたIPによる不正アクセスが多数発見され、全て遮断することができました。そして、レポートを見て分かったことですが、国家別に例外処理を行わなかった2つのサイトが新たに確認でき、すぐに例外処理を行ったこともあります。今まで気づくことのできなかったセキュリティ的な穴を見つけて対処できるなど、少しずつセキュリティ対策のレベルを高められていると感じております。うちの場合、導入してそんなに 経っていないですが、導入の効果がすぐ目に見えて、大変満足しています。

Cloudbric WAF+を使用した際、最もに入った機能をえていただけますか。

とりあえず、管理画面が相当使いやすくて見やすいです。国別にフィルタリングできたり、例外処理をこちら側でできたりすることがすごく便利でした。そして管理画面上でほぼ全ての操作ができることですかね。すぐに遮断したいってなったときに1回のクリックだけで処理できることは、使う側としてはすごく便利な機能の一つだと思います。
そしてレポート機能なんですが、攻撃の種類や詳細内容について、専門知識のない人でも理解できるように分かりやすく詳しく説明されているので常に参考にしています。

最後に一言お願い致します。

先にも言いましたが、ホームページからいらっしゃるお客様が多いこともあり、うちのWebサイト上で重要な資産情報やの個人情報などを扱っていることもあり、可能な限りの対策を取っていきたいです。先日、ログ情報を確認してみたんです。うちの場合基本日本とアメリカからのアクセスを許可しているのですが、検知結果を見たら結構ブロックされていて、ちゃんと検知できていると考えられます。基本的に運用面で安心してお任せできることは、Cloudbric WAF+の一番のメリットではないかと思います。
また、不正侵入が減っているところで、本当にホームページにアクセスしてくれるお客様がログとして残ってきて、ちゃんとしたログが取れるようになって、アクセス経路の分析により経営戦略にも役に立ってくるかなと思います。

シャトレーゼ株式会社

株式会社シャトレーゼ

by 導入事例

株式会社シャトレーゼ

株式会社シャトレーゼは素材にこだわった安全・安心なお菓子作りを行っています。自社工場近隣の契約農家から毎日新鮮な卵や牛乳、フルーツを使用し、ケーキや洋菓子、和菓子、アイスなど約400種類のスイーツを全国のシャトレーゼで販売しています。

Cloudbricの導入を検討したきっかけを教えてください。

シャトレーゼのホームページは十数年前に作られたものですが、比較的最近まではアプリケーションの脆弱性やセキュリティに関するところなどにあまり意識がありませんでした。それが、2015年に大規模な情報漏洩事件が国内外で続々と報じられたこともあり、「情報の管理体制を見直すべきだ」という声が上がってきました。数万人規模の会員を保有しているうちのホームページの場合、オンラインショップを通じての通信販売にも積極的で、沢山のお客様の個人情報を取り扱っていました。そういうわけで他社のWAFも含めて総合的に精査・検討した上で2018年、クラウドブリックのWAFの導入を決めました。そして、今回新しくロンチングしたYATSUDOKIという別ブランドのホームページに対しても、セキュリティを充実にさせたいというところでクラウドブリックを導入しています。

WAF選定時、最も重視されたポイントを教えてください。

コストです。費用対効果と言い換えられますが、クラウドブリックは非常にコストパフォーマンスに優れていると思います。企業規模に合わせて、エコノミーやビジネスなど様々なプランが用意されていたため、最適なプランで最高のセキュリティを導入することができています。

それに、無償トライアル期間中に実際使ってみてからずっと感じていたことでもありますが、管理画面のUIが使いやすくて機能面でも充実しているところがメリットだと思います。いくら良い機能がついていたとしても、使われない機能になってしまうと結局意味がないと思いますので、期間バーを少し調整するだけで特定の日の検知数を簡単に確認できるなど、必要な機能を分かりやすく、詳しく提供してもらえることは、ユーザの立場としてはかなり重要なポイントだと思います。

クラウドブリックを利用した感想をお聞かせください。

クラウドブリックの導入後、大変満足しておりまして感想を一言でいうと「導入しやすさ、運用のしやすさ、手厚いサポート」ですかね。普通、情報セキュリティに詳しくないと導入時の敷居も高くなりがちですが、クラウドブリックはその点について不便に思ったことは全くありませんでした。導入や運用のしやすさについては導入前にも説明していただきましたが、実際に導入・運用してみたらそれが思った以上に簡単でした。そして困ったことやお問い合わせに対して電話やメールで快速・丁寧に対応して頂きますし、導入時も、導入後も変わらない手厚いサポートを受けておりますので業務効率も高めることができました。Webサイトセキュリティはクラウドブリックに任せられるのでいつも安心して他の業務に取り組むことができます。

クラウドブリックの導入後、効果はございましたか。

大手企業N社のWAFがDDoS攻撃と間違えて正規のアクセスまで拒否してしまうということもあるらしいですが、他のWAFと違って基本ソフトが単純なパターンマッチングではないということで、ロジックを見極めて攻撃を検知・遮断するという方式だったのも導入時にクラウドブリックに決定した大きなきっかけでした。実際運用してみたら、シグネチャー型と違って攻撃パターンの更新がいらないため、非常に稼働率が高く手間がいらなかったです。そして、クラウドブリックWAFに採用されているAIエンジンにより誤検知がさらに軽減され攻撃だけを検知、遮断できるようになり、さらに高度なセキュリティを確保できたと思います。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

ダッシュボード機能です。これによりサイバー攻撃の見える化が実現できました。クラウドブリックではダッシュボード機能によりリアルタイムで攻撃状況を把握できます。それでITリテラシーの低い従業員でも視覚的に状況を確認することができています。そして、攻撃に関する詳しい情報やセキュリティ現況などをレポート出力できるため、関係者での情報共有や報告にも容易だと思います。

最後に一言お願い致します。

昨今、サイバー攻撃は激化の一途をたどっていると思います。ホームページについても連日、情報漏洩のニュースもあり、こうしたWebアプリケーションへの攻撃対策は必須です。クラウドブリックを導入することで安心してホームページを運用できるようになっております。弊社の場合海外にも店舗があって、それ用のWebサイトも構築するなど、今後も活発にビジネスに取り組みたいと思います。新規でホームページを立ち上げることになった場合は、積極的にクラウドブリックを活用していきたいと思います。

2022年上半期のサイバー攻撃動向

2022年上半期のサイバー攻撃の動向~企業に求められるセキュリティ対策を解説~

by ブログ

2022年上半期のサイバー攻撃の動向

2022年上半期は世界情勢の不安定化によりサイバー攻撃が活発化し、日本国内でもその影響が色濃く残った時期でした。そこで上半期に日本国内でどのようなサイバー攻撃が発生し、実際にどのような被害があったのか、企業に求められるセキュリティ対策も含めわかりやすく解説していきます。

 

2022年上半期のサイバー攻撃について

2022年上半期におけるサイバー攻撃は世界的に見ても増加傾向にあり、企業のみならず、一般市民においても注視するべき脅威の一つとなりました。特に国内ではランサムウェアによる感染被害が多発し、医療・福祉、建設、小売など業種問わず様々な企業において事業活動の停止や遅延等が発生し、社会経済活動に多大な影響を及ぼしました。また不正アクセスによる情報流出なども顕著に見受けられ、サイバー攻撃による影響はより一層、深刻な状態であると言えます。

 

2022年上半期の代表的なサイバー攻撃「ランサムウェア」の概要と被害実態について

前述の通り、2022年上半期の代表的なサイバー攻撃として「ランサムウェア」が挙げられます。ランサムウェアとはハッカーがパソコンやサーバのデータを暗号化し、その暗号解除の引き換えに身代金を要求するサイバー攻撃です。警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」の報告資料によると、2022年上半期のランサムウェアの被害の報告件数は114件に及び、2021年上半期の61件の2倍以上と右肩上がりで急増しています。また114件の被害報告の内、企業規模別に見てみると、36件が大企業、59件が中小企業と企業規模に問わず被害が発生しており、企業としても注視すべきサイバー攻撃の1つと言えます。

 

2022年上半期:企業や自治体を襲ったサイバー攻撃

〇自治体を襲ったサイバー攻撃:

広島県は2月16日から数日間、大量のデータをサーバに送り付けシステムをダウンさせようとするDDoS攻撃を受けていると発表しました。この影響で県や県内23全ての自治体のホームページ接続しにくい状態が続き、サイトの利用や自治体とのメールやりとりへ被害が生じました。

 

〇自動車関連企業を狙ったサプライチェーンに対するサイバー攻撃:

3月1日に国内大手自動車関連会社が国内にある全14工場28ラインを停止しました。原因は当該企業の関連会社を襲ったサイバー攻撃によるものでした。攻撃者は関連会社の子会社が独自に利用していたリモート接続機器に脆弱性があり、そこから子会社のネットワークに侵入後、さらに当社内ネットワークへ侵入し、ランサムウェアを仕掛けました。これによりサーバやパソコン端末の一部でデータが暗号化され、システムが停止するに至りました。サプライチェーンのため一社でもサイバー攻撃により関連システムが停止すると、関連会社すべてに影響を及ぼすため、サプライチェーンのより一層のセキュリティ強化が叫ばれた事件となりました。

 

〇大手菓子メーカー、サイバー攻撃で164万人以上の個人情報流出の疑い:

3月13日に大手菓子メーカーがランサムウェアにより、社内システムの一部がダウンするなどの問題が発生しました。これによりサーバーの一部データが暗号化され、またハッカーからのメッセージもあり、一部の商品の製造に影響が及びました。またこの攻撃により、当該企業が運営するサイトにおいて、2018年5月1日から2022年5月13日に商品購入をしたことがある顧客を中心に164万人以上の個人情報が流出した可能性があることを明らかにしました。

 

〇衣料品チェーン大手を襲ったサイバー攻撃:

全国に店舗がある衣料品チェーン大手が、5月11日に不正アクセスによりシステム障害が発生しました。ランサムウェアによる攻撃でグループ全店(約2200店舗)で在庫の取り寄せができない状態となりました。

このようにサイバー攻撃は業種や企業規模を問いません。企業がサイバー攻撃を受けた場合、サービスや製造停止などの実質的な被害はもちろん、調査にも多大な時間と費用が発生し、企業の信頼失墜にもつながります。また事例をみてわかるように、企業だけが被害を被るだけではなく、私たちの日常生活のすぐそばでサイバー攻撃は発生しているため、利用者にも大きな被害を及ぼします。

 

企業でのサイバー攻撃対策の在り方

企業において、サイバー攻撃を受けた後に対応を行う事後対応が一般的です。ただ上記でも述べたように、サイバー攻撃を受けてから具体的な対処・対策をするには手遅れです。日頃からサイバー攻撃に対しての正しい危機感を持ち、また企業に合ったセキュリティ対策が求められますが、セキュリティ対策は一概にこうすれば良いと言い切れないため、事前対応の観点での企業におけるセキュリティ対策は非常に難しいのが現実です。

 

頻発しているサイバー攻撃、企業はどうすればいい?

サイバー攻撃対策といっても対策方法は多種多様で、企業のセキュリティ担当者、またセキュリティ担当者がいない企業にとっては、何から取り組めばいいのか頭を抱えて悩むポイントになるかと思います。そのような状況の中でぜひご提案したいのが「Cloudbric WAF+」です。Cloudbric WAF+は2022年上半期に発生したサイバー攻撃に対する対策として、非常に効果的なサービスです。ランサムウェア対策に有効なWAF機能はもちろん、L3/L4/L7に対するDDoS攻撃も防ぐことができ、その他にもSSL証明書の発行、悪性ボット及び脅威IPの遮断など企業の情報セキュリティに必須な5つのサービスを提供しています。また導入前から導入後の運用までセキュリティ・エキスパートに任せることができるため、一人情シスや社内にセキュリティ専任担当者がいない企業でも手軽にご導入いただけます。Cloudbric WAF+を導入することで、企業セキュリティに「+α」の価値を付加し、より強固な企業情報セキュリティをご提供します。