法人向けIT製品の比較・資料請求サイト「ITトレンド」の上半期ランキング2024にて、Cloudbric WAF+が「サイバー攻撃対策」部門で1位を獲得しました。
▼ITトレンド 上半期ランキング2024
https://it-trend.jp/award/2024-firsthalf
このランキングは、2024年上半期にITトレンドでユーザーから最もお問い合わせが多かった製品を発表するものです。
※ランキング結果は2024年1月1日~5月31日までの期間の資料請求数をもとに集計しています。
ITトレンドに掲載されている製品・サービスは以下の通りです。
Cloudbricは企業のセキュリティ課題に応えるためのさまざまなクラウド基盤セキュリティサービスを取り揃えております。
詳しくはサービスページをご覧ください。
法人向けIT製品の比較・資料請求サイト「ITトレンド」の年間ランキング2023にて、Cloudbric WAF+が「サイバー攻撃対策」部門で1位を獲得しました。
▼ITトレンド 年間ランキング2023
https://it-trend.jp/award/2023?r=award2023-top
このランキングは、2023年にITトレンドでユーザーから最もお問い合わせが多かった製品を発表するものです。
※ランキング結果は2023年1月1日~11月30日までの期間の資料請求数をもとに集計しています。
ITトレンドに掲載されている製品・サービスは以下の通りです。
Cloudbricは企業のセキュリティ課題に応えるためのさまざまなクラウド基盤セキュリティサービスを取り揃えております。
詳しくはサービスページをご覧ください。
近年、WebサイトやWebアプリケーションの安全の確保がますます重視されています。AWS WAFは、Amazon Web Servicesが提供するセキュリティサービスで、Web上のリソースをさまざまな脅威から守るためのソリューションです。本記事では、このAWS WAFの特徴や料金、そして導入のメリット・デメリットについて詳しく解説します。AWS WAFの導入を検討する際の参考情報として、ぜひご覧ください。
AWS WAFとは、どのようなサービスなのでしょうか。AWS WAFを理解するために、AWSとWAFそれぞれについてはじめに解説します。
AWS(Amazon Web Services)とは、Amazonが提供するクラウドサービスの総称です。AWSを導入すると、ストレージ、アプリケーション開発、データ分析、機械学習など、多種多様な機能を必要なときに必要なだけ利用できます。さらに、AWSはクラウドサービスであるため、運用コストが低く導入しやすくなっています。このため、多くの企業がWebサービスの展開や開発環境の構築、データ活用などにAWSを活用しています。
WAFとは“Web Application Firewall”の略で、WebサイトやWebアプリケーションの防御に特化したセキュリティツールです。WAFは以下のように、さまざまな攻撃からWeb上のリソースを保護します。
【WAFで対処できる代表的な攻撃例】
AWS WAFはその名の通り、AWSが提供するWAFです。その大きな特徴は、セキュリティ機能や脅威の検知ルールを柔軟にカスタマイズできることにあります。このため、企業は自社のニーズに応じてセキュリティ対策を選択・調整できます。その他、AWS WAFに含まれる主な機能や特徴は次の通りです。
【主要機能および特徴】
このような機能を組み合わせてコンテンツへのアクセスを監視・制御し、Webリソースの安全を確保します。
作成するWeb ACLの数、および作成するルール数、さらにWeb ACLによって処理された Web リクエストの数によって料金が決まります。使用分のみの支払いとなり、初期費用はかかりません。AWS WAFは非常にコストパフォーマンスに優れたWAFですが、通信量が多い場合には高コストになる場合もありますので注意が必要です。
課金体系は以下の通りです。
詳しくは、AWS公式サイトをご確認ください。
AWS WAFを導入することで、企業は具体的にどのようなメリットを得られるのでしょうか。AWS WAFの強みを4つ解説します。
AWS WAFの特長のひとつが、非常に簡単に導入できることです。従来のアプライアンス型のソリューションとは異なり、AWS WAFでは特別なソフトウェアのインストールや複雑な設定が必要ありません。AWS内で運用しているAmazon CloudFrontやAmazon API Gatewayといったサービスの設定でWAFを有効にするだけで利用を開始できます。最小限の労力と時間でセキュリティを強化できるのは非常に魅力です。
AWS WAFの料金システムは従量課金制なので、実際に利用した分だけのコストしか発生しません。利用料金は、設定するルール数などに応じて変動する形です。AWS WAFには最低使用料金や初期費用の設定もなく、無駄な出費が生じません。自社のセキュリティ予算に応じてコストコントロールがしやすい点は、企業規模を問わず大きなメリットです。
AWS WAFは、Webサイトを含むWebアプリケーションを狙った攻撃への対策に特化したソリューションです。AWSが提供する基本ルールセットとAPIを活用することで、SQLインジェクション、クロスサイトスクリプティング(XSS)、DDoS攻撃など、多様な攻撃からWebアプリケーションを守れます。防御の際、トラフィックをほぼリアルタイムで監視できることもAWS WAFの強みです。このため、セキュリティの強化を目的に行う分析・監査用途のログを取るといった用途にも活用できます。
AWS WAFはカスタマイズ性に優れており、セキュリティの知見やノウハウに乏しい企業でも安心して使えるよう、マネージドルールが提供されています。これは、ルールのセットをテンプレートとして利用できるもので、AWS純正のものや他のセキュリティベンダーが組んだものなど、幅広い選択肢があります。例えば、SQLインジェクションを含む攻撃に対処する際は、「SQL database managed rule group」を選択できます。ルールセットの中から自社が必要なものを選ぶことで、専門的なセキュリティ知識がなくても、必要なルールを選んで安全な環境を構築できます。
WAF専門のセキュリティベンダーが提供するマネージドルールとして代表的なものに、Cloudbric Managed Rules for AWS WAFがあります。
関連記事:AWS WAFマネージドルールの公式版からおすすめまで、5つの製品を紹介
AWS WAFは多くの利点があるものの、運用には一定の知識が求められます。ルールセットが提供されていますが、最適化するためにはユーザー自身が脅威や対策に関する情報を収集することが不可欠です。マネージドルールは便利ですが、自社に適したものを判断するための知識も必要です。
さらに、AWS WAFのルールセットの詳細やパラメータは非公開であり、検知した攻撃のパターンや痕跡についての詳細な解析を行いたい場合や誤検知に対処する際に、情報の不透明性が問題となることがあります。
このように、AWS WAFには、運用の難易の高さやルールセットの不透明性といったデメリットもあるため、導入を検討する際は、長所と短所を総合的に考慮して判断することが大切です。
AWS WAFはWebサイトやWebアプリケーションのセキュリティ対策として強力なツールですが、いくつかのデメリットも存在します。しかし、導入のしやすさや高いカスタマイズ性など、魅力的な利点も多く備えています。AWS WAFを活用すれば、自社に適したセキュリティ対策が可能となります。導入を検討する際は、本記事で紹介した情報を参考にしてください。
▼AWS WAF専用のマネージドルール「Cloudbirc Managed Rules for AWS WAF」
▼AWS WAFに特化した運用管理サービス「Cloudbirc WMS for AWS WAF」
法人向けIT製品の比較・資料請求サイト「ITトレンド」の上半期ランキング2023にて、Cloudbric WAF+が「サイバー攻撃対策」部門で1位を獲得しました。
▼ITトレンド 上半期ランキング2023
https://it-trend.jp/award/2023-firsthalf/cyber_attack
このランキングは、2023年上半期にITトレンドでユーザーから最もお問い合わせが多かった製品を発表するものです。
※ランキング結果は2023年1月1日~5月31日までの期間の資料請求数をもとに集計しています。
ITトレンドに掲載されている製品・サービスは以下の通りです。
Cloudbricは企業のセキュリティ課題に応えるためのさまざまなクラウド基盤セキュリティサービスを取り揃えております。
詳しくはサービスページをご覧ください。
クラウド型WAFサービス「Cloudbric WAF+」
脆弱性診断サービス「Cloudbric 脆弱性診断」
エッジDDoSプロテクションサービス「Cloudbric ADDoS」
株式会社SIGは独立系IT企業として、様々な分野及び業種における情報システムや産業制御システムのようなシステム開発事業等に取り組んでいます。また、それらを支えるITインフラソリューション及びセキュリティなど幅広い分野でサービスを提供しています。
Webサイトの構築や運営する方であれば、「WAF」という言葉を耳にしたことがあると思います。長引くコロナ禍で当社が運営するコーポレートサイトへのアクセスやお問い合わせが増加する中、Webサイトセキュリティの必要性を感じたこともあり、セキュリティ強化策として情報漏えいや脆弱性への対策としてWebアプリケーションレベルでのセキュリティ対策を最初にしておくべきだという意見も多く、WAFの導入を決定しました。
様々な選択肢がありましたが、他社と比べて費用が安く且つ性能の優れたWAFとして評価されている「Cloudbric WAF+」を導入することになりました。無償トライアル期間中においても、実際の運用環境を想定して自社環境に合ったセキュリティ対策で運用してみることができましたし、非常に使いやすかったので、そのまま実導入に至りました。
導入のハードルが低く、必要な機能を必要な分だけ利用できるところが最も気に入りました。どれだけ多くの機能を搭載しているかも重要かもしれませんが、自分が考える「良いWAF」とは、新種や亜種の脆弱性をどれだけ精度高く検出できるかが左右すると思います。そういうところでいうと、「Cloudbric WAF+」を導入したのは最善の選択だったのではないかと思います。独自の「論理演算検知エンジン」を搭載して高い検知率を維持しながらも、Webサイトのトラフィック特性を学習する「特性学習AIエンジン」を用いて、最新の脆弱性にもいち早く対応できるということで、安心して任せることができました。
あとは費用面です。基本提供される機能だけでも十分で、追加費用を支払わなくともSSL証明書サービスなど様々なWebセキュリティ機能を利用できるので、無駄な支出を省くことができました。そして当社の場合、小規模のコーポレートサイトへのWAF導入であったため、プランによって受けられるサービスが異なるのではないかと多少心配な面もありました。しかし、利用プランに関係なく同じレベルの高いセキュリティを提供してもらえ、コストパフォーマンスの面で非常に満足しています。
よく考えてみると、個人情報や顧客情報、決済情報などを取り扱うサイトに対しては、Webアプリケーションの脆弱性対策としてWAFの導入が確かに効果的です。しかし、コーポレートサイトの場合、セキュリティ対策が比較的甘いケースが多く見受けられます。会員情報を扱っているわけでもないし、情報漏えいは心配ないということと、ECサイトや会員制サイトと比べてそんなに攻撃されることもないという認識がありますが、実際はそういうわけでもありません。Web改ざんであったり、お問い合わせフォームを利用した攻撃を行うなど様々なパターンで攻撃を仕掛けてくるため、コーポレートサイトに対しても細心の注意を払う必要があります。「Cloudbric WAF+」導入したことによって、当社サイトがこんなに攻撃を受けているという注意喚起にも非常に役立っていると思います。
検知モードの際に、当社WebサイトにアクセスしたIPアドレス情報を共有して頂きましたが、その中から2つのIPアドレスによる大量のアクセスが確認されたことが分かりました。すぐに例外処理をして大きな問題にはなりませんでしたが、今まではこのような攻撃を受けているという意識がなかったため、正直攻撃が収まったということを実感しているわけではありません。しかし、セキュリティへの意識を高めるきっかけになったと思いますし、「Cloudbric WAF+」で明確に遮断されているという安心感もあります。
セキュリティに詳しくない人にとっても、WAFを使ったことがない人にとっても、非常にシンプルで見やすく操作もしやすいところです。視覚的に飛び込んでくるダッシュボードなので、ダッシュボードにアクセスすると「Cloudbric WAF+」で実際にブロックした攻撃回数がグラフで表示され、発信国情報や攻撃目的なども一目で分かるようになっています。また、ボタンを押すだけで簡単にIPアドレスを遮断できるなど操作も簡単に行えて便利でした。
また、海外製のサービスではありますが、サポート対応がしっかりしているのもメリットだと思います。WAFの設定変更についてメールでお問い合わせしたところ、迅速且つ丁寧な対応をして頂きました。
企業インフラのクラウド化により、今まで以上にクラウド型WAFのニーズが高まると思います。数え切れないほどたくさんのWAF製品が存在しますが、中でも「Cloudbric WAF+」は競争力を十分備えた製品であると、個人的には確信しております。日本だけでも既に、7,000サイトを超える法人顧客に導入されていますが、それこそ、信頼できる確かな製品であるという何よりの証拠だといえるのではないでしょうか。WAF導入を検討される方なら、ぜひ参考にしてください。
株式会社ワールドスカイは、お客様が本当に必要なICT技術は何か、その技術のセキュリティリスクに問題は無いかを常に考え、研究し、最高のご提案を行えるように取り組んでいます。創業より、海外セキュリティ製品にこだわり、良い技術・製品・サービスを探してまいりました。海外の特性を活かし、日本独自の風習に合うようにコーディネイトすることにより、多くの企業様へ安心してご利用いただけるICT技術を導入させて頂いております。これからも「セキュリティを活かしたICTでお客様の課題解決」をモットーに、お客様の最高のパートナーになれるように日々精進いたします。
弊社は、SI(システムインテグレーション)ビジネスを展開する企業として、Webアプリケーションへのセキュリティ対策としてコンサルティング、脆弱性診断などを提供しております。Webサイト上に大幅な追加・修正が生じた際は、脆弱性診断で対策を取る方法もありますが、金額面・恒久的な対策という側面を考慮した際、24/365で運用をサポートしてくれるサービス兼セキュリティ専門チームを活用することが効果的であるという判断に至り「Cloudbric WAF+」を採択しました。実際に「Cloudbric WAF+」を使用してみたところ、アプライアンスタイプのWAFに比べて初期費用や運用コストが非常に安く、予算を抑えることができました。運用面におきましても、弊社側で常にログを分析せずとも、脅威IPや最新の脅威データベースに基づいた対策をメーカ側で行っているため安心して利用できます。結果的に運用負荷の軽減にもつながっています。「Cloudbric WAF+」は弊社で取り扱っている製品でもあるため、性能、さまざまなメリットについても詳細を把握していたため、金額面、機能面、運用面を考慮し、導入を決めました。
実際に「Cloudbric WAF+」をご利用いただいているお客様、セキュリティ関連でお付き合いのあるSI企業様などの評価は大事にしました。様々なWAFサービスがある中で、あるサービスは「知名度は高いが検知率が低い」といった声や、あるサービスでは「性能は良いが運用後のカスタマイズ費用が高い」など、それぞれのサービスには一長一短あることが判りました。弊社の場合セキュリティビジネスをしていく上でお客様視点からの声が直接聞けるので、そういう評価を重視しながら選定しました。
また、費用面でのメリットというところも気になるポイントでした。他社サービスの価格表と比較しながら、弊社のシステム環境と合わせて総合的に検討してみると、トータル的には他社より「Cloudbric WAF+」の方が安くなるという結論に至りました。結局、他社の評価と費用面でのバランスというところが「Cloudbric WAF+」を選ぶ決め手となったのではないかと思います。
「Cloudbric WAF+」を導入すると、30日間検知モニタリングを行い、ログ分析の詳細や運用状況などをまとめたレポートを共有してもらえます。実際、不正アクセスではない管理者IPが不正ログとして検知されていたため例外処理をするなど、本格運用する前に自社環境に合わせてセキュリティポリシーを提案してもらい、カスタマイズできるところが印象的でした。他社の場合、例外処理やお客様に沿ったポリシー調整となるとそこに対する追加費用が発生するケースがありますが、「Cloudbric WAF+」のサービスは、そのような部分がプランに含まれているので、そういう点がメリットではないかと思います。
デメリットとしては、やはり国産製品ではないため、国内においては、他社と比べて知名度が低めであることは少し残念だと思います。しかし、海外では世界中から数々の賞を受賞し、実際ご利用頂いているお客様にもそのセキュリティ技術力も相当認められているので信頼をおき利用しています。
「Cloudbric WAF+」の導入後、ダッシュボードでログの確認などが分かりやすく構成されているので非常に助かっています。担当者としてセキュリティは気にしなければいけませんが、どうしてもフロント部分やサービス部分をメインとして見るため、その部分の比重が高くなってしまう傾向があることも事実です。その点、ダッシュボードやレポートでサイバー攻撃や不正アクセスをひと目で把握できるため、現状を把握するまでの手間を省くことができたと思います。また、「Cloudbric WAF+」はWAF機能だけでなく、無償SSLや基本的なDDoS攻撃対策など、プラスアルファ的なサービスも提供しているため、その他セキュリティ対策を導入する必要はなく、一元管理できるという点も管理者としては大きなメリットであると思います。
ダッシュボードが見やすいところが「Cloudbric WAF+」の大きなメリットだと考えています。ダッシュボードからは各種設定ができ、ユーザエクスペリエンスに相当気を使っていることが目に見てわかります。
「Cloudbric WAF+」の導入を検討されているセキュリティ担当者様は、無償評価版を使用し、ダッシュボードから操作性を見てみるのは如何でしょうか。又は、無償評価版を申込みせずともクラウドブリックのホームページにて提供されるダッシュボードで実際に体験いただけるようです。
https://www.cloudbric.jp/free-trial/
あとは、サポート面がしっかりしていることだと思います。海外企業だとサポート面で日本語対応ができていないところも多く、どうしても不安が生じてしまうところもあります。しかし、クラウドブリックは日本法人があるため、サポート面において完全日本語で対応してくれるところ、そしてWebからも24/365できちんとと問い合わせ回答してくれるため、安心して利用できると思います。
「Cloudbric WAF+」はグローバルで販売しているサービスで、現在95ヵ国の10万以上のレファレンス実績を上げています。ですので、最近だと世界中から収集した脅威インテリジェンス(Threat Intelligence)などを活用して、最新の脅威データベースにも対応していると思います。そして、機能改善とか、拡張というところも積極的に行っているところは、更なる製品の質の向上という観点から個人的に期待している部分でもあります。弊社としては、「Cloudbric WAF+」のメリットとそういうところを含め、「セキュリティ専門家でなくても安心して使えるWAFサービス」としてお客様に積極的に提案していきたいと思います。WAF導入を検討されている担当者様なら、まず30日の無償トライアルからお気軽にご利用されることをご検討ください。
愛知・福岡・千葉に30店舗展開し、不動産仲介業(おうち探し館!)の他にリフォーム(Asobi-リノベ)、新築住宅(Asobi-創家(すみか))など幅広く手掛ける「ワンストップサービス」が特徴の総合不動産企業「不動産SHOPナカジツ」。
不動産業界の既存モデルにとらわれず、ユーザーファーストのサービスを展開し、中古住宅+リノベーション事業においては全国3位の実績を誇るなど急成長を遂げている。
ずいぶん前のことになりますが、DDoS攻撃を受けて社内システムがダウンしたことがありました。幸いなことに、大きな被害は発生していませんでした。しかし、いつ、どこから仕掛けてくるか全く予測のつかないDDoS攻撃の恐ろしさを改めて実感する瞬間であったし、ホームページやWebサーバーへのセキュリティ対策を見直すきっかけにもなったと思います。DDoS攻撃は、攻撃対象に大量のトラフィックを送り付けてサービスを停止させることが一般的ですが、だからといって全てのトラフィックを遮断してしまうと、正常なトラフィックまで遮断されサービスが利用できない状況が生じてしまいます。うちのホームページに訪ねてくださるお客様に迷惑をかけるわけにはいかないので、我々には異常のあるトラフィックをしっかり遮断し、正常なトラフィックのみを通すことのできる性能の高いセキュリティ対策が必要でした。それでWAFを含め総合的なWebセキュリティ対策を探し始めたのです。
誤検知をなるべく起こしたくない、もし起こしたとしてもなるべく速く対応したい、運用面ではそういったところを重視しました。 弊社の場合、ホームページからいらっしゃるお客様が多く、ホームページに障害が起きたり、なんらかの理由でアクセスできなかったりするなど、ホームページが使えなくなる状況がそのまま利益にも関わってくるんです。また、検知率がどんなに高くても、誤検知がそれほど多ければ台無しになってしまうので、検出力を高い水準に維持しながら誤検知率を減少できる製品にしたいなと思いました。
WAFはシグネチャー型とロジックベース型と2種類を検討させて頂きまして、検知率、誤検知率など検知能力が優れているロジックベース型のCloudbric WAF+に決定しました。海外の第三者機関から公認された結果などが非常に分かりやすく示されてあったので、そういうところが決め手になったのではないかと思います。あと、運用時に即時に対応できる仕組みになっていること、そして即対応してくれることもCloudbric WAF+を選択した理由の一つです。
まず、弊社の場合Cloudbric WAF+の導入において、WAF機能を最優先で考えたのですが、SSL証明書サービスや、基本的なDDoS対策、脅威IPや悪性ボットの遮断など、様々なWebセキュリティ対策を一緒に提供して頂き非常に良かったです。コストパフォーマンス的にも非常に大きなメリットではないかと思います。
Cloudbric WAF+は導入後の約1ヶ月間、遮断モードで運用します。その期間に生成された検知ログをもとに、自社に合ったカスタマイズされたセキュリティポリシーを作成し、これからの運用に反映されるらしいです。実際、遮断モードで検知された約75,000件のログ情報など詳細レポートとして作成していただきました。そしてその情報をもとにセキュリティポリシーを提案して頂き、本当にうちに合ったセキュリティ対策で運用できることが印象的でした。
導入後しばらくして、約7万件の攻撃が検知されて少し驚いた記憶があります。Cloudbric WAF+の管理画面上でロシアを発信国としたIPによる不正アクセスが多数発見され、全て遮断することができました。そして、レポートを見て分かったことですが、国家別に例外処理を行わなかった2つのサイトが新たに確認でき、すぐに例外処理を行ったこともあります。今まで気づくことのできなかったセキュリティ的な穴を見つけて対処できるなど、少しずつセキュリティ対策のレベルを高められていると感じております。うちの場合、導入してそんなに 経っていないですが、導入の効果がすぐ目に見えて、大変満足しています。
とりあえず、管理画面が相当使いやすくて見やすいです。国別にフィルタリングできたり、例外処理をこちら側でできたりすることがすごく便利でした。そして管理画面上でほぼ全ての操作ができることですかね。すぐに遮断したいってなったときに1回のクリックだけで処理できることは、使う側としてはすごく便利な機能の一つだと思います。
そしてレポート機能なんですが、攻撃の種類や詳細内容について、専門知識のない人でも理解できるように分かりやすく詳しく説明されているので常に参考にしています。
先にも言いましたが、ホームページからいらっしゃるお客様が多いこともあり、うちのWebサイト上で重要な資産情報やの個人情報などを扱っていることもあり、可能な限りの対策を取っていきたいです。先日、ログ情報を確認してみたんです。うちの場合基本日本とアメリカからのアクセスを許可しているのですが、検知結果を見たら結構ブロックされていて、ちゃんと検知できていると考えられます。基本的に運用面で安心してお任せできることは、Cloudbric WAF+の一番のメリットではないかと思います。
また、不正侵入が減っているところで、本当にホームページにアクセスしてくれるお客様がログとして残ってきて、ちゃんとしたログが取れるようになって、アクセス経路の分析により経営戦略にも役に立ってくるかなと思います。
株式会社シャトレーゼは素材にこだわった安全・安心なお菓子作りを行っています。自社工場近隣の契約農家から毎日新鮮な卵や牛乳、フルーツを使用し、ケーキや洋菓子、和菓子、アイスなど約400種類のスイーツを全国のシャトレーゼで販売しています。
シャトレーゼのホームページは十数年前に作られたものですが、比較的最近まではアプリケーションの脆弱性やセキュリティに関するところなどにあまり意識がありませんでした。それが、2015年に大規模な情報漏洩事件が国内外で続々と報じられたこともあり、「情報の管理体制を見直すべきだ」という声が上がってきました。数万人規模の会員を保有しているうちのホームページの場合、オンラインショップを通じての通信販売にも積極的で、沢山のお客様の個人情報を取り扱っていました。そういうわけで他社のWAFも含めて総合的に精査・検討した上で2018年、クラウドブリックのWAFの導入を決めました。そして、今回新しくロンチングしたYATSUDOKIという別ブランドのホームページに対しても、セキュリティを充実にさせたいというところでクラウドブリックを導入しています。
コストです。費用対効果と言い換えられますが、クラウドブリックは非常にコストパフォーマンスに優れていると思います。企業規模に合わせて、エコノミーやビジネスなど様々なプランが用意されていたため、最適なプランで最高のセキュリティを導入することができています。
それに、無償トライアル期間中に実際使ってみてからずっと感じていたことでもありますが、管理画面のUIが使いやすくて機能面でも充実しているところがメリットだと思います。いくら良い機能がついていたとしても、使われない機能になってしまうと結局意味がないと思いますので、期間バーを少し調整するだけで特定の日の検知数を簡単に確認できるなど、必要な機能を分かりやすく、詳しく提供してもらえることは、ユーザの立場としてはかなり重要なポイントだと思います。
クラウドブリックの導入後、大変満足しておりまして感想を一言でいうと「導入しやすさ、運用のしやすさ、手厚いサポート」ですかね。普通、情報セキュリティに詳しくないと導入時の敷居も高くなりがちですが、クラウドブリックはその点について不便に思ったことは全くありませんでした。導入や運用のしやすさについては導入前にも説明していただきましたが、実際に導入・運用してみたらそれが思った以上に簡単でした。そして困ったことやお問い合わせに対して電話やメールで快速・丁寧に対応して頂きますし、導入時も、導入後も変わらない手厚いサポートを受けておりますので業務効率も高めることができました。Webサイトセキュリティはクラウドブリックに任せられるのでいつも安心して他の業務に取り組むことができます。
大手企業N社のWAFがDDoS攻撃と間違えて正規のアクセスまで拒否してしまうということもあるらしいですが、他のWAFと違って基本ソフトが単純なパターンマッチングではないということで、ロジックを見極めて攻撃を検知・遮断するという方式だったのも導入時にクラウドブリックに決定した大きなきっかけでした。実際運用してみたら、シグネチャー型と違って攻撃パターンの更新がいらないため、非常に稼働率が高く手間がいらなかったです。そして、クラウドブリックWAFに採用されているAIエンジンにより誤検知がさらに軽減され攻撃だけを検知、遮断できるようになり、さらに高度なセキュリティを確保できたと思います。
ダッシュボード機能です。これによりサイバー攻撃の見える化が実現できました。クラウドブリックではダッシュボード機能によりリアルタイムで攻撃状況を把握できます。それでITリテラシーの低い従業員でも視覚的に状況を確認することができています。そして、攻撃に関する詳しい情報やセキュリティ現況などをレポート出力できるため、関係者での情報共有や報告にも容易だと思います。
昨今、サイバー攻撃は激化の一途をたどっていると思います。ホームページについても連日、情報漏洩のニュースもあり、こうしたWebアプリケーションへの攻撃対策は必須です。クラウドブリックを導入することで安心してホームページを運用できるようになっております。弊社の場合海外にも店舗があって、それ用のWebサイトも構築するなど、今後も活発にビジネスに取り組みたいと思います。新規でホームページを立ち上げることになった場合は、積極的にクラウドブリックを活用していきたいと思います。
2022年上半期は世界情勢の不安定化によりサイバー攻撃が活発化し、日本国内でもその影響が色濃く残った時期でした。そこで上半期に日本国内でどのようなサイバー攻撃が発生し、実際にどのような被害があったのか、企業に求められるセキュリティ対策も含めわかりやすく解説していきます。
2022年上半期におけるサイバー攻撃は世界的に見ても増加傾向にあり、企業のみならず、一般市民においても注視するべき脅威の一つとなりました。特に国内ではランサムウェアによる感染被害が多発し、医療・福祉、建設、小売など業種問わず様々な企業において事業活動の停止や遅延等が発生し、社会経済活動に多大な影響を及ぼしました。また不正アクセスによる情報流出なども顕著に見受けられ、サイバー攻撃による影響はより一層、深刻な状態であると言えます。
前述の通り、2022年上半期の代表的なサイバー攻撃として「ランサムウェア」が挙げられます。ランサムウェアとはハッカーがパソコンやサーバのデータを暗号化し、その暗号解除の引き換えに身代金を要求するサイバー攻撃です。警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」の報告資料によると、2022年上半期のランサムウェアの被害の報告件数は114件に及び、2021年上半期の61件の2倍以上と右肩上がりで急増しています。また114件の被害報告の内、企業規模別に見てみると、36件が大企業、59件が中小企業と企業規模に問わず被害が発生しており、企業としても注視すべきサイバー攻撃の1つと言えます。
広島県は2月16日から数日間、大量のデータをサーバに送り付けシステムをダウンさせようとするDDoS攻撃を受けていると発表しました。この影響で県や県内23全ての自治体のホームページ接続しにくい状態が続き、サイトの利用や自治体とのメールやりとりへ被害が生じました。
3月1日に国内大手自動車関連会社が国内にある全14工場28ラインを停止しました。原因は当該企業の関連会社を襲ったサイバー攻撃によるものでした。攻撃者は関連会社の子会社が独自に利用していたリモート接続機器に脆弱性があり、そこから子会社のネットワークに侵入後、さらに当社内ネットワークへ侵入し、ランサムウェアを仕掛けました。これによりサーバやパソコン端末の一部でデータが暗号化され、システムが停止するに至りました。サプライチェーンのため一社でもサイバー攻撃により関連システムが停止すると、関連会社すべてに影響を及ぼすため、サプライチェーンのより一層のセキュリティ強化が叫ばれた事件となりました。
3月13日に大手菓子メーカーがランサムウェアにより、社内システムの一部がダウンするなどの問題が発生しました。これによりサーバーの一部データが暗号化され、またハッカーからのメッセージもあり、一部の商品の製造に影響が及びました。またこの攻撃により、当該企業が運営するサイトにおいて、2018年5月1日から2022年5月13日に商品購入をしたことがある顧客を中心に164万人以上の個人情報が流出した可能性があることを明らかにしました。
全国に店舗がある衣料品チェーン大手が、5月11日に不正アクセスによりシステム障害が発生しました。ランサムウェアによる攻撃でグループ全店(約2200店舗)で在庫の取り寄せができない状態となりました。
このようにサイバー攻撃は業種や企業規模を問いません。企業がサイバー攻撃を受けた場合、サービスや製造停止などの実質的な被害はもちろん、調査にも多大な時間と費用が発生し、企業の信頼失墜にもつながります。また事例をみてわかるように、企業だけが被害を被るだけではなく、私たちの日常生活のすぐそばでサイバー攻撃は発生しているため、利用者にも大きな被害を及ぼします。
企業において、サイバー攻撃を受けた後に対応を行う事後対応が一般的です。ただ上記でも述べたように、サイバー攻撃を受けてから具体的な対処・対策をするには手遅れです。日頃からサイバー攻撃に対しての正しい危機感を持ち、また企業に合ったセキュリティ対策が求められますが、セキュリティ対策は一概にこうすれば良いと言い切れないため、事前対応の観点での企業におけるセキュリティ対策は非常に難しいのが現実です。
サイバー攻撃対策といっても対策方法は多種多様で、企業のセキュリティ担当者、またセキュリティ担当者がいない企業にとっては、何から取り組めばいいのか頭を抱えて悩むポイントになるかと思います。そのような状況の中でぜひご提案したいのが「Cloudbric WAF+」です。Cloudbric WAF+は2022年上半期に発生したサイバー攻撃に対する対策として、非常に効果的なサービスです。ランサムウェア対策に有効なWAF機能はもちろん、L3/L4/L7に対するDDoS攻撃も防ぐことができ、その他にもSSL証明書の発行、悪性ボット及び脅威IPの遮断など企業の情報セキュリティに必須な5つのサービスを提供しています。また導入前から導入後の運用までセキュリティ・エキスパートに任せることができるため、一人情シスや社内にセキュリティ専任担当者がいない企業でも手軽にご導入いただけます。Cloudbric WAF+を導入することで、企業セキュリティに「+α」の価値を付加し、より強固な企業情報セキュリティをご提供します。
DXという言葉が様々な場面で使われています。しかし現状、デジタル化によって新しいビジネスモデルを確立し、企業の力を高めていくDX推進のためには、課題もまだまだ残っており、また DX推進に伴うサイバーリスクに対する各種セキュリティ対策も共に解決すべき課題の一つです。この記事では、DXの概要と現状、導入事例に加え、DX時代に求められるセキュリティ対策について解説します。
そもそもDXとは、いったいどのような言葉なのでしょうか。ここでは、DXの概要と、よく混同される「IT化」「デジタル化」との違いを解説します。
「DX」とは、「Digital Transformation」の略称で、直訳すると「デジタル変革」という意味の言葉です。DXの定義については曖昧な部分もありますが、広義には「デジタル化によって社会や生活のスタイルが変わること」を意味しています。経済産業省は産業界におけるDXについて次のように定義しています。「企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること」(デジタルガバナンス・コード2.0)
ビジネスにおいてDXとは、「デジタル化によってサービスやビジネスモデル、業務、組織などを変革し、自社の競争力を高めていくこと」を意味します。単にITを導入するだけでなく、それによって企業として新しい価値を築いていくことがDXには求められます。
「DX」という言葉は、しばしば「IT化」「デジタル化」といった言葉と混同されます。簡単に言えば、「IT化」と「デジタル化」はDXのための手段にすぎません。「IT化」とは、「既存のアナログな作業にITを用い、便利にする」といった意味で使われる言葉です。既存の業務プロセスを崩さず、情報を活用しやすい状態に整理することがIT化と言われます。「デジタル化」とは、一部またはより広い範囲での業務プロセスのデジタル化を指します。例えば、書類の電子化や口頭連絡に代わるチャットツールの利用がそれに当たります。
IT化やデジタル化を推進しただけでは、企業の業務効率化は進むかもしれませんが、自社の新しい競争力の獲得には至りません。IT化とデジタル化は、DXのための準備段階に過ぎません。
DXが叫ばれるようになって数年経ちますが、日本ではいまだにDXに未着手、または途上の企業が多いと言われています。2022年7月に発表された、経済産業省の「DXレポート2.2」によれば、DX推進指標を提出している企業の数は増加傾向にあり、スコアも上昇していることから、着実にDXの重要性は広まりつつあると言われています。対して、企業の予算におけるデジタル投資の割合は以前と大きな変化が見られないことから、既存のビジネスに予算を割く企業が多く、DX推進が思うように進んでいないという現状もあります。
日本のDX推進を阻む要因としては、「DXについての理解不足」「既存システムの老朽化・ブラックボックス化」「デジタル人材不足」といったことが指摘されます。DXについての理解が浅いために予算があてられなかったり、既存のシステムが老朽化しているため、そちらの改修に予算を割かねばならなかったり、といった課題があります。また、DXを推進するための専門家が自社におらず、優秀な人材確保が難しいという点から、DXの重要性は認知していても手を打てない、といった企業も少なくありません。
結論として、DX認知度は確実に高まってきてはいるが、まだまだ課題も多く、DX推進は思うように進んでいない、というのが日本の現状です。
日本のDX推進はまだまだ途上とは言え、DXに成功した事例も多数報告されています。ここでは、日本でのDX推進の導入事例をいくつかご紹介します。
保険大手の「ソニー損害保険株式会社」では、自動車保険とAIを組み合わせてDXを成功させました。AIを活用して運転スキルや運転傾向に関するデータを収集して事故のリスクを判定し、安全運転と判定された場合に保険料を一定額返金する、というサービスです。運転スキルの判定、という難易度の高い業務にAIを活用した、DX成功事例と言えるでしょう。
不動産テック企業の「SREホールディングス」は、蓄積された取引データを元に、不動産取引価格の自動査定ツールを導入しました。不動産業界にこれまでなかったビジネスモデルを確立したとして、DXグランプリにも選ばれています。
教育事業の大手「トライグループ」は、オンラインで授業が受けられる「Try IT」でDXを実現しました。スマホやタブレットで効率的に映像授業を受講できるシステムで、100万人を超える会員や、オンラインに特化した教室の設立など、新しいビジネスモデルを確立しています。
DX推進の認知度が高まる中で、セキュリティ対策の重要性も主張されています。DX推進には、新しいツールやクラウドのようなプラットフォームなど、新しい技術を導入する必要があります。データやその利用方法が複雑化していくため、セキュリティ対策が不十分なままDXが進められてしまう、という事例もあります。リモートワーク推進のために導入したVPNの設定不備のためにネットワークを狙ったサイバー攻撃を受けたり、管理システムの設定不備で外部から機密情報にアクセス可能な状態になっていたり、といったインシデントが典型例です。新しいシステムの導入に伴って、従来のセキュリティ対策を見直してさらに強固なものにする必要が生じています。
それでは、DX時代に求められるセキュリティ対策とは、具体的にどのようなものなのでしょうか。ここでは、種類別にいくつか対策例をご紹介します。
1つ目はデバイスのセキュリティ対策です。DX推進に伴って、パソコンやタブレット、スマートフォンといったデバイスの活用場面がさらに増えると予想されます。社内で管理できるPCだけでなく、テレワーク用のノートPCや、個人のスマートフォンを業務に使うことも増えています。デバイスのマルウェア対策や、情報漏えい対策などが不十分だと、思わぬインシデントにつながるかもしれません。マルウェア対策ソフトの導入や、システムへのアクセス制御などのセキュリティ対策が必要です。
2つ目はネットワークのセキュリティ対策です。ネットワークに関するセキュリティは、昨今「境界型」のセキュリティから「ゼロトラスト」のセキュリティへと移行しています。クラウドやモバイル端末などの普及に伴い、ネットワークの社内・社外といった境界が曖昧になったことで、従来の境界型のセキュリティでは対応しきれない場面が増えつつあります。アクセスの全てを信頼せず、その都度認証を行って対策する「ゼロトラスト」のセキュリティの導入が推奨されています。
3つ目は導入するツール・システムのセキュリティです。DX推進に伴って、新しいツールやシステムを開発・導入する場面も増えるでしょう。導入するツール・システムにセキュリティ上の不備があっては、インシデントにつながるリスクも高まります。ツールやシステムの導入に際しては、信頼できるベンダーのものを選択したり、事前にセキュリティテストを実施したり、また導入後の定期的な見直しも必要になります。
最後に、Webサービスのセキュリティです。社内の業務などのために、Webサービスを利用する企業も増えつつあります。Webサービスは攻撃の種類も多く、日々インシデントも多数報告されています。WAFの導入や脆弱性診断の実施など、Webサービスのセキュリティを強固に保つ仕組みを考えなければなりません。
「DX」は、「デジタル化によってサービスやビジネスモデル、業務、組織などを変革し、自社の競争力を高めていくこと」を指す言葉です。単なる電子化やシステム導入のことではなく、企業に新しい価値をもたらしていかなくてはなりません。日本のDX推進はまだまだ途上にあり、考慮すべき課題も多数残っています。DX推進を検討するうえで無視できないのがセキュリティ対策です。デバイスやネットワーク、ツールのセキュリティ対策に加え、重要性の高いのがWebサービスのセキュリティです。Webサービスのセキュリティ対策には、「Cloudbric WAF+」がおすすめです。WAFサービスに加え、SSL証明書発行、DDoS攻撃対策、悪性ボットや脅威IPの遮断と、企業における必須の5つのセキュリティサービスを、手軽に導入・運用できる魅力的なソリューションです。 DX時代に求められるWebサービスセキュリティには、ぜひ「Cloudbric WAF+」をご検討ください。
