【コラム】安全なWebサイトの基準になる国際標準とは?

このWeb全盛期時代、 セキュリティ は最も重要ーー。
いくら強調しても、なぜWebセキュリティが重要なのか、その本質まで理解してもらえないケースがよくあります。
今回もこの場を借りてWebセキュリティの大切さについて訴えたいと思います。
今の時代、グローバルはインターネットですべてつながっており、インターネットを介しすべてのことが疎通していると言っても過言ではありません。
にも関わらず、Webのセキュリティについては、誰も目を向けようとしない。その理由は、「安全なインターネット」は、一体何なのかよく分かっていない人が多いからだと考えます。
「安全なインターネット」とは? 皆さんがよく使う言葉で、実はその意味を明瞭に分からずに使っている言葉が案外存在するかと思います。
このITの分野でいうと、「ICTセキュリティ」が丁度いい例になります。
「ICT時代」と言われると、普通に肯くかもしれませんが、「ICTセキュリティとは」と訊かれたら、「あれ、何だったっけ?」になる人も多いのではないだろうか。
「セキュリティ」は重要であるということは分かっていながらも、何をどうすればいいのか、私たちは明瞭に把握できている人は少ない。
実際私たち個人だけがこのICT時代のセキュリティ迷子になっているわけではなく、会社や団体などもセキュリティ迷子になっていると言えます。
しかしながら、この社会は迷える人々のためにきちんとした社会的安全措置を用意してくれています。
セキュリティへの悩みを解消できる「国際標準」が、それです。
代表的なのは、イギリスBSI(British Standards Institute)が制定したBS 7799をベースに構成されたセキュリティ認証であり、フレームワークである「ISO 27001」が挙げられます。
そして、より経営中心の性質が強い「ISMS(Information Security Management System) 情報セキュリティ経営システム」も重要な基準と言えます。
このようなフレームワークを基準に企業側のセキュリティシステムを構築すれば、かなり安全なICTセキュリティポリシーを構築できるということです。
例えば、ある企業がISO 27001フレームワークの評価の11項目の全てに対し、安全という判定を受け認証を取得したとします。
これは、ICTセキュリティの危機に対し、全社的に取り組んで総合的に管理を行い、今後持続的に改善していくためのシステムを構築できたということを意味します。
もちろん、認証を取得しているから100%安全になったではなく「相当安全である」ということです。

安全なWebサイトの基準になる国際標準は?

国際的非営利NGO団体として、オンライン信頼度評価機関である「OTA(Online Trust Alliance)」は、毎年著名なWebサイトを対象にそのセキュリティをチェックし、その結果を以て安全なインターネット文化の形成のために努力したWebサイトを選定する「OTHR(Online Trust Honor Roll、オンライン信頼度優秀)」の企業を発表しています。
OTHRは政府、マスコミ、金融、SNS等、様々な部門にわたり、約1,000以上の世界的に著名なWebサイトを対象にします。
2015年の選定結果としては常連の約46%がセキュリティの面で減点されランクインできず、「最も信頼できるWebサイト」として「Twitter」が選定されました。
OTAは、どのような基準を以てOTHRを選定しているのか。
基準は色々ある中ここで注目すべき点は、去年から「WAF(Web Application Firewall)の採用」が加算項目になっているということです。WAF採用の有無は、OTHRの選定結果を大きく左右しました。
WAFは、Webアプリケーションのセキュリティとして特化して開発されたソリューションです。
外部からの攻撃を検出し遮断することで悪意のあるコードをWebサーバに挿入しようとする試みを未然に防ぐ、そして、システムの脆弱性を外部に漏出しないように制御するなど、Webセキュリティにおいて、最もコアで重要な部分を対応しています。
Webサイトのセキュリティは、システム全体に及ぼす影響が大きく、OTAは今後もWAF採用有無によるOTHRの選定への影響を強めていくことを明らかにしました。
「じゃ、WAFを購入すればいいわけ?それっていくら?」
WAFを導入すれば、セキュリティ問題はいかにも簡単に解決できそうですが、そんな上手い話ではありません。
また、生産性のない「セキュリティ」に投資をすることは、営利団体である企業側にとって簡単なことでもありません。第一、WAFはとても高価とはいわないものの、安価でもありません。
ここでコストパフォーマンスを考慮したら、クラウド型WAFサービスの出番となります。
簡単な導入の手続きかつ、リーズナブルなサービス価格にて実際のWAFを導入したことと同等のレベルのセキュリティを確保できます。
言い切ってしまうと、Webのサービス開始のための数回のクリックで、全体のICTセキュリティ脅威の90%を占める「Webハッキング攻撃」を防ぐことができるようになります。
このようなクラウド型のWAFサービスの場合、ハードウェアを持つ必要がなく、インストール作業は発生しませんし、コーディングなどの必要もありません。
実際、システムの実務者を対象にWebセキュリティにおいて一番重要なことは?と聞いたところ「モニタリング」という回答が多い結果を示したといいます。
Web攻撃のトレンド把握や未知の攻撃を予想するよりは、今この時間に自社のWebサイトが狙われている現状を知りたい、といったニーズが高いようです。
このような管理者のために必要なのは、持続的、かつ効果的にモニタリングができるインターフェースが重要です。
システムにおいては専門家である管理者でもこれがセキュリティになると“話は別”になるのも、よくある話です。
様々なクラウド型WAFサービスがリリースされていますが、弊社では、専門家ではなくても簡単に導入でき、ユーザーフレンドリーなインターフェースに力を入れ、クラウドブリック(cloudbric)を提供しています。
一度お試しになることをオススメ致します。体験してみて損はありません。
WebセキュリティにおいてWebアプリケーションに特化したセキュリティとして、まずWAFの導入をご検討して頂きたい。
そして、そのスタートとしてクラウド型WAFサービスは、魅力的なソリューションであることを今一度覚えて頂けると幸いです。
製品に関するお問合せはこちら
パートナーに関するお問合せはこちら
Cloudbricの製品情報はこちら

【コラム】ハッカーはなぜ中小企業をターゲットにするのか

今回の話をする前に、「 ハッカー は大手企業のみを攻撃のターゲットにしている」という固定観念は、捨てた方がいいと言っておきたい。「どうせ盗みに入るなら、お金持ちを狙う」という一般的な認識から、“ハッキングするなら価値のある情報を「たくさん」保有していそうな大手を狙うもの”といった考えに至るだろう。しかし、ここが穴場である。大手を狙うコストを考えると、いくら成功した時に得られる情報が「たくさん」あってもハッキング自体、割に合わない仕事になってしまうのだ。最近では、大手に比べIT予算が豊富にないことから、セキュリティ対策が十分でない可能性の高い中小企業をターゲットにする傾向が見られているのである。
先日、シマンテック(Symantec)が公開したインターネットセキュリティ脅威レポート(Internet Security Threat Report 2016)によると、サイバー攻撃の約6割は中小企業やスタートアップ企業をターゲットとする攻撃と記述している。当事者の立場から考えると驚く程の数値である。今回このコラムを借りて、なぜハッカーは、中小企業を狙うのかを簡単に説明したいと思う。
 

中小企業は狙われやすい

本来なら、価値のある情報が多そうなところを狙うと思われていたハッカーは、なぜ中小企業にそのターゲットを定めてきているのか。
実は、かなり論理的な考え方に基づいた賢い(?)選択だと筆者は思う。中小企業の場合、この「サイバーセキュリティ」についてかなり誤解している部分がある。まず、ホスティング業者やシステム委託先にセキュリティは考えて(対策して)もらっていると勝手に思い込んでいるのである。サイバーセキュリティは、当事者の責任の下対応していかなければならないものである。
2つ目は、「ハッキングされたら、その時に対応策を考えれば良い」と認識していることである。つまり事後対応すれば良いと考えているのである。セキュリティへの投資は、リターンのない投資だ。予算や人に限りのある中小では、やっぱり後回しにされがち。最近のIncマガジン(The Big Business of Hacking Small Businesses, 2015)でも、71%のデータ漏洩事故は会社規模100人以下の中小を対象に行われていると言っている。サイバー攻撃による各企業側の被害額を平均すると約3万6,000ドルを上回るそうだ。大企業としては大した金額でないかもしれないが、中小企業には死活問題に陥る危険性もあるだろう。中小企業は、サイバーセキュリティに目を向けられないという現状を、ハッカーらは把握しているのである。
その他、理由は色々とあるものの、いまだにセキュリティ対策について全社的に真剣に取り組む中小企業は数少ないのが現状である。重要な個人情報や企業機密等を安全に管理しなければならないのは、大企業でも中小企業でも差はない。よってハッカーらも、「たくさん」情報を持っている大手を狙うコストとセキュリティのスカスカな中小を狙うコストを天秤にかけるだろうし、非常に合理的な判断として、中小企業を狙う方にシフトしていくのである。
 

それでは、中小のセキュリティ対策は、どうすればいいのか。

ここで言っておきたいが、セキュリティ対策は、継続的に取り組んでいかなければならないということである。つまり、一回の投資ですべてが万々歳ではないということ。そして、外部からの攻撃は知られているが、内部者による情報漏洩にも気をつけるべきだ。攻撃者がサイバー攻撃を試みる際、45%が試験的に自社に攻撃を仕掛けてみており、そのうちの29%は成功しているそうだ。
 

中小企業のセキュリティ、どのようにアプローチすべきなのか。

まず、自社のWebサイトが脆弱(ぜいじゃく)であることを認めることから始まる。Webサイトの脆弱性を突いた攻撃は、場所を問わず起こり得る。サイバーセキュリティについて考え方を変えることが、サイバーセキュリティのための第一歩である。
次に、重要情報に対してのアクセスポリシーを策定することである。これは、サイバーセキュリティを考慮する際には必須だ。内部者による犯行を未然に防ぐ、そして、社内にて情報管理の担当者としても、万が一の事故があっても本人を守ることができるのである。
そして攻撃ターゲットにある対象を守るためのソリューションを導入することである。例えば、Webサイトのセキュリティであれば、Webアプリケーションファイアウォール(WAF)が考えられるだろう。最近は、クラウド基盤WAFサービスもかなり出ているので、リーズナブルな価格でシンプルにセキュリティ対策を実施することも可能である。
まずは、一歩を踏み出してみることが大切だ。非常に合理的な理由で中小企業を狙ってくるハッカーらに立ち向かうべく、中小企業側でも、サイバーセキュリティの第一歩を踏み出していくよう願いたい。
 

hacker_cloudbric_180820

【コラム】ハッカー の6つの行動パターン

ハッカー は何の為にWebサイトをハッキングするのでしょう。

ハッカー
 インターネットが普及されていなかった頃のハッカーは、自分の能力を見せつける為にWebサイトをハッキングしました。
しかし、日常がWebで繋がっているとも言える昨今の社会のハッキングは、もっと巧妙に変化してその被害も大きくなりました。
例えば、数回のクリックで金融取引が出来るネットバンキングは、個人情報及び銀行取引情報のような重要情報が「ハッカー」によって流出され、莫大な被害が発生することもあります。

 ハッカーが欲しがる情報とその情報を手に入れる為の行動にはいくつかのパターンがあります。今回はハッカーの6つの行動パターンをご紹介致します。

任意コード実行
1.脆弱性スキャン

 脆弱性スキャンはその名称から分かるように、システム内部の脆弱性を探る為の手法です。
一般的には自社システムの弱点を調査して改善を行い、セキュリティを強化する行為であります。
しかし、ハッカーは同じ方法を用いて標的にしたシステムに侵入するための脆弱性を見つけ出します。
 ハッカーにとって脆弱性スキャンはハッキングを実行する為の情報収集であり、システム脆弱性を事前調査する行為であります。つまり、次の攻撃へのゲートウェイのようなものです。

脆弱性スキャン
2.サーバ運用妨害

 サーバ運用妨害は、Webサイトへのアクセスをブロックしてサービスを正常に運営出来ないよう妨害する事です。
サーバ運用妨害攻撃の中で最も知られているのは分散型サービス拒否攻撃(Distributed Denial of Service attack : DDoS)があります。
 DDoS攻撃をする為には、ハッカーが「ボットネット(Botnet)」と呼ばれるゾンビPCのネットワークを介しPC端末を制御下に置きます。
そうすると、そのボットネットがまるでゾンビ集団のように継続的にWebサイトに負荷をかけてサーバをダウンさせ、Webサイトに接続エラーを起こします。

サーバ運用妨害
3.金銭的損害

 ハッカーによる攻撃の中で被害者が最も大きい打撃を受ける攻撃結果は金銭的損害です。
先に述べたように、インターネットの普及によってオンライン化された各種サービスは、便宜性を持つ同時に金銭的被害のリスクも持つ事になり、ハッカーのターゲットになります。

金銭的被害
4.個人情報漏洩

 金銭的被害と共に、個人情報漏洩はネット社会の課題であり社会全般的な問題になっています。
個人情報を手に入れたハッカーは他の者を装って管理者情報を取得した後、また他の攻撃をしたり奪取した情報を第三者に販売したりして2次被害者を増やしています。
このような個人情報漏洩で大きい波紋を引き起こした事件としては、不倫サイトであるアシュレイ・マディソンというサイトの会員情報をWeb上に露出させた事があります。

個人情報漏洩
5.Webサイト改ざん

 Webサイト全体または一部Webページに悪意を持って内容を変える行為をWebサイト改ざんといいます。
攻撃後にWebサイトを確認したら改ざんされた部分が把握できるので、ニュースになる同時に「人々の注目を浴びる攻撃として」とても効果が良いと言われています。
 また、政治的な理念によって、選挙などで有力候補者のWebサイトを改ざんする事例が多数発生しています。
このようなハッカーは自己顕示欲が強い傾向があります。最近米国ではこうしたハッキングに対して処罰するより「倫理的なハッカー」になるように’教育’を勧めています。

Webサイト改ざん

6.任意コード実行

 システム上に意図していなかったコードが実行される場合、かなりの注意が必要です。
ハッカーは悪意的なコードを挿入して命令を実行させる事で標的システムを制御します。
この為には任意のコードを実行させる為に先に述べた「脆弱性スキャン」のような事前調査を実施してそのシステムでセキュリティが最も脆弱な部分を狙って攻撃します。
次の攻撃の為の一歩だといえます。
任意コード実行
 時代の流れや技術の進歩などと共に、世の中の必要悪として「ハッカー」と「ハッキング」という単語が出てきました。
サイバー攻撃は莫大な被害を起こす事が出来て、無差別な攻撃も多いです。
“自分の事じゃなければ大丈夫”という考えで放置すると何も解決出来ません。
自社システムの脆弱性を定期的に把握してその弱点を補完出来るセキュリティソリューションを導入しなければいけません。

オランダの哲学者のエラスムスの「Prevention is better than cure(備えあれば憂いなし)」という言葉に従って、
ハッキングに備えた強力なセキュリティを事前に準備してください。

CloudbricのWAFはこちら
製品に関するお問合せはこちら