ここ数年間、有名会社たちがハッキングされたことがニュースに連日報道され、企業の不安感が高まっています。さて、問題は、私たちがこのようなハッキングが大手企業などの規模が大きくて安定的な会社で起きた話だけを聴いているため、ハッカーが中小企業を狙うはずがないと信じていることです。
しかし、これは非常に大きな勘違いです。
米事業者の中で中小企業の割合は8割ほどで、約2,800万社の中小企業が存在します。中小企業は、会計・マーケティング・運営管理などをすべて自分でしなければなりません。最近は、約54%以上の企業が直接ウェブサイトの構築及び管理までしています。多くの事業が次第にオンライン化していき、10年前には考えもしなかったSNSや広告、SEO、オンライン評価、ウェブサイトのデザインと管理などの数多くのものを直接管理しなければならないのです。既に多くの課題を持っている中小企業の運営者たちにウェブセキュリティ、データセキュリティなどを期待するのは、もしかしたら無理かもしれません。
結果的に、米国の中小企業の中で約8割が公式的にウェブセキュリティシステムを構築していないと答えました。
大手企業は巨大なセキュリティシステムを計画し、多くの開発者とセキュリティ担当者を通じて、ウェブサイトの脆弱性を簡単かつ早く見つけることができます。しかし、中小企業にとってはとても難しいことです。そのため、ハッカーたちは世界的に有名な企業を攻撃する代わり、中小企業を狙うのです。
大手企業のみが攻撃を受けたものだという誤解だけでなく、中小企業がウェブセキュリティについてしている誤解はさらにあります。今からは、その誤解について調べてみます。
ウェブセキュリティに対する中小企業の3つの誤解
1. 我々はすでに最小限のウェブセキュリティを具備している?
多くの人たちは自分のCMS(WordPress、Joomlaなど…)がウェブサイトを保護していると思います。しかし、これも誤解です。CMSサービスは、ウェブサイトを保護するためではなく、ウェブサイトを管理、パブリッシングするために作られたものです。我々の貴重なデータを保護するためには、さらにレベルの高いセキュリティ措置が必要です。
また、セキュリティマガジンによると、CMSサービスの中で頻繁に使用されているWordPressは他のCMSよりも24.1%も攻撃をさらに受けており、最も攻撃を受けるCMSという結果もありました。
2. 私の事業は規模が小さいから攻撃を受けるはずがない!
事業の規模が小さすぎて攻撃を受けないというのは、とんでもない誤解です。シマンテックによると、実際に5つの企業がハッキングされるとしたら、3社は、中小企業だそうです。ウェブセキュリティが整えていない中小企業の場合、ハッカーたちがハッキングするのに何分しかかからないため、中小企業のハッキングを好むのです。こういう場合、中小企業は反撃する方法がありません。このような理由で、ハッカーたちは数時間内に数十件のウェブサイトをハッキングしても絶対捕まらないのです。
3. ウェブセキュリティを守るのは、とても複雑で費用も高い?
企業はオンラインとオフラインを全て管理しなければならないため、とても忙しいです。セキュリティをしようとはするが、一体SSL認証書が何か、またDDoS攻撃はどうやって防ぐべきなのかを知ることができません。また、追加的にセキュリティのために費用を支払わなければならないというのがあまり魅力的ではありません。しかし、歯医者に行くことのように…したくないことでも、企業の健康のためには必ず必要な仕事なので、セキュリティ措置をしなければならないということです。
しかし、幸いなことは、ウェブセキュリティを守るのが思ったようにプロセスが複雑だったり、高い費用を支払わなければならないことではないという点です。
どうやってウェブセキュリティを守らなければならないか?
答えは、「WAF(Web Application Firewall」!
今までウェブセキュリティに対する3つの誤解を調べました。最後に出てきた「ウェブセキュリティを守るのが思ったようにプロセスが複雑だったり、高い費用を支払わなければならないことではない。」という言葉に疑問を持つかもしれません。
しかし、これは真実です。
ウェブセキュリティのためには、ウェブアプリケーションファイアウォール(Web Application Firewall、以下WAF)が必須です。
国際ウェブセキュリティをリードする非営利団体のOWASP*(Open Web Application Security Project)では、ウェブサイトまたはウェブアプリケーションを保護するためにはWAF導入が最高の方法だと言いました。
*参考リンク
WAF(Web Application Firewall)は、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するソフトウェアまたはハードウェアです。
WAFは一般的なファイアウォールとは違って、ウェブアプリケーションセキュリティに特化して開発され、外部攻撃を事前に遮断し、ウェブサーバの悪性コードがウェブサーバにアップロードすることを防止するだけでなく、安全なコーディング方法、ウェブスキャナーが担当するウェブのセキュリティ脆弱性を外部に露出されないように補完する役割を遂行します。プロキシの役割をして、ハッカーがウエブサイトにアクセスできないようにするのです。
最近のWAFは、多様な様子で発展しています。既存のアプライアンス型のWAFだけではなく、クラウド基盤のWAFなどが登場することにより、多くの中小企業がセキュリティを簡単に適用することが可能となりました。
クラウド型WAFは、ハードウェアやサーバ構築などが不要なクラウドサービスの仕組みとなっています。Webサイトやウェブアプリケーションを別途修正せずに導入が可能です。最近、企業・組織では、社内システムをクラウドに移行しており、これは、セキュリティも例外ではありません。
時代の変化により、様々なクラウド型WAFサービスが登場しているため、そこからも選択が必要となります。ハッカーたちの技術力は日々向上されていて、新たな方法で攻撃を行っています。そのため、シグネチャ方式の一般のWAFサービスでは、攻撃を防ぐのが多少無理があるかもしれません。シグネチャ方式は、知られているハッカーの攻撃パターンを探して、防ぐことを意味しますが、新しい攻撃は続々登場しているので、論理基盤のエンジンを活用して攻撃を防ぐサービスが必要となるのです。
現在まで毎日100万個のマルウェア攻撃が起きており、世界的に企業たちは1年に数百万円をウェブセキュリティに投資しています。しかし、相変わらず、たくさんのハッカーたちが中小企業を狙っています。
先に述べたように中小企業は相対的にウェブセキュリティに気を使うことができないため、情報を奪取することも簡単なのです。
それでは、中小企業にできる最も良い方法とは?クラウド基盤のWAFを活用して、大手企業レベルのセキュリティを維持することです。
