企業が注意すべき
2017情報セキュリティ10大脅威、
対策はクラウド型WAF!
近年、ネットワーク環境の変化がさらに高速化している中、特に企業を取り巻く情報セキュリティ環境も急速に変化しており、中小・中堅企業から大手企業まで組織の規模を問わず日々発生している個人情報漏えい事故や不正アクセスによる被害が増大しています。企業としてはセキュリティ対策が不可欠な課題となりました。
それで、今回はIPAで発表した2017情報セキュリティを取り巻く10大脅威を紹介し、企業はどう対策していくべきか、そして情報セキュリティのためにはどういうソリューションが必要であろうかについてご紹介いたします。
2017情報セキュリティ10大脅威とは?
情報処理推進機構(以下、IPA)では、2016年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものを「情報セキュリティ10大脅威2017」でまとめて、発表いたしました。
目次は、以下のどおりです。
• 第1章 情報セキュリティ対策の基本 スマートフォン編
スマートフォンを利用する上で、実施しておくべき情報セキュリティ対策の基本について解説しています。
• 第2章 情報セキュリティ10大脅威 2017
2016年において社会的影響が大きかったセキュリティ上の脅威について、「10大脅威選考会」の投票結果に基づき、「個人」「組織」における脅威を1位から10位に順位付けして解説しています。
• 第3章 注目すべき脅威や懸念
社会に影響を与える可能性が高く、現時点で注目しておきたい脅威や懸念等について解説しています。
IPAでは、この資料を通じて読者自身のセキュリティ対策への理解と、各企業・組織の研修やセキュリティ教育等に活用されることにより、セキュリティ対策の普及の一助となることを期待していると伝えています。
2016年からは、「個人」と「組織」という異なる視点で10大脅威を選出して紹介していますが、今回は企業におけるセキュリティ脅威に対して調べ、その対策についてご紹介いたします。
企業・組織における情報セキュリティ10大脅威
IPAの資料によると企業・組織における情報セキュリティ10大脅威には「標的型攻撃による情報流出」、「ランサムウェアによる被害」、「ウェブサービスからの個人情報の窃取」、「サービス妨害攻撃によるサービスの停止」、「内部不正による情報漏えいとそれに伴う業務停止」、「ウェブサイトの改ざん」、「ウェブサービスへの不正ログイン」、「IoT機器の脆弱性の顕在化」、「攻撃のビジネス化(アンダーグラウンドサービス)」、「インターネットバンキングやクレジットカード情報の不正利用」が選定されました。
特に面白かったのは、昨年は順位になかった新しい脅威が登場したことです。
IoT機器の脆弱性の顕在化や攻撃のビジネス化 (アンダーグラウンドサービス) の場合は、去年までは10大脅威にランクされなかったが、新しい技術の登場や攻撃頻度の増加により今回取り上げられたと考えられます。
各項目による詳しい内容は下をご参照ください。
(出展:情報セキュリティ10大脅威 2017:IPA 独立行政法人情報処理推進機構)
1位 標的型攻撃による情報流出
企業や民間団体や官公庁等、特定の組織に対して、メールの添付ファイルやウェブサイトを利用してPCにウイルスを感染させ、そのPCを遠隔操作して、別のPCに感染を拡大し、最終的に個人情報や業務上の重要情報を窃取する標的型攻撃による被害が引き続き発生している。
2位 ランサムウェアによる被害
ランサムウェアとは、PCやスマートフォンにあるファイルの暗号化や画面のロックを行い、復旧させることと引き換えに金銭を要求する手口に使われるウイルスである。2016年は前年と比べるとランサムウェアの検知数が増大している。感染した端末だけではなく、その端末からアクセスできる共有サーバーに保存されているファイルも暗号化されるため、ソフトウェアの更新等の感染を予防する対策に加え、定期的にファイルのバックアップを取得し、PCやサーバーから切り離して保管しておくことが望ましい。
3位 ウェブサービスからの個人情報の窃取
ウェブサービスの脆弱性を悪用し、ウェブサービス内に登録されている住所や氏名やクレジットカード情報が窃取される事件が2016年も引き続き発生している。数10万件の個人情報等の重要な情報が漏えいする事件も発生しており、ウェブサービスを運営・管理する組織は適切な対応が求められる。
4位 サービス妨害攻撃によるサービスの停止
攻撃者に乗っ取られたIT機器等から構成されたボットネットにより、企業や民間団体等、組織のウェブサイトや組織の利用しているDNSサーバーに大量のアクセスを行うDDoS(分散型サービス妨害)攻撃が急増した。攻撃によりウェブサイトやDNSサーバーが高負荷状態となり、利用者がアクセスできなくなる被害が発生し、ウェブサイト運営者が対応に追われた。
5位 内部不正による情報漏えいとそれに伴う業務停止
組織内部の職員や元職員による、情報の不正な持ち出し等の不正行為が起きている。不正に持ち出した情報の紛失により情報漏えいにつながるケースがある。内部不正を防ぐには、制約や罰則を設けるといった管理的な対策に加えて、適切なアクセス権限の設定やログの収集・管理等の技術的な対策を取り、不正行為を防止すると共に、検知と追求が可能な環境であることを職員に周知する必要がある。
6位 ウェブサイトの改ざん
コンテンツ管理システム(CMS)等に存在する脆弱性を悪用し、ウェブサイトが改ざんされる事例が今年も発生している。復旧までウェブサイトを停止することになり、特にオンラインショッピング等を運営している場合、事業上の被害が大きい。また、閲覧者がウイルスに感染するように改ざんされた場合、社会的信用を失うことにつながる。
7位 ウェブサービスへの不正ログイン
2016年に確認されたウェブサービスへの不正ログインの多くがパスワードリスト攻撃によって行われている。ウェブサービスの利用者がパスワードを使い回している場合、不正ログインが行われる恐れがある。ウェブサービスの提供者は、不正ログインされないように多要素認証等のセキュリティ機能をウェブサービスの利用者に提供する必要がある。
第8位 IoT機器の脆弱性の顕在化
2016年は、自動車や医療機器の脆弱性が昨年に続いて公表された。またIoT(Internet of Things)機器の脆弱性を悪用してボット化することで、インターネット上のサービスやサーバーに対して大規模なDDoS攻撃が行われる等、IoT機器の脆弱性に関する脅威が顕在化している。
9位 攻撃のビジネス化(アンダーグラウンドサービス)
犯罪に使用するためのサービスやツールがアンダーグラウンド市場で取り引きされ、これらを悪用した攻撃が行われている。攻撃に対する専門知識に詳しくない者でもサービスやツールを利用することで、容易に攻撃を行えるため、サービスやツールが公開されると被害が広がる恐れがある。
10位 インターネットバンキングやクレジットカード情報の不正利用
ウイルス感染やフィッシング詐欺により、インターネットバンキングの認証情報が攻撃者に窃取され、正規の利用者になりすまし、不正送金や不正利用が行われた。2016年は2015年と比べインターネットバンキングの被害件数は減少し、さらに、銀行やカード発行会社の被害額は減少している。
企業の情報セキュリティのためには?
企業がこういう情報セキュリティ脅威やサイバー攻撃などに対応する方法はさまざまがあります。セキュリティ対策は防御方法の積極度や使用度の高さにより、以下の4つに分けられます。
【図1.防御方法の積極度・使用度の高さによるセキュリティ対策方法】
企業では業種の特性を考慮し、どんな方法で企業情報を保護するべきかを考えなければなりませんが、「情報セキュリティ10大脅威2017」の内容を見ると、どうやらwebセキュリティの中でもwebサイト保護が大切ということが分かります。
それで、今回はウェブセキュリティとwebサイトセキュリティでは欠かせないWebアプリケーションファイアウォール(WAF)について詳しくご紹介します。
WAF(Web Application Firewall)の必要性
WAF(Web Application Firewall)は、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護します。一般的なファイアウォールとは違って、ウェブアプリケーションのセキュリティに特化して開発され、外部攻撃を事前に遮断し、ウェブサーバの悪性コードがウェブサーバにアップロードすることを防止するだけでなく、安全なコーディング方法、ウェブスキャナーが担当するウェブのセキュリティ脆弱性を外部に露出されないように補完する役割をします。
WAFは、「アプライアンス型・ソフトウェア型・クラウド型」といった3つの種類がありますが、それぞれメリットとデメリットを持っているので、企業ではどういった形のWAFを選ぶべきかについても慎重に考えなければなりません。
WAFの種類別メリットやデメリット
アプライアンス型WAFは、実物装備のハードウェアを設置して、ネットワークを保護するタイプのWAFを意味します。アプライアンス型WAFは、ハードウェア型WAFやゲートウェイWAFとも呼ばれます。
アプライアンス型WAFのメリットは、可用性の高い環境の構築が可能というところです。アプライアンス型WAFの場合、専用ハードウェアを使うため、他社サーバに依存しないで、機能を最大限まで使うことができるのです。
しかし、デメリットはやはり”コストが高くなる"点です。
アプライアンス型WAF装備は、非常に高価のものであり、また毎年保守にかかるコストも相当で、この装備を管理・運営する人力も必要であるため、他のWAFに比べて費用が高くなるしかありません。
- ソフトウェア型WAF
ソフトウェア型WAFは、従来のウェブサーバにインストールして使用する形のWAFです。ソフトウェア型WaFのメリットやデメリットはアプライアンス型WAFと比べて考えると比較的簡単ですが、メリットはやはりアプライアンス型WAFに比べ、導入期限が短いし、低コストで導入・運営が可能な点です。ソフトウェア型WAFの場合、既存のWebサーバにただインストールだけすれば、終わるためです。
しかし、デメリットもあります。
既存のWebサーバをするので、性能においてもwebサーバの影響を受けるというところです。また、Webサーバを複数稼働する場合は、運営コストも高くなるので、サーバを複数利用する場合は価格的な面でメリットがあるとも言えません。
クラウド型WAFは、既存のアプライアンス形のWebアプリケーションファイアウォールとは違って、ハードウェアやサーバ構築などが不要なクラウドサービスの仕組みとなっています。インターネットを経由し、サービスとして利用できる形のWAFであり、SaaS型(Software as a Service)WAFもクラウド型WAFを示す言葉です。クラウド型WAFは、アプライアンス型WAFとソフトウェア型WAFのメリット・でメリットを考慮し、提供されるWAFサービスと理解すれば、簡単です。
クラウド型WAFのメリットといえば、”低コストに導入・運用ができる”、”運用管理が不要”、”短期限導入が可能”という3つの特長が挙げられます。
クラウド型WAFの場合、ベンターによって料金プランは異なりますが、ほとんど月払い政策を通じて導入・運用が可能で、システムの導入や運用管理をセキュリティベンダーから提供するため、導入企業では別途のセキュリティ担当者が不要です。
また、別途のサーバー構築なしで「アカウント登録・ドメイン入力・DNS設定」の3つの段階を通じて、急速な導入が可能なため、セキュリティ対策を早く整えたいと思う企業では、すぐ導入ができるのでおすすめします。
もちろん、クラウド型WAFでもデメリットはあります。それは、サービス自体が信頼できるかどうかという問題です。クラウド型WAFは、既にWAF産業に従事していたセキュリティベンダーが進出することが多いですが、そのベンダーの技術力をきちんと確認し、導入することが大事です。
よって、クラウド型WAFの導入前にはそのセキュリティベンダーの経歴や認証、確認できる受賞実績などがあるかを十分に確認しなければなりません。
益々クラウド環境が普及されている現時代にオンプレミス前提のセキュリティ対策をそのまま扱うことは不可能です。すでに、多くの企業がクラウド環境に移転しているので、その環境に合わせてセキュリティ対策を整うためにはクラウド環境に即した対策を準備することが大事です。
したがって、クラウド環境に相応しいセキュリティ対策のクラウド型WAFを導入することが最も重要です。
ペンタセキュリティのCloudbric(クラウドブリック)は、グローバルで先に技術力を認証され、2016 SC Awards Eruopeや2016 Cyber Defense Magazineなどで受賞しながら、グローバルスタンダードを充足しているソリューションです。自社で独自開発した論理演算検知エンジン(COCEP™)を活用することにより、クラウド型WAFのメリットやデメリットを考慮し、企業に最適のセキュリティ対策をご提供します。
※Cloudbric(クラウドブリックの製品スペックに関する詳細情報は、下記のサイトからご確認できます。
クラウド型WAFの導入をご検討されている方々に朗報!
特別キャンペーン実施中!
神戸デジタル・ラボ社は、Cloudbric販売代理店契約を締結したことを記念し、2017年12月22日までに期限限定キャンペーンを実施しています。
1ヶ月の無償お試し後、今年の12月22日までにサービス利用の申し込みをされる方々を対象に初期導入費用が0円!さらに、3ヶ月間の利用料金も無料!とするキャンペーンとなります。
このチャンスを逃さず、クラウド型WAFの導入をご検討中の方々は、是非ともお試し下さい。
キャンペーンの詳しい内容は以下のホームページからご確認ください。
キャンペーンの詳しい内容は以下のホームページからご確認ください。
関連リンク≫
