ITpro Special
週間WEEKLY ITpro Special ITpro

「標的型攻撃への対策」  REVIEW

シマンテック・ウェブサイトセキュリティ

シマンテックのソリューションで
外的/内的要因からWebサイトを守る

今や企業の顔ともいえるWebサイトは、標的型などの外部からの攻撃だけでなく、パッチ適用などの作業ミスによるセキュリティリスクもある。そうした内外様々な要因からWebサイトを守るのが、シマンテック・ウェブサイトセキュリティが提供するソリューションだ。その核となるのはSSLサーバ証明書、管理サービス、WAFなどである。

合同会社シマンテック・ウェブサイトセキュリティ
Trust Services
プロダクトマーケティング部
プリンシパルプロダクトマーケティングスペシャリスト
林 正人

 「企業のWebサイトは誰もがアクセスできる状態であるため攻撃の対象になりやすく、いったん情報を漏洩させてしまうと、多額の損害賠償や企業ブランドの低下が考えられます」

 シマンテック・ウェブサイトセキュリティの林正人氏は、このように注意を促した上で、Webサイトを安全にするための対策について解説した。

 まず、企業のWebサイトにセキュリティリスクを生じさせる要因は、外的なものと内的なものに大別できる。外的要因には標的型攻撃などのサイバー攻撃が含まれ、典型的なリスクにはマルウエアの混入、情報漏洩、Webページの改ざんなどがある。

 これに対して、内部要因の多くはヒューマンエラーであり、その結果、Webサイトを安全に保つ仕組みがうまく機能しなくなる。

SSL証明書の管理ソリューションとクラウドセキュリティをワンストップで提供

 このような外的/内的要因によって発生するセキュリティリスクを限りなくゼロに近づけるために、シマンテック・ウェブサイトセキュリティではウェブセキュリティソリューションを提供している。

 まず、外部要因への主な対策としては、「クラウド型WAFサービス」と「SSLサーバ証明書」がある。

 WAFとはWeb Application Firewallのことで、HTTP/HTTPS通信の内容を精査してWebサーバーを守る仕組みだ。「使用目的はファイアウォール(FW)や侵入防止システム(IPS)と似ていますが、難読化したSQLインジェクションやクロスサイトスクリプティングも防ぎます」とその特長を林氏は説明する。シマンテックのWAFはクラウド版なので、企業側のWebアプリやサーバー、ネットワーク構成を変えることなく導入できるメリットがある。

 またSSLサーバ証明書は、eコマースでおなじみのSSL(Secure Sockets Layer)をサーバーに組み込んでおく電子証明書である。これにもいろいろな種類があるが、シマンテックが推奨しているのはEV SSL証明書(ブラウザー上に緑のアドレスバーが表示され、よりフィッシング対策の効果が高い)とECC対応版のSSLサーバ証明書(よりサーバー処理効率が高い)の二つだ。

 一方、作業ミスが大半を占める内部要因への対策としては、「マネージドPKI for SSLサービス」や「CIC(Certificate Intelligence Center)」といったSSLサーバ証明書の管理ソリューションが用意されている。

 マネージドPKI for SSLサービスは24時間365日いつでもSSLサーバ証明書を購入できるサービスで、大量の証明書も数分で入手できる。

 また、CICはSSLサーバ証明書を企業側で一元管理するためのサービスである。最新の状況をクラウドの管理コンソールでいつでも確認でき、SSLサーバ証明書の自動組み込みにも対応しているので、期限切れや組み込み漏れなどのミスを防ぐのに有効だ。

 標的型攻撃に対する特効薬がない今、狙われやすいWebサイトの防御には対策が必要となる。WAFやSSLサーバ証明書は、Webサーバーの守りに欠かせないソリューションだろう。

シマンテック・ウェブサイトセキュリティのWebサイトセキュリティソリューション
外部要因にはWAFとSSLサーバ証明書、内部要因には管理ソリューションで対抗する
お問い合わせ