サイバー攻撃の悪質化が止まらない。一旦被害に遭ってしまうとその影響は甚大になりがちで、企業経営者は、その深刻さを理解し、適切にリスクアセスメントを実施しなければならない時代になっている。本シンポジウムでは、凶悪なサイバー攻撃に対抗する最新ソリューションが紹介された。

サイバーセキュリティクラウド

経営層の約80%が陥る Webセキュリティの誤認と軽視2018
~Webセキュリティを成功させるポイントとは?~

情報漏えい事件の原因のほとんどがWebサイトへの攻撃

サイバーセキュリティクラウド
代表取締役
大野 暉

情報漏えい事件の原因のほとんどがWebサイトへの攻撃

今サイバーセキュリティ市場は大きく拡大しており、2010年から2017年への成長率は153%、2017年には1兆円の大台を突破した※1。国も対応を強め、2016年「サイバーセキュリティ基本法」を施行し、内閣サイバーセキュリティセンター(NISC)を設置。さらに、2017年11月経済産業省が「サイバーセキュリティ経営ガイドライン」をVer2.0へ改訂し、サイバーセキュリティに対する経営の責任をより明確化した。2018年1月には経団連も会員企業に対し、サイバーセキュリティを経営上の重要課題と位置づけ、対策を進める姿勢を示すために「サイバーセキュリティ経営宣言」を実施するよう呼びかけを始めている。

企業が実施すべきサイバーセキュリティには、エンドポイントのPCや社内ネットワークなどの社内のセキュリティと、誰もがアクセスできるWebサイトやWebアプリケーションなどのWebセキュリティの2種類がある。そして、「最近ニュースになっている情報漏えい被害のほとんどはWebサイトが原因」と大野氏は指摘する。

実際、2016年のNPO日本ネットワークセキュリティ協会の調査報告による「個人情報漏えいインシデントTOP10」の10件のインシデントのうち、実に7件がWebサイトの不正アクセスによる。大野氏は、近年起きた大量の顧客情報やクレジットカード情報の漏えい事件やDDoS攻撃によるサービス停止の事例を複数紹介。多くの事件から見えてくるWebサイトへの攻撃による被害例として、売上機会の損失、ブランドイメージの棄損、事故対応費用、上場延期、株価の大幅下落、株主代表訴訟などをあげる。「たとえば、事故対応は一人500~1000円のギフト券などといったお詫びを渡せばいいと思うかもしれないが、それは違う。事故の調査をし、川上から川下まですべての対策を行うことが求められるため、費用はかなりのものになる。また、ある企業では情報漏えい事件のため6500円だった株価が5500円に急落し、ストップ安となった。さらに、しっかりとした対策をしておらず、事後の対応も不十分だった場合、特に米国では株主代表訴訟に発展するケースもある」(大野氏)。

このようにWebサイト攻撃の被害が深刻化しているが対策は不十分として大野氏は、「NISTおよびGartnerの調査結果によると、データ侵害の原因の95%がWebサイト(アプリケーション)であるにも関わらず、支出は10%に留まっており、これでは事故が起こるのは当たり前」と、Webサイトのセキュリティ対策の必要性を強調する。

※1 出典:JNSA 2016年度情報セキュリティ市場調査報告書(2017年6月21日公開)

Webセキュリティは実施済みという誤解

なぜ、このような事態が起きているのか。よくあるWebセキュリティの誤認例として、まず「システム管理委託先やプラットフォーム側で対応している」という例を紹介。それに対して大野氏は、「委託先は、頼む側が要望をしっかり伝えないと何もしてくれないと認識すべき」という。2つめとして、「個人情報は別の環境で管理しているから問題ない」という例をあげ、「Webサイトの問い合わせフォームが改ざんされ、本来とは異なるDBへ個人情報が飛ばされ詐取されたという事例もある」と指摘する。さらに、「Webセキュリティはすべて実施済」という企業に対しては、Webセキュリティは、脆弱性診断、Webアプリケーションファイアウォール(WAF)、IPS(侵入防御システム)、ファイアウォール、ログ監視、SSLなど非常に多岐にわたり、「すべてに対応できている企業は少なく、1つ抜ければそこから攻撃される」という。

なかでもWebアプリケーションを守るWAFは重要で、「Webサービスからの顧客情報の詐取、Webサイトの改ざん、対策情報の公開に伴い公知となる脆弱性の悪用、Webサービスへの不正ログイン、サービス妨害攻撃によるサービス停止、に効果がある」という。

しかし、経営層に対し具体的なセキュリティ対策状況と導入システムの内訳を確認した調査※2によると、約8割が「Webサイトのセキュリティは対策済」と回答したが、WAFの導入企業は2割以下であった。「しかも、一部のWebサイトにしか導入していない企業もある。全部をカバーしているか一部をカバーしているかでは、非常に大きな差がある。有名企業の有名サービスだけが狙われる時代ではない。ボットなどで無差別に攻撃されており、すべてのWebサイトに対策をすることが非常に重要になってきている」という。

※2 出典:株式会社マーケティングアンドアソシエイツ「セキュリティソフト浸透度調査」

導入が容易で安価かつ高品質なクラウド型WAF「攻撃遮断くん」

サイバーセキュリティクラウドは、累計導入社数/導入サイト数 国内No.1※3のクラウド型WAF「攻撃遮断くん」を提供。現在4000サイト以上で利用されている。物理サーバー、クラウドを問わずほとんどのWebシステムで利用でき、ダッシュボードにより攻撃をリアルタイムで可視化。報告資料を簡単に作成できるレポーティング機能など、日本企業が使いやすい機能を網羅している。定額制のプランもあるため稟議も通りやすく、24時間365日のサポート体制であるため、万が一のインシデント発生時も安心だ。

サービスは、月額1万円からの「Webセキュリティタイプ」と月額4万円の「サーバセキュリティタイプ」があり、前者は他のWAFベンダーでも多く採用されているアーキテクチャであり、ユーザーのサーバーにアクセスする前にCSCのWAFセンターを通過することで、不正アクセスを遮断する方式。しかし、万が一、WAFセンターでトラブルがあった際に通信先のサーバーに影響を及ぼす可能性があった。後者ではサーバーにエージェントをインストールする仕組みを採用したことにより、そうしたリスクを排除した。「NTTドコモ様でもこの利点を評価いただき採用していただいた」(大野氏)。

今後もWebサイトは狙われ続ける。大野氏は、「今一度、すべてのWebサイトにWAFによる対策ができているか、見直してほしい」と締めくくった。

※3 出典:「クラウド型WAFサービス」に関する市場調査(2017年8月25日現在)<ESP総研調べ>(2017年8月調査)

お問い合わせ

株式会社サイバーセキュリティクラウド

https://www.shadan-kun.com/

▲Page Top