サイバーセキュリティクラウド

Webサイトに対するサイバー攻撃の防御強化により
情報漏えいの被害を防止するWAFとは

セキュリティ上の脅威が引き続き拡大の傾向にある。中でも最近リスクが拡大しているのが、SQLインジェクションに代表されるWebサイトを狙った攻撃だ。近く施行される「改正個人情報保護法」を見据えたとき、企業にはそうしたWebサイトへの攻撃よって引き起こされる情報漏えいへの万全の対策が求められている。サイバーセキュリティクラウドが提供するクラウド型WAF「攻撃遮断くん」は、まさにそうした要請に応えるものである。

Webサイトの脆弱性を
突いた攻撃が拡大

株式会社サイバーセキュリティクラウド 代表取締役CTO 渡辺 洋司氏
株式会社サイバーセキュリティクラウド
代表取締役CTO
渡辺 洋司
 セキュリティ上の脅威が拡大傾向にある。システムにあるデータを暗号化して、復号キーと引き換えに“身代金”を要求するランサムウエアをはじめ、サプライチェーンを狙った攻撃など、被害が日々発生している状況だ。

 こうした中、世界有数のサイバー脅威インテリジェンスとAI技術を活用し、Webアプリケーションに関するセキュリティサービスを提供しているサイバーセキュリティクラウド(以下、CSC)は、2021年1月~6月の間に検知した約2億件のサイバー攻撃を種別ごとにまとめ、その傾向についてレポートしている。そこでは、脆弱性スキャンツールなどを利用したBotによる攻撃である「Blacklisted user agent」が全体の39.11%を占めて最も多く、次いでWebサーバーを構成するソフトウエアの脆弱性に対する攻撃である「Web attack」が23.7%で続いている。

 「このレポートで特に注目されるのが、4番目に多かった『SQLインジェクション』(7.4%)です。20年の同時期に比べて約1.5倍、検知数にして約500万件増加しています」とCSCの渡辺 洋司氏は語る。

 SQLインジェクションでは、Webアプリケーションの脆弱性を突いた攻撃により、本来意図しないSQLが実行されデータベースを不正に操作。データベースに格納されているアカウント情報やクレジットカード情報などの漏えい、Webサイトの改ざんといった被害をもたらす。

2022年4月に予定されている
個人情報保護法の改正法施行で措置が厳格化

 CSCでは、20年9月~21年8月の期間内に公表された、国内法人や団体における個人情報漏えい案件に関する調査も実施。法人や団体がサイバー攻撃を受けた「発生日」から、攻撃に気付いた「発覚日」までに平均349日を要しており、さらに発覚日から企業や団体が被害を明らかにした「公表日」まで平均82日かかっていることが分かった。

 前年度に実施した調査との比較では、発生日から発覚日までの平均日数について、90日を超えているケースが20年度は51.7%であったのに対し、21年度は61.4%と約10%程度増加しており、また、発覚日から公表日までの平均日数についても、90日を超えるケースが30.8%から34.3%と約3.5%増加している。

 「攻撃の事実が発覚するまでの期間、発覚から公表までの期間が、ともに伸びる傾向にあります。コロナ禍により業務のオンライン化が急速に進む中で、それに応じた攻撃発見の仕組みの整備が追いついていないことや、人的リソースの不足、コミュニケーションがうまくいっていないことなどが要因として考えられます」と渡辺氏は指摘する。

 一方で、22年4月には「改正個人情報保護法」が施行される予定になっている。そこでは、従来努力義務とされていた、個人情報漏えい事案発生時の本人への通知や個人情報保護委員会への報告が義務化される。さらに、命令違反などを犯した法人に対する罰金上限も、改正前の30万円以下から1億円以下へと変更されることになる(図1)。個人情報の漏えいを発生させた企業に対する法的措置がさらに厳格なものとなり、それに伴って当事者である企業に対し、社会から向けられる目もますます厳しいものになっていくことは間違いないだろう。

累計1万5000サイトの導入実績を誇る
クラウド型WAF「攻撃遮断くん」

 こうした個人情報漏えいの重大な要因の1つとなるのが、SQLインジェクションなどWebサイトに対するサイバー攻撃であることは、既に述べた通りだ。言い換えれば、Webサイトを運営する企業にとっては、この領域でのセキュリティ強化が一層求められているともいえる。

 こうした要請に応えるのが、CSCの提供するクラウド型WAF(Web Application Firewall)「攻撃遮断くん」である。WAFとは、一般的なファイアウオールやIDS/IPSでは防ぐことができないWebアプリケーション層に対する攻撃を防御するためのファイアウオールだ。「攻撃遮断くんは、あらゆる業種の様々な規模のお客様が運営する累計1万5000を超えるWebサイトに導入されており、導入社数、サイト数の両方で国内WAF市場をリードする存在となっています」と渡辺氏は強調する。

 攻撃遮断くんの特徴として挙げられるのが、月額1万円から、という低価格で不正アクセスや情報漏えいを防ぐセキュリティ対策が可能になるということ。また、24時間365日のフルサポートを提供しており、導入から日々の運用、さらには緊急時の支援までの一貫した対応を行っている。

 「攻撃遮断くんは、当社が開発した純国産プロダクトであり、海外製品などにありがちな、お客様の問い合わせに対するレスポンスに長いリードタイムを要するといったこともありません。すべてのサポートを日本語で行っていることはもちろん、セキュリティに関しての特別な知識がないお客様にも、手軽に導入・運用していただけるようになっています」と渡辺氏は紹介する。

 大手総合建設会社・清水建設も、攻撃遮断くんを導入している企業の1つだ。運用する各Webサイトのセキュリティレベルの統一や、外部委託で開発しているシステムの安全性確保などを重要な課題と捉えていた同社では、年次で実施しているセキュリティ診断だけでは不十分だと考え、攻撃遮断くんを導入することにした。

 「導入に際しては、クラウド型で運用管理を専門家に委ねられること、技術者が見える国産WAFであることに加え、1サーバー・1FQDNごとの契約ではなく、一定帯域内で自由に運用できるような契約体系が用意されており、導入対象が約100サイトにのぼる同社にとっても、予算管理がしやすく、費用も抑えられるという点をご評価いただきました」と渡辺氏は紹介する。

 導入の結果、清水建設では攻撃遮断くんにより各Webサイトのセキュリティレベルを統一。年次のセキュリティ診断においても、WAFを導入したサーバーのセキュリティ評価が軒並み向上するといった効果が得られているという。

 CSCでは、こうした攻撃遮断くんをはじめとするWAF製品に加え、Webアプリケーションやプラットフォームに対する脆弱性診断、脆弱性管理のためのサービスなど、企業が外部に公開するWebサイトを保護するための対策をトータルソリューションで提供(図2)。ますます高まるWebシステムの安全性、健全性の維持・向上に関する要請に応えている。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
株式会社サイバーセキュリティクラウド E-mail:mkt@cscloud.co.jp