12月5日、マイナビ主催の情報セキュリティセミナー「2018年の情報セキュリティトレンドを振り返る」が開催された。サイバーセキュリティクラウドのセッションでは、代表取締役の大野暉氏が登壇。「Webセキュリティの誤認と軽視 〜クラウドWAFの重要性〜」と題し、Webセキュリティにおいて誤認しやすいポイントをもとに、企業がとるべき対策を事例で紹介した。
サイバーセキュリティは経営課題に
サイバーセキュリティクラウドは2010年に設立されたセキュリティ企業だ。「世界中の人々が安心安全に使えるサイバー空間を創造する」を企業理念に、国産クラウド型WAF(Webアプリケーション ファイアウォール)の「攻撃遮断くん」、AWS WAF自動運用サービスの「WafCharm」(ワフチャーム)という2つのクラウドサービスを提供する。
特に「攻撃遮断くん」は、2018年5月に導入サイト数が5,000を突破し、クラウド型WAFサービスに関する市場調査(ESP総研調べ)で国内No.1の実績を誇る。事業としての成長も著しく、デロイト トウシュ トーマツが評価する「日本テクノロジー Fast 50」のなかで、売上高495.72%の成長を遂げたとして10位にランクされている。
サイバーセキュリティクラウド 代表取締役 大野暉氏
大野氏の起業家としてのキャリアは異色だ。16歳のときから個人事業主として活動し、電通や博報堂などの大手広告代理店の業務委託事業をスタート。18歳のときに大企業の廃棄物管理の最適化サービスをコンサルティング及びクラウド型システムにて提供する事業を展開した。同サービスは月間営業利益1,500万円に成長したが、その後、事業を譲渡する。
その理由について、大野氏は「社会を支えるインフラとして役立つサービスを提供したかったから」と説明する。そんななか、新たなビジネスとして取り組んだのがWAF製品だった。サイバー攻撃の脅威が増し、あらゆる企業が有効な対抗策を探している状況で、同社の「攻撃遮断くん」は徐々に認知度を高め、中小企業から大企業、金融機関までさまざまな規模、業種業態の企業に採用されるようになった。現在は、ANAグループ、NTTドコモ、パルコ、SBI証券、SOMPOリスクマネジメント、ハウスメイト、清水建設といった企業が顧客となっている。
企業を取り巻くセキュリティ動向について、大野氏は「国内で観測されたサイバー攻撃は5年間で10倍以上に拡大しています。国内サイバーセキュリティ市場も拡大の一途をたどっていて、2018年は161%の成長を続け、1兆円の大台に乗せようとしています。そんななか、2014年のサイバーセキュリティ基本法や、2017年11月にVer.2が公表された経済産業省のサイバーセキュリティ経営ガイドライン、さらに2018年の経団連によるサイバーセキュリティ経営宣言に見られるように、セキュリティを経営課題として取り組む必要があります」と説明した。
Webセキュリティに対する3つの誤認
大野氏によると、企業経営におけるサイバーセキュリティは大きく2つの観点が重要になる。1つはPCや社内ネットワークを対象とした「社内セキュリティ」、もう1つは誰もが訪れるWebサイトなどを対象とした「Webセキュリティ」だ。
-
企業経営におけるサイバーセキュリティは「社内セキュリティ」と「Webセキュリティ」
特に重要性が増しているのが、Webセキュリティだ。IPAは毎年「サイバーセキュリティ10大脅威」を公表しているが、その「2018」版では、10大脅威のうち3件がWebに関する脅威となる。具体的には「脆弱性対策情報の公開に伴う悪用増加」(4位)、「ウェブサービスからの個人情報の窃取」(6位)、「サービス妨害攻撃によるサービスの停止」(9位)だ。
また、JNSAの「情報セキュリティインシデントに関する調査報告書(2017年)」に記載された個人情報漏えいインシデントの上位10件のうち、「不正アクセス」による情報漏えいは7件を占めている。これは「管理ミス」と「紛失・置き忘れ」を除くすべてが不正アクセスによって引き起こされているということだ。
「ニュースで取り上げられる大規模な被害のほとんどはWebサイトが原因です。Webサイトが攻撃され、一時的にダウンしたり、情報が漏えいしたりすると甚大な被害を及ぼします。たとえば、売上機会の損失、ブランドイメージの毀損、事故対応のための費用負担、上場延期、株価下落、株主による代表訴訟も起こりえます」(大野氏)
-
Webサイトが攻撃されたことによる被害事例
さらに大野氏は「なぜ被害があとを絶たないのでしょうか。私は、Webセキュリティに対するいくつかの誤認があるからだと考えています」と続け、この誤認には主に3つの種類あると語った。
その1つめは「委託先で対応している」という誤認だ。これは、委託先がすでにセキュリティ対策を実施済みだと考えていて、システム導入後に対策を施さなかったというケースだ。
2つめは「個人情報管理は別環境だから安全」という誤認だ。これは、社内ではインターネットに直接接続できない環境で個人情報を管理していて、Webからの不正アクセスなどから守られていう認識が落とし穴になる。実際に起こった事件は、顧客が個人情報を入力するWebサイトそのものが改ざんされ、情報を抜き取られていたというケースである。確かに個人情報は安全な環境で守られていたが、実はその前の段階でデータがそっくり盗まれていたのだ。
3つめは「Webセキュリティはすべて実施済み」という誤認だ。あるアンケート調査では、経営層の8割が「Webサイトのセキュリティは対策済み」と回答したが、実際には、ファイアウォールやログ監視しか導入されていなかったという。
導入が必須になりつつあるWAF
こうした状況で有効なソリューションとなるのがWAFだ。WAFはWebアプリケーションを対象にしたサイバー攻撃対策製品で、ほかにセキュリティ対策製品として経営層に広く認識されているものとしては、ファイアウォール製品とIPS/IDS(不正侵入検知)製品がある。
-
Webアプリケーションへの攻撃はWAFで対策する
これらを整理すると、まずファイアウォールは、インフラ機器やOS、ネットワークレベルで脅威に対抗する。また、IPS/IDSはOSやソフトウェアレベルで脅威に対抗するものだ。すなわち、ファイアウォールとIPS/IDSを組み合わせただけでは、その上のアプリケーションレベルでの攻撃に対抗できていないことになる。現在は攻撃のほとんどがWebアプリケーションを対象としており、そこで必要になるのがWAFというわけだ。
「WAFは、SQLインジェクションやクロスサイトスクリプティングと呼ばれるWebアプリケーションへの攻撃を防ぐものです。これらの攻撃は、ニュースなどで問題になっている、Webサービスからの顧客情報の窃取や、Webサイトの改ざん、サービス停止などの原因の1つになっています。現在、Webアプリケーションへの対策なくしては、ほとんどの脅威に対抗できないという状況といえます」(大野氏)
-
WAFで対応可能なWebサイトへの脅威
WAFの重要性はまだまだ広く認識されていない。NIST(米国立標準技術研究所)や米ガートナーなどの調査によると、データ侵害の95%がWebサイト(Webアプリケーション)であるにもかかわらず、Webセキュリティ対策への支出は10%にとどまるという。
そのうえで大野氏は「セキュリティ対策を怠ると、サイバー攻撃で受けた被害が売上に直結することになります。セキュリティ対策には経営層の迅速な意思決定が必須です。経営者主導でWebセキュリティの見直しを進めてください」と強く訴え、講演を締めくくった。
WAF製品の詳細はこちら
国産クラウド型WAFの「攻撃遮断くん」は、WebサイトやWebサーバーに対するサイバー攻撃を可視化・遮断してくれるWebセキュリティサービス。開発・運用・サポートをサイバーセキュリティクラウドが一貫して行い、企業規模や業界を問わず利用されている。
→ 攻撃遮断くん
「AWS WAF」のルール(シグネチャ)自動運用サービス「WafCharm」は、AIによって数千億件のビックデータを活用し、顧客ごとに最適なルールを自動で適用。シグネチャのカスタマイズのノウハウを持った開発エンジニアによるサポートも提供する。
→ WafCharm
[PR]提供:サイバーセキュリティクラウド
