情報漏洩は経営課題
自社のWebサイトがサイバー攻撃によって不正アクセスされ、重要な情報が流出してしまう。
そんな事態を想像していますか?
総務省のデータによると、2022年、日本国内のネットワークに向けられたサイバー攻撃の件数は約5,266億件(前年比 +0.9%)とも言われ、今や、企業は常にサイバー攻撃の危機にさらされていると言っても過言ではありません。
しかし、
など、日々進化するサイバー攻撃の手口や方法を全てキャッチし、万全のWebセキュリティ対策を行っていくのは、マンパワーやコストの面から現実的でありません。
この様な状況に対してF5のBIG-IPがどの様に解決するのかご紹介します。
世界はもちろん、日本企業においても大手有名企業のWEBからの情報漏洩に関するニュースは記憶に新しいのではないでしょうか。
情報漏洩により企業は賠償金などの金銭的喪失はもちろん、ブランドダメージ、法的な責任など様々な影響を受け、企業存続の危機にさらされます。
たった1回の情報漏洩で企業経営は大ダメージを負いかねないのです。
今やWebセキュリティは経営課題になっていると言っても過言ではありません。
右の表は日本ネットワークセキュリティ協会(JNSA)が発表している情報セキュリティインシデントに関する調査報告書です。
漏えい人数の多さはもちろんですが、注目すべきは1件あたりの平均想定損害賠償額です。
あくまで平均ではありますがその賠償額は7億円弱となっており、これだけの金銭損失だけにとどまらず、企業のブランドダメージや法的な責任なども含め、企業は1件の情報漏えいによって経営活動継続の危機に追い込まれます。
WEBセキュリティの強化は、もはや一情報システム部の責務ではなく、企業経営課題の1つとして対応することが求められています。
DDoS攻撃、SQLインジェクション、ブルートフォース攻撃などサイバー攻撃の手口は日々増えています。
その他にも情報処理推進機構(IPA)による2023年に発生したセキュリティ脅威をまとめた「情報セキュリティ10大脅威2024」によれば、ランサムウェアによる被害、サプライチェーンの弱点を悪用した攻撃、内部不正による情報漏えい等の被害が上位を占めています。
参照:IPA「情報セキュリティ10大脅威2024」
攻撃者は犯罪グループや産業スパイ、ハッカー集団など様々おり、その目的は金銭盗取や世間を騒がせて満足する愉快犯、国家や企業などのイメージダウンを狙う組織犯罪など攻撃者のタイプによって異なります。
彼らは様々な攻撃手段により偽のWEBサイトへの誘導・ウィルス感染・WEBサイト改ざん・ユーザー情報の取得などを狙い、上記目的を達成します。
特に、Webアプリケーションは、開発の工程で曖昧な開発要件や開発者のミスなどにより脆弱性を含んでしまうことは珍しくなく、攻撃者にとっては格好の標的になります。
「クロスサイトスクリプティング」とはサイバー攻撃の代表的な手段です。
攻撃者が自社の入力フォームなどに悪意のあるスクリプト等を仕込み、そのページを閲覧したユーザーを不正サイトに誘導したりすることでマルウェア感染や、ID等の情報漏洩を促すものです。
具体的には以下の様な流れで行われます。
①攻撃者が入力フォームなどから不正なスクリプト等をWEBサイトに仕込む
②ユーザーが不正なスクリプトなどが仕込まれたWebページを閲覧する
③不正なスクリプト等が実行され、ユーザーを外部の不正サイトに誘導したりする
④ユーザーがマルウェアに感染したり、ID等の情報漏えいにつながる
例えば、ECサイトなどのログイン時に2回目以降はアカウント情報を入力する必要がないのは、Cookieに情報を保存しているからです。
「クロスサイトスクリプティング」の攻撃を受けたWebサイトをユーザーが閲覧すると、このCookie情報を窃取されてしまい、攻撃者がユーザーになりすまし、本人でないとできない投稿や決済が行われてしまいます。
WAFとはWebアプリケーションに特化したファイアーウォールです。従来のファイアーウォールでは、IPアドレス、ポート番号による通信制御をしていましたが、WAFは、Webアプリケーションのレベルでアクセス管理をすることができます。具体的には、SQLインジェクション、クロスサイトスクリプティングをはじめとする、Webアプリケーションに伴う脆弱性対応。また、ブルートフォース、リスト型攻撃による不正ログイン対策など、Webアクセスに伴う様々な攻撃に対応することができます。
WAFの仕組みとしては、Webサーバの手前に設置し、シグネチャと呼ばれるパターンファイルとマッチングすることで、既知の攻撃をWebサーバの手前で未然に防ぐことができます(ブラックリスト方式)。
未知の攻撃については、予め定義した通信のみを許可するホワイトリスト方式を使用することで、ゼロデイ攻撃にも対応することが可能です。
また、Eコマース、金融機関をはじめ、クレジットカードの情報保護を目的として策定されたPCI-DSS (Payment Card Industry Data Security Standard) のセキュリティ基準を満たすためには、WAFの導入が必要になります。
アプリケーションのテストには時間と労力がかかり、何重ものテストを実施しても、脆弱性のないアプリケーションを作ることは、非常に困難ですが、WAFを導入することで、セキュアな環境を実現できるのです。
F5のWAFは、L3からL7までネットワークトラフィックを包括的に理解し、30以上のDDoS攻撃を防御。検知性能も最高レベルの99.89%という数値を出しています。
L3からL7までネットワークトラフィックを包括的に理解し、30以上のDDoS攻撃を防御。検知性能も最高レベルの99.89%という数値を出しています。
正確なトリガーと自動制御によりL7 DoS攻撃をブロックし、アプリケーションのパフォーマンスを改善。
さらに、失敗の多いログイン要求を絞り込むことによって、ブルートフォースアタックを検知、その危険を軽減します。高い割合でログイン プロセスに失敗し続けているIPからのログイン要求を絞り込むこともできます。
オンプレミスだけでなく、クラウド上で利用できるWAFも提供しており、コストパフォーマンスが高く、迅速なWAF導入が可能になります。
Webサイトへの攻撃から効果的に守る方法を理解する上で、把握しておくべき考え方や運用のコツについて、誰にでもわかりやすくまとめました。
IDCジャパンの見解をホワイトペーパーに!
DX時代で求められる先進的セキュリティソリューションとは?