年々、高度化するサイバー攻撃に対して、企業側はセキュリティ対策が十分とは言えない状態です。そもそも、中小企業の場合、セキュリティへの意識が不足していることもあり、対策が不十分のケースがよくあります。


というのも、中小企業の場合、インフラ担当がその他の業務と兼務していることがあり、インフラに対してそこまで重要視されていないなんてこともあります。


後、中小企業の場合、費用があまり出せないということもあります。ただ、費用がないから対策をしなくていいかというとそうではありません。むしろ、対策をせずに放置していると、不正侵入されて、情報漏えいすることだってありますし、利用者がマルウェア感染して、そこから情報流出したり、ランサムウェアなどに感染し、業務データが暗号化されてしまうことだってあります。


そして、企業によっては公開サーバーを運用している場合があると思いますが、公開サーバーは誰でもアクセスできるという点から、サイバー攻撃の対象となりやすいです。


その対策としては、ゼロデイ攻撃の対策として、OSやソフトウェアの脆弱性対策が必要になります。その他、多重防御として、WAFの導入をするケースもあります。


このWAFについて、詳しく説明された記事を、愛読しているキーマンズネットで書かれているので紹介したいと思います。


情報元は「キーマンズネット」です。

企業向けIT製品/キーマンズネット 


「キーマンズネット」は、企業向けIT製品選びのサポートサイトで、無料会員登録を行うことで、最新IT製品情報やセミナー情報がメルマガで届き、サイトでは業界シェア確認やIT製品比較など豊富なコンテンツを見る事ができるようになります。


例えば、ITセミナーを全国から探す事ができます。これでお住まいの地域の周辺で開催しているセミナー情報を入手する事ができます。
keyman00


こちらはIT機器情報です。カテゴリ毎に整理されていて、機器のイメージ、オススメの対象ユーザ、規模数など、各機器に対する様々な情報をチェックする事ができます。
keyman01


他にもIT特集では、IT製品の基礎知識、市場動向から、IT製品の選び方、企業導入のステップや注意点までITに関する様々な特集記事を紹介しています。
keyman02


キーマンズネットでは、製品スペックや導入事例・価格情報・技術文書などの充実したIT製品情報に加え、製品の選び方を分かりやすく解説した特集記事によって企業のIT製品選びをサポートしますので、IT関連の仕事をしていてプラスになると思います。


WAFで守れない事、守れること

まず、サイトではWAFについて説明されています。 

WAF(Web Application Firewall)とは、Webアプリケーションの脆弱(ぜいじゃく)性を悪用した攻撃を検知し、その攻撃からシステムを防御するためのものだ。これまで、セキュリティ対策としては、ファイアウォールやIPS(侵入防止システム:Intrusion Prevention System)、IDS(侵入検知システム:Intrusion Detection System)を導入してきた企業も多いだろう。一方のWAFはWebアプリケーションを守る部分に特化している。OSやネットワークなどを保護するセキュリティ対策機器の機能を補完し、通常の通信リクエストの中に潜む「攻撃」を検知、防御するものだと考えるべきだろう。


WAFはより上位のレイヤを防御する為のセキュリティ対策です。書かれている通り、Webアプリケーションを保護する為に導入します。その為、公開サーバーなどの保護に適していると言えます。


WAFを導入する目的とは?

攻撃の中には、例えばWebアプリケーションに作られてしまったSQLインジェクションやクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)といった脆弱性を攻撃するものがある。これらの通信には特徴的なパターンが含まれることが多く、それらの特徴を検知することがWAFの目的だ。
 

クラウドWAFを導入するメリットは運用軽減

最近は、色んなサービスでクラウドサービスが利用できますが、WAFにもクラウドサービスがあります。クラウドサービスを利用するメリットは、やはり運用軽減です。


記事にもありますが、オンプレミスWAFでは企業内で個別に設定を行う必要があったため、攻撃の通信リクエストにどういった特徴があるかなどの、設定に必要な情報を調査できるエンジニアを配置する必要があり、WAF導入の最大のネックとなり、「導入したはいいが、使いこなせない」ことの原因だったとあります。


しかし、クラウド型のWAFには以下のメリットがあります。 

クラウド型WAFでは、攻撃の特徴的なパターンの検出/設定/登録といった「運用」を、クラウドWAFサービス事業者自身が行い、アップデートが自動で行われることが大きな特長だ。   


クラウドWAFはセキュリティ専門のエンジニアが運用、監視をしてくれる。
 
利用者にとっては運用の手間が少なくなる仕組みだが、実際にはその「運用」はクラウドWAFサービス事業者側が擁するセキュリティ専門のエンジニアらが一括して肩代わりしている。多くのクラウドWAFサービス事業者は国内に監視・研究センターを持っており、セキュリティ専門のエンジニアが日々、インターネット上の脅威を監視し、脆弱性の情報をつかんだ場合には攻撃の兆候が出る前に「パターンをアップデートする」という重要な作業をしている。  
 

クラウドWAFを選定するポイント

そして、サイトで一番参考になるのが、クラウドWAFを選定するポイントです。 


①サイトの規模は?
 自社が持つサイト数、トラフィック量がクラウドWAFに対応しているかを確認する。もしあまりにも大量のトラフィックがある場合、オンプレミス型WAFとの比較もすべきだろう。

②開発/調査/サポート拠点は?

 日本国内にサーバがある場合、国内特有の攻撃や時間帯を考え、国内に調査拠点のあるサービスが選択肢としてあげられるだろう。これはサポート面においても重要で、どの程度のスピードで対応が可能かをあらかじめチェックすべきだ。

③誤検知対応のスピードは?

クラウドWAFにおいて「誤検知への対応」スピードは重要なポイントだ。もしサービス事業者がパターンのアップデートを行った結果、自社への正常なトラフィックに影響が出た場合の対応スピードを確認しておこう。

④「DDoS攻撃」への対応はあるか

 昨今増えているDDoS攻撃への対応は、カバーできるクラウドWAFサービス、できないクラウドWAFサービスが混在している。クラウドWAFサービス内でカバーすべきか、それとも専用のサービスを別途契約するべきか、またDDoS攻撃対策は不要と判断すべきか、あらかじめ確認しておきたい。

 
セキュリティ対策は、システムを導入すればOKではなくて、それを活用することが重要です。逆に入れて満足していると、問題が発生した場合に対処ができなくなります。


その為、システムを入れるのと同様に重要なのは、いざ、セキュリティ事故が発生した場合に、どういった対応しなければならないのかシュミレーションをして、対応フローなどを作成することです。いざ、問題が発生した場合の対応フローがなければ、そこから考え、対応が遅れてしまうことになります。


セキュリティ対策はコストですが、やらなくていいことではありません。会社でセキュリティへの意識が弱い場合は、実際に書籍や文献で勉強するとか、専門企業のセミナーに参加する、もしくは、脆弱性の調査を依頼するなど、普段からの意識したり、行動することが重要ですね。


また、セキュリティに関する書籍をいくつか紹介します。


【内容紹介】
Webセキュリティの第一人者、徳丸浩氏がやさしく解説!
会社が教えてくれないWebセキュリティの新常識

Webサイトを狙った攻撃が相次いでいる。
多くの企業にとって、仕事のうえで欠かせないWebサイトが乗っ取られたり、不正侵入されたりすると、会社の信用も含めて被害は甚大なものになる。つまりセキュリティ確保は喫緊の課題なのだ。
もちろんWebサイトをビジネスに活用している企業にとって、Webセキュリティは技術者だけの問題ではない。ユーザー部門やマネジメント層も関わるべき重要な課題だ。
そこで本書では、Webセキュリティの第一人者である徳丸浩氏に、Webセキュリティの本質や新常識について分かりやすく解説してもらう。


Webプログラマの必修知識を一冊に凝縮! 

●「第1章 Webアプリケーションの脆弱性とは」では、
本書全体のテーマである脆弱性(ぜいじゃくせい)についての概要を説明します。

●「第2章 実習環境のセットアップ」では、
本書の脆弱性のサンプルを動作させるために必要な環境をセットアップします。

●「第3章 Webセキュリティの基礎」では、Webセキュリティの前提となる基礎知識を説明します。
前半でHTTPとセッション管理をした後、
後半ではブラウザのセキュリティ機能の1つである同一生成元ポリシーについて説明します。

●「第4章 Webアプリケーションの機能別に見るセキュリティバグ」では、
Webアプリケーションの脆弱性について、発生原理や脆弱性による影響、対策などを詳しく説明します。
まず、脆弱性の全体像を把握するために、Webアプリケーションの機能と脆弱性の関係を説明します。
次にWebアプリケーションの「入力」と脆弱性の関係を説明します。

●「第5章 代表的なセキュリティ機能」では、代表的なセキュリティ機能を取り上げ、どのような脅威があるか、
脅威に対抗するにはどのような機能が仕様として必要かを説明します。

●「第6章 文字コードとセキュリティ」では文字コードの扱いに起因する脆弱性について説明します。
前半では、文字コードの入門として、文字集合と文字エンコーディングについて、後半では、
文字集合や文字エンコーディングの扱いに起因する脆弱性について説明した後、文字コードの正しい扱いについて説明します。

●「第7章 携帯電話向けWebアプリケーションの脆弱性対策」では、
携帯電話向けWebアプリケーションの脆弱性について説明します。
iモードやEZweb、Yahoo!ケータイなどのフィーチャーフォンのサービスです。

●「第8章 Webサイトの安全性を高めるために」では、
アプリケーション以外の側面からWebサイトの安全性を高める施策について説明します。
Webサイトに対する攻撃手段の全体像の説明後、それぞれに対して基盤ソフトウェアの脆弱性対処や、
成りすまし、盗聴、改ざんの対策、マルウェアへの対処について説明します。

●「第9章 安全なWebアプリケーションのための開発マネジメント」では、
安全なアプリケーション開発のために必要なマネジメントについて説明します。