2018年04月23日Webサイト運用

Webセキュリティについてちょっと聞きにくいことをサイバーセキュリティクラウドさんに聞いてみました

Webセキュリティについてちょっと聞きにくいことをサイバーセキュリティクラウドさんに聞いてみました

何かとわかりにくい「セキュリティ」の話。
インターネットで調べてみても専門用語ばかりでさっぱりわからず…

そんな皆さまのお悩みを解決すべく、Webサイトのセキュリティ専門家にインタビュー取材を敢行!

近年、Webサイトのセキュリティ対策として注目を集めるクラウド型WAF(Web Application Firewall)「攻撃遮断くん」を提供する株式会社サイバーセキュリティクラウドの取締役CTOである渡辺 洋司氏に、「ちょっと聞きにくいこと」も含めていろいろ聞いてみました。

渡辺洋司氏

(渡辺 洋司氏プロフィール)
株式会社サイバーセキュリティクラウド 取締役CTO 渡辺 洋司

1975年生まれ。明治大学理工学部情報科学科を卒業。大手IT企業の研究開発のコンサルティングを手掛ける企業において、クラウドシステム、リアルタイム分散処理・異常検知の研究開発に携わる。
2016年 株式会社サイバーセキュリティクラウド CTOに就任。2017年 当社 取締役CTOに就任。

2017年に年間で観測した攻撃ログの総数は1億以上

ーーこんにちは。よろしくお願いします。

はい、よろしくおねがいします。

ーーいきなりですが、WAFとは一言でいうと、どのようなサービスですか?

渡辺:一言でいうとですか…それは「Webサイトを守るセキュリティサービス」ですね。

ーーなるほど、ホントに一言ですね(笑)。その「Webサイトを守る」って、具体的にはどういうことなんでしょう?

渡辺:大抵のWebサイトにはお問い合わせフォームや資料請求フォームがありますが、そこで個人情報を入力しますよね?

ーーはい、メールアドレスはもちろん、会社名や部署名まで入れさせられることもありますね。

渡辺:入力された個人情報を含む情報は、裏側でデータベースに送信され、サーバ上に保存されています。

そういった個人情報を窃取するために、攻撃者は様々な攻撃を仕掛けてくるわけです。

その他にも、例えばWebサイトの脆弱性を見つけてサイトの中を改ざんしてフィッシングサイトに誘導するといったことも挙げられます。

こうした攻撃、いわゆる不正アクセスを遮断することが、Webサイトを守るということです。

ーーなるほど。でも日々攻撃にさらされているってイメージがわかないのですが、1日にどれくらいの攻撃を遮断しているんですか?

渡辺:サイトや計測期間によってばらつきはありますが、平時で数件から多いところだと数百件の攻撃を受けているサイトもあります。

ーー数百件ですか?1日数百件というと、ほぼ1日中攻撃を受けているように思えますが。

渡辺:はい。1日中。何かしら攻撃やスキャン活動が行われているといった印象ですね。
ちなみに2017年に年間で観測した攻撃ログの総数は1億を超えます。

ーー年間で1億ですか…

渡辺:そうなんです。それだけ攻撃者の活動は盛んで、攻撃される脆弱性(ぜいじゃくせい)もたくさんあるということです。

ーーなるほど。でも、攻撃者たちはWebサイトが脆弱であることをどのように突き止めるのでしょうか?

渡辺:ひとつ例を挙げると、共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)※1)などで公開された情報をもとに攻撃対象を探すことです。

CVEは一般公表されている脆弱性の情報ですので、当然、攻撃者もその情報にアクセスできます。

あとは、その脆弱性があるCMSやそのプラグイン、Webアプリケーションを利用しているWebサイトはないか?を調べることで攻撃対象を決めることができます。

脆弱性をポケモンで例えるなら…

ーーそうか、攻撃者にも脆弱性の情報がわかってしまうんですね。ちなみに、そもそも「Webサイトが脆弱」というのは具体的はどのような状態でしょうか?

渡辺:Webサイトから少し離れて「ゲームソフト」の例に考えてみましょうか。

ーーゲームソフト、ですか…?

渡辺:ゲームにはよく「裏技」というものがありますよね?

特定の条件下であるコマンドを入力するとバグが発生したりするわけですが、これを脆弱性ということができます。

ーーバグがある、ということは開発時のミスがあるということですよね。

渡辺:はい。
そこに付け入る隙があるということです。

正常に作動して使えるものでも、よく見たら欠陥があったり、ちょっといじったら壊れてしまうといったように、様々なプログラムによって成り立っているサービスで実は完璧なものはありません。

ゲームの話に戻りますが、ゲームボーイ版の「ポケモン」、やったことはありますか?

ーーおおー、ありますあります、なつかしい!

渡辺:「ポケモン」ではレベルの上限が100なのに、それを255にできたり、アイテム数を無制限に増やしたりできてしまう。これが「脆弱性」だと言えばわかりやすいでしょうか。

ーーレベル255(笑)。

渡辺:Webサイトにおいても同様で、使っているCMSやWebアプリケーションに脆弱性があると、その脆弱性を突いて攻撃されてしまうのです。

ーーなるほど。裏技を見つけるのは楽しいですもんね。…余談ですが、スタッフの中に実は「元ハッカー」という方がいらしたりするんですか?

渡辺:ハッカーと不正アクセスなどを行うクラッカー(※2)に分けたときに、クラッカーはいませんが、ハッカーと呼ばれるくらいコンピューターについて深い専門知識を持っている人はいます。自称ハッカーというメンバーは何名かいますね(笑)。

渡辺洋司氏

どんな小さなWebサイトでもセキュリティ対策は必要

ーーさて、ここからは弊社のお客さまからよくいただく質問にお答えいただいてもよろしいでしょうか。まず最初に、「規模も小さく検索でも上位表示されないようなWebサイトでも、導入の必要はありますか?」という質問です。

渡辺:サイバー攻撃は、攻撃者が明確な意図をもって攻撃するものと、Bot(ボット)(※3)などを利用してランダムに攻撃するものに分けることができます。

ランダムな攻撃を仕掛ける例としては、Webサイトを機械的に片っ端からスキャンして、脆弱性や攻撃の隙きがありそうな箇所に攻撃を仕掛けるといったことが挙げられます。

ーーということは、規模が小さくても攻撃されるパターンとしては後者の方ですね。

渡辺:はい、そのとおりです。

なので外部に公開しているWebサイトであれば、会社やサイトの規模に関わらず攻撃対象になります。

サービス規模が小さいために情報漏えいしてしまっても気づかない、ニュースになりにくいということはあるかもしれませんが、攻撃の対象にならないということは考えにくく、しっかりと対策しておくことをお勧めします。

ーーよくわかりました、ありがとうございます。次は「コーポレートサイトなのですが、セキュリティへかける費用について目安や考え方があれば教えてください。」という質問なのですが。

渡辺:これは弊社のお客さまからもよくいただく質問のひとつです。

コーポレートサイトはメディアサイトのような訪問数があるわけでもなく、また個人情報を収集するようなフォームも設置していない場合もあるので、特に攻撃されても問題ないという認識の方もいらっしゃいます。

しかし上場企業であればIR情報もありますので、そうした重要な情報が書き換えられてしまうリスクもありますし、サイバー攻撃によって企業の顔であるコーポレートサイトが見られない状態は、ステークホルダーに悪い印象しか与えません。

費用はそのサイトのトラフィックに応じた従量課金で決まることが多く、弊社のプランですと月額1万円からご提供しています。コーポレートサイトの場合はPV数もさほど多くないと思いますので、比較的低予算で対策できると思います。

渡辺洋司氏

ーーありがとうございました。次に、これもよくある質問なのですが、「ITのセキュリティついて理解が低い上司を説得するのに何かいい方法」って何かありますか?ご担当の方は導入の必要性を理解できても、社内ではなかなか理解されず、ご予算が割り当てられないことも…

渡辺:よくわかります。まずはリスクの詳細をご理解いただくことだと思います。

セキュリティ対策自体に販売促進の効果はありませんが、売上にダメージを与える危機に対するリスクヘッジの役割を持っています。

被害にあうことで、株価の下落や事故対応費用として特別損失を計上するケースもあります。

ーー費用面だけでなく、企業のブランドや信頼といった面でも損失となりますね。

渡辺:要するに、ひとつのWebサイトに対するリスクが、企業経営のリスクとなりえます。

また、経済産業省より公表されている「サイバーセキュリティ経営ガイドライン」(※4)では、経営者の法的責任にまで言及されています。

Webセキュリティを当たり前に

ーーそれでは最後に御社のアピールをお願いします!御社はWAFのサービスとしては最後発といってもよいかと思いますが、ぶっちゃけ調子はどうですか?

渡辺:おかげさまで、2017年にはクラウド型WAFにおいて、累計導入企業社数、導入サイト数において国内No1を記録することができました。

これからも「Webセキュリティを当たり前にする」というスローガンのもと、WebサイトへのWAF対策を推進していきたいと思います!

ーー本日はお忙しい中、ありがとうございました!

 

※1:共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)
米国政府の支援を受けた非営利団体「MITRE」社が提供する、個々の脆弱性を識別するための一意の識別子のこと。

セキュリティ関連企業をはじめ、多くの企業・団体が利用しています。

※2:クラッカー
悪意を持ってシステムやプログラムの破壊を行うプログラマーの総称。
一方、ハッカーは自身が持つ技術を「善意的」に利用する人や集団のことを指します。

※3:Bot(ボット)
遠隔操作型プログラムの総称。
サイバー攻撃ではネットワークを形成し、外部サーバからの一括操作で情報の搾取や別の環境への攻撃の踏み台として利用します。

※4:サイバーセキュリティ経営ガイドライン
経済産業省が独立行政法人情報処理推進機構(IPA)との協力のもと策定した、経営者がリーダーシップを取ってサイバーセキュリティ対策を推進するための指針。
2017年11月29日に改訂され、現在のバージョンは2.0となっています。

Getting Betterとは

企業の忙しいWeb担当者(Web担当者)の方のために、コーポレートサイトやオウンドメディアの運営に欠かせない情報やトレンド・ノウハウを解説するブログです。

日々のサイト運営のご参考になれば幸いです。

IMAGICA Lab.のWebサイト構築サービスについてはこちら
https://www.imagica-imageworks.co.jp/web/

「株式会社IMAGICAイメージワークス」は、2018年10月1日に「株式会社IMAGICA Lab.」となりました。

トップへ