1. HOME
  2. Blog
  3. Blog

Info.

お知らせ

Blog

【コラム】情報漏えいやホームページ改ざんに「WAF」が有効な理由

インターネットが一般的になった現在、ほとんどの企業や組織、団体などがホームページを持つようになりました。このホームページが、サイバー攻撃者の標的になっています。正確には、ホームページ用のファイルが格納されているWebサーバーへのサイバー攻撃が行われています。このサイバー攻撃によって、個人情報の漏えいやホームページの改ざん、DoS(あるいはDDoS)攻撃といった被害を受けてしまいます。ここでは、ホームページへのサイバー攻撃とその対策について紹介します。 ホームページへの代表的な3つの攻撃 情報漏えいは、ショッピングサイトやユーザー登録が必要なコンテンツを提供しているホームページ対象に、その裏にあるデータベースから個人情報などを抜き出すサイバー攻撃により発生します。この場合、漏えいした個人への損害賠償や、お詫び状の発送費用、新聞などへのお詫び広告の掲載、問い合わせ対応体制の整備、法律相談費用、原因の究明や再発防止のための費用、クレジットカードの再発行費用、さらにはサイトの停止による逸失利益など、多額の損害を被ることになってしまいます。 「うちのホームページは、単純に情報を公開しているだけ。個人情報などを収集していないので、情報漏えいの被害に遭わない」というケースもあるでしょう。しかし、ホームページの改ざんは、どのようなホームページでも被害に遭う可能性があります。改ざんといっても、以前のように怪しい画像に差し替えられたというような被害はほとんどなく、現在は改ざんされても見た目では全く変化がありません。 見た目は変わりませんが、ホームページを表示するプログラムに、短いスクリプトが書き加えられています。このスクリプトは、ホームページの訪問者のシステムに脆弱性がある場合、それを悪用してマルウェアをダウンロードさせたりします。サイバー攻撃者はスパムメールやフィッシングメールで、改ざんしたホームページに誘導し、マルウェアに感染させたりするわけです。このケースでも、被害者のはずのホームページが、マルウェアに感染させる攻撃者にされてしまうのです。 DoS(あるいはDDoS)攻撃は、特定のホームページに対して大量のリクエストを送りつけ、そのページを応答不能にしてしまうサイバー攻撃です。ショッピングサイトなどは営業が停止してしまいますし、サービスを提供している場合も同様です。そこでサイバー攻撃者は、攻撃をやめる代わりに金銭を要求するわけです。 サイバー攻撃はWebアプリケーションの脆弱性を狙う これらのサイバー攻撃には、さまざまな手法があります。しかし、現在主流となっているのは、脆弱性を悪用する攻撃です。たとえば、Webサーバーで動作しているWebアプリケーションに「SQLインジェクション」の脆弱性があると、外部からデータベースを操作され、情報を盗み出されてしまいます。また、「認証回避」や「バッファオーバーフロー」などの脆弱性は、ホームページの改ざんに悪用されてしまいます。さらにDoS状態を引き起こされる脆弱性もあります。 Webアプリケーションには、多くの脆弱性が確認されています。特に、「WordPress」や「Joomla!」「Drupal」などの「CMS(Contents Management System)」の脆弱性が多くなっています。CMSは、もともとブログシステムを構築するためのアプリケーションでしたが、ホームページの更新や管理にも適しており、そのためのプラグインやアドオンも数多く提供されています。つまり、サイバー攻撃の対象となるWebアプリケーションが非常に多いわけです。 脆弱性が公表されると、開発元はその脆弱性を解消するためのパッチやアップデートを公開します。これらをすぐに適用すれば、脆弱性を解消できます。しかし、Webサーバーでは多くのWebアプリケーションが動作しており、複雑に影響し合っています。このため、パッチやアップデートによって他のアプリケーションに不具合が生じる可能性もあります。不具合を回避するには、テスト環境での検証が必要ですが、なかなか時間が取れないのが現状です。その結果、脆弱性が放置されることになってしまい、サイバー攻撃の被害に遭ってしまうわけです。 Webアプリケーションの保護に特化した「WAF」 日本では、企業などのほとんどがセキュリティ対策として、ファイアウォールやIDS/IPSを導入しています。しかし、これらはWebアプリケーションの層であるレイヤ7(L7)まではカバーできません。かといって、次々に公表される脆弱性にすぐに対応したいところですが事前に動作確認など必要となりすぐに対応することが難しい場合があります。そこで有効とされているのが「WAF(Webアプリケーション・ファイアウォール)」です。 WAFは、文字通りにWebアプリケーションに特化したセキュリティ対策機器で、その大きな特徴に「仮想パッチ」があります。脆弱性が発見されると、サイバー攻撃者はその脆弱性を悪用する「攻撃コード」を作成し、これをWebサーバーに送りつけることで攻撃を行います。WAFは、さまざまな脆弱性に対応する攻撃コードをシグネチャとして持っており、これに該当する攻撃が行われた際に、その通信を無効化します。 つまり、脆弱性が解消されていなくても、それを悪用しようとする攻撃を検知し無効にすることで、パッチをあてたことと同じ状態にするわけです。システム担当者などは、WAFで攻撃を防いでいる間に正式なパッチやアップデートのスケジュールを立て、検証を進めることができます。 WAFはこれまで高価であり、管理や運用にも専門知識が必要とされていました。しかし、クラウド型の登場でコストの面でも管理・運用の面でも企業などの負荷が大幅に軽減されました。WAFの機能がクラウド上のサービスとして提供されるので、機器の導入やネットワークの変更などの必要がなく、早期な導入が実現でき、シグネチャをはじめとする管理や運用もサービスの提供側が行います。サイバー攻撃により企業などが深刻なダメージを受けないためにも、WAFはセキュリティ対策に必要不可欠なものとなっていくと考えられます。  

Blog

【レポート】「Azure Virtual WAN x Barracuda CloudGen Firewallで実現する大規模拠点間接続」セミナー

凝縮された30分でノウハウを伝授するWebセミナーですが、今回は「Azure Virtual WAN x Barracuda CloudGen Firewallで実現する大規模拠点間接続」を解説しました。講師であるバラクーダネットワークスジャパン株式会社 セールスエンジニア 大森 秀昭は、Hardening Project, 日経BPイベント(CloudDays ITProExpoなど)で講演している評判の良い講師です。当日は約60名のお申し込みを頂き、Webセミナーながらとても盛会でした。 当日のアジェンダは以下の通りです。 マイクロソフトのAzure Virtual WANが正式リリースされ、Barracuda CloudGen FirewallがVPN接続の推奨製品となっています。 Azure Virtual WANは推奨パートナーデバイスで拠点間を自動接続 が特徴です。オンプレミスとクラウド間をつなぐ際にとても有効なソリューションになります。   上記のようにハブ・アンド・スポークが容易に作れることから特に大規模ネットワーク構築にも効果を発揮します。 従来のVPN Gatewayとの違いは、最大VPN接続数、最大スループットの大幅向上とハブ&スポーク構成、ネットワーク機器の自動設定の対応が大きなところです。 バラクーダネットワークスはVirtual WANのオフィシャル接続パートナーの7社のうちの1社です。 Barracuda CloudGen FirewallはMicrosoft AzureをはじめにAWS、Google Cloud Platformに対応し、マーケットプレイスからデプロイ可能です。 Barracuda CloudGen Firewallは上図のような特徴を持ち、UTMとしても使えます。また、各クラウド環境を最適化して使えるようになっています。 今回のWebinarデモでは、Azureの推奨デバイスBarracuda CloudGen Firewallを用いたAzureとオンプレミスの接続環境、および構成の自動化についてご紹介しました。 デモの流れは以下の通りです。 1.まずAzureに接続します。 2.Firewallの管理画面メニューからMicrosoft Azureにつなげられます。 3.必要情報を入れていただき、コネクトのボタンを押すと接続していきます。   4.Microsoft Azure画面からVitual WAN Hubに紐づける作業が必要になります。   Barracuda CloudGen Firewallの特徴としては以下の図の通りです。 主な注意点は以下の通りです。 以前は国をまたいだ専用線サービスは高額でした。今後はVirtual WANを活用すると安価に接続できるようになります。すでに国内の接続でも有効ですが、将来的に各国の拠点間の通信手段としても有効になります。 本件についてデモのご依頼や評価依頼も受け付けています。 また、本資料をご入用の方は以下よりお問い合わせください。 https://f.msgs.jp/webapp/form/16370_qfy_17/index.do        

Blog

【コラム】情報漏えい対策にクラウド型WAFが効果的な理由

個人情報漏えい事件が多発するときには、その背後にWebアプリケーションの脆弱性の発覚があることが少なくありません。脆弱性の公表とともに修正パッチやアップデートが提供されますが、サイバー攻撃者もその脆弱性を悪用した攻撃を行います。その結果、対策が間に合わなかったWebサイトが被害に遭ってしまうわけです。ここでは、脆弱性に対する攻撃と、それを阻止するWAFについて紹介します。 情報漏えいにつながるWebアプリケーションの脆弱性 個人情報の漏えい事件は後を絶ちません。JNSA(NPO日本ネットワークセキュリティ協会)の調査によると、2017年における情報漏えい事件の原因は「誤操作」(25.1%)、「紛失・置き忘れ」(21.8%)、「不正アクセス」(17.4%)、「管理ミス」(13.0%)が上位を占めています。このうち「不正アクセス」を原因とするものは、脆弱性を悪用された可能性が高いと考えられます。 また、情報漏えい事件を時系列で振り返ってみると、事件が立て続けに発生している時期が数回あります。これらの多くは、Webサイトに存在する同一の脆弱性を悪用されている可能性があります。こうした脆弱性は、Webアプリケーションを構築するためのフレームワークである「Apache Struts 2」を筆頭に、Webサイトの更新などに利用されるCMS(Consumer Management System)である「WordPress」など、ある程度の傾向が認められます。 脆弱性とは、アプリケーションに存在する不具合のことで、「セキュリティホール」とも呼ばれます。脆弱性にも多くの種類がありますが、想定されていない入力や操作などによって、外部からWebアプリケーションを操作されてしまうものもあります。たとえば「SQLインジェクション」という脆弱性では、Webサイトにデータベースを操作するための命令文「SQL文」を混入することで、外部からデータベースを操作されてしまいます。ユーザ登録機能のあるWebサイトなどでは、データベースサーバに格納されている個人情報を盗み出されてしまうことになるのです。 脆弱性の悪用は、サイバー攻撃者にとって常套手段となっています。そのため、脆弱性情報やアップデート情報などを常に収集しているサイバー攻撃者もいます。こうした情報が公開されると、サイバー攻撃者はその脆弱性を悪用するための攻撃コード(エクスプロイトコード)を作成し、それをマルウェアなどの攻撃ツールにします。脆弱性情報の公開から、その脆弱性を悪用したサイバー攻撃が行われるまでの時間は短縮されてきているので、迅速な脆弱性対応が呼びかけられているのです。 脆弱性対策に有効な仮想パッチ 脆弱性を悪用する攻撃の被害を受けないようにするためには、開発元などが提供する修正パッチやアップデータを当該アプリケーションに適用する必要があります。しかし、適用すること自体はすぐにできるのですが、Webサイトは複数のアプリケーションが動作しているので、パッチなどの適用で他のアプリケーションの動作に悪影響を与えてしまうことがあります。 そのため、パッチなどを適用する際には、あらかじめテスト環境で適用を行い、他のアプリケーションの動作に影響がないかを検証する必要があります。しかし、検証作業にも工数がかかるのでなかなか実施できず、結果として脆弱性が放置されてしまうのが現状です。こうした企業や組織が多いため、サイバー攻撃者による脆弱性悪用攻撃の影響を受けてしまい、情報漏えい事件が複数発生することになるのです。 そこで、脆弱性対策として有効とされているのが「仮想パッチ」という対策手法です。仮想パッチとは、修正パッチやアップデートを適用せず、その脆弱性を悪用しようとする攻撃を検知して遮断する対処法です。これにより、実際にパッチを適用しなくても脆弱性を守ることができるので、その間に正式なパッチの適用をスケジュールするなどの準備ができます。 WAFの種類とクラウド型のメリット 仮想パッチ機能は、いわゆる「次世代IPS」や「WAF」に搭載されています。次世代IPSとは、従来のIPS/IDSの進化版で、一般的にゲートウェイに設置して通信を監視し、サイバー攻撃などの危険な通信を検知して遮断するというものです。一方、WAFはWebアプリケーション・ファイアウォールと呼ばれるもので、通信を監視して攻撃を検知するのは次世代IPSと同じですが、その対象がWebアプリケーションに特化している点が異なります。 WAFは、言わばWebアプリケーションの保護に特化した製品ですので、Webアプリケーション以外の多くの機能を搭載する次世代IPSと比較して、一般的に機能、性能ともに優れているといわれます。Webアプリケーションの脆弱性は情報漏えいなどの被害につながるため、WAFの導入は非常に有効であると考えられます。 WAFでは、Webアプリケーションへの攻撃の止め方に種類があります。たとえば、ブラックリスト型とホワイトリスト型と呼べるような方法があります。ブラックリスト型は、脆弱性によって攻撃のパターンがある程度決まっているので、それらをセットにしたようなもの(シグニチャ)をチェックの基準にします。たとえば、「OWASP Top 10」に対応するシグニチャのセットが用意されています。 一方、ホワイトリスト型は基本的に通信を遮断し、許可された通信のみを通すという方法です。こちらの方法は怪しいものも含めて全てブロックできるのでセキュリティの強度は高くなりますが、その設定にはWebアプリケーションに関する高い専門知識が求められます。現在では、ブラックリスト型とホワイトリスト型のいいところを組み合わせたハイブリッド構成が増えてきています。 WAFの設置方法にも、ソフトウェア型やアプライアンス型、クラウド型といった種類があります。このうち、ソフトウェア型やアプライアンス型は、利用者側の環境に設置またはインストールします。このため、WAFの管理や運用は自社で行う必要があります。特にホワイトリスト型のように、セキュリティの強度を上げるために細かなチューニングが必要だったり、誤検知を解除する設定をしたりするには高度な専門知識が求められるため、運用のハードルとなっています。 そこで注目されているのが「クラウド型WAF」です。特にクラウド型は運用管理も含めてサービスとして提供されることが多く利用者に負担がかかりません。WAF本体はサービスを提供する側にあり、その管理や運用、シグネチャの適用やチューニングなどもセキュリティの専門家がいるサービス側が行います。また、脆弱性情報の公開後、すぐにシグネチャが作成されるので、迅速な防御が可能になります。クラウド型なので機器を構築するといった手間もなく、すぐに導入でき、月額料金で利用できることもメリットとなっています。情報漏えいにつながる可能性の高い脆弱性への対策に、クラウド型WAFは賢い選択といえるでしょう。

Blog

【コラム】Office365バックアップの重要性

Office365を導入されて、ビジネスに活用されているお客様、OneDriveやSharePoint Onlineのバックアップは取得されていますでしょうか。クラウドだから大丈夫ですって?確かにOffice365のシステムは冗長化され、稼働率も99.9%を保証するなど高いレベルで運営されています。おそらくですが、大規模なシステム障害があったとしても OneDriveや SharePoint Onlineの情報が失われる可能性はかなり低いでしょう。 しかしながら、データ消失が人為的なものだった場合、OneDriveや SharePoint Onlineのデータがなくなることはないのでしょうか。実際、機器故障に次いでヒューマンエラーによる削除がデータ消失の原因となっています。 改めてOneDriveやSharePoint Onlineのデータを利用者が不用意に削除する、悪意を持って削除する可能性はないでしょうか。 今回のブログでは、OneDriveやSharePointの情報削除対策をご紹介します。また、より安全に OneDriveや SharePointを利用するための弊社ソリューションも併せてご紹介をいたします。 OneDriveやSharePoint Onlineの場合 SharePoint Online上で共有していたデータをメンバーユーザが削除した場合、「ごみ箱」にデータは移動します。悪意を持っているユーザの場合、このごみ箱からも「ごみ箱を空にする」を選択して、削除することでしょう。 そういったことも想定し、管理者画面には「第2段階のごみ箱」が用意されています。 この仕組みは非常によくできており、「第2段階のごみ箱」にアクセスすることで、削除されたデータを容易に「復元」できるようになっています。 ただ、「ごみ箱」と「第2段階のごみ箱」を通じて 93日間を超えたデータは自動的に破棄され、完全に復元できなくなります。したがって、「ごみ箱」はフェイルセーフの機能であり、バックアップの機能ではないことに注意する必要があります。 年に1度しか参照しないけれどもないと困るファイルや、案件が終了したため、すぐには見返されないが保存しておかないといけない重要なファイルが削除された場合、保存期間を超えるまで誰も気づかないということは容易に考えられるため何らかの方法でバックアップを取得しておく必要があります。 例:「ごみ箱」に 60日間あったデータは、「第2段階のごみ箱」で33日間保管されます。 Barracuda Cloud-to-Cloud Backup(以下、CCB)の場合 Barracuda Essentialを構成する機能の 1つとして、CCBがあります。これは、Office 365の Exchange Online、OneDrive、SharePoint Onlineを Barracuda Networksが運用するクラウドデータセンターへ直接バックアップを取得する製品です。 バックアップを取得する Office365の製品とリンクします。 バックアップ取得時間も曜日と開始時刻の組み合わせを設定することができます。 取得したバックアップデータは保存ポリシーにより、お客様で自由に保存期間を設定することができます。 必要なデータをクラウドから直接 Office365に対して高速にリストアが可能です。 まとめ データ復旧の普段使いであれば、OneDriveや SharePoint Onlineの「ごみ箱」でも困らないと思います。ただ、「ごみ箱」はバックアップではないため、保存期間を超えて不意な削除や悪意を持った削除気づかない可能性があります。そのため、ビジネスとして OneDriveや SharePoint Onlineを利用される方はバックアップを取得しておく必要があると言えるでしょう。 今回はデータ復旧の観点からのご紹介でしたが、CCBでは Exchange Onlineのユーザ単位のメールボックスなどのバックアップや、SharePoint Onlineのスタイルテンプレートやライブラリのバックアップもサポートしています。 また、Office365のアカウントを乗っ取られて第2ごみ箱まで削除されてしまう危険性もあります。その場合は、CCBに加えて Office365のアカウント乗っ取りを検知する Barracuda Sentinelという製品もございます。Barracuda Sentinelのご紹介はまた次の機会に。 テストされたい方はぜひ弊社までお問い合わせください。 製品の詳細は次のURLをご確認ください。https://www.barracuda.co.jp/products/essentials_email/

Blog

【コラム】今後4年間で約3倍に伸びるWAF市場にて、正しいWAFの選び方を考える。

こんにちは。吉政創成の吉政でございます。早速ですが、以下の調査データをご存知でしょうか? ガートナー社によると、2023年には、Webアプリケーションの30%以上が、分散型サービス拒否(DDoS)保護、ボットの軽減、APIの保護、WAFを組み合わせたクラウドーベースのWebアプリケーションおよびAPIプロテクション(WAAP)サービスによって保護されると示唆しています。現在は10%未満のWebアプリケーションのみが保護されているので、大きな増加となるでしょう。 原文はこちら

吉政忠志氏

【コラム】情報漏えい対策にクラウド型WAFが効果的な理由

個人情報漏えい事件が多発するときには、その背後にWebアプリケーションの脆弱性の発覚があることが少なくありません。脆弱性の公表とともに修正パッチやアップデートが提供されますが、サイバー攻撃者もその脆弱性を悪用した攻撃を行います。その結果、対策が間に合わなかったWebサイトが被害に遭ってしまうわけです。ここでは、脆弱性に対する攻撃と、それを阻止するWAFについて紹介します。 情報漏えいにつながるWebアプリケーションの脆弱性 個人情報の漏えい事件は後を絶ちません。JNSA(NPO日本ネットワークセキュリティ協会)の調査によると、2017年における情報漏えい事件の原因は「誤操作」(25.1%)、「紛失・置き忘れ」(21.8%)、「不正アクセス」(17.4%)、「管理ミス」(13.0%)が上位を占めています。このうち「不正アクセス」を原因とするものは、脆弱性を悪用された可能性が高いと考えられます。 また、情報漏えい事件を時系列で振り返ってみると、事件が立て続けに発生している時期が数回あります。これらの多くは、Webサイトに存在する同一の脆弱性を悪用されている可能性があります。こうした脆弱性は、Webアプリケーションを構築するためのフレームワークである「Apache Struts 2」を筆頭に、Webサイトの更新などに利用されるCMS(Content Management System)である「WordPress」など、ある程度の傾向が認められます。 脆弱性とは、アプリケーションに存在する不具合のことで、「セキュリティホール」とも呼ばれます。脆弱性にも多くの種類がありますが、想定されていない入力や操作などによって、外部からWebアプリケーションを操作されてしまうものもあります。たとえば「SQLインジェクション」という脆弱性では、Webサイトにデータベースを操作するための命令文「SQL文」を混入することで、外部からデータベースを操作されてしまいます。ユーザ登録機能のあるWebサイトなどでは、データベースサーバに格納されている個人情報を盗み出されてしまうことになるのです。 脆弱性の悪用は、サイバー攻撃者にとって常套手段となっています。そのため、脆弱性情報やアップデート情報などを常に収集しているサイバー攻撃者もいます。こうした情報が公開されると、サイバー攻撃者はその脆弱性を悪用するための攻撃コード(エクスプロイトコード)を作成し、それをマルウェアなどの攻撃ツールにします。脆弱性情報の公開から、その脆弱性を悪用したサイバー攻撃が行われるまでの時間は短縮されてきているので、迅速な脆弱性対応が呼びかけられているのです。   脆弱性対策に有効な仮想パッチ 脆弱性を悪用する攻撃の被害を受けないようにするためには、開発元などが提供する修正パッチやアップデータを当該アプリケーションに適用する必要があります。しかし、適用すること自体はすぐにできるのですが、Webサイトは複数のアプリケーションが動作しているので、パッチなどの適用で他のアプリケーションの動作に悪影響を与えてしまうことがあります。 そのため、パッチなどを適用する際には、あらかじめテスト環境で適用を行い、他のアプリケーションの動作に影響がないかを検証する必要があります。しかし、検証作業にも工数がかかるのでなかなか実施できず、結果として脆弱性が放置されてしまうのが現状です。こうした企業や組織が多いため、サイバー攻撃者による脆弱性悪用攻撃の影響を受けてしまい、情報漏えい事件が複数発生することになるのです。 そこで、脆弱性対策として有効とされているのが「仮想パッチ」という対策手法です。仮想パッチとは、修正パッチやアップデートを適用せず、その脆弱性を悪用しようとする攻撃を検知して遮断する対処法です。これにより、実際にパッチを適用しなくても脆弱性を守ることができるので、その間に正式なパッチの適用をスケジュールするなどの準備ができます。 WAFの種類とクラウド型のメリット 仮想パッチ機能は、いわゆる「次世代IPS」や「WAF」に搭載されています。次世代IPSとは、従来のIPS/IDSの進化版で、一般的にゲートウェイに設置して通信を監視し、サイバー攻撃などの危険な通信を検知して遮断するというものです。一方、WAFはWebアプリケーション・ファイアウォールと呼ばれるもので、通信を監視して攻撃を検知するのは次世代IPSと同じですが、その対象がWebアプリケーションに特化している点が異なります。 WAFは、言わばWebアプリケーションの保護に特化した製品ですので、Webアプリケーション以外の多くの機能を搭載する次世代IPSと比較して、一般的に機能、性能ともに優れているといわれます。Webアプリケーションの脆弱性は情報漏えいなどの被害につながるため、WAFの導入は非常に有効であると考えられます。 WAFでは、Webアプリケーションへの攻撃の止め方に種類があります。たとえば、ブラックリスト型とホワイトリスト型と呼べるような方法があります。ブラックリスト型は、脆弱性によって攻撃のパターンがある程度決まっているので、それらをセットにしたようなもの(シグニチャ)をチェックの基準にします。たとえば、「OWASP Top 10」に対応するシグニチャのセットが用意されています。 一方、ホワイトリスト型は基本的に通信を遮断し、許可された通信のみを通すという方法です。こちらの方法は怪しいものも含めて全てブロックできるのでセキュリティの強度は高くなりますが、その設定にはWebアプリケーションに関する高い専門知識が求められます。現在では、ブラックリスト型とホワイトリスト型のいいところを組み合わせたハイブリッド構成が増えてきています。 WAFの設置方法にも、ソフトウェア型やアプライアンス型、クラウド型といった種類があります。このうち、ソフトウェア型やアプライアンス型は、利用者側の環境に設置またはインストールします。このため、WAFの管理や運用は自社で行う必要があります。特にホワイトリスト型のように、セキュリティの強度を上げるために細かなチューニングが必要だったり、誤検知を解除する設定をしたりするには高度な専門知識が求められるため、運用のハードルとなっています。 そこで注目されているのが「クラウド型WAF」です。特にクラウド型は運用管理も含めてサービスとして提供されることが多く利用者に負担がかかりません。WAF本体はサービスを提供する側にあり、その管理や運用、シグネチャの適用やチューニングなどもセキュリティの専門家がいるサービス側が行います。また、脆弱性情報の公開後、すぐにシグネチャが作成されるので、迅速な防御が可能になります。クラウド型なので機器を構築するといった手間もなく、すぐに導入でき、月額料金で利用できることもメリットとなっています。情報漏えいにつながる可能性の高い脆弱性への対策に、クラウド型WAFは賢い選択といえるでしょう。   *吉澤 亨史(ヨシザワ コウジ)元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。サイバーセキュリティを中心に、IT全般、自動車など幅広い分野でニュース記事、取材記事、導入事例、ホワイトペーパー、オウンドメディアなどの執筆活動を行っている。直近では、JSSEC(日本スマートフォンセキュリティ協会)の「IoTセキュリティチェックシート第二版」の制作に参画、解説版を執筆。愛猫「りく」は、サイバーセキュリティ情報サイト「ScanNetSecurity」で名誉編集長を務めています。    

吉澤亨史氏

【コラム】2019年以降のアプリケーションセキュリティトレンド

2018年はアプリケーションセキュリティの分野において非常に長く重要な一年でした。多くの良いことが起こりました。新しいOWASP Top 10リスト、およびGDPR(EU一般データ保護規則)などの法律によって、企業がユーザデータの保護に投資するようになり、パッチ適用などのWebアプリケーションのセキュリティ意識が全般的に向上しました。一方、2018年は、攻撃者にとっては当たり年、私にとってはデータ侵害通知が主流になった一年でした。(主流の意味は、データ侵害について考えたことがなかったユーザが、データ侵害について聞いて、その結果を理解したということです。) 過去1年間の攻撃トレンドから判断すると、非常に流行した3つの明らかな攻撃ベクタが2019年以降にさらに大きな問題になることがわかります。 1つ目の攻撃トレンドはボットとクレデンシャルスタッフィングによるアカウント乗っ取り攻撃です。 長年にわたって、弊社は、5000のWebサイトが非常に短期間にバックドアから侵入された数年前の攻撃など、大規模で自動的なエクスプロイト攻撃への対処に慣れてきました。過去2年間にわたって、当然、この自動的なハッキングアプローチはアカウント乗っ取り攻撃に拡大してきました。最初は基本的なツールSentry MBAだけでしたが、現在はローアンドスロー攻撃を実行するカスタマイズされたツールも使用されるようになっているため、アカウント乗っ取り攻撃はさらに一般的になっています。攻撃者は、アシュレイ・マディソン、LinkedIn、Twitter、およびvBulletinで多くのデータ侵害を実行し、アカウント乗っ取り攻撃を実行するための大量の認証情報をダンプしました。 根本的には、アカウント乗っ取り攻撃は、簡単に実行できます。無料のCombolistsをSentry MBAに提供する多くのフォーラムのいずれかにアクセスし、リンク先のチュートリアルを確認し、標的を特定するだけです。もちろん、実際は、標的のセキュリティレベルなど、多くの違いがありますが、ほとんどの場合、原則は類似しています。 企業はアカウント乗っ取り攻撃の大幅な増加に直面するでしょう。 アカウント乗っ取り攻撃を検出および防止するための適切なアラートシステムとあわせて、2要素認証、攻撃検出などの対策を計画および導入する必要があります。   2つ目の攻撃トレンドはAPI(アプリケーションプログラミングインターフェース)攻撃の増加です。 弊社は昨年見つかった脆弱性の一部に関するブログを書きましたが、この攻撃トレンドは継続しており、Google、Amazon、およびFacebookがこの攻撃の影響を受けています。Googleへの2件のAPI攻撃では、ソーシャルプラットフォームGoogle+がダウンしました。Amazonへの1件のAPI攻撃は、実際のユーザ情報に影響しなかったため、その実害はGoogleほどではありませんでした。Facebookの情報漏洩は大規模であり、5000万人のユーザのログイントークンが盗み出されました。 他のシステムに依存して機能を提供する相互接続システムが増加しているため、APIはますます一般的になっています。一方、現在のAPIセキュリティには問題があります。ほとんどのAPIは、消費者が直接使用しておらず、ごく最近までは広く活用されていませんでした。APIはクリティカルデータを簡単に操作できる直接的なインターフェースであるため、その活用が急増しています。API保護は、企業が大規模なデータ侵害を防止するために、今年注力する必要があるもう1つの分野です。以前、弊社は攻撃の可能性、課題、Barracuda Web Application Firewall製品ファミリにAPIをセキュアに実装する方法などのAPIに関するブログを書きました。このようなブログはAPIの詳細について知るための有効な出発点として役立つはずです。   3つ目の攻撃トレンドはサプライチェーン攻撃であり、Magecartがこの攻撃では最も有名です。 長年にわたって、ほとんどのアプリケーションではサードパーティのライブラリとスクリプトがソフトウェアサプライチェーンの一部として使用されてきました。このようなサードパーティのソフトウェアへの攻撃は、以前は頻発していませんでしたが、2018年に警戒すべき新しい攻撃トレンドになりました。この攻撃トレンドは、Magecartが最初に検出された際に、表面化しました。Magecart攻撃グループはEC(電子商取引)サイト(通常はMagentoで構築、MagecartはMagentoに由来)で使用されていた有名なサードパーティのスクリプトを改ざんしました。また、改ざんしたスクリプトを使用して、ブリティッシュ・エアウェイズ、キャセイパシフィック航空、OXO、Newegg、チケットマスターなどのざまざまな企業からクレジットカード番号とPII(個人情報)を盗み出しました。攻撃の規模は大規模であり、攻撃者は調査担当者とスキャンツールから改ざんインジケータを隠すための特別な方法を使用しました。 Magecart以降、他のサプライチェーン攻撃も有名になりました。最近の攻撃の一つは約6か月前にPEAR(PHP Extension and Application Repository)に実行されました。管理者は、この攻撃によって、自社のWebサイトで提供しているダウンロードファイルが悪意のあるものに置き換えられていたことに気づきました。この攻撃は、Linux MintとTransmissionへの攻撃に類似しており、サードパーティのソフトウェアをダウンロードおよび使用する場合に注意する必要があることを浮き彫りにしています。 開発者は、サードパーティのソフトウェアとスクリプトを使用する場合は、サプライチェーン攻撃を防止するために、非常に注意する必要があります。ファイルハッシュを検証する、SRI(Subresource Integrity)を適用する、サードパーティのソフトウェアの検証済みバージョンをホスティングおよび使用するなどの手順はアプリケーションの保護に非常に役立ちます。 攻撃者は、Webアプリケーションの出現以降、可能なかぎりの攻撃を実行し、新しい方法でセキュリティ担当者をだましてきました。上記の攻撃トレンドは攻撃者がますます狡猾になっていることを表しています。攻撃者は、さらに少ない労力でアプリケーションを侵害する新しい方法を常に見つけており、攻撃が簡単に検出されないように必死になっています。2019年はセキュリティ担当者にとって忙しい一年になりそうですが、弊社はお客様のご安心をお約束します。 *本内容は下記 Barracuda Blog 記事の抄訳です: Application security trends through 2019 and beyond (February 25, 2019 by Tushar Richabadas)

Blog

【コラム】Microsoft Office 365に障害が発生した場合も、ビジネス継続性を確保するバラクーダのメール継続性サービス

先月1月24日、ヨーロッパ全体で丸1日以上にわたってOffice 365に大規模な障害が発生したため、ユーザはExchange Onlineにログインできず、メールを送受信できませんでした。Office 365の障害は、今回が初めてではありません。わずか数か月前の2018年11月にもOffice 365ユーザでアカウントにログインできないという問題が発生しました。 メールはほとんどの企業にとって主要なコミュニケーションツールであるため、メールの障害が発生すると、従業員の生産性、企業のコミュニケーション、および収益が損失されます。Office 365でクラウドに移行した企業はアップタイムとフェールオーバーを自社では管理できません。Office 365がダウンすると、自社のメールコミュニケーションも同時にダウンします。 バラクーダのメール継続性サービスの有用性 しかし、メールコミュニケーションが必ずしもこのようになるとはかぎりません。Office 365の直近の障害は残念でしたが、バラクーダのメール継続性サービスを導入している企業には心配することは何もありません。Exchange ServerまたはOffice 365に障害が発生した場合、IT管理者は、バラクーダのメール継続性サービスでサードパーティのクラウドベースのメールサーバにフェールオーバーすると、メールサービスが復旧するまでメールの継続的な運用を確保できます。 このフェールオーバーの間は、エンドユーザは、メールサービスを使用できませんが、バラクーダのメール継続性サービスでメールを作成、送受信、および転送できます。この結果、注文が処理され、顧客と企業の間のコミュニケーションが継続し、メールが必要な他のすべてのビジネス活動がシームレスに継続するように、企業のビジネス継続性と従業員の生産性が維持されます。 Barracuda Essentialsはメールの継続的な運用を確保するメール継続性サービスを実装しています。ユーザは、緊急のメールボックスでメールを引き続き送受信できるため、プライマリサーバが復旧するまで生産性を維持できます。 バラクーダリソース Barracuda Essentials についての詳細はこちら Barracuda Essentials のメール継続性サービスの詳細については、Barracuda Campusを参照ください   *本内容は下記 Barracuda Blog 記事の抄訳です: Microsoft Office 365 outage? Ensure business continuity during downtime (January 25, 2019)

Blog

【コラム】グローバル調査によってサイバーセキュリティ上の優先事項が今後、変化することが判明

今月、弊社は、15周年を祝ったことにあわせて、最初のメールセキュリティソリューションを発売した2003年以降テクノロジがどれほど変化してきたかについて考えました。また、お客様とチャネルパートナー様がサイバーセキュリティの過去、現在、未来についてどのように感じているか、およびそのアプローチが時間とともにどのように進化してきたかを知りたいと考えました。 弊社はITセキュリティ上の優先事項、およびこのような優先事項がどのように変化しており、次にどこに向かっているかについて北米、EMEA(ヨーロッパ、中東、およびアフリカ)、およびAPAC(アジア太平洋地域)の1,500人以上のITリーダーとセキュリティプロフェッショナルを調査しました。 全般的に、この調査によって、セキュリティ上の上位の優先事項が過去15年にわたって変化してこなかった一方、企業が防止している攻撃のタイプは大幅に変化してきたことが判明しました。回答者は、未来に目を向けて、クラウドが今後15年にわたって現在より優先され、AI(人工知能)が脅威にも重要なツールにもなると考えています。詳細な調査結果は下記のとおりです。 メールおよびネットワークセキュリティが常に優先 弊社が調査したITプロフェッショナルはメールとネットワークが2003年にも2018年にも上位2位の優先事項だったと回答しています。回答者の25%は2003年に、23%は2018年に、メールが1位の優先事項だったと回答しています。ネットワークはメールと僅差であり、回答者の24%は2003年に、22%は2018年に、ネットワークが2位の優先事項だったと回答しています。 メールベースの攻撃の高度化 企業がセキュリティについて最も優先していることは過去15年にわたって変化してきませんでしたが、脅威の状況は大幅に変化してきました。回答者は、ウィルス(26%)とスパム/ワーム(18%)が2003年に上位2位の攻撃だったと回答している一方、ランサムウェア(24%)とフィッシング/スピアフィッシング(21%)が2018年に上位2位の攻撃だったと回答しています。 この変化は弊社のメールセキュリティアプローチが長年にわたってどのように進化してきたかと一致します。弊社は、スパムフィルタから始まって、スピアフィッシング、フィッシング、ゼロデイマルウェアなどの非常に高度な標的型攻撃を防止するだけでなく、データを保護し、コンプライアンス順守を支援するために、クリティカルな機能を追加してきました。また、変化する攻撃に常に対処し、フィッシング、スピアフィッシング、およびアカウント乗っ取り、BEC(ビジネスメール詐欺)などの他の攻撃を防止するために、他社に先駆けて、スピアフィッシングの防止とアカウント乗っ取りの検出にAIを使用し、シミュレーションとトレーニングをメールセキュリティポートフォリオに追加してきました。 クラウドセキュリティが今後の上位の優先事項 現在、弊社が調査したITプロフェッショナルのほとんどはメールおよびネットワークセキュリティをクラウドセキュリティより優先していますが、未来に目を向けると、この優先度は変化します。回答者の25%は、クラウドセキュリティが、今後15年にわたって1位の優先事項になり、回答者の14%が回答したメール、ネットワーク、およびデータセキュリティより優先されると回答しています。 この変化は段階的に起きてきました。クラウドセキュリティが2003年に上位の優先事項だったと回答した回答者はわずか3%である一方、2018年に上位の優先事項だったと回答した回答者は14%です。弊社は、この変化の意味は、企業が今後メール保護を優先しなくなるということではなく、自分の責任が今後15年にわたってどのように増大するかを予測しようとしているITプロフェッショナルにクラウドをどのように保護するかに関する問題が大きくのしかかっているということであると考えています。 AI:高い期待と大きな懸念 AIは弊社が調査したITプロフェッショナルの多くがセキュリティ強化ツールとしても脅威としても最も優先している別のテクノロジです。この対比は興味深いです。 回答者の31%はAIがセキュリティを強化するための新しいテクノロジであると回答し、43%はAIとML(機械学習)の使用増加が今後15年間でサイバーセキュリティに最も影響する進化であると回答しています。一方、41%はAIの武器化が今後15年間で最も一般的な脅威になると考えています。弊社はAIの武器化に関するお客様の懸念に同感します。攻撃者が、偽装されている標的の音声、画像、または動画を合成できる場合に、ソーシャルエンジニアリング攻撃が、どのように高度化するかを想像してみましょう。弊社が、スピアフィッシング、アカウント乗っ取り、およびBECをAIベースで防止するBarracuda Sentinelなど、AIを実装するソリューションに多額の投資を行ってきた理由は、このような懸念です。弊社は、AIへの多額の投資、およびさまざまな製品にわたる堅牢で大規模なデータインフラストラクチャによって、今後のAIの武器化に対するサイバーセキュリティで他社より常に優位であるつもりです。 最近、弊社のCEO(最高経営責任者)BJジェンキンズと話をしたところ、ジェンキンズは次のように説明しました。弊社は、お客様の懸念と優先事項が、必要になる前に、どこに向かっており、どこに達するかを知ることが重要であると感じているため、攻撃の高度化にあわせて、お客様に必要なソリューションを提供できます。また、過去15年にわたって大きく発展しており、企業を保護する新しい方法を開発したいと考えています。弊社は、お客様およびチャネルパートナー様とこの節目の年を祝うだけでなく、弊社がどのように発展してきたかを表す新しいブランドアイデンティティを紹介したいと考えています *本内容はBarracuda Blog から、2018年11月15日 Global survey reveals coming shift in cybersecurity priorities を翻訳したものです。

Blog

【コラム】サイバー保険の良い点、悪い点、および醜い点を受け入れる

サイバーセキュリティリスクの評価については、企業経営者が最終的に理解していると思われます。サイバー保険市場は活況を呈しています。オンラインサイバー保険市場CyberPolicyのレポートによると、サイバー保険の契約数が過去1年間にわたって1四半期に平均69%増加しています。 この増加の主な要因は2つです。1つの要因は、契約者が増加したため、サイバー保険の価格が下落していることです。CyberPolicyのレポートによると、2017年4月には、補償金額が100万ドルの保険の毎月の保険料は平均271ドルでした。2018年6月には、同じ保険が、補償範囲が拡大して、わずか77ドルで販売されました。また、サイバー保険の新規契約数が、SMB(中小企業)所有者の間で増加しており、過去1年間にわたって1四半期に34%増加しています。CyberPolicyの契約者は補償金額がさらに大きい保険を求めており、SMBの90%は補償金額が100~500万ドルの保険を購入しています。 もう1つの要因は、契約上の義務です。SMBの46%は契約上の要件がサイバー保険を購入する主な理由であるとしています。この理由はまったく朗報ですが、企業は保険会社がサイバーセキュリティ侵害の責任を誰が負うかを現在よりはるかに積極的に判断するようになると考える必要があります。保険業界は、企業が順守するさらに厳格な規則を定めると同時に、このような規則をさらに一貫性のあるものにするために、たとえば、サイバーセキュリティ侵害に関する情報を保険会社間で共有できるように政府に働き掛けています。カーネギー国際平和基金が発表しているレポートでは、保険とその料金を設定するためのさらに体系的な方法が求められています。 企業は請求によってセキュリティ侵害のコストがほぼ補償されると考えることに慎重になる必要があります。サイバー保険では利益の損失のみが補償される傾向があります。監督官庁などによる罰金は補償されません。このため、企業は、どのような保険でどのようなセキュリティ侵害が補償されるかを意識している必要があります。2016年と2017年の2件のデータ侵害を受けて240万ドルの請求を行ったNational Bank of Blacksburg in Virginiaは、その大部分の支払を拒否したEverest National Insurance Companyを告訴しています。Everestは、2件のデータ侵害がNational Bankのコンピュータ犯罪保険の追加条項では補償されないと主張し、5万ドルのみを支払いました。また、この5万ドルがデビットカードの追加条項で補償される1回の損失の範囲であると結論づけました。 サイバー保険に関する懸念は、セキュリティ侵害のコストが補償されると考える傾向がある企業経営者の間に誤ったセキュリティ意識が生じることです。このような企業経営者は、保険会社がリスクを負うと考えているため、サイバーセキュリティコストを削減する可能性もあります。しかし、現実は、まったく異なっています。セキュリティ侵害の継続的な急増を受けて請求件数も増加しているため、保険会社がこのような請求に対する支払を拒否する可能性は高いです。実際、企業は、請求を行うことができても、近い将来、サイバーセキュリティへの投資を増加する必要が生じる可能性が高いです。人的エラーが請求に対する支払を拒否する理由になる可能性もあります。結局は、保険会社は金もうけを行っているということです。保険会社が金もうけを行うための最適な方法は、支払う必要が生じる可能性がある請求の件数を最小限に抑制するために、企業がある程度のセキュリティを導入していると確認することです。 サイバー保険の現実は、多くの良い点、悪い点、および醜い点をほぼ同等に検討する必要があるということです。 *本内容はBarracuda Blog から、2018年11月9日 Coming to Terms with the Good, Bad and Ugly of Cyber Insurance を翻訳したものです。

Blog