近年、さまざまな企業や自治体などでセキュリティ事故・事件が発生しています。
社会のICT化が進むとともに、企業が保有するデジタルデータ量は増加しており、情報を守るためのセキュリティ対策は益々重要なものとなっていくでしょう。
しかし、セキュリティ対策を行う上でどのようなことをすればよいのか、どのようなツールを選べばよいのかわからない方も多いのではないでしょうか。
そこで今回は、バルテス株式会社の加賀谷 知宏が、Webセキュリティの対策のポイント、ツールを選ぶポイントについて解説します。
今回話を伺ったプロ
- 加賀谷 知宏
バルテス株式会社 R&D事業部 セキュリティソリューション開発部 部長
IT業界歴20年。高度なネットワーク技術を活用した製品・サービス開発に始まり 、ハードウェア、アプリケーションソフトウェアの開発を幅広く経験。
その後、セキュリティ分野へ興味を持ち、転職。バルテス入社後は、「PrimeWAF」「サイバーセキュリティ自動診断」などの開発に携わる。
- もくじ
1. WebセキュリティはICT化が進む現代において重要なもの
――加賀谷さんが携わっているWebセキュリティとはどういったものでしょうか。
Webセキュリティとは、ECサイトや企業HPを始めとしたインターネット上に公開されているリソースを、サイバー攻撃の魔の手から侵害されないようにする仕組みです。そして、その結果として個人情報や機密情報あるいは企業の信頼を守るものだと考えています。
インターネットは、情報通信ネットワークとインフラの発達に伴い、利用者が2024年1月時点で世界に53億人もいると言われています。
SNSを筆頭に多くの方が日常的にその恩恵を受けており、もはや現代文明を支える大きな柱であると言っても過言ではないと思います。そのため、インターネットリソースを守るWebセキュリティは人々の生活に欠かせないもののだと言えるでしょう。
――Webセキュリティが必要な理由はなんですか?
インターネットは、非常に多くの設備や技術によって成り立っていて、Webに関する技術もその内の1つです。
利用者が直接目にしたり操作したりする部分と特に繋がりが大きく、
- サイトに掲載された記事をPCやスマートフォンの画面で表示させる
- ECサイトで買い物かごに商品を入れる、遠隔地にある設備へ何らかの指令を送る
などといった場面で使用されています。
しかし、技術が目覚ましく進歩して人々の生活がどんどん豊かになる一方で、それが犯罪に悪用されていることも事実です。
空き巣や強盗、ひったくりなど現地へ赴いて金品を直接強奪するという方法しか選択肢がなかった時代もあるでしょうが、今やインターネットとりわけWebが非常に効率の良い手段として犯罪者に利用されていると考えられます。
なぜなら、インターネットによって地理的制約をほぼ無視することができ、またサイバー攻撃用のツールが闇サイトで取引されるようになってきた影響もあり、PC1つで誰でもどこからでもWebを利用して不正に利益を得られる可能性がある訳ですから。
このように、良くも悪くもみんながWebを利用できるからこそ、Webセキュリティは現代において必要だと考えています。
2. 「適切な利用を邪魔せず、悪用を防ぐ」ことが大切
――企業において、Webセキュリティの取り組みとして何をすればよいのでしょうか。
Webの利用者には良い人も悪い人も利用します。そのため、Webセキュリティ対策としては、「適切な人による利用を邪魔せず」かつ「それ以外の人による利用を防ぐ」という、とても器用なことをしなければなりません。
当たり前ですが、情報への不正アクセスを防ぎたいだけであれば、その情報に対して一切アクセスできなくしてしまえば良いのです。ですが、それではせっかく保有している情報を活用することもできなくなってしまいますよね。
この器用な制御を具体的に実現するためには、「適切な人」と「そうでない人」を正確に区別できれば良さそうな気がしてきます。
ではその「適切な人」の定義を教えてください、と言われたらどうでしょう?
- 登録されたIDやパスワードを知っている人?
- 登録されたメールアドレス宛のメールを閲覧できる人?
- 登録された指紋情報と特徴が合致している人?
これは認証と呼ばれるセキュリティ対策を構成する一部の仕組みです。
イケメンスパイが活躍するSF映画をイメージするとわかりやすいのですが、認証は指紋や虹彩を模倣するなどして突破される可能性があり、警備員やレーザートラップを配置するといった二重三重の対策が認証とは別のレベルで行われます。
このことはWebセキュリティにも当てはまり、何か1つだけで完結するというものではなく、複数の判断基準あるいは対策を組み合わせるというアプローチが有効だと私は考えています。
それにより攻撃が成功するまでの時間を長引かせたり、最終的に攻撃が成功する確率を下げたり、いざ攻撃が成功したとしてもその被害を最小限に抑えたりすることができ、全体としてのリスク軽減に繋がると思います。
――なるほど。1つの対策だけでなく、さまざま組み合わせることが大切なのですね。具体的にどういった取り組みを行えばよいのでしょうか。
米国国立標準研究所(National Institute of Standards and Technology, NIST)が公開しているサイバーセキュリティフレームワーク2.0を例としてご紹介します。
こちらでは、サイバーセキュリティ対策において統治、特定、防御、検知、対応、復旧の6つの項目が定義されています。
機能 | カテゴリ |
---|---|
統治 |
|
特定 |
|
防御 |
|
検知 |
|
対応 |
|
復旧 |
|
脆弱性診断によって「特定」が、UTMやWAFなどによって「防御」がそれぞれ可能となりますが、これら6つの項目はどれか1つだけ実施すればOKという訳ではなく、全ての項目が継続的に実行されることが期待されています。
――この6つの項目をもとにWebセキュリティを強化する際のポイントをお教えください。
大きく分けて「適材適所」「全体最適」「シフトレフト」の3つがポイントになると考えています。
6つの項目全てに対して適切な対策を行うこと、そしてそれを維持し続けること、を自社リソースのみで対応するとしたら、一般的な企業にとってはかなりハードルが高いのではと推測します。外部リソースを頼る場合を想定してみても、単独で全てをカバーする企業あるいはサービスを探し出すのはおそらく大変でしょう。つまりは、複数のリソースを「適材適所」で上手く組み合わせたセキュリティ対策が、現実的な落としどころになると考えられます。
ただし、「適材適所」に偏り過ぎると予算が莫大になるおそれがあります。
私の好きなバスケットボールで例えるなら、マイケル・ジョーダン/コービー・ブライアント/レブロン・ジェームズ(敬称略)などNBAの歴代スーパースターのみでメンバーを揃えるようなもので、チームとしてはたしかに強いでしょうけどお財布はきっとサステナブルではありません(笑)リスクをゼロにすることは難しいですし、全体を俯瞰してみた時にどこまでリスクを減らせば自社が許容できるか、といった「全体最適」の視点が別途必要になります。
また、ここまでの「適材適所」と「全体最適」だけではどこから手を付けて良いのか判断しづらいかもしれません。そんな時には「シフトレフト」を流用することをお薦めします。
「シフトレフト」とは、システム開発の上流工程からセキュリティ対策やテストを実施しようとする考え方で、時系列としてより手前で対処する方が全体のコストを抑えられる傾向にあります。
今回の6つの項目に当てはめた場合、「特定」あるいは「防御」を優先的に検討することが効率的なセキュリティ対策に繋がると私は考えます。
3. セキュリティツールはトライアルで使用感を確認
――Webセキュリティ対策の一つとしてツールの導入もあるかと思います。WAFサービスや脆弱性診断サービスは様々ありますが、どのように選べばよいのでしょうか。
WAFサービスと脆弱性診断サービスでは、そもそもの用途や期待される効果などが異なるため、一旦分けてお話ししたいと思います。
まずはWAFサービスについてです。WAFとは、実際の通信を解析してこれを通過させるかそれとも遮断するのかを判断し、その判断結果に基づいて通信を制御するもの、というのが一般的な解釈になるかと思います。
「今受信したものは適切な通信なのか」を判断する際、非常に分かりやすいものから人間でも判断が難しいものまで様々あります。また、1つの通信だけ見てすぐに判断できるものもあれば、前後の通信との関連性を考慮してようやく判断できるものもあります。
そのため、本当は適切な通信であるにも関わらず誤認逮捕のように誤って「遮断すべき」と判断してしまう場合があります。これを誤検知と呼びます。
実際の通信に対して制御を行う訳ですから、誤検知が発生すると本来の通信が出来ず、お客様の迷惑になってしまいます。
迷惑だなと思われるだけならまだしも、クレームや損害賠償といったケースに発展するおそれもあります。このような誤検知をなるべく発生させないようにするのがWAFサービスの見せどころだと考えています。
たとえば、WAFの導入を検討しているお客様との打ち合わせにおいて、WAFを導入しているけど防御機能は無効にしている、といった残念な事例を耳にすることが過去に何度かありました。
誤検知が多いからというのはもちろん、WAFを外してサイトを露出させる訳にもいかないからということで防御機能を無効にしていたようですが、実質的には何の防御にもなっていないのでせっかくのセキュリティ投資が無駄になってしまいます。
WAFサービスを選ぶ際には、誤検知を抑えながらしっかりと運用できること、最初からいきなり100%抑えるのは難しくても着実に誤検知を抑えていけること、これらが重要なポイントだと私は考えます。
そのため、トライアルが可能なサービス をまず導入してみて、誤検知の発生頻度や運用のしやすさを比較してみていくのが良いかと思います。
――ありがとうございます。脆弱性診断の方はいかがでしょうか。
脆弱性診断とは、対象となるWebサイトやシステムに「脆弱性」があるか確かめることです。
たとえばファイアウォールは、通常の利用者や診断士のような「適切な人」を邪魔しないように一部の通信を許可してあるため、「適切ではない人」がこれと同じ入口から侵入しても対応できません。ファイアウォールをすり抜けて、Webサイトやシステムなどの脆弱性を狙った攻撃を成功させないために脆弱性診断が必要となります。
脆弱性診断は、対象のシステムにおいてどのような脆弱性がありどのようなリスクが懸念されるかといった"現状を知ること"が一番の目的になると考えています。
脆弱性診断にはツール診断と手動診断という分類がありますが、両者はコストと正確性においてトレードオフの関係にあります。
もし、初めて脆弱性診断をアウトソーシングするのであれば、ツール診断と手動診断を併用して両者の良いとこ取りをするハイブリッドな診断が、コストパフォーマンスを踏まえた選択肢としては有力でしょう。
あるいはシステムを高いレベルのセキュアな状態に保つことが出来ている場合には、範囲を限定した手動診断を行ったりツール診断のみであっても頻度を増やしたりするという対応が候補に挙がります。
また、ほとんどの脆弱性診断サービスはその診断結果をレポーティングして貰えるかと思いますが、そのレポートを元にして具体的な対策方法がイメージできるかどうかがとても重要です。
せっかく費用や時間をかけて診断して現状を把握しても、その後の対策として活用できないのであれば残念ながら診断の価値は半減します。
サービスを選定する際には、サンプルでも構わないので、事前にレポートの内容を入手して確認することをお薦めします。
その上でもし自社での対策に自信がない場合には、レポート資料の提供だけでなく説明会を開催するといったサポートを提供する脆弱性診断サービスもありますので、そちらを利用しながら自社に合うサービスを検討していくのが良いかと思います。
4. 誤検知を極力発生させない「PrimeWAF」
――バルテスが提供している「PrimeWAF」について、開発・提供に携わった加賀谷さんから見た強みをお教えください。
PrimeWAFは、前述したような誤検知をなるべく発生させずに、必要な通信だけを通過させる状態で継続運用できることに力を注いでいます。
世の中の多くのサイトに当てはまるような防御パターンは標準的に組み込んでいますが、それでもお客様企業のポリシーあるいはサイトの作り方によってOKな通信とNGな通信とが完全に同じサイトというのがないため、PrimeWAFのトライアル期間中に誤検知の有無をしっかり精査するようにしています。
これをチューニングと呼んでいますが、この工程を安易に省略することなく安全に本格稼働へ移行できるよう、トライアル期間も広くとってあります。
その甲斐もあってか、有難いことに、PrimeWAFを本契約して頂いているお客様において防御機能が無効なままで運用している事例はこれまで0件です。
――「誤検知が少ない」と認識されているということですね。
はい、そのように解釈しています。ほかにも、UI/UXやサポートについても注力しており、実際に使用していただいているお客様からもお褒めの言葉をいただくことが多いです。
ただ一方で、PrimeWAFはまだまだ成長途中のサービスであると考えています。
「こういうところが不便」あるいは「こんな機能があったら嬉しい」といったお客様の声を大事にしつつ、より良いサービスを提供するためには何が必要かをチーム内で真剣に議論しながら引き続き開発や運営に取り組んでいきます。
――本日はありがとうございました。
バルテスが提供するセキュリティサービス
- PrimeWAF
バルテスが提供するPrimeWAFは、SQLインジェクションやOSコマンドインジェクションなどさまざまな攻撃を検知し、アクセスをブロックします。
設定も簡単で導入しやすいので、まずは無料トライアルからお試しください!
- 脆弱性診断
バルテスでは、Web・モバイル・IoTデバイスなどの幅広いIT資産の脆弱性診断サービスを提供しています。
ツールによる効率性の高い診断に、プロによる確実性の高い手動診断を組み合わせたサービスです。「自社で脆弱性診断を行えるか不安がある」「労力をかけずに高品質な診断結果を得たい」といった場合はぜひご利用ください。