GTM-MML4VXJ
Skip to main content

富士通マーケティング

English

Japan

  1. ホーム >
  2. ICTのmikata >
  3. お役立ち情報 >
  4. 拡大するサイバー攻撃はクラウド型WAFで対策を ~Webセキュリティの誤認と軽視~

拡大するサイバー攻撃はクラウド型WAFで対策を
~Webセキュリティの誤認と軽視~

2018年11月15日更新

近年のサイバー攻撃の傾向(攻撃者は効率を重視する)

近年、Webサイト経由のサイバー攻撃による情報漏えいが後を絶ちません。
2017年大きな話題になったWebサーバを狙った攻撃においては、CMS[コンテンツ・マネジメント・システム]でシェアトップであるWordPressの脆弱性、Apache Struts2の脆弱性を悪用した攻撃が流行し、この攻撃によって情報流出した企業が世界規模で多数発生しています。

Webサービスへのサイバー攻撃が増加するなかで、その傾向にも変化があります。昨今のサイバー攻撃の主流は「効率化」です。標的型攻撃のように、ターゲット企業が施すキュリティ対策を一つ一つ突破するのはなく、スキャン活動を行ったり、数回攻撃して突破できない場合は次の企業へターゲットを移すなど、Webセキュリティ対策が十分でない企業を狙います。
攻撃者も時間とコストをかけて攻撃しているため、同じコストで同様の成果が出るのであれば当然セキュリティの施されていない企業を狙う傾向にあります。

サイバー攻撃によって起こりうる被害例

では実際にサイバー攻撃を受けた場合、どのような被害が起こるのでしょうか。
代表的なものは「改ざん」、「情報の搾取」、「乗っ取り」や「踏み台」があります。

個人情報搾取の流れ

改ざんとは

Webサイトのテキストやコンテンツなどが、攻撃者の手によって不当に変更されてしまうことです。一見通常のWebサイトであっても、ウイルスを忍び込まされていたという場合もあります。
改ざんされたWebサイトだと知らずに訪問したユーザーがウイルスに感染することや、本来の意向とは異なる情報を発信してしまい企業にネガティブイメージを与えるといった可能性があります。

情報の搾取とは

企業経営に関わる機密情報を盗み出すことです。
企業の所持するサーバへ向けてサイバー攻撃を行い、機密情報・個人情報などを抜き出します。
これらの情報は攻撃者にとって膨大な利益になる価値のあるものです。攻撃者たちはサイバー攻撃を行うことで、企業の情報を搾取し自分たちの利益へと換金してしまうのです。

このような状況下においても、日本国内においてはまだまだWebセキュリティ対策が適切に実行されていない現状があります。よく言われている実例をいくつかご紹介いたします。

Webサイトへのサイバー攻撃を防ぐにはWAFが効果的

Webセキュリティといっても、脆弱性診断、SSLなど複数種類があります。Webサイトへの不正アクセスによる情報漏えいを防ぐには、Webアプリケーションを保護するWAF(Webアプリケーションファイアーウォール)が有効です。
WAFは、従来のFW(ファイアウォール)やIDS/IPSでは防ぐ事ができない不正な攻撃からWebアプリケーションを防御することが可能です。

WAfで対応可能なシステムレイヤー

WAFの導入が有効な状況を「事前対策」と「事後対応」の観点から整理した場合

「事前対策」:
ウェブアプリケーションの脆弱性を悪用する攻撃によるセキュリティ事件の発生を低減する施策

「事後対応」:
事故が起きた場合、被害を最小限に抑え、早期復旧を実現する施策

IPA:「Web Application Firewall (WAF)読本 改訂第2版」より抜粋

Webセキュリティ対策の誤認と軽視

一方で、WAF未導入にもかかわらず、Webセキュリティ対策は実施済みと判断されている方も多いのが現状です。

調査において、Webセキュリティ対策を実施していると答えた経営層のうち、約8割は不正アクセスの侵入口となるWebアプリケーション層への対策が実施できていない状況となっていました。

Webセキュリティ対策を実施していると答えた経営層のうち WAF導入済みと回答した割合

WAF未導入企業の実施済みセキュリティ対策

[注] 出典:株式会社マーケティング・アンド・アソシエイツ「セキュリティソフト浸透度調査」

Webサイトのセキュリティ対策について経営者からよく言われること

  • Q1:Webサイトの運用は外部に委託しているので、セキュリティ対策はしているのでは?

    回答をみる(+をクリック)

    Webシステム構築を外注した際に「ITベンダー側で適切なセキュリティ対策を施してくれているだろう」と思ってしまったことはないでしょうか?実はそう考えている企業は多く存在します。しかし、ITベンダーは要件定義されていないことは基本的に実施しません。

    このようにお互いの認識齟齬から適切なWebセキュリティ対策が施されず、サイバー攻撃の脅威にさらされているWebサービスが数多くあります。

  • Q2:Webサイトには個人情報を集めていないので、対策は必要ないのでは?

    回答をみる(+をクリック)

    目的は、情報の搾取のみではなく、管理配下を増やすことも多いので、なるべく対象に気づかれないようにします。
    無作為な攻撃はコストもリスクも高いため、リスクを回避しつつ、効率をあげるため、対象を調査することから始めます。
    つまり、被害にあったことがないと断言するには、相当な体制や調査が必要な時代となっています。

  • Q3:サイバー攻撃を受けたことはあるが、すぐに止まったので一時的なもので対策しなくても問題ないのでは?

    回答をみる(+をクリック)

    情報システムの責任者やシステム管理会社から「個人情報は持っていないから大丈夫」「個人情報は別システムで管理しているから大丈夫」と回答されたことはありませんか?
    こうした「大丈夫」という認識は、実は誤りであるケースが多くあります。

WAFをすぐに導入したいが・・・ ・導入や運用に手間がかかる ・Webセキュリティに詳しい担当者がいない ・効果がわかりづらい

富士通マーケティング × サイバーセキュリティクラウド 攻撃遮断くん

セキュリティポリシーに厳格な大企業や官公庁でも多数採用実績有り!! Webサイト/Webサーバへのサイバー攻撃対策にクラウド型WAFをご提案いたします!

資料請求・お問い合わせはこちら

攻撃遮断くんが選ばれる3つの理由

攻撃遮断くんは、クラウド型IPS+WAFです。
Webサイト/Webサーバへのサイバー攻撃を可視化・遮断します。
またクラウド型で提供することによりシグネチャを自動更新、最新の攻撃へ速やかに対応し、容易にWebサイトのセキュリティ対策を実現します。

1. すぐにサイバー攻撃対策をしたい方も安心。クラウド型だからこそ手軽に始められます。

ハードウェア購入・設置さらに保守のコストも一切不要!従来のゲートウェイ型WAFと比べて導入や運用時の手間が大幅に軽減されます。

2. 最新のサイバー攻撃対策も、クラウド型なら防御パターン(シグネチャ)を自動アップデート!

専門技術者がクラウド上でシグネチャを常に最新バージョンへアップデートしています。担当者様で煩雑なチューニングをすることなく、常に最新の脅威に対応することができます。
「攻撃遮断くん」は業種や規模を問わず多くの企業様にご利用頂いております。ご契約継続率98%以上!高品質なサービスでお客様のWebセキュリティ対策をサポートいたします。

クラウド型WAF 累計導入社数 累計導入サイト数 No.1

[注] 出典:「クラウド型WAFサービス」に関する市場調査(2017年8月25日 現在)<ESP総研調べ>(2017年8月調査)

3. 日本国内で開発、運用、保守を行っており、24時間365日のサポートで安心!! 見やすい管理画面とレポート機能で、システム管理者様のWAF運用負荷を大幅に軽減します!

お客様の企業アカウントごとに管理画面をご提供します。
リアルタイムの攻撃状況をグラフィカルなマップとデータで確認することができます。

攻撃遮断くん管理画面
攻撃遮断くん管理画面

レポートイメージ
レポートイメージ

月間の攻撃データに加えてセキュリティエンジニアによる総括などを記載したレポートを毎月ご提供します。
攻撃状況を一目で把握でき、共有の簡易化、資料作成の手間を省きます。

クラウド型WAF 導入社数・サイト数国内No.1の「攻撃遮断くん」でサイバー攻撃対策しませんか?

資料請求・お問い合わせはこちら

株式会社富士通マーケティング

2020年の東京オリンピックを前に我が国に対する世界規模でのサイバー攻撃が想定される中、企業内ネットワークへの対策のみならず企業の顔である公開Webサービスに対するセキュリティ対策も一段と重視されています。

その中でもクラウド型WAF(アプリケーション・ファイアウォール)はサイバー攻撃からお客様のWebサービスを守るだけでなく、従来のゲートウェイ型WAFと比べて導入や運用時の手間が大幅に軽減されたサービスとして注目を集めています。

当社はクラウド型WAFの中でも数多くの実績と技術力に裏打ちされた『攻撃遮断くん』によりお客様のWebサービスを安全に運用できるものと確信しております。

情報セキュリティポータル AZSECURITY Channel 詳細はこちら

お問い合わせ

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-835-554 お客様総合センター

受付時間 9時から17時30分まで
(土日、祝日及び当社指定の休業日を除く)
[注] お問い合わせ内容の正確な把握、およびお客様サービス向上のため、お客様との会話を記録・録音させて頂く場合がありますので、予めご了承ください。