第06回　2021.02.25 / 最終更新：2021.02.25

サイバーセキュリティ月間、WAFについて改めて考えてみた

こんにちは、菱沼です。

毎年、2月1日から3月18日までの期間をサイバーセキュリティ月間となっていることをご存知ですか？

今年はコロナ禍によるテレワークやオンライン授業が普及したことで、サイバーリスクの高まりが懸念されています。また今年はデジタル庁の創設も予定されていることもあり、政府としてもこの取り組みに力を入れていきたいと考えているように思えます。

 

さてそこで、今回は最近増えているサイバー攻撃と、それに関連してWAFについて考えてみました。

 

■身代金を要求するDDos攻撃が増えている、らしい。

さて、サイバー攻撃というと、標的型攻撃や、脆弱性を狙った攻撃、PCやサーバに負荷をかける攻撃といった分類があります。そうした中で、ここ数年で話題にあがったサイバー攻撃の手段として耳にした方が多いものはランサムウェアやEmotetといった名前ではないでしょうか。

 

他にもあるかなと調べてみたところ、Neustarに所属するサイバー攻撃や犯罪行為を研究するリサーチャーによる調査結果で、2019年から2020年の間に、RDDos攻撃と呼ばれるものが154％増加したことがわかったという記事を見つけました（ZD Net記事）。

 

RDDosはRansom Distributed Denial of Serviceからきており、その頭文字が取られているのですが、最初のRansomは身代金。つまり、身代金を要求するDDos攻撃ということになります。

身代金を要求するサイバー攻撃としては先にもあげた「ランサムウェア」が有名ですが、ランサムウェアはマルウェアを使ってネットワークやPCを人質にとるという手法です。この攻撃は、知識と技術が必要となりますが、RDDos攻撃の場合は通常のランサムウェアと比べると、そこまでのスキルがなくとも実行できてしまうことで増えているのではないか、と言われているようです。

 

DDos攻撃は対象のWebサイトやサーバに対して複数のコンピューターから大量に通信を送信されることを指します。この攻撃を受けると、サーバに急激な負荷がかかることになりますので、遅延やサーバダウンの可能性があがります。そうなると、システムやサービスの遅延・停止といった問題が発生します。

また、クラウドサーバを従量課金制で使用している場合には、料金が上がるといったことも起こります。（従量課金制でDDos攻撃…なんて恐ろしい…！！）

 

この攻撃を防ぎたい場合、IPのアクセス制限を掛ける、特定の国からのアクセスを制限する、DDos攻撃対策ツールを導入するといった対策が挙げられます。

まずはこのDDos攻撃の対策ツールについて考えてみます。

 

■レイヤーでみる必要なセキュリティソリューション

そもそも、システムを構成する要素の中でどの段階でどのようなセキュリティソリューションが有用なのでしょうか。他のサイトを参考にしながら図にしてみました。

WAFはWeb Application Firewallの略で、Webアプリケーションの脆弱性を利用した攻撃からWebアプリケーションを守るものになります。

IPS/IDSは侵入検知システムと呼ばれるもので、不正・異常な通信を検知して、管理者への通知や、防御・遮断がするものになります。

Firewallはネットワークへ出入りするトラフィックを監視し、不正なアクセスを検知した場合には管理者への通知や遮断をしてくれるものです。

それぞれが得意とする分野は異なり、対応できる攻撃の種類は画像の右側に書いた通りで、Firewall、IDS/IPS、WAFの多層防御で、より堅牢なセキュリティ環境を構築することができます。

 

さて、これを見ると、DDos攻撃を防止できるのはIPS/IDSということになります。

ただ最近では攻撃の手法が巧妙化・複雑化しており、通信やトラフィックを正常なものであると偽って攻撃を仕掛けてくることが増えているのだそうです。また、WebサイトやWebアプリケーションが直接狙われることも増えており、IDS/IPSだけではDDos攻撃から防御しきれなくなっているようです。

そこでWAFにDDos攻撃に対応する機能を保有させたものが登場し始めています。

DDos攻撃に限らず、Webアプリケーションの脆弱性を狙ったサイバー攻撃事態も増加していることからWAFを導入する企業は増加しているようです。

 

■PCIDSSでもWAFが求められている

WAFがさらなる注目を集める機会となったのはキャッシュレス化ではないでしょうか。

政府は東京オリンピックの開催が決定した後、キャッシュレス化を推し進めてきましたが、近年の日本ではクレジットカードの不正利用などの犯罪が増加していました。そこで政府は、2018年6月に改正割賦販売法を施行し、加盟店にもクレジットカード情報の保護を義務づけました。その中で、クレジットカード情報を保持しないこと、保持する場合には、クレジットカード業界セキュリティ基準であるPCI DSSに準拠することが求められています。

この基準は主に金融系や流通系などで準拠が進んでいたもので、年間、一定量のクレジットカード情報のやり取りが発生する事業者に準拠が求められている認証基準です。その要件の中にWAFを導入していることが挙げられています。

 

ここ最近で、老いも若きも、電子マネーやクレジットカードの決済は当たり前のものになりました。

クレジットカード情報を外部のサービスを使ってやり取りすることで自社では一時も保有しないという方法もとれますが、準拠、または準拠できるほどのセキュリティが自社のサービスやシステムに施されているということは、顧客にとっても、安心できる要素になると思います。WAFが登場したばかりの頃は高額でしたが、最近では利用しやすい価格帯のサービスも出てきて、選択の幅が広がりました。

セキュリティに懸念が多い昨今、情報を守るためにも多層防御化できるとより安心ですね。

 

さて、鈴与シンワートでは、振る舞い検知AIエンジンを搭載した「総合セキュリティ型WAFサービス」をお勧めしています。

この振る舞い検知は最近増えてきた方式で、ウイルスがPC内で動く際に取る動作の傾向をもとに危険を検知するものです。このサービスでは、DDos攻撃への対応はもちろん、改ざん検知にも対応しており、3つの機能をオールインワンでご利用頂けます。

WAFにDDos攻撃や改ざん検知の機能を保有させているものもありますが、専用の機能を有している方がより安心してお使いいただけますよね。

コストも通常より抑えて利用できるようです。ご興味のある方はぜひお問い合わせください。

 

総合セキュリティ型WAFサービス｜鈴与シンワート