脆弱性、対応する人も時間もない――エキスパートに聞く解決策：公開したWebサイト全てが狙われる時代、セキュリティ対策効率化のヒント

社会全体でデジタル化が加速し、Webサイトは重要な顧客接点の一つになっている。一方で、サイバー攻撃による企業の被害は事業継続を脅かすほどに深刻化しており、迅速な対策の見直し、強化が求められている。ソフトウェアからミドルウェアまで日々多数の脆弱性が発覚する一方、企業の人材や予算は限定的だ。ビジネスを確実に守る方法はあるのか。

[PR／＠IT]

PR

「Webは社会インフラであり収益獲得の手段」　常にサイバー攻撃にさらされている

NTTPCコミュニケーションズ サービスクリエーション本部 第二サービスクリエーション部 サービスクリエーション担当 担当部長 釜田良平氏

　新型コロナウイルス感染症（COVID-19）の影響を受けて「非接触」な生活様式に変わり、Webサイトが「購買手段」かつ「商談手段」となったことが、顧客接点のデジタル化を加速させた。NTTPCコミュニケーションズ（以下、NTTPC）の釜田良平氏は、「コロナ禍でデジタルシフトは大きく加速し、今やWebは社会的なインフラの一つになっています」と語る。

　「対面が制限される中で、Webを中心としたオンラインでの社会活動が重要になってきました。従来、ベンチャーや大手企業が中心にWebサイトを活用してきましたが、そのWebサイトによる収益は、今回のコロナの影響を受けて年々増加傾向にあります。Webは社会生活やビジネスをつかさどる存在になったといえます」（釜田氏）

三井物産セキュアディレクション コンサルティングサービス事業本部 マネージドサービス事業部 シニア セキュリティアナリスト　小林拓史氏

　これに伴い危険性が増してきたのがWebサイトに対するサイバー攻撃だ。Webサイトを起点に攻撃を仕掛け、脆弱（ぜいじゃく）性を悪用してシステムに侵入されるセキュリティインシデントが多く発生している。三井物産セキュアディレクション（以下、MBSD）の小林拓史氏（シニア セキュリティアナリスト）は「公開されている全てのWebサイトは常に攻撃者から狙われています」と警告し、こう話す。

　「当社のセキュリティオペレーションセンター（SOC）では24時間365日お客さまの環境を監視しています。SQLインジェクションなどの攻撃や、脆弱性スキャンの活動を日夜観測しています。特に、Webアプリケーションの脆弱性や、Webサイトで利用しているミドルウェアの脆弱性を突いて重要情報を盗み出そうとする例が急増している印象です」（小林氏）

大企業ほど対応コスト増　Webの脆弱性にどう対応していくか

　2021年12月に「Apache Log4j 2」（以下、Log4j 2）で発見された脆弱性「CVE-2021-44228」（以下、Log4Shell）が注目を集めたのも記憶に新しい。Log4j 2はJavaアプリケーションのログシステムとして幅広く利用されているミドルウェアだ。ログに残る文字列を細工することで、Log4j 2を利用したWebアプリケーションで任意のコードをリモート実行できる状況だった。

　「Log4ShellはCVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）という脆弱性の評価基準で10点（満点）という非常に影響度の大きい脆弱性でした。世界中で広く利用されている背景もあり、多数のWebサイトに影響がありました」（小林氏）

　「特に、大規模かつ多くのWebサイトを運営する大企業では、全てのWebサイトでLog4j 2の利用有無を含めて影響を調査する必要があり、対象範囲を特定するため多くの担当者が対応に追われました」（釜田氏）

　近年、Webサイトに対する攻撃は、SQLインジェクションやクロスサイトスクリプティング（XSS）といった広く知られているものからLog4Shellのような新たに発見された脆弱性を悪用したものまで多岐にわたっている。そうした中でセキュリティ担当者は全てに対処しなければならないわけだ。

　ECサイト、会員制Webサイト、従業員用のWebサイトなど企業規模が大きければ大きいほど運用するWebサイトは多くなり、守らなければいけない“急所”も増える。攻撃を受けてたった1度でもインシデントが起きれば、企業に対する社会的評価は低下し、悪影響をもたらしてしまう。

　「特に、専門スキルを持ったセキュリティ人材の確保が難しい上、機器で脅威を検知できても迅速な対処が難しいという課題が目立ちます。近年は、脆弱性の公開から攻撃観測までの間隔が非常に短いケースが多くあります。前述したLog4Shellの場合、公開から24時間以内にLog4Shellを悪用した攻撃を当社のSOCで観測しました。適切にシステムを運用していても、これほど早く攻撃されてしまっては、Webサイト側で対策をすることも現場担当者の努力だけで守り切るのも難しい状況と言わざるを得ません」（小林氏）

　そこで重要になるのが、攻撃を極力防ぐとともに、攻撃されても素早く対処して深刻なダメージを防ぐアプローチだ。Webサイトへの攻撃に対抗する解決策としてWAF（Webアプリケーションファイアウォール）が知られている。しかし、サイバー攻撃が高度化し、24時間365日、攻撃を受ける環境でWAFを効果的に運用するのも容易ではない。

Log4j 2の脆弱性を狙った攻撃の観測状況（提供：MBSD）

WAFで攻撃を遮断、SOCが分析してお客さまにアドバイス

　こうした中、NTTPCとMBSDがタッグを組んで開発、提供しているのが「クラウドWAFセキュリティオペレーションサービス」（以下、NTTPCクラウドWAF）だ。NTTPCは各種セキュリティサービスを提供してきたベンダーであり、とりわけWebサイトを守るWAFサービスの提供には、コロナ禍以前から注力してきたいきさつがある。

「NTTPCクラウドWAF」の概念図（提供：NTTPC）

　「Webサイトは重要な顧客接点です。お客さまと企業にとって重要な情報が蓄積されており、Webを入り口とした攻撃でそうした資産が被害を受けることを避ける必要があります。ただ、WAFは運用が難しい装置です。そこでMBSDと連携し、WAFによる攻撃の遮断、SOCによる高度な攻撃の検知を組み合わせたサービスを提供しています」（釜田氏）

　NTTPCクラウドWAFは、WAFの導入、運用に関わる課題を解消しながら、SOCにおけるセキュリティ専門家の知見とノウハウを使って、WAFを効率良く運用するサービスだ。オンプレミス設置型のWAFに比べてさまざまなメリットがある。

　「WAFの導入フェーズでは、機器の選定や手配、構築が課題になりやすく、運用フェーズでは多数の検知アラートを優先順位付けたり、チューニングしたりするのが困難といった課題があります。構築、運用、保守のコストがかさむことも課題です。NTTPCクラウドWAFは、システムの構成変更が不要で、運用もWAFに精通したセキュリティアナリストが担当します。設備と運用はNTTPCが担うので、企業はWAFを用いたセキュリティ強化を低コストでスモールスタートできるのです」（釜田氏）

　さまざまなセキュリティベンダーがクラウドWAFサービスを提供しているが、NTTPCクラウドWAFは3つのポイントがあるという。

　1つ目はSOCのセキュリティアナリストが担当することだ。日々の膨大なアラートログの監視と分析をはじめ、WAFのシグネチャ更新やチューニング、機器の定期メンテナンス、可視化レポートを提供する。

　2つ目は検知、遮断の範囲が広いことだ。一般的にクラウドWAFサービスは検知、遮断の対象範囲が限られがちだが、SOCとセットで提供しているため、WAFの機能を最大限に引き出せるという。

　3つ目は「SOCとセットであるにもかかわらず低価格」（釜田氏）であることだ。月額9万8500円（税込10万8350円）で提供するという。

「安価なクラウド型WAFサービスには含まれない『検知』がセットで、高価なオンプレミス型のWAFサービスと比較して料金に優位性がある」（釜田氏）（提供：NTTPC）

サービス開始から7年、社会インフラとしてのWebを守っていく

　NTTPCクラウドWAFは、顧客のニーズに合わせて「ベーシック」と「カスタム」の2つのプランメニューをラインアップしている。ベーシックプランは保護対象とする全てのWebサイトに共通のWAFポリシーを適用。カスタムプランはWebサイトごとに専用のWAFポリシーを適用する。

　「サービス開始から7年の実績があり、多くのお客さまに利用いただいております。セキュリティアナリストによる専門的な判定で必要なアラートのみを顧客に通知するため、企業や担当者の負担を軽減できるメリットもあります」（釜田氏）

　釜田氏はNTTPCクラウドWAFを導入した企業例を2つ挙げた。

　1つ目は、ECサイトの新規公開を決めた企業だ。システム構築に注力した結果、セキュリティの検討、対応が遅れてしまった。オープンまで数週間という中で、NTTPCクラウドWAFを利用することでセキュリティの問題をクリアし、スケジュール通りにECサイトを公開できた。「セキュリティアナリストが24時間365日守り続ける点を特に評価していた」（釜田氏）という。

　2つ目は、個人情報保護のため高度なセキュリティレベルを必要とした企業だ。WAFアプライアンスの導入を検討したが、アプライアンスからのアラートを正しく取り扱うことに課題を感じ、SOCによる継続したセキュリティ監視や、セキュリティ装置の安定的な運用を求めていた。一方で、コストを極力抑える必要もあった。これに対し、高度なセキュリティレベルをクリアするのはもちろん、監視、運用において外部専門家の知見、ノウハウを活用できることが決め手となり、NTTPCクラウドWAFの利用に至ったという。

　小林氏は「Log4j 2の脆弱性も、NTTPCクラウドWAFサービスを導入していた企業は事前に検知、対処できており、ビジネスが影響を受けることはなかった」と強調する。

　「誰もが知っている大企業や、個人情報を多く抱えているECサイトもWAFサービスを利用しています。今後、ビジネスのデジタル化は加速し、Webサイトの重要性はますます高まっていくでしょう。攻撃手法が多岐にわたる以上、セキュリティ機器を導入するだけでは厳しく、セキュリティアナリストによるSOCも必須だと考えます。NTTPCでは『最低限のセキュリティ』から一歩足を踏み込み、SOCとセットで安心、安全のWAFサービスを用意してお客さまの重要な資産を守り続けます。ぜひNTTPCクラウドWAFを活用してセキュリティ対策を強化しつつ、顧客ニーズへの追随、ビジネス成長に注力くださればと考えています」（釜田氏）