グローバルセキュリティエキスパートは、情報セキュリティ・サイバーセキュリティに特化したサイバーセキュリティ教育カンパニーです。セキュリティコンサルティング、脆弱性診断、サイバーセキュリティソリューションをはじめ、日本初のセキュリティ全体像を網羅した教育メニューをご提供しています。「教育」という観点を各事業の軸に据え、お客様へセキュリティへの気づきを与え、セキュリティ市場を活性化する事で、日本の情報セキュリティレベル向上に貢献します。
写真(左から):服部 康治様|タイガーチームサービス事業部 事業部長
青柳 史郎様|代表取締役社長
野口 良樹様|タイガーチームサービス事業部 副事業部長
鈴木 貴志様|執行役員 サイバーセキュリティ研究所 所長
以下敬称略
写真(左から):服部 康治様|タイガーチームサービス事業部 事業部長
青柳 史郎様|代表取締役社長
野口 良樹様|タイガーチームサービス事業部 副事業部長
鈴木 貴志様|執行役員 サイバーセキュリティ研究所 所長
以下敬称略
導入前の課題
- 自社サービスの脆弱性診断と組み合わせて、堅牢性を高めるWebセキュリティを顧客に提案したい
- 運用管理をアウトソースできるセキュリティ対策を顧客に提案したい
導入後の効果
- 恒常的にWebセキュリティ対策ができるようになることでセキュリティレベルが飛躍的に向上する
- クラウド型により運用負荷が軽減、効率的なWebセキュリティを実施できる
WAF導入/運用と脆弱性診断(タイガーチームサービス)を組み合わせて、互いに補完し合うことによって、堅牢性を高めるWebセキュリティとは
WAF導入/運用と脆弱性診断(タイガーチームサービス)を組み合わせるメリットをお聞かせいただけますでしょうか。
青柳:GSXでは、ハッカーと同様の技術を持つ専門エンジニア(ホワイトハッカー)がお客様のWebアプリケーションに疑似攻撃を行い、実害につながりうるアプリケーションの脆弱性を検出し、対策を含めてご指南する「タイガーチームサービス」という脆弱性診断サービスを行っています。脆弱性診断において、すべての診断対象に対してホワイトハッカーが手動オペレーションを実施し、高精度な脆弱性検出を追い求めることは理想であるものの、同時に膨大なコストが発生するため、多くの企業にとって現実的な解とはなり得ません。そこでWAF導入/運用と脆弱性診断を組み合わせ、互いに補完し合い、堅牢性を高めることでお客様課題になりがちなWebアプリケーションの脆弱性対策にお応えできないかと考えました。
お客様にとって優先すべき課題や対象を調査し、脆弱性とセキュリティインシデント発生の可能性や影響度などをしっかりと見極めた上で、お客様にとってより効果的で優先度の高い対策として、WAF導入/運用と脆弱性診断の組み合わせをご提案しています。それは、結果的にセキュリティ対策コストを抑えることにつながります。
言い換えると、お客様が定期的に実施する脆弱性診断だけでは、次々に日々発生する脆弱性に対応しきれないのが現実であり、恒常的にWebサーバを防御できるWAF導入も併せてご提案しています。お客様へWAF導入/運用と脆弱性診断の組み合わせ実施をご提案することで、Webセキュリティレベルを飛躍的に向上させることができると考えています。
お客様にとって優先すべき課題や対象を調査し、脆弱性とセキュリティインシデント発生の可能性や影響度などをしっかりと見極めた上で、お客様にとってより効果的で優先度の高い対策として、WAF導入/運用と脆弱性診断の組み合わせをご提案しています。それは、結果的にセキュリティ対策コストを抑えることにつながります。
言い換えると、お客様が定期的に実施する脆弱性診断だけでは、次々に日々発生する脆弱性に対応しきれないのが現実であり、恒常的にWebサーバを防御できるWAF導入も併せてご提案しています。お客様へWAF導入/運用と脆弱性診断の組み合わせ実施をご提案することで、Webセキュリティレベルを飛躍的に向上させることができると考えています。
お客様のWebセキュリティ運用を最優先に考える
何を契機にお客様にWAFをご提案するのですか?
青柳:昨今ではクラウド型でのご提案がお客様のマジョリティになりつつあります。「クラウドファースト」に代表されるように、今ではクラウド環境で自社サイトを運用しているお客様が多く、クラウド環境とシナジーのあるアーキテクチャが割と選択肢に挙げられ、採用されるお客様も少なくありません。
脆弱性診断を提供する会社として、親和性の高いクラウドWAFサービスの選定はいくつも検討を重ねてきました。クラウドWAFサービスにおいては脆弱性検知率の高さはもちろんですが、最も重要視すべきは誤検知の少なさとなります。検知スピードが速かったとしても誤検知があるとそれらを精査する作業をエンジニアが細かに確認する必要があり、とても効率的とは言えません。数あるクラウドWAFサービスを比較検証する中で、突出して誤検知が少なかったのが「攻撃遮断くん」でした。またクラウド型のメリットとして運用管理自体をお任せできる点は、お客様にとって大きなメリットになります。
脆弱性診断を提供する会社として、親和性の高いクラウドWAFサービスの選定はいくつも検討を重ねてきました。クラウドWAFサービスにおいては脆弱性検知率の高さはもちろんですが、最も重要視すべきは誤検知の少なさとなります。検知スピードが速かったとしても誤検知があるとそれらを精査する作業をエンジニアが細かに確認する必要があり、とても効率的とは言えません。数あるクラウドWAFサービスを比較検証する中で、突出して誤検知が少なかったのが「攻撃遮断くん」でした。またクラウド型のメリットとして運用管理自体をお任せできる点は、お客様にとって大きなメリットになります。
鈴木:お客様にとって、すぐに、スモールスタートできることは非常に重要なファクターとなるので、DNSを切り替えるだけで導入できるようなクラウド型WAFが推奨されます。
その他推奨ポイントとして、導入のしやすさがあるかと思います。
お客様の課題として、導入するWebサイトの中には自部署を越えて管理しているサーバもあり、専用機器の設置やエージェントをインストールするとなると敷居が高く、導入が困難になるケースも予想されます。「攻撃遮断くん」は、DNSの切り替えやサーバへのアクセス制御だけで導入できるため、アプライアンス型などに比べると他部署との調整も比較的容易になると思われます。
その他推奨ポイントとして、導入のしやすさがあるかと思います。
お客様の課題として、導入するWebサイトの中には自部署を越えて管理しているサーバもあり、専用機器の設置やエージェントをインストールするとなると敷居が高く、導入が困難になるケースも予想されます。「攻撃遮断くん」は、DNSの切り替えやサーバへのアクセス制御だけで導入できるため、アプライアンス型などに比べると他部署との調整も比較的容易になると思われます。
「攻撃遮断くん」の推奨理由
お客様にとってのWAFの位置付けについて、どのような点を重視していますか?
服部:昨今、Webアプリケーションサービスの拡大とそれに伴い増加し続けるセキュリティインシデントを背景に、ますます脆弱性診断の需要は高まるばかりです。昨今では中規模なWebサイトであっても公開前や公開後の定期的な診断を実施するお客様が増加傾向にあります。その結果、診断ご依頼が集中する時期はセキュリティベンダーのリソースが枯渇し、診断時期が先延ばしになることも多く、診断サービスの機会損失やセキュリティリスクが放置されるという問題に直結しています。そんな問題に対峙でき補完できるのは、WAFなのです。
「攻撃遮断くん」はどのように評価いただけましたか?
鈴木:導入面、料金体系面、攻撃検知/防御数、管理画面UIを検証した上で、以下の結果となりました。
* 導入面
複数の導入方法(DNS切替型、エージェント連動型)を選択できるため、様々なWebサイトにサービスを止めることなく導入が可能です。
* 料金体系面
Webサイトの規模(使用帯域)に応じた複数の料金プランが存在するため、適切な料金プランを選択することが可能です。さらに、定額料金であるため、予算化しやすいことが評価できます。
* 攻撃検知/防御数
実際に複数種類の攻撃を実施した結果、他社製品と比べて遜色のない攻撃を検知かつ防御しました。
* 管理画面UI(下図参照)
日本語ユーザインタフェース、直感的UI、表示項目の扱いやすさ、管理のしやすさ(お客様にとっての運用負荷軽減に直結)等に関して評価すべき要素が多数見受けられます。
* 導入面
複数の導入方法(DNS切替型、エージェント連動型)を選択できるため、様々なWebサイトにサービスを止めることなく導入が可能です。
* 料金体系面
Webサイトの規模(使用帯域)に応じた複数の料金プランが存在するため、適切な料金プランを選択することが可能です。さらに、定額料金であるため、予算化しやすいことが評価できます。
* 攻撃検知/防御数
実際に複数種類の攻撃を実施した結果、他社製品と比べて遜色のない攻撃を検知かつ防御しました。
* 管理画面UI(下図参照)
日本語ユーザインタフェース、直感的UI、表示項目の扱いやすさ、管理のしやすさ(お客様にとっての運用負荷軽減に直結)等に関して評価すべき要素が多数見受けられます。
WAF導入/運用と脆弱性診断の組み合わせがWebセキュリティ向上に寄与する
GSXがお客様にご提案する攻撃遮断くんの導入効果はどんなところにあるのでしょうか?
鈴木:お客様自身がWAFを導入する場合、運用負荷軽減がなにより重視されます。その点で、GSXは攻撃遮断くんユーザーとしても、何より使いやすさを実感していますので、自信を持って推奨・提案しています。また、ユーザーであるからこそサービスノウハウ・知見も多く保持していますので、お客様にもホスピタリティの高いサポートを行うことができます。
Webセキュリティ重要性について、どのように考えられていますか?
野口:「JPCERT/CC インシデント報告対応レポート」ではその上位インシデントがWeb関連であり、「情報セキュリティ10大脅威 2019」の「個人」「組織」においてもWebサイトを利用した攻撃や被害が依然跡を絶ちません。「JVN iPedia(脆弱性対策情報データベース)」では重大なインシデントにつながりかねない脆弱性が日々発表され続けています。これら脅威への対峙策は、脆弱性(殊にWebセキュリティ)対策となります。
自社のWebサイトに脆弱性があったばかりに自ら被害者になるケースもあれば、マルウェア配布サイトに改ざんされて加害者になってしまうケースも頻発しています。脆弱性(殊にWebセキュリティ)対策を実施する上では、WAF導入/運用と脆弱性診断を組み合わせ、互いに補完し合い、堅牢性を高めることで実現できると考えています。
自社のWebサイトに脆弱性があったばかりに自ら被害者になるケースもあれば、マルウェア配布サイトに改ざんされて加害者になってしまうケースも頻発しています。脆弱性(殊にWebセキュリティ)対策を実施する上では、WAF導入/運用と脆弱性診断を組み合わせ、互いに補完し合い、堅牢性を高めることで実現できると考えています。
ありがとうございました
