ソルクシーズのコーポレートサイトには2016年12月からクラウド型WAF「攻撃遮断くん」が導入されています。なぜコーポレートサイトへWAFを導入するに至ったのか、その理由と「攻撃遮断くん」の選定理由を、自社・グループ会社の業務システムやネットワークインフラ、情報セキュリティの企画から運用保守まで担当する浅山様にお伺いしました。
「会社の恥を晒すことはできない。」の意識からWAFの導入へ
今回どのような理由でWAFを導入するに至ったのか、導入経緯をお聞かせください。
2016年6月に当社のコーポレートサイトをリニューアルしまして、当然多くの人に見ていただきたいという思いがありましたが、リニューアルして2~3カ月が経過した頃、サイバー攻撃によってコーポレートサイトが見られなくなってしまうということがありました。
当時「攻撃遮断くん」無料トライアル(旧サービス名:「攻撃見えるくん」)※1を実施しており、管理画面を見ると明らかに同じIPから攻撃が来ていたため、恐らくDoS攻撃であるということがわかりました。DoS攻撃は攻撃元のIPをブロックすれば防ぐことができるのですぐに対応できましたが、こういったツールを導入していないと、どれくらい攻撃が来ているかわかりません。DoS攻撃を受けたことで「サイバー攻撃は実際に来たし、当社にどれくらいサイバー攻撃が来ているかも気になるし心配だ」ということになり、すぐにセキュリティ対策を検討し始めました。
WAF導入以前からポートフィルタリングや、アプリケーション側ではSQLインジェクション等のセキュリティ対策を実施していましたが、許可された通信についてはサイバー攻撃かどうかわからないため、WAF等のセキュリティ製品の導入が必要と判断しました。
「DoS攻撃では情報漏えい等の損害は出ていないと思いますが、予算をかけてコーポレートサイトへセキュリティ対策したのは何故ですか?
せっかくリニューアルしたサイトが見られなくなるのは当然良くないことですので、サイトリニューアルをきっかけに会社全体でセキュリティ対策の優先度が上がったということはあるかもしれませんが、やはり「コーポレートサイトは会社の顔である」という意識がサイトを担当している部署にも我々にもありますので、「会社の恥をさらすことはできない」というのが1番の理由です。
導入の決め手は導入スピードとIPS+WAFという特性から「攻撃遮断くん」を採用
WAF選定時に、どのような要件があったかお聞かせください。
まず、攻撃状況を把握できるもので考えていました。どのような攻撃が一定期間にあったのか、その攻撃をちゃんとブロックしたのかということが一覧でわかるもの。また、既に攻撃を受けてしまっていたので短納期、そして低コスト。あとは、攻撃をブロックする際にはWAF側で何らかの処理が発生するため、ユーザーレスポンスに影響が少ないもの。この3点を重視していました。
アプライアンス型・ホスト型を選ばなかった理由は何ですか?
当社のコーポレートサイトがクラウド環境にあることから、アプライアンス型は適さないため最初から考えていませんでした。また、サイトリニューアル前からサーバはクラウド上にありましたが、それはハードを持ちたくないという方針から始まっていて、ハードが増えるアプライアンス型はそれに逆行してしまいます。
そうなると、サーバへインストールするホスト型かクラウド型ということになります。
ホスト型の場合はサーバへインストールするのが手間である点、クラウド型の場合はDNSを切り替えなくてはいけないため、何か障害が起きたときに問題の切りわけが難しくなる点、そしてユーザーレスポンスに影響が出る可能性を懸念していました。
「攻撃遮断くん(サーバセキュリティタイプ)」を導入された決め手をお聞かせください。
他社WAFも比較する中でコスト面におけるメリットもそうですが、無料トライアルを実施していたことによる導入スピードが一番ではないでしょうか。インストールする点ではホスト型と同じですが、既に使用しているアカウントや管理画面をそのまま使えるということでしたから。ただ既に利用しているという面で、別サービスへ導入していたIPSで対策できないかということで、WAF同士はもちろんですが、IPSとWAFについても比較をしていました。
OSやミドルウェアの脆弱性に関してはIPSの方が強く専門分野だと判断していたので、IPSもWAFも両方導入しようかという案も出ていました。しかし、「攻撃遮断くん(サーバセキュリティタイプ)」であればOSやミドルウェアの脆弱性を突く攻撃に対しても効果があるという特性がありましたので、IPSとWAFを導入して二重でコストをかけるよりも「攻撃遮断くん」だけで良いという判断をしました。また、両方導入した場合に競合するので、正常動作確認が求められることも避けたいところではありました。
IPSとWAFを比較した結果、Webアプリケーションのセキュリティ対策としてはIPSだけでは攻撃を防ぎきれないので、OSやミドルウェア、Webアプリケーションへの脆弱性をカバーできる「攻撃遮断くん」を選びました。「攻撃遮断くん」ではDNS切り替え型のようなレスポンスへの影響も出ないというところもポイントとなりました。
「攻撃遮断くん」導入効果は感じられていますか?
導入して1年以上経ちますが、DoS攻撃や別の攻撃によるWebサイトの改ざんといった被害発生もなく、低コストで必要十分な安心感がシステム管理者として得られています。管理画面はメイン担当含めて3人程度が見ることがあり、主に部内で週に一度攻撃状況と攻撃を防いだ状況を共有し、月に一度本部長へ報告、その際に管理画面でレポートを出力して提出しています。例えば流行している攻撃があれば、当社には攻撃が来ていないかなどの攻撃状況の把握に管理画面は役立っています。
WAFやIPS等のセキュリティは最低限かつ必須セキュリティ
コーポレートサイトへセキュリティ対策する企業様はまだまだ少ないと感じていますが、コーポレートサイトへWAFを導入する重要性についてどう思われますか?
今ではインターネットは当たり前のインフラとなったというなかで、「会社の顔であるホームページが停止や遅延、ましてや改ざんされることによって見ていただいた方に被害を与えるような事態というのは絶対に避けるべきである。」という考え方を徹底するべきではないかと考えています。そのためにはWAFやIPSといった最低限かつ必須セキュリティではないでしょうか。余談ではありますが、例えば海外で「コーポレートサイトを見てマルウェアへ感染したことへの損害賠償請求」というような裁判が行われていれば、そう遠くないうちに日本でも行われるだろうし、そうなればコーポレートサイトへのセキュリティ対策の重要性は増してくるのかなと思っています。
メールによるサイバー攻撃を警戒 さらなるセキュリティ強化へ
今後前向きに検討しているセキュリティ対策はございますか?
昨年の後半くらいから大手の銀行やECショップ等のメールに似せた標的型攻撃メールが流行っていて、当社にも結構な数のメールが届きました。実際に社員にも届いてしまい、幸いにもメールを開いて本文をクリックした社員はいなかったのですが、調べてみると当社のメールのフィルタリングをすり抜けるような仕組みで送信されていることが分かりました。このようなメールによるサイバー攻撃は今後も続くものであると思いますので、訓練を含めて社員への啓蒙活動に力を入れていきたいと考えています。
過去にニュースとなった個人情報や仮想通貨の流出の件などの多くはメール経由で感染した不正プログラムが原因と報道されていますし、メールというのは業務に関係してそうだなと思うとどうしても開いてしまいますよね。サイバー攻撃の2大経路というのはWebとメールですので、全Webサイトへのセキュリティ対策はもちろんのこと、メールに関してもしっかりとセキュリティ対策していかないといけないと思っています。
ありがとうございました。
※1 2018年3月「攻撃見えるくん」の提供を終了し、2018年4月「攻撃遮断くん」無料トライアルの提供を開始