2023.08.07
WAF
アクセス集中対策
企業活動においてWebサイトは必要不可欠な存在です。Webサイトにアクセスをした際に何らかの要因で正常に閲覧できない事象が発生すると、訪問者に対してネガティブな印象を与えかねません。またここ数年、業界や企業規模を問わずサイバー攻撃の対象としてWebサイトが狙われる事例が増加しています。
そこで今回、WAFを始めとするサイバーセキュリティソリューションを提供するアイロバ社とCDN事業者であるJストリームでオンラインセミナーをおこないました。
※本記事は、オンラインセミナーの内容を記事化したものです。
お役立ち資料 【押さえておきたい “サイバー攻撃の発生状況” と “Webセキュリティ対策”】
《 目次 》
株式会社アイロバ サイバーセキュリティ事業部
情報セキュリティ統括エンジニア 赤羽根 潤一 氏
CEH(Certified Ethical Hacker:認定ホワイトハッカー資格)所持。
脆弱性診断、セキュリティ対策/運用のアドバイザリサービスやWAFサービス「BLUE Sphere」では製品企画や技術サポートなどを担当。
株式会社Jストリーム マーケティング部
部長 小室 賢一
2004年、Jストリームに入社し、長期にわたり放送局、ポータルサイト、コンテンツプロバイダーの営業を担当。 新規顧客開拓部門のマネジメントを経て、現在はマーケティング部門のマネジメントを担当。
ブランディングや、商品・サービスの情報発信、そして販売チャネル、ECサイトなどWebサイトを運用されている企業さまはかなり多いと思います。顧客の獲得や、ブログなどによる情報発信、採用・IRという多岐にわたる役割を、Webサイトは持っています。
さまざま役割がある中で、Webサイトは常に正常に情報が表示されていることが求められます。
アンケート調査の結果を紹介します。
こちらは当社でおこなった、「アクセスしたWebサイトが閲覧不能だった際の印象調査」の実施結果です。
閲覧不能だったWebサイトの種別について質問したところ、下記のような結果になりました。
最も多かったのは「企業のキャンペーンサイト」で、42.8%です。そして、続いて「ECサイト」で、こちらも40.7%でした。広告施策やセールなどでアクセスが集中するためと考えられます。ただ、ほかのWebサイトも極端に低いものは見受けられません。あらゆるWebサイトで閲覧不能になる可能性やリスクを秘めていると捉えられます。
閲覧不能だった経験の多かった種別「企業のキャンペーンサイト」「ECサイト」を選択された方に、キャンペーンの参加意欲や、ECサイトでの購買意欲への影響について質問しました。6割の方が「影響がある」と回答しました。
さらに、アクセスできなかった際、Webサイトに対し4割の方は悪印象を持ったと答えました。閲覧不能な状態は、ぜひとも避けていかなければならないでしょう。
Webサイトが正常に表示されていない状態について、代表的なものを3つ紹介します。
1つ目は「アクセス集中による表示の遅延」です。表示が遅れていて、なかなか情報が届かない状況です。
2つ目は「サーバーダウン」です。表示自体もされない、全く情報が発信できていない状態です。
3つ目は「不正アクセスによる改ざん」です。情報が書き換わってしまっていたり、正しい情報ではない、別の情報が載っていたりする状況を指します。
どのような時に不具合、表示ができない状況が起き得るのでしょうか。
テレビなどのメディアに取り上げられた時や、大規模な広告キャンペーンやプロモーションをおこなった際には、想定を超えるアクセスが集中する可能性があり得ます。
こういうリスク・状況に対しては、この後紹介するCDNを使うことでWebサイトの負荷を軽減して、サイトを守ることができます。
アクセス集中にも種類があり、先ほどとは異なり不正なアクセスが集中する場合があります。ニュースなどでも取り上げられますが、DDoS攻撃などと呼ばれるものです。不正アクセスによる改ざんは、悪意を持ったアクセスによってWebサイトの情報が書き換えられる状況です。
こういった状況に対しては、後ほど解説がありますが、WAF、DDoS防御、改ざん検知という対策をおこなうことで、有効にサイトを守っていくことが可能になります。
「アクセス集中による表示の遅延、アクセス集中によるサーバーダウン」に有効な、CDNについて解説します。CDNは、Content Delivery Network(コンテンツ デリバリー ネットワーク)の頭文字を取って、CDN(シーディーエヌ)と呼ばれます。
下の図は平常時です。エンドユーザーからお客さまのサーバーに「情報が欲しい」というリクエストを上げると、お客さまのサーバーからコンテンツが返ってきます。こういう状態では、CDNはなくても安定稼働できます。
ただし、メディアに取り上げられたりプロモーションをしたりした際に、多くのユーザーからお客さまのサーバーにアクセスが集中します。想定以上のアクセス数を集めてしまうと遅延が発生し、最悪のケースではサーバーが落ちてしまい、閲覧が不能になる状況が引き起こされます。
ではCDNはどのような機能かというと、エンドユーザーとお客さまのサーバーの間に構えられるイメージです。CDNは多くの配信サーバーで構成されていて、かつ配信拠点も1カ所ではなく複数拠点を持っているのが特徴です。
CDNは、一時的にお客さまのサーバーから情報を記憶する(キャッシュする)機能を持っています。たくさんユーザーが集まったとしても、CDN側でエンドユーザー側に情報を発信することができ、遅延やアクセスができない状況を防止する仕組みになっています。
ここでは、SNS露出でアクセスが集中した際のアクセスグラフと、CDN導入によりアクセス集中を解消した事例を紹介します。
テレビ放送やYahoo!ニュースに取り上げられるなど、アクセス集中にはさまざまな規模があるのですが、ここでは非常に分かりやすい、LINEなどのSNSで露出を図った時のアクセスグラフを紹介します。実際に、当社のCDNを活用いただいて取得したアクセスグラフです。
グラフから、一気にアクセスが集中していることが見て取れます。そして、数分後にはアクセスが落ち着き始めるという、非常にピーキーなアクセス集中です。
アクセス数のボリュームは、通常時の10倍から数百倍ほど発生する可能性があり得ます。ピークは数分で収まってしまいます。
最近のクラウドサービスなどには、高負荷を検知するとスペックが自動的に上がるというような仕組みもあります。しかし、そういう仕組みが発動する前にピークは過ぎてしまい、手遅れになってしまうというケースもあり得ます。あらかじめCDNを配備することで、こういった視聴不具合やトラブルを回避できます。
「第一生命保険株式会社 様」の事例を紹介します。「サラっと一句!わたしの川柳コンクール」です。以前は「サラリーマン川柳」などと呼ばれていたコンクールです。
こちらのコンクールは、2001年から応募・投票ができるWebサイトを立ち上げていらっしゃいます。結果発表時には、テレビや新聞、そして大手ポータルサイトなど、多くの媒体でニュースとして取り上げられます。このコンクールの結果発表があった後には、一時的なアクセス集中が非常に多く発生することになります。
一番問題だったのは、このサイトだけではなく、第一生命保険さまのサイト全体がパンクしてしまうという事態に陥ったことです。肝心な時にサイトが表示されないのは、ユーザーの利便性向上やブランディングの観点から問題だと、課題意識を高く持っていらっしゃいましたので、回避策としてCDNの導入に至りました。
現在、当社のCDNに切り替えをされて、問題なくスムーズにサイト表示を実現されています。このように、アクセス集中にはCDNが非常に有効に活用できると捉えていただければと思います。
「Webサイトのセキュリティ対策」と「WAFの必要性、BLUE Sphereの特徴」について、ご説明します。
サイバー攻撃被害や情報漏洩事故があった場合、基本的にニュースやネット記事などに高確率で掲載されてしまいます。露見するタイミングで、企業さまのページでお知らせやプレスリリース等がおわびとして掲載されるのですが、その情報を引っ張ってきて、セキュリティ系のインフルエンサーや技術者による、情報の拡散・周知がおこなわれてしまいます。
「このようなことが起こっています。皆さん、気を付けてください」という形で拡散されるのですが、最終的にはWikipediaの記載や追記などが起こり得ます。
また、例えばサイバーセキュリティ事故が発生した時に、被害規模が大きかったり、もしくは初動対応に不手際があった場合、まとめサイトが作られてしまったり、実際、企業さまの業務規模に関係なく、対応次第では情報媒体の餌食になってしまう状況が発生します。
悪い意味で企業の名前が知れ渡ってしまうのは、企業にとっては信用問題につながる、大きなリスクです。テレビなどで放映されるだけであれば、まだ風化することがあるのですが、インターネット上に情報が残ってしまうと、消すことのできない記録として語り継がれてしまいます。
攻撃を受けた被害者なのに、サイバー攻撃の被害に加えて、企業のブランドイメージの低下を含めたダブルパンチを受けてしまうのは、本当に大きなリスクであるとご認識ください。
経済産業省が発行しているサイバーセキュリティ経営ガイドラインが2023年3月、6年ぶりに改定されました。
ガイドラインには、セキュリティ対策自体は経営者としての責務であることが強く明記されています。また、対象範囲、責任の範囲は、企業が利用しているクラウドサービスやビジネスパートナー、委託先、サプライチェーン全体など、全方位でのリスク管理が必要になってきます。
先ほどのリスクの部分でもお伝えしましたが、対策を実施せずに自社のITインフラが悪意のある攻撃者に利用された場合、その企業が負う責任が非常に大きなものになります。
先ほど触れた悪名の知れ渡る現状についても、対策を実施しないで事故をした場合と、きちんと対策を実施した上でも事故が発生してしまったケースでは、どちらが社会的な責任を追及されるかに関しては、想像に難くないかと思います。
Webサイトのセキュリティが必要な部分については、サイバー攻撃の被害の件数から見てもお分かりいただけると思います。よくメールに関するセキュリティ等も実施されているかと思いますが、実際はメールに関する被害よりも、Webサイトからの被害のほうが件数としては多い状況です。
企業さまの中には、メール対策はできているが、Webサイトの対策がおろそかになってしまっているケースが非常に多くあります。Webサイト自体は世界中からアクセスができる企業の入り口です。このWebサイトを自社が管理すべき資産と考えると、世界中から誰もが触ることができる自社の資産となります。そこを踏まえた上で、これはメリットにもなるのですが、大きなリスクである点を、資産を管理する企業として担当者として、きちんと感じておかなければなりません。
当社では、Webサイトのセキュリティ対策の在り方について、下記に表示しているような考え方でご説明しています。
まずWebサイトは企業にとっての資産だとお考えいただきます。あとは比べるものとして、自社ビルや事務所というものと同等だとお考えください。
土地と建物と対比して、WebサーバーとWebサイトという例を挙げています。土地と建物があれば、その中身を会社事務所として、この中で業務をおこなって、会社の重要な資産や書類を管理することが可能です。
また、同様にWebサイトに関しても、WebサーバーとWebサイトさえあれば、世界中の誰からもアクセスできる、便利な自社の資産を完成させることができます。
鍵やホームセキュリティ等が一切準備されていない会社事務所、例えば火災・地震・盗難保険等に全く入っていない会社事務所は、なかなかないのではないでしょうか。しかし、それと同様の資産として考えなければならない、全世界からアクセス可能な会社の資産であるWebサイト(この中には個人情報や顧客情報も含まれるケースも)に対して、セキュリティ対策を実施していない、また、万が一に備えてサイバーセキュリティ保険に加入していないということは、対比して考えると大きなリスクであるとご理解いただけるでしょう。
「悪意ある攻撃」をおこなうハッカーの日々の仕事は、基本的には調査活動が大半を占めます。こちらは、例えば空き巣が、隙のありそうな家、留守がちな家を探すイメージです。ハッカーたちは、隙の多いWebサーバーをインターネット経由で日々調査を進めています。
俗にいう「攻撃性の通信」と呼ばれる大半は、この調査性の通信がほとんどになります。攻撃の際の踏み台サーバーとして悪用するために、弱いWebサーバーを探す、もしくはそういうWebサーバーを収集して、脆弱なWebサーバーのリストをそろえて、それをハッカー同士でリスト化して販売することを目的として、情報を収集するケースもあります。
こちらはITmediaの2016年のニュース記事です。ダークウェブと呼ばれる界隈では、一種の経済圏のようなものが形成されています。悪意のあるハッカーが職業として、収入確保の手段として成立しています。
こちらの事例は、イスラエルの18歳の青年たちがDDoS攻撃の支援サービスというものを立ち上げて、数年間で60万ドルを荒稼ぎしたという記事です。
vDOSは彼らが運営していたサービスの名前です。サイバー犯罪フォーラムでは「反応が早くて親切な顧客サービス」として定評があったそうです。経済圏を確立されていて、一つの商売として成り立っていたことが読み取れます。
この60万ドルを荒稼ぎした2名ですが、懲役刑にならず罰金刑で済んでいます。60万ドルを稼いで、2万ドル以下の罰金プラス慈善活動を命じられたそうです。大幅なプラスです。捕まっても儲かってしまい、利益が出てしまっている状況です。もちろん犯罪歴は付きますが、ある一定の覚悟を決めた人ならやってしまうのではないでしょうか。これはある意味、合理的な判断で、サイバー攻撃ないしはこれに伴う経済活動のようなものは成り立っていると言えます。
ただの愉快犯ではなく、自分たちの利益、経済活動として、そういうものを追求している悪意のある攻撃者・ハッカーたちから、どのようにしてWebサイトを守るべきなのかをきちんと考えなければいけません。当社をはじめとしたセキュリティベンダー各社では、以前から「多層防御」という考え方が主流になっています。
多層防御の一例を申し上げます。例えばWebサイトを守るために必要なWAF、Web Application Firewallという機能があります。これをWebサイトに対して適用します。また、同時に別の機能として、DDoS攻撃に対する防御機能も付随します。また別の観点から、DNSサーバーの監視、DNSレコードの監視などをレポート化して、きちんと監視・運営するような機能も必要になります。また、プラスアルファ、万が一のためのサイバーセキュリティ保険を準備するという行為も同じですし、ページが改ざんされてしまった場合の、改ざんを検知する機能も必要になります。
それらをきちんと知識を持って使いこなす複数の技術的なサービスと、それを使いこなすサポート的な知識ないし仕組みが必要になります。こういうさまざまな形の機能をまとめて利用してWebサイトを守ることを多層防御と表現しています。
こういう形で一つでも多くの防御機構を準備して、リスクを限りなくゼロに近づけます。リスクを背負って合理的な経済活動、攻撃を仕掛けてくる攻撃者に対しては、この多層防御という構造が一番嫌がられると言われています。
空き巣が狙う家は、ドアの鍵が1つの場合が圧倒的に多いそうです。2つ、3つと鍵のある家は、時間の効率的にも悪くリスクも増えてしまいます。そういう場合は手を付けず、空き巣の対象から除外します。
これは、合理的な活動をおこなっているサイバー攻撃に関しても同様です。しっかりとした対策を取られている環境に関しては、攻撃対象となるリスクが軽減するという事実があります。これに関しては非常に合理的に、ビジネスとして攻撃を仕掛けている彼らにとっては当たり前の行動・行為です。完ぺきな防御対策を整える部分もそうですが、この多層防御という形を取ることが非常に有効であると考えます。
このような合理的な攻撃に対する対策も踏まえて、具体的にどのような製品・サービスで自社のWebサイトを守るのかというお話として、当社製品、BLUE Sphere(ブルースフィア)を紹介します。
ここまでお話しした必要な要素全てを内包するのがBLUE Sphereとお考えください。WAFだけではなく、必要なセキュリティ機能を、一つの製品かつノーオプションで全て提供し多層防御を実現している製品です。
ひとつの企業さまは、基本的には複数のサイトを持たれていると思います。一般的なWAFサービスだと、1つのドメイン、1つのサイトについて1契約等が必要になり、コストがかさんでしまいます。BLUE Sphereはそういったコストを圧縮するために、1社さまであれば、お持ちのサイト・ドメインに関しては、全て無制限で導入いただける形を取っています。
いくらサイバー攻撃を防いだとしても、サイバー攻撃が増えると同時にトラフィック量や処理量が増えて、攻撃を防御するための費用がどんどん上がっていく形を取ってしまうとどうでしょうか。防御していても、料金が増える部分が企業さまの負担になってしまいます。BLUE Sphereは、サイバー攻撃の増減で費用が増えない仕組みになっています。
BLUE Sphereでは、最低利用期間を1カ月としています。最低利用期間が1年単位だと、どんなに興味があり検討したくても、二の足を踏んでしまうでしょう。BLUE Sphereは、簡単にご利用いただきやすく、もしご要望に沿わなければ簡単に解約していただける形を取っています。
BLUE Sphereは、先ほど重要だとお話したサイバーセキュリティ保険についても、費用の中に含まれ、月額費用にオプション一切なしで自動付帯しています。
「多機能で多層防御の製品なので、製品を使いこなすのが難しいのではないか?」という声をいただくことがありますが、ご安心ください。BLUE Sphereでは、サポートを標準搭載としており、問い合わせや設定変更など全て無制限に対応しています。導入される企業内に専門・専任の技術者の方がいなくてもご利用いただけるサービスです。
BLUE Sphereを展開して4年目に突入しています。導入実績も増え、上場企業さまから中小企業さままで幅広くご利用いただいています。国立大学さまや金融機関さまなどにもご利用いただいています。
費用については、他社さまのWAFサービスと比較しても、圧倒的なコストパフォーマンスでご提供しています。
「WAFは本当に必要なのか」「Webサイトに対するセキュリティは本当に必要なのか」と疑問を持たれているお客さま向けに、BLUE Sphereを契約しなくても、無償でWebサイトに対する快適な診断、リスクチェックを実施しています。
こちらをご利用いただいて、自社の状況を把握した上で実際にBLUE Sphereの導入を検討いただけます。ご興味がありましたらぜひ一度お声掛けください。
セキュリティサービス、WAFなどを導入することで、不正なアクセスを遮断して正常なアクセスのみをサーバーに通すことが可能になります。
ただ、不正なアクセスの防御はできますが、攻撃ではないアクセス集中には対処としてはまだ不十分で、ここを補うためにWAFとCDNの併用という考え方があります。
両方使うことは比較的容易で、より安心・安定したWebサイト運営ができます。
以上、Web担当者が知っておくべき自社サイトを守るためのポイントについてお伝えしてまいりました。JストリームのCDNext、そしてアイロバ社のBLUE Sphereを掛け合わせて、お客さまの状況やニーズに合わせてご提案を差し上げられればと思っています。興味のある方はお問い合わせください。
Webサイトの表示速度改善にもCDNが有効です。無料診断も実施しています。これによって、CDNを入れることでどの程度、表示速度が向上するかも診断できます。
診断にあたって、Webサイトへの設定等は必要ありません。興味のある方はお気軽にお申し込みください。
対象Webサイトの安全性レベルや脆弱な箇所を可視化します。セキュリティ対策検討の足がかりとしてお気軽にお申し込みください。
Jストリームの
ソリューションに
興味をお持ちの方は
お気軽に
お問い合わせください。