企画広告

サイバー脅威に対抗する方法は?クラウド型WAF/DDoS対策サービスのメリット-- F5ネットワークス講演より

ZDNET Japan Ad Special

2017-12-12 11:00

 企業のセキュリティの最大の課題は、構築後の運用にあるのではないか—。 こうした問題提起のもと、朝日インタラクティブは11月22日、セキュリティについてのセミナーを開催した。このなかで、F5ネットワークスジャパン マーケティング本部ソリューションマーケティングマネージャー臼澤嘉之氏は、「WAF運用の理想と現実 - 失敗しないセキュリティの考え方」と題して講演した。

セキュリティ対策はPK戦と同じ

 サイバーセキュリティは、単にツールを導入しただけでは攻撃を防ぐことはできない。臼澤氏は、その背景には大きく2つの課題があると指摘する。

 1つは、セキュリティ脅威の増加だ。情報通信研究機構(NICT)の調査では、サイバー攻撃の観測回数はこの3年で約10倍になったという。規模が増加したことでツールによる対策をすり抜けて侵入するケースも増えている。もう1つはセキュリティ人材の不足だ。経産省の推計では2020年にはセキュリティ人材は約19.3万人不足する見込みだ。

臼澤嘉之氏
臼澤嘉之氏
F5ネットワークスジャパン マーケティング本部ソリューションマーケティングマネージャー

 「この11月にサイバーセキュリティ経営ガイドラインが改訂され、経営者やCISOへ向けたメッセージが強化されました。ただ、日本の専任CISOは3割未満と、セキュリティ意識はまだまだ低い状況です。攻撃が増え続け、人材も不足していくなかで、セキュリティに対する考え方をもう一度見直す必要があります」(臼澤氏)

 特に再考を要するのがセキュリティの運用だ。さまざまなツールを導入しても、それをきちんと使いこなせなければ効果は期待できない。臼澤氏は、こうした現状をサッカーのPK戦にたとえながら、こう説明する。

 「ゴールキーパーはたった一人でさまざまなキッカーと対峙しなければなりません。状況によってはいちどでもゴールを決められたら終わりです。限られた予算と人員で、不特定多数からの攻撃を防がなければなりません。セキュリティ対策とよく似ています」

 攻撃者の侵入をゴールだとすると、ゴールを決められたら終わりではないようにすればいい。そこでポイントになるのが運用だ。攻撃を防ぎ続けるように運用し、万が一侵入されても迅速に対処できるようにしていくことが重要だ。

セキュリティ対策はPK戦と同じ

 そうした運用はどう行えばいいのか。臼澤氏はまず、セキュリティ対策の最初のステップとして、守りたいモノの優先順位を定義することを挙げる。次に、アプリケーションを理解することもポイントとなる。特に近年顕著なWebアプリケーションに関連する脅威への対策だ。

難しいWAF運用の課題を解決

 IPAの「情報セキュリティ10大脅威2017」を見ると、1〜10位にランキングされた脅威の半分の5つがWebアプリケーションに関するものだ。また、JPCERT/CCの調査によると、脆弱性の約7割はWebアプリケーションから見つかっている。

脆弱性の約7割はウェブアプリケーション

 「Webアプリケーション攻撃の93%は金銭目的です。攻撃者にとってWebサイトは宝の山なのです。そこで重要になってくるのがWebアプリケーションに対する攻撃を防ぐためのWAF(Web Application Firewall)です」(臼澤氏)

 ただ、WAFは運用が難しいという課題がある。きちんと使いこなすには専門知識が必要で、そのために専門人員が必要になることもある。そうした課題に対応するのがF5が提供する「F5 Silverline」だ。

 Silverlineは、データセンターからパブリッククラウドに拡大するアプリケーションを24×7のSOCエキスパートが支援して、運用も行うクラウド型セキュリティサービス(SaaS)だ。クラウド型のDDoS攻撃対策、WAFのセキュリティ対策が可能で、BIG-IPによるオンプレミス、パブリック、プライベートクラウド上の対策とあわせて、ハイブリッドな環境を包括的にカバーする。

F5 Silverline
※クリックすると拡大画像が見られます
F5 Silverline サービスイメージ
※クリックすると拡大画像が見られます

 そのうえで臼澤氏は「セキュリティに特効薬はありません。守るべき優先順位を定義し、アプリケーションの流入経路を守ってください。また、限られたリソースでも実現できる運用のあり方を考えてください」と話し、講演を締めくくった。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  2. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  3. 運用管理

    IT管理者ほど見落としがちな「Chrome」設定--ニーズに沿った更新制御も可能に

  4. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  5. セキュリティ

    シャドーITも見逃さない!複雑化する企業資産をさまざまな脅威から守る新たなアプローチ「EASM」とは

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]