サイバー脅威に対抗する方法は?クラウド型WAF/DDoS対策サービスのメリット-- F5ネットワークス講演より

ZDNet Japan Ad Special 2017年12月12日 11時00分

  • このエントリーをはてなブックマークに追加

[PR]朝日インタラクティブ主催セミナーより。F5ネットワークスジャパンの講演では、同社の臼澤嘉之氏が登壇。「セキュリティ対策はPK戦と同じ」として、現状の問題点や改善のポイントを提案した。

 企業のセキュリティの最大の課題は、構築後の運用にあるのではないか—。 こうした問題提起のもと、朝日インタラクティブは11月22日、セキュリティについてのセミナーを開催した。このなかで、F5ネットワークスジャパン マーケティング本部ソリューションマーケティングマネージャー臼澤嘉之氏は、「WAF運用の理想と現実 - 失敗しないセキュリティの考え方」と題して講演した。

セキュリティ対策はPK戦と同じ

 サイバーセキュリティは、単にツールを導入しただけでは攻撃を防ぐことはできない。臼澤氏は、その背景には大きく2つの課題があると指摘する。

 1つは、セキュリティ脅威の増加だ。情報通信研究機構(NICT)の調査では、サイバー攻撃の観測回数はこの3年で約10倍になったという。規模が増加したことでツールによる対策をすり抜けて侵入するケースも増えている。もう1つはセキュリティ人材の不足だ。経産省の推計では2020年にはセキュリティ人材は約19.3万人不足する見込みだ。

臼澤嘉之氏
臼澤嘉之氏
F5ネットワークスジャパン マーケティング本部ソリューションマーケティングマネージャー

 「この11月にサイバーセキュリティ経営ガイドラインが改訂され、経営者やCISOへ向けたメッセージが強化されました。ただ、日本の専任CISOは3割未満と、セキュリティ意識はまだまだ低い状況です。攻撃が増え続け、人材も不足していくなかで、セキュリティに対する考え方をもう一度見直す必要があります」(臼澤氏)

 特に再考を要するのがセキュリティの運用だ。さまざまなツールを導入しても、それをきちんと使いこなせなければ効果は期待できない。臼澤氏は、こうした現状をサッカーのPK戦にたとえながら、こう説明する。

 「ゴールキーパーはたった一人でさまざまなキッカーと対峙しなければなりません。状況によってはいちどでもゴールを決められたら終わりです。限られた予算と人員で、不特定多数からの攻撃を防がなければなりません。セキュリティ対策とよく似ています」

 攻撃者の侵入をゴールだとすると、ゴールを決められたら終わりではないようにすればいい。そこでポイントになるのが運用だ。攻撃を防ぎ続けるように運用し、万が一侵入されても迅速に対処できるようにしていくことが重要だ。

セキュリティ対策はPK戦と同じ

 そうした運用はどう行えばいいのか。臼澤氏はまず、セキュリティ対策の最初のステップとして、守りたいモノの優先順位を定義することを挙げる。次に、アプリケーションを理解することもポイントとなる。特に近年顕著なWebアプリケーションに関連する脅威への対策だ。

難しいWAF運用の課題を解決

 IPAの「情報セキュリティ10大脅威2017」を見ると、1〜10位にランキングされた脅威の半分の5つがWebアプリケーションに関するものだ。また、JPCERT/CCの調査によると、脆弱性の約7割はWebアプリケーションから見つかっている。

脆弱性の約7割はウェブアプリケーション

 「Webアプリケーション攻撃の93%は金銭目的です。攻撃者にとってWebサイトは宝の山なのです。そこで重要になってくるのがWebアプリケーションに対する攻撃を防ぐためのWAF(Web Application Firewall)です」(臼澤氏)

 ただ、WAFは運用が難しいという課題がある。きちんと使いこなすには専門知識が必要で、そのために専門人員が必要になることもある。そうした課題に対応するのがF5が提供する「F5 Silverline」だ。

 Silverlineは、データセンターからパブリッククラウドに拡大するアプリケーションを24×7のSOCエキスパートが支援して、運用も行うクラウド型セキュリティサービス(SaaS)だ。クラウド型のDDoS攻撃対策、WAFのセキュリティ対策が可能で、BIG-IPによるオンプレミス、パブリック、プライベートクラウド上の対策とあわせて、ハイブリッドな環境を包括的にカバーする。

F5 Silverline
※クリックすると拡大画像が見られます
F5 Silverline サービスイメージ
※クリックすると拡大画像が見られます

 そのうえで臼澤氏は「セキュリティに特効薬はありません。守るべき優先順位を定義し、アプリケーションの流入経路を守ってください。また、限られたリソースでも実現できる運用のあり方を考えてください」と話し、講演を締めくくった。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

連載

CIO
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算