catch-img

パブリッククラウド利用企業に必要なWebサーバのセキュリティ対策とは

Amazon Web Services(AWS)などのパブリッククラウドを利用していれば、Webセキュリティ対策はすべて、サービス提供元が対応してくれると誤解していませんか?

実は、サービス利用者が対策をしなければならない責任範囲が明確に決められています。その点も含めて、パブリッククラウド利用者が見落としがちなWebセキュリティ対策のポイントを解説します。


目次[非表示]

  1. 1. パブリッククラウドにもWebセキュリティ対策が必要
    1. 1-1. 日本へのサイバー攻撃の推移
    2. 1-2. Webサイトがサイバー攻撃にあった際の責任は利用者側に
    3. 1-3. WAFとは
    4. 1-4. パブリッククラウドのWAFを購入するだけでは不十分
  2. 2. 運用不要のクラウド型WAF「イージス・サーバセキュリティ」
    1. 2-1. パブリッククラウドのWAFとイージスの違い
    2. 2-2. 他社ベンダー提供クラウド型WAFとイージスの違い
      1. 2-2-1. AIエンジンを活用し、ゼロデイ攻撃や難読化された攻撃にも対応
      2. 2-2-2. 防御対象Webサイトの遅延やダウンのリスクが低い
    3. 2-3. その他のメリット
      1. 2-3-1. 複雑な構成でも利用可能
      2. 2-3-2. 日本人エンジニア執筆のレポート
    4. 2-4. 1か月の無料トライアル実施中


1. パブリッククラウドにもWebセキュリティ対策が必要

1-1. 日本へのサイバー攻撃の推移

まず初めに日本へのサイバー攻撃の推移を見てみましょう。


(出展:NICTER観測レポート2018,2019,2020/国立研究開発法人情報通信研究機構)


情報通信研究機構(NICT)の調査によると、日本へのサイバー攻撃は2006年から2020年の15年間でなんと約105倍に増加しています。

また、直近の2年間だけでも約2.3倍にも増加しており、年々増えている状況です。
※比例してWebサーバ(HTTP)への攻撃も増えています。

では、堅牢なセキュリティを誇るパブリッククラウドに置かれているWebサーバなら安心なのでしょうか?

その答えは「No」です。誤解されていることも多いですが、パブリッククラウドには責任共有モデルが設定されています。


1-2. Webサイトがサイバー攻撃にあった際の責任は利用者側に

AWSなどが決めている「責任共有モデル」を見るとIaaSの場合、以下のように責任が分かれています。

■提供者側の責任範囲                ■利用者側の責任範囲

・ハードウェア                   ・OS

・ソフトウェア                   ・ミドルウェア

                          ・アプリケーション

                          ・保存されたデータ


つまり、近年急増しているWebサイト(=Webアプリケーション)への攻撃により、情報漏えいなどの被害があった場合に、責任は提供者側ではなく、利用者側にあるということです。

そのためWebアプリケーションレイヤのセキュリティ対策は利用者側で行う必要があります。


1-3. WAFとは

WAFとは、Web Application Firewallの略で、Webアプリケーション層への攻撃からWebサイトを保護するセキュリティ対策のことです。FW(ファイアウォール)やIPS/IDSでは対応できない攻撃を検知・遮断することができます。WAFの導入により、Webセキュリティ対策を強化することができます。


1-4. パブリッククラウドのWAFを購入するだけでは不十分

WAFでWebサイトを保護することが一般的になりましたが、パブリッククラウドにて販売されているWAFには注意が必要です。

AWS WAF等のパブリッククラウドが提供しているWAFを導入する際には、細かい設定や定期的なチューニングが必要となります。

ベンダー提供のクラウド型WAFのように運用をベンダー任せにすることができず、専門の担当者を用意して、誤検知の確認や定期的なパッチの適用といった、更新作業が必要となります。



2. 運用不要のクラウド型WAF「イージス・サーバセキュリティ」

WAF専門ベンダーであるロケットワークスが提供する「イージス・サーバセキュリティ」は、設定や運用作業を提供側で行い自動的に最新の攻撃にも対応するため、専門の担当者を必要としません。


2-1. パブリッククラウドのWAFとイージスの違い

イージス等のベンダーによるものと、AWS WAF等のパブリッククラウドWAFは根本的に異なるサービスです。

イージス等のベンダー提供のクラウド型WAFは、エージェントのインストールやDNSを切り替えだけで実装可能である点がメリットです。設定や運用に関してはベンダー側で対応してくれます。

一方、AWS WAF等のパブリッククラウドのWAFは細かい設定や誤検知のチェックを行う必要があるなど、導入が容易ではありません。



2-2. 他社ベンダー提供クラウド型WAFとイージスの違い

2-2-1. AIエンジンを活用し、ゼロデイ攻撃や難読化された攻撃にも対応

AIエンジンを活用することで、シグネチャを使った他社WAF製品では検知が難しいとされる、ゼロデイ攻撃や難読化された攻撃にも対応しています。これにより、日々生まれる新たな脅威にいち早く対応することができます。もちろん、お客様側での更新作業は不要です。


2-2-2. 防御対象Webサイトの遅延やダウンのリスクが低い

クラウド型WAFといったカテゴリーで販売されているサービスのほとんどは、DNSを切り替えて導入するタイプのサービスです。

このタイプの場合、通信経路上に分析エンジンを置くこととなるため、対象Webサイトの表示速度に遅延が発生します。分析エンジンに障害が発生した場合、対象Webサイトにアクセスできない状態になる可能性もあります。

この問題をイージスは以下のように解決しています。

①サーバセキュリティタイプ(エージェント型)の場合

通信経路上や導入先サーバ内に分析エンジンを置かないため、導入によって対象Webサイトの遅延やダウンが発生しない構成となっています。


②DDoSセキュリティタイプ(DNS切替型)

他社製品同様、多少の遅延は発生しますが、万が一イージスのネットワーク経路に問題が発生した場合でも、お客様自身でDNS設定を戻すことなく自動で通信経路がイージス導入前の状態に戻る機能により、対象Webサイトのサービス提供を維持できる構成となっています。


2-3. その他のメリット

2-3-1. 複雑な構成でも利用可能

防御対象サーバが多い場合(数十台~数百台)やロードバランサ(負荷分散装置)が含まれる構成にもイージスは対応しています。他社製品だと高額になる場合でもリーズナブルに利用できる場合があります。


2-3-2. 日本人エンジニア執筆のレポート

月間の攻撃データに加えてセキュリティエンジニアによる総括コメント(※)などを記載したレポートを毎月ご提供します。攻撃状況をひと目で把握できるほか、資料作成の手間がなくなり、簡単に社内共有ができます。

※総括コメントは別途オプション


2-4. 1か月の無料トライアル実施中

AIエンジン搭載クラウド型WAFイージスは無料トライアルキャンペーンを実施中です。

「本当に自社サイトに攻撃が来ているのか?」「本当にWAFの運用が必要なのか?」と思った際は無料トライアルをご活用ください。


  Webサーバ攻撃診断 (AEGIS) AEGIS(イージス)は、「ウェブサイト」ほかウェブサーバ、データサーバ、メールサーバ へのサイバー攻撃を自動防御するシステムです。オールインワンのクラウド型WAFなので、設置工事不要で手軽にスタートできます。ご契約のお客様には「月次防御証明報告書」を毎月送付します。 デジタルテクノロジー株式会社





お電話でのお問合せ

03-6914-5499

メールでのお問い合わせ

人気記事ランキング

タグ