第04回　2021.02.25 / 最終更新：2021.02.25

企業のセキュリティを考えれば、安価に全方位的に防御できて、追加払いが発生しないのがいい

こんにちは。佐々木昌子です。

一言で言えば、セキュリティ対策に予算上限はないですよね。攻撃側も進化していくので、切りがないのです。現場目線でお話をすれば、「ここまでやればある程度までは大丈夫ですが、もっと予算をかけた方が万全です。」という感じです。しかしながら企業側にも予算があるので、ある程度で折り合いをつけるということになります。

一方でサイバー攻撃側は全方位的な攻撃を仕掛けてきます。手動で1件1件狙って攻撃するのではなく、プログラミング化された自動攻撃で無作為にというか絨毯爆撃的に攻撃を仕掛けていきます。それゆえに企業規模や著名度に関係なく、攻撃側は全部攻撃して、穴が開いていたところから侵入し、システムを最大限ハッキングするという状態になっています。

それ故に、ほんの小さな穴が開いていてもいけないため、全方位的な防御が必要になります。

さて、今日はWebサイトの話です。Webサイトの防御は企業信頼上もとても重要なお話になります。私が注意している点は以下です。

• Webサーバ上に不用意な個人情報を置いているかどうか
• Webサーバを構成する各ソフトウェアは最新状態を常に保っているかどうか
• そもそもサイバーセキュリティ対策を総合的にしているかどうか

Webサーバがハッキングされた時の企業側の痛手は個人情報漏洩と改ざんされてしまい企業側の信頼が落ちることの二点です。

個人情報漏洩対策で有効なのは、Webサーバ上に個人情報を置かないことと思っています。よくある良くない点としては、お問い合わせしてきた方の情報をWebサーバにログとして残しておくことです。これらはメール転送やCSVで安全な場所にローカル保存するのが良いと考えています。（意外に多いので気を付けてください）

そして、脆弱性を突かれる大きな点としては、脆弱性が発見されたソフトウェアを使用し続けるという点です。例えば、あるプログラムで脆弱性が発見されたとします。その直後に、そのプログラムを使用しているWebサイトをスクリーニングして、多くのハッカーから一斉攻撃を受けるようなイメージです。それゆえに、Webサイトを構成するソフトウェアは常に最新にしておくことが重要です。世界Webサイトシェアで40%を超えたWordPressは自動更新プログラムがあり、非常に便利なのですが、まれに自動更新できないプログラムも存在します。それゆえに目視で確認し、できていないものは手動で更新をされるのが良いと考えています。

最後の総合的なサイバーセキュリティ対策の話ですが、パッケージング化された総合防御のWAFをお勧めします。鈴与シンワートが販売しているクラウドWAFはオールインワンで多層防御を実現する全方位防御のクラウドWAFです。しかもFDQNごとの課金がなく、安価な定額で提供できます。

興味がある方は以下のページに詳細が記載されていますので、ご覧の上、お問い合わせいただければ幸いです。

https://suzu1.shinwart.com/waf/