あなたの会社のWebセキュリティ対策は万全ですか?

自社のWebサイトがサイバー攻撃によって不正アクセスされ、重要な情報が流出してしまう。
そんな事態を想像していますか?

2016年、日本国内のネットワークに向けられたサイバー攻撃の件数は1,281億件(前年比2.4倍)とも言われ、今や、企業は常にサイバー攻撃の危機にさらされていると言っても過言ではありません。
しかし、

  • Webサイト・Webアプリケーションにどのようなセキュリティ上の脆弱性があると、どのような攻撃によってどのような被害を受けるのか?
  • 被害を防止するためのWebセキュリティ対策としてどんな方法があるのか?

など、日々進化するサイバー攻撃の手口や方法を全てキャッチし、万全のWebセキュリティ対策を行っていくのは、マンパワーやコストの面から現実的でありません。

この様な状況に対してF5のBIG-IPがどの様に解決するのかご紹介します。

 

情報漏洩は経営課題

 

情報漏洩は企業の存続を左右する経営課題です。

世界はもちろん、日本企業においても大手有名企業のWEBからの情報漏洩に関するニュースは記憶に新しいのではないでしょうか。
情報漏洩により企業は賠償金などの金銭的喪失はもちろん、ブランドダメージ、法的な責任など様々な影響を受け、企業存続の危機にさらされます。

たった1回の情報漏洩で企業経営は大ダメージを負いかねないのです。

今やWebセキュリティは経営課題になっていると言っても過言ではありません。

 

情報漏洩は決して他人事ではありません!

 

WEBサイトからハッキング等により
情報漏洩は想像以上に起こっています。

右の表は日本ネットワークセキュリティ協会(JNSA)が発表している情報セキュリティインシデントに関する調査報告書です。
漏えい人数の多さはもちろんですが、注目すべきは1件あたりの平均想定損害賠償額です。
あくまで平均ではありますがその賠償額は7億円弱となっており、これだけの金銭損失だけにとどまらず、企業のブランドダメージや法的な責任なども含め、企業は1件の情報漏えいによって経営活動継続の危機に追い込まれます。
WEBセキュリティの強化は、もはや一情報システム部の責務ではなく、企業経営課題の1つとして対応することが求められています。

情報漏洩の結果

 

外部にさらされているWebサイトは恰好の標的

 

WEBアプリケーションは全て、インターネットから
数多くの脅威に常にさらされています

DDoS攻撃SQLインジェクションブルートフォース攻撃などサイバー攻撃の手口は日々増えています。
その他にも情報処理推進機構(IPA)による2016年に発生したセキュリティ脅威をまとめた「情報セキュリティ10大脅威2017」によれば、標的型攻撃による情報流出、ランサムウェアによる被害、ウェブサービスからの個人情報の窃取が上位を占めています。
参照:IPA「情報セキュリティ10大脅威2017

攻撃者は犯罪グループや産業スパイ、ハッカー集団など様々おり、その目的は金銭盗取や世間を騒がせて満足する愉快犯、国家や企業などのイメージダウンを狙う組織犯罪など攻撃者のタイプによって異なります。
彼らは様々な攻撃手段により偽のWEBサイトへの誘導・ウィルス感染・WEBサイト改ざん・ユーザー情報の取得などを狙い、上記目的を達成します。

特に、Webアプリケーションは、開発の工程で曖昧な開発要件や開発者のミスなどにより脆弱性を含んでしまうことは珍しくなく、攻撃者にとっては格好の標的になります。

 

 

 

 

クロスサイトスクリプティングとは?

 

自社が加害者になる可能性もある攻撃手法

クロスサイトスクリプティング」とはサイバー攻撃の代表的な手段です。
攻撃者が自社の入力フォームなどに悪意のあるスクリプト等を仕込み、そのページを閲覧したユーザーを不正サイトに誘導したりすることでマルウェア感染や、ID等の情報漏洩を促すものです。
具体的には以下の様な流れで行われます。

①攻撃者が入力フォームなどから不正なスクリプト等をWEBサイトに仕込む
②ユーザーが不正なスクリプトなどが仕込まれたWebページを閲覧する
③不正なスクリプト等が実行され、ユーザーを外部の不正サイトに誘導したりする
④ユーザーがマルウェアに感染したり、ID等の情報漏えいにつながる

例えば、ECサイトなどのログイン時に2回目以降はアカウント情報を入力する必要がないのは、Cookieに情報を保存しているからです。
クロスサイトスクリプティング」の攻撃を受けたWebサイトをユーザーが閲覧すると、このCookie情報を窃取されてしまい、攻撃者がユーザーになりすまし、本人でないとできない投稿や決済が行われてしまいます。

 

 

結果的に WEBサイトがユーザーに被害を与える
事になってしまうのです!

WAF(Webアプリケーションファイアーウォール)とは?

 

WAFとは?

WAFとはWebアプリケーションに特化したファイアーウォールです。従来のファイアーウォールでは、IPアドレス、ポート番号による通信制御をしていましたが、WAFは、Webアプリケーションのレベルでアクセス管理をすることができます。具体的には、SQLインジェクションクロスサイトスクリプティングをはじめとする、Webアプリケーションに伴う脆弱性対応。また、ブルートフォース、リスト型攻撃による不正ログイン対策など、Webアクセスに伴う様々な攻撃に対応することができます。

WAFの仕組みとしては、Webサーバの手前に設置し、シグネチャと呼ばれるパターンファイルとマッチングすることで、既知の攻撃をWebサーバの手前で未然に防ぐことができます(ブラックリスト方式)。

未知の攻撃については、予め定義した通信のみを許可するホワイトリスト方式を使用することで、ゼロデイ攻撃にも対応することが可能です。

また、Eコマース、金融機関をはじめ、クレジットカードの情報保護を目的として策定されたPCI-DSS (Payment Card Industry Data Security Standard) のセキュリティ基準を満たすためには、WAFの導入が必要になります。

アプリケーションのテストには時間と労力がかかり、何重ものテストを実施しても、脆弱性のないアプリケーションを作ることは、非常に困難ですが、WAFを導入することで、セキュアな環境を実現できるのです。

 

攻撃方法に対して適切な防御が必要です!

 

F5のWAF(WEBアプリケーションファイアウォール)で攻撃を防御!

F5はガートナーの2017年版マジック・クアドランドのWEBアプリケーションファイアウォール分野でリーダーに選ばれています。
L3からL7までネットワークトラフィックを包括的に理解し、30以上のDDoS攻撃を防御。検知性能も最高レベルの99.89%という数値を出しています。
正確なトリガーと自動制御によりL7 DoS攻撃をブロックし、アプリケーションのパフォーマンスを改善。
さらに、失敗の多いログイン要求を絞り込むことによって、ブルートフォースアタックを検知、その危険を軽減します。高い割合でログイン プロセスに失敗し続けているIPからのログイン要求を絞り込むこともできます。
オンプレミスだけでなく、クラウド上で利用できるWAFも提供しており、コストパフォーマンスが高く、迅速なWAF導入が可能になります。

 

”WAFのポジション”

 

さらにクラウド型WAFなら…

”クラウド型WAF”

クラウド型WAFならアップデートや監視、システム運用まで
プロにおまかせ!

 

すでに BIG-IP をご利用のお客様はWAF機能追加が簡単!

 

すでに BIG-IP をご利用のお客様であれば
ライセンスを追加するだけで WAF機能が追加できます!

 

導入事例

F5のWAFを導入しセキュリティを強化した企業事例

おすすめ記事

 

漫画で分かるWAF

あなたの会社のWebセキュリティは本当に大丈夫?

F5のWAFはガートナーの2017年版マジック・クアドランドのWEBアプリケーションファイアウォール分野でリーダーに選ばれています。


SSL可視化でセキュリティ対策

SSL可視化でセキュリティ対策~常時SSL化の落し穴

Webサイトを常時 SSL化するにあたり、インフラ管理者が押さえておかなければならない知識や注意点と対策について紹介します。


次のステップ


BIG-IP ASMの
製品情報を確認する
製品情報
無料のフル機能版
評価ライセンスの入手
無料トライアル

​​

製品・ソリューションに関する
ご相談・お問い合わせ

お問い合わせはこちら

~インフラの力を伸ばす~
資料ダウンロード

ダウンロードはこちら
®  ソリューションサイト