【セミナーレポート】中小企業が取り組むべきWAFなどのWebセキュリティ対策とは? ~7つのポイントで理解する自社に最適なセキュリティ製品の選び方~

2024年10月24日、クララ株式会社が主催したセミナー「中小企業が取り組むべきWAFなどのWebセキュリティ対策 ~7つのポイントで理解する自社に最適なセキュリティ製品の選び方~」が開催されました。このセミナーでは、増え続けるサイバー攻撃への効果的な対策をテーマに、中小企業が直面するセキュリティの課題や解決策について詳しく解説しました。

「セキュリティ対策って大企業向けでは?」と思う方もいるかもしれませんが、実は中小企業こそ狙われやすいのが現実です。本記事では、セミナーで取り上げられた内容を基に、中小企業が今すぐ取り組むべき対策についてわかりやすくお伝えします!

https://ci.clara.jp/event/20241024_websecuritys/

サイバー攻撃のトレンド

サイバー攻撃の現状

近年、サイバー攻撃の手法は多様化し、その頻度も増加しています。警視庁の調査によれば、1日1IPあたりの不正アクセス件数は令和1年の約4,000件から令和6年には約9,825件へと2.3倍以上に増加しました。

主な攻撃手法

  • ランサムウェア: データを暗号化し、身代金を要求する攻撃。
  • ゼロデイ攻撃: 修正プログラムが公開される前の脆弱性を狙う攻撃。
  • AIを活用した攻撃: AIを利用した高度な攻撃手法が増加しています。

AIを活用した攻撃には、ランサムウェアの自動生成やゼロデイ攻撃の迅速な展開が含まれます。特にランサムウェアでは、AIが攻撃対象を特定し、効率的にデータを暗号化することで、攻撃成功率が高まっています。また、AIは攻撃の自動化を可能にし、従来よりも短期間で大規模な攻撃を実現する手段として悪用されています。

これらの攻撃は従来のセキュリティ対策では検知が難しく、被害を受けた企業には金銭的な損失やブランドイメージの低下といった深刻な影響を与えます。

https://www.nikkei.com/article/DGXZQOUC143300U4A510C2000000/

 

WAFの重要性

WAFとは?

WAF(Web Application Firewall)は、ウェブアプリケーションを保護するためのセキュリティツールです。従来のファイアウォールやIPS/IDSでは防げない攻撃にも対応可能です。

防御可能な攻撃の一例

  • バッファオーバーフロー
  • クロスサイトスクリプティング
  • SQLインジェクション
  • OSコマンドインジェクション
  • DDoS攻撃
  • ブルートフォースアタック
  • ディレクトリトラバーサル

WAFを導入することで、多層防御の一環としてウェブサイトのセキュリティを大幅に強化できます。

中小企業が抱える課題

導入における課題

  • コスト負担: 初期費用やランニングコストが大きな負担。
  • リソース不足: 専門知識を持つエンジニアが不足している。
  • 誤検知・誤遮断: 正当なアクセスが遮断されるリスク。

解決策

SaaS型WAFの導入が推奨されます。この形式は初期投資が少なく、運用負担も軽減されます。

セキュリティを選ぶ際の7つのポイント

セミナーでは、最適なセキュリティサービスを選定するための7つのポイントが解説されました。

    1. 導入タイプ

      • アプライアンス型、エージェント型、DNS切り替え型の3種類があります。
      • 中小企業には、初期投資が少ないエージェント型やDNS切り替え型がおすすめです。
    2. 運用方法

      • 自社で運用するのか、運用サービスを利用するのかを明確にする必要があります。
      • 運用負担が大きい場合は、運用サービスの利用が有効です。
    3. 必要な機能

      • 自社のリスクに応じて、DDoS対策やAIによる検知機能などが必要かを判断します。
    4. ルール設定と判定方法

      • 攻撃を遮断するためのルールや判定方法が適切か確認します。
      • シグネチャやAIを活用した検知精度が重要です。
    5. サポート体制

      • 日本語対応のサポートがあるかどうかを確認します。
      • 国内ベンダーが提供する支援は特に安心です。
    6. 課金の仕組み

      • PV数やトラフィック量、サブドメイン単位など、課金方法が自社の利用状況に適しているか確認します。
    7. プラスアルファの機能

      • プラスアルファの機能は、セキュリティサービスの選定において差別化のポイントになります。
        たとえば、CloudflareはCDN機能を備えており、ウェブサイトの高速化やSEO向上にも寄与します。
        攻撃遮断くんは、24時間365日対応の日本語サポートを提供しており、トラブル時の迅速な解決が期待できます。
        一方で、AEGISはAIエンジンを搭載し、高い防御力を誇るほか、フェールオーバー機能によって障害時でもサービスの安定性を確保します。また、解析レポートの提供により、セキュリティ対応力の向上も実現します。

    これらの機能を比較検討し、自社にとって最適な選択肢を見つけることが重要です。

    おすすめのWAFサービス

    セミナーでは以下の3つのWAFサービスを一例として紹介しました。

    攻撃遮断くん

    • 特徴: 日本国内で最も多く導入されている国産WAF。
    • 利点: 日本語対応の手厚いサポート、24時間365日の対応体制。
    • 価格: 月額1万円から。

    Cloudflare

    • 特徴: CDN(コンテンツデリバリーネットワーク)機能を併せ持つ多機能なWAF。
    • 利点: 高速化やSEO向上が可能。
    • 価格: 月額20ドルから。導入支援プランは月額1万円~

    AEGIS(イージス)

    • 特徴: AIエンジンを搭載した次世代型WAF。
    • 利点: フェールオーバー機能、高い防御力、解析レポートの提供。
    • 価格: 月額2万円から。

    WAF以外のセキュリティ対策

    また、WAF程はいらないけどセキュリティ対策をしたいという企業向け、またはWAFは入っているけど、内部の脅威に対応したい、といった方向けに以下のサービスも一例としてご紹介しました。

    Trend Micro Vision One – Endpoint Security

    • 特徴: クラウド型総合サーバセキュリティ。
    • 価格: 月額2万円から。

    SIDfm 

    • 特徴: 脆弱性管理ツール。
    • 価格: 月額1万円から。

    AWS Secure

    • 特徴: クラウド設定ミスを防ぐセキュリティツール。
    • 価格: 初期設定10万円~、月額は5万円~。(初期設定のみも可)

    環境別の最適なセキュリティ_WAFの選択肢

    ケース1: 大量のリッチコンテンツを含むBtoCサイト

    • おすすめ: Cloudflare
    • 理由: CDN機能による高速化とDDoS防御。

    ケース2: リソースに限りがある小規模企業

    • おすすめ: 攻撃遮断くん
    • 理由: ダッシュボード機能、24/365の日本語サポート

    ケース3: Webサイトの可用性を重視

    • おすすめ: AEGIS
    • 理由: 自動フェールオーバー機能、高い防御力、AIエンジン搭載による迅速な対応。

    ケース4: 低コストで幅広い攻撃への対処が必要

    • おすすめ: V1ES
    • 理由: 1台あたり2万円でカバーでき、IPS・IDSの不正侵入防止、脆弱性対策(仮想パッチ)、不正プログラム対策も含む。WAF+V1ESを導入される方も多数

    ケース5: 外部からの攻撃対策以外に内部の対策も重視したいが運用は楽に

    • おすすめ: AWS Secure+WAF(運用支援付き)
    • 理由: 設定ミスによる内部の脆弱性をカバーし、ダッシュボードでセキュリティ状況を可視化。運用支援付きWAF、マネージド型のAWS secure選択することで運用を任せられる

    まとめ

    サイバー攻撃のリスクが増大する中、中小企業においても適切なセキュリティ対策が必須です。WAFやその他のセキュリティサービスを選定する際は、コストや機能、運用負担を考慮し、自社に最適なソリューションを導入することが重要です。

    クララ株式会社では、セキュリティ商材の提供や運用支援を通じてお客様の安心をサポートしています。ぜひお気軽にご相談ください。

    この記事を通じて、より良いセキュリティ対策を検討する一助となれば幸いです。

    おすすめ