その被害0.1秒でなかったことに!ゼロトラストで改ざんからWebを守る|サイバーセキュリティ.com

その被害0.1秒でなかったことに!ゼロトラストで改ざんからWebを守る



社内ネットワークと外部との間に境界を引いて境界線上で防御するのが、ファイアウォールやIPSなど、従来から存在しているセキュリティ対策製品です。このような、「境界の内部は常に安全、外部を疑うべき」という前提に立ったセキュリティを「境界防御型セキュリティ」と呼びます。

デジタル・インフォメーション・テクノロジー株式会社 / ITセキュリティ事業部営業グループ部長 長谷川敬一氏

一方、テレワークやBYOD、クラウドサービスの急増などにより、社内ネットワークと外部の境界線は曖昧になっており、境界防御型セキュリティに代わるセキュリティモデルが注目されています。内部・外部に関わらずあらゆる通信・アクセスを疑い、すべて検証するという「ゼロトラスト(Zero Trust)」型のセキュリティモデルです。

今回は、Webの改ざん攻撃に対し、ゼロトラストの考え方で防御する画期的な製品、「WebARGUS(ウェブアルゴス)」について、デジタル・インフォメーション・テクノロジー株式会社、ITセキュリティ事業部営業グループ部長 長谷川敬一氏にお話を伺いました。

改ざんを検知して0.1秒以内で復旧

サイバーセキュリティ.com
「WebARGUS(ウェブアルゴス)」は、不正アクセスなどによるWeb改ざんを検知、0.1秒未満で復旧するという製品なのですね。

長谷川氏
はい。世界中のベンダーが様々なセキュリティ製品を提供していますが、Web改ざん攻撃の被害を未然に100%防げる防御製品はひとつも存在しません。

「WebARGUS」は、全く逆の発想で、攻撃は防ぎ切れない(ゼロトラスト)という前提に立ったセキュリティ製品です。万が一、Webが改ざんされたとしても、被害を検知して一瞬で元の正しい状態に戻すことで「実害をゼロにする」というコンセプトで設計しました。

サイバーセキュリティ.com
サイバー犯罪というと様々な攻撃がありますが、Web改ざんへ対処する製品を開発したきっかけは何でしょうか。「JPCERT/CC インシデント報告対応レポート」を見る限り、Web改ざんは他の攻撃と比較して発生件数自体が少ないように見えます。

2019年4月1日から2019年6月30日までの間に受け付けたインシデント報告の統計(JPCERT/CC インシデント報告レポートより引用)

長谷川氏
インシデント報告件数の第1位がポートスキャンですが、これは実際の攻撃をする前の調査として行われるもので、実被害ではありません。ポートスキャンでの調査を経て、Web改ざん攻撃が仕掛けられます。

また、インシデントの件数としてカウントできるのは、被害に気が付き報告できたケースのみであることを認識しておく必要があります。サイバー犯罪者の視点では、攻撃に気付かれた時点でその攻撃は失敗です。実被害がありかつ、気が付けない攻撃に対策する製品として「WebARGUS」が生まれました。

Web改ざんを検知するだけでは意味がない

サイバーセキュリティ.com
実際は、インシデント報告件数以上にWeb改ざん被害が発生しているということですね。

長谷川氏
Web改ざんの手口が巧妙なので、残念ながら、被害を受けても気付けないことが多いです。だからこそ、攻撃に気付くためのソリューションがいるのです。さらに、攻撃に気付くだけでは駄目で、「やられたらもとに戻す」ことが重要です。

なぜ改ざんの兆候を検知するだけでは駄目かと言うと、例えば、Webサイトに書いてある「あいうえお」という文字を「かきくけこ」に改ざんしたところで、それは攻撃としては成立していません。Webサイトを書き換えただけではお金にならないからです。攻撃を成立するためには、Webサイトにマルウェアを仕込むという改ざんをしないといけません。ランサムウェアなどのマルウェアを仕込んで、Webサイト訪問者にダウンロードさせる。そして、その訪問者から金銭を収集してはじめて、攻撃成功となります。

サイバーセキュリティ.com
Web改ざんを検知しただけでは解決にならないということですね。

長谷川氏
金銭の収集が攻撃者の主目的だからこそ、Web改ざんを検知しただけでは解決になりません。検知後、さらにWebサイトを改ざん前の正しい状態に戻して、マルウェアのダウンロードを防ぐところまでを瞬時に行う必要があります。これを行うのが、「WebARGUS」です。

「WebARGUS」の登場以前も、Web改ざんを検知できる製品はあったものの、瞬間的に元に戻すところまでできる製品はありませんでした。

新規の設備投資なく簡単に導入できる

サイバーセキュリティ.com
「WebARGUS」はどのように設置するのでしょうか?

長谷川氏
まず、「WebARGUS」はソフトウェアとして購入いただく製品です。そして、使用中のWebサーバーに監視ソフトウェア「Agent」をインストール。管理用サーバーに管理ソフトウェア「Manager」をインストールします。

サイバーセキュリティ.com
「Agent」と「Manager」とで2つのサーバーを使い分けている理由は何でしょうか?

長谷川氏
理由は2つあります。1つ目が「Agent」自体の監視です。Webサイトを改ざんするという攻撃の他、攻撃を察知されないように「Agent」を停止させるという攻撃を受ける場合があります。「Manager」により、「Agent」が正常に稼働しているかを監視しています。

2つのサーバーを使い分ける理由の2つ目は、Webサーバーを複数稼働している場合に、「Manager」でそれらの「Agent」を管理することです。

サイバーセキュリティ.com
なるほど。「Manager」をインストールするサーバーは、「WebARGUS」専用に用意する必要がありますか?

長谷川氏
いいえ。「WebARGUS」専用サーバーである必要はなく、他のサーバーと共用で構いません。スペックを満たしていれば、オフィス内に余っているステージングサーバーで十分です。また、有料ですが当社からレンタルすることも可能です。

復旧するだけではなく証拠保全も

サイバーセキュリティ.com
「WebARGUS」がWebサイトを正規の状態に復旧した場合、復旧前に改ざん内容を証拠保全する機能があるのですね。

長谷川氏
復旧する前、改ざんされた状態のファイルを隔離保存する証拠保全があります。証拠保全をしたとしても、攻撃者の特定は困難ですが、攻撃の目的を推察することが可能です。証拠のファイルを分析すれば、何に変えられたか、どんなスクリプトが埋め込まれたかを知ることができます。すなわち、攻撃者が何をしようとしたのか、攻撃の目的を調査することができるわけです。

お客様から保全したファイルの分析を依頼されることもあり、分析後レポートとして提出することもあります。

サイバーセキュリティ.com
SQLインジェクション攻撃の場合は、どうなるのでしょうか?

長谷川氏
SQLインジェクションによる改ざんに対しては、「WebARGUS」の効果は限定的です。このため新機軸のクラウドWAFサービス「WebARGUS Fortify」を用意しています。外部からのすべてのWebアクセスを「WebARGUS Fortify」で受信。精査した後に正常なデータだけをお客様のWebサーバーに転送するサービスです。

従来のフローを変えずにWeb更新作業ができる

サイバーセキュリティ.com
「WebARGUS」稼働中のWebサイトの更新作業について教えてください。

長谷川氏
「WebARGUS」導入後も、これまでのWebサイトの更新作業手順を大きく変える必要はありません。監視モードと更新モードとを切り替えるだけです。具体的には、Webサイトの更新方法は2つあります。

「Manager」の管理画面を操作して、更新モードに変えるという方法が1つ目です。例えば、Web担当者が業務時間中に更新作業を行う場合、「Manager」の管理画面で更新モードに切り替えてからWebサイトの更新作業をします。更新作業が終わったら管理画面で監視モードに戻します。

もう一つの更新作業方法は「WebARGUS」に用意されたWebAPIを利用するという方法です。例えば、CMSの自動投稿機能を使ってWebサイトを更新する場合などで、あらかじめWebAPIのコマンドを叩いておけば、就業時間外でも自動的に、「WebARGUS」が更新モードへ切り替え、Webサイトを更新したあと、監視モードに戻すことが可能です。

サイバーセキュリティ.com
ということは、社内で「更新作業時にWebARGUSのモードを切り替える」ということだけ周知しておけば良さそうですね。

長谷川氏
はい。これまでのサイト更新作業のフローを大きく変えることなく、一般のサイト制作担当者でも対応可能です。

ゼロトラストモデルを簡単に組み込める

サイバーセキュリティ.com
従来の境界型セキュリティ対策製品を運用中の企業にとって、「WebARGUS」とはどのような位置付けの製品ですか?

長谷川氏
「WebARGUS」は、”最後の砦”または保険として、既存の仕組みの上に簡単に追加できる製品です。万が一、脅威がWAFやIPSなどの対策を破ってしまった場合の対処が、「WebARGUS」の仕事になります。

また、ゼロトラストモデルを採用したセキュリティ製品も続々と登場していますが、実際は、企業の全てのセキュリティ施策をゼロトラスト化するのは、多くの企業で時間的・コスト的に相当ハードルが高いのが現状です。現実的には、現状の境界型防御のセキュリティ施策を継続することになるでしょう。「WebARGUS」を導入することで、ゼロトラストモデルを企業のセキュリティ施策に追加・組み込むことができます。

サイバーセキュリティ.com
「WebARGUS」を特におすすめしたい業種やお客様は?

長谷川氏
金融や証券・保険関連の企業は、全体的にセキュリティに力を入れており、「WebARGUS」へのニーズが高まっています。また、ECサイトやWeb制作を行うWeb事業者の場合、サイトが落ちて使えなくなるという状況は死活問題です。Web事業者も「WebARGUS」導入のメリットが大きい業種です。

企業規模の大小問わず、実際にこのような企業様が「WebARGUS」を導入されています。

SNSでもご購読できます。