現代のビジネスシーンにおいて、SaaS(Software as a Service)の利用は、もはや不可欠なものとなっています。しかし、その利便性の反面、サイバー攻撃のリスクも高まっているのが現状です。
そのため、情報システム部門やセキュリティ部門の担当者にとっては、サイバー攻撃への対策は、必須業務の一環として避けては通れないものとなってきています。
本記事では、SaaS導入時に確認すべきサイバー攻撃の対策方法について、いまさら聞けないサイバー攻撃の基本概要から具体的な対策方法までを解説していきます!
「世界一わかりやすい情報セキュリティ」連載記事はコチラから!
第1回:【SaaS利用者必見】話題の”セキュリティ評価”の重要性と対策方法を紹介!
第2回:【多要素認証とは?】パスワードのみの危険性とSaaSに必要な理由を解説!
サイバー攻撃とは?
サイバー攻撃とは、インターネットやその他のネットワークを介して、個人や組織のコンピューターシステムやネットワーク、またはデータに対して、意図的に害を及ぼす行為のことを指します。
これには、不正アクセスや情報の盗み出し、ウイルスやマルウェアの拡散、データの破壊や改ざん、DoS攻撃やDDoS攻撃などのサービス妨害など、さまざまな手法があります。
サイバー攻撃は、個人のプライバシーの侵害、経済的損失、企業や組織の信頼低下など、甚大な影響を及ぼす可能性があるため、セキュリティ対策の強化が非常に重要になっています。
とくに、SaaSの導入にあたっては、導入予定のSaaS提供会社がサイバー攻撃への対策を実施しているのか、自社のセキュリティ基準に則った事前チェックが必要不可欠です。
サイバー攻撃対策が重要な理由
①:サイバー攻撃の数が増加している
サイバー攻撃対策が重要な理由の1つ目としては「サイバー攻撃の数が増加している」というものが挙げられます。
日本におけるサイバー攻撃の件数は、年々増加している傾向にあり、日本国家より正式に許可を得て統計をとっているNICT(情報通信研究機構)の調査報告によると、日本におけるサイバー攻撃の件数は10年間で約50倍にも増加しているということで、セキュリティ対策の重要性が高まっています。
このように、日々増加しているサイバー攻撃に対処していくためにも、多要素認証の導入はもちろんのこと、ソフトウェアやOSの定期的な更新を実施したり、USBメモリの利用や持ち出しに制限を設けたりなど、企業や会社全体としても継続的なセキュリティ対策を講じていく必要があるでしょう。
| 年 | パケット 数 |
IPアドレス 数 |
IPあたりの パケット数 |
|---|---|---|---|
| 2013 | 約128.8億 | 209,174 | 63,682 |
| 2014 | 約241.0億 | 212,878 | 115,335 |
| 2015 | 約631.6億 | 270,973 | 245,540 |
| 2016 | 約1,440億 | 274,872 | 527,888 |
| 2017 | 約1,559億 | 253,086 | 578,750 |
| 2018 | 約2,169億 | 273,292 | 806,877 |
| 2019 | 約3,756億 | 309,769 | 1,231,331 |
| 2020 | 約5,705億 | 307,985 | 1,849,817 |
| 2021 | 約5,180億 | 289,946 | 1,747,685 |
| 2022 | 約5,226億 | 288,042 | 1,833,012 |
②:個人情報の保護が厳格化している
サイバー攻撃対策が重要な理由の2つ目としては「個人情報の保護が厳格化している」というものが挙げられます。
サイバー攻撃による損害は、単に財務的な損失に留まらず、企業の信頼性の低下や顧客情報の漏洩による法的責任など、甚大な影響を及ぼすことがあります。
とくに、SaaSを利用する企業にとっては、ビジネスの継続性や顧客の信頼を守るためにも、サイバー攻撃への対策は欠かせないものであるといえるでしょう。
※参考:志布志市ふるさと納税サイトでクレカ情報漏えいか 脆弱性突かれ不正プログラムを設置される
サイバー攻撃の代表的な対策方法
①:DDoS攻撃の対策
サイバー攻撃のなかでも、まず優先的に対処しなければならないのが「DDoS攻撃の対策」です。
DDoS(Distributed Denial of Service)攻撃とは、複数のコンピュータを利用してターゲットのサーバーに大量のアクセスを行い、サービスを停止させる攻撃手法のことです。
このDDoS攻撃の対策には、大きく分けて「予防・検出・対応」の3つの段階があり、それぞれのフェーズごとに対策を講じる必要があります。
DDoS攻撃の予防
DDoS攻撃の予防には、トラフィックの分散を図るCDN(Content Delivery Network)や、不正なトラフィックをフィルタリングするWAF(Web Application Firewall)を導入する方法があります。
DDoS攻撃の検出
DDoS攻撃の検出には、トラフィックの異常な増加を即座に識別したり、ネットワーク内部の不審な活動や攻撃の兆候を検知するIDS(Intrusion Detection System)を導入する方法があります。
DDoS攻撃の対応
DDoS攻撃の対応には、攻撃を検出したときに自動的にクリーンアップするクラウドベースのDDoS対策サービスが効果的です。例えば、AWS ShieldやCloudflareなどが広く利用されています。
②:ファイアウォールを用いた対策
サイバー攻撃の代表的な対策方法の2つ目としては「ファイアウォールを用いた対策」が挙げられます。
ファイアウォール(FireWall)とは、ネットワークとインターネットの間に設置される、入出力するトラフィックを監視する仕組みのことです。
ファイアウォールを使用することで、許可された通信のみを通過させることができるため、ネットワーク内部のセキュリティを確保することができます。
具体的な製品としては、Cisco ASAやPalo Alto Networksなどのファイアウォールがあり、これらは企業のネットワークを守るために広く利用されています。
③:IDS / IPSを用いた対策
サイバー攻撃の代表的な対策方法の3つ目としては「IDS / IPSを用いた対策」が挙げられます。
IDS(Intrusion Detection System)またはIPS(Intrusion Prevention System)とは、ネットワーク内の不審な活動や攻撃の兆候を検知し、侵入を防御するシステムのことです。
IDS(侵入検知システム)は、ネットワーク内の不正な活動や攻撃の兆候を検知し、警告を発するシステムであり、主に監視と警告に特化しています。
一方のIPS(侵入防御システム)は、IDSの機能に加えて、検知した攻撃を自動的に防ぐ機能を持っており、侵入されてしまった後の防御に特化しています。
種類としては、ネットワークベースとホストベースがあり、IDSはネットワークトラフィックを監視し、IPSは特定のコンピュータのシステムコールやファイルアクセスを監視します。
具体的な製品としては、CiscoのFirepowerやPalo Alto NetworksのPanoramaなどがあり、これらは組織のネットワークを不正アクセスから保護するために広く使用されています。
④:WAFを用いた対策
サイバー攻撃の代表的な対策方法の4つ目としては「WAFを用いた対策」が挙げられます。
WAF(Web Application Firewall)とは、ウェブアプリケーションをサイバー攻撃から保護するためのセキュリティシステムのことです。
WAFは、ネットワークの入口でトラフィックを監視し、不正なリクエストを検出して遮断することで、ウェブアプリケーションを保護する役割を果たします。
具体的な製品としては、CloudflareのWAFやAWS WAFなどがあり、これらのサービスは、設定の容易さや柔軟なルール設定が可能なため、多くの企業で採用されています。
ファイアウォールには2種類ある?ステートフルとステートレスの違い
ステートフル(Stateful)ファイアウォール
ステートフルとは「通信の状態を記憶する処理方式」を指します。特にセキュリティ分野では、ステートフルファイアウォールがこの概念を利用しています。ステートフルファイアウォールは、通信セッションの開始から終了までの「状態」を追跡し、その情報を基にパケットが許可された通信かどうかを判断します。例えば、外部からの応答ではなく、内部からのリクエストにもとづく応答のみを許可するなど、より精密な通信制御が可能になります。
ステートレス(Stateless)ファイアウォール
ステートレスとは「通信の状態を記憶しない処理方式」を指します。ステートレスファイアウォールは、各パケットを個別に評価し、その時点での情報のみを基に通過を許可するかどうかを判断します。これは、通信の履歴やセッションの状態を考慮せず、パケットのヘッダ情報(送信元・宛先アドレス、ポート番号など)だけで判断するため、処理が高速であるという利点がありますが、ステートフルファイアウォールに比べると、セキュリティレベルは低くなりがちです。
ステートフルとステートレスの比較・使い分け
| 項目 | ステートフル | ステートレス |
|---|---|---|
| 通信の状態 | 記憶する | 記憶しない |
| 必要なリソース | 多い | 少ない |
| セキュリティの強度 | 高い | 低い |
ステートフルとステートレスの違いは、通信の状態をどのように扱うかにあります。
ステートフルは、通信のコンテキストを理解し、より高度なセキュリティ対策が可能な反面、相応のリソースが必要になります。
一方のステートレスは、処理が高速かつシンプルな反面、ステートフルよりもセキュリティのレベルは低くなる傾向にあります。
ファイアウォールを使用する場合には、環境や求められるセキュリティレベルに応じて、適切な方式を選択することが重要です。
サイバー攻撃対策を実施することによる価値
本記事では、SaaS導入時に確認すべきサイバー攻撃の対策方法について、いまさら聞けないサイバー攻撃の基本概要から具体的な対策方法までを解説していきました。
サイバー攻撃対策を実施することで得られる、最も直接的なメリットは、言うまでもなくセキュリティの向上にあります。しかし、それだけではありません。
企業の信頼性の維持、法規制への対応、ビジネスの継続性の確保など、企業価値を総合的に高める効果が期待できます。従業員や顧客の情報を守ることは、社会的責任の一環として重要なのです。
