クラウドはセキュリティ対策の切り札にもなる

img_solution_feature02

セキュリティ対策には終わりがない。どんなに対策をとっても、悪意のあるハッカーは新たな攻撃を繰り出してくる。自社で最新のセキュリティ対策を採り続けるのは現実的なのだろうか。

 

 

「防御者のジレンマ」を解決するクラウド型セキュリティサービス

米国のシンクタンクRAND研究所は「防御者のジレンマ」という調査レポートを発表し、企業におけるインターネット・セキュリティの実態を読み解いた。セキュリティ関連支出は毎年、全世界で700億ドルを数え、10~15%の増加を示している。支出増加にも関わらず、企業は現在のセキュリティ対策に不満を抱えているという。悪意のあるハッカーの攻撃に不安を抱え、セキュリティ対策の見直しが必要と感じているのだ。

セキュリティ対策は常に防御の側に立たなければならない。そのため、常に受動的で対応が後手に回ってしまう。サイバー攻撃の実態が明確になっていないため、どれほどのリスクがあり、どのような経済的損失が起きうるのかを理解するのが難しい。セキュリティについて予算をかけて対策を施し、防御を固めるほどに、不安が募ってしまうという「ジレンマ」に陥るのだ。

セキュリティは、問題が発生しなくて“当たり前”で、問題が発生すれば大きな損害をもたらすという、複雑な性質を持つ。わずかな過ちが大きな損失を発生させるリスクが存在するため、そのリスクを特定し、最小化する取り組みが必須となる。このような発生時の損害が大きい事象については、損害発生の確率を下げる「低減」策と、損害を他社と共有する「移転」策が望ましい。

リスクの高いセキュリティ対策を専門性の高いサービスに委託するのは理にかなっている。自社でセキュリティ機器を購入して運用すると、常に最新化されるハッカーの攻撃に逐一対策を立てなければならないため、運用負荷は常に高まる一方で「防御者のジレンマ」から抜け出せない。クラウド型のセキュリティサービスを利用すれば、パターンファイルの更新などをクラウド事業者が代行するため、運用負担を大幅に軽減し、セキュリティリスクを低減・移転できる。

クラウド上のセキュリティサービスは、IaaSや仮想マシンの制約から、性能・価格の面でユーザーの期待に応えられないケースもあったが、近年の性能向上によって、クラウドを活用したセキュリティサービスが現実的になってきた。コストを抑えながら、セキュリティレベルを引き上げるものとして期待が集まっている。

Webサーバーを保護するWAF(Web Application Firewall)

Webサーバーのように外部に公開するサーバーは、不特定のユーザーからアクセスを受け付けるため、悪意のあるハッカーからの攻撃を受けるリスクも高くなる。ユーザー情報を保持したり、Eコマースを行ったりする場合は、機密性の高い情報を取り扱うため、情報漏えいなどの損害が大きくなる可能性がある。このようなWebサーバーの保護に利用されるのがWAF(Web Application Firewall)であり、近年はクラウド環境でのサービス提供が始まった。

WAFはWebサーバーの前面に配置され、Webサイトの改ざんや脆弱性を利用した個人情報搾取などの攻撃を防ぐ。クラウド型WAFでは、サーバー構築などの手間がかからず、管理・運用の手間がかからない。防御ログや誤検知といった情報は管理コンソールで確認できるため、新たに脆弱性が見つかったり、特定のアクセスをブロックしたりする設定も、管理者が容易に対応できる。SaaS型であれば月々の利用料を支払えばよいため、初期投資が軽減されるのもメリットだ。

WAFのシステム・イメージ
waf

Pocket

コメント