特定の企業や組織を狙った「標的型攻撃」への対策を見つけるためのポイントをわかりやすく解説する、注目のセミナーがまもなく開催される(2013年8月29日「攻撃手法・検討項目・対策製品までを徹底解説!! 標的型攻撃対策セミナー」)。ここでは、このセミナーで登壇予定のペンタ セキュリティ システムズ 代表取締役社長 桜田仁隆氏に、その講演の内容について聞いてみた。

ハッカーの攻撃はWebアプリケーション狙いが多い!

「あなたのWebサイトは、守られている、安全だと言い切れますか?」と問いかけるのは桜田氏だ。

ペンタ セキュリティ システムズ 代表取締役社長 桜田仁隆氏

標的型攻撃というとメールから始まるというイメージが強い。例えば、社内の人間や取引先を装った"なりすまし"により、添付ファイルを開かせたり、URLをクリックさせたりして侵入のきっかけを作る。このようなケースは、実際に多くの被害が報告されている。しかし、攻撃のターゲットはメールだけではない。多くのハッカーが狙っているのは、Webアプリケーションだと桜田氏は指摘する。

「過去2年、セキュアでないWebアプリケーションを介してハッキングされた例が、実は非常に多くあります。日本でもWebサイトが改ざんされた事件はいくつも報道されていますよね。それなのに企業は、このセキュリティにはほとんど予算を割いていません」と、桜田氏は日本企業の対応の甘さを指摘する。

世界の中でWAF導入が遅れている日本

アンチウイルスソフトや、ファイアウォールを導入することは、いまや常識だ。小規模な企業でも、それがおろそかなところは少ないだろう。しかし、それだけでは、Webアプリケーションを狙った攻撃には対応しきれない。

では、どうすればいいのか。その解決策として桜田氏が提案するのが「WAF(Web Application Firewall)」の導入だ。Webアプリケーションの動きを専門に管理するファイアウォールだけに、その対応力は高い。

しかし問題もある。それは運用が難しいことだ。アプリケーションごと、サイトごとの細かい設定や日々のメンテナンスが難しく、運用には専門的な技術が必要になる。そのため、導入しても使いこなせないままという例もあるようだ。

「導入するだけではダメで、きちんと運用するのが難しい。そんなWAFを、運用しやすい形にしているのがペンタ セキュリティ システムズの提供する『WAPPLES』です。運用が難しい、使い続けるうちに動作が鈍重になる、そういったWAFへの悪いイメージを持っている方にぜひ使ってほしいですね」と桜田氏。

ペンタ セキュリティ システムズは韓国に本社を置く企業だ。Webアプリケーションセキュリティやコアテクノロジーの提供を行っており、2009年に日本法人も設立。現在一押しの「WAPPLES」は従来型のシグネチャーベースの検知ではなく、攻撃の振る舞いから危険性を感知する、ロジックベースの動きを行う"第3世代WAF"であることが大きな特徴だ。

「世界各国の対応状況を見渡したとき、日本ほどWAFを導入していない国はありません。たぶん自分は大丈夫だろう、と甘く考える風潮があるのではないでしょうか」と桜田氏。この気質にWAFは難しいというネガティブな印象が重なり、日本企業のWebアプリケーションがかっこうのターゲットになっているのが現状だ。

対策が突破されたときの対応は?

従来型とは違う利用しやすいWAFとして、「WAPPLES」を提供することで、現在危険にさらされているWebアプリケーションを守る、ペンタ セキュリティ システムズ。しかし桜田氏は、ただ「WAPPLES」を導入すればすべての問題が解決すると考えているわけではない。

「家にいくつの鍵をつけても、どれだけ頑丈な扉を設けても、それで泥棒の侵入を絶対防げるというものではありません。セキュリティも同じです。これを導入したから100%安全などということはないのです。必ず、もし防御が突破されたら、ということを考えなくてはなりません」と桜田氏は警告する。侵入されたら情報は盗み放題という状態では危ないということだ。

Webアプリケーションはどれだけ狙われているのか、その対応策としてWAFはどの程度有効なのか。そして、WAFを突破した攻撃にはどう対応すべきなのか。そのすべては8月29日に開催される「攻撃手法・検討項目・対策製品までを徹底解説!! 標的型攻撃対策セミナー」で桜田氏から語られる。Webアプリケーションを活用しているすべての企業の担当者にとって、非常に有益な情報が得られる場となるだろう。ぜひ参加してほしい。