【コラム】 ハッカーはなぜ中小企業をターゲットにするのか
このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。
今回の話をする前に、「ハッカーは大手企業のみを攻撃のターゲットにしている」という固定観念は、捨てた方がいいと言っておきたい。「どうせ盗みに入るなら、お金持ちを狙う」という一般的な認識から、「ハッキングするなら価値のある情報を「たくさん」保有していそうな大手を狙うもの」といった考えに至るだろう。
しかし、ここが穴場である。大手を狙うコストを考えると、いくら成功した時に得られる情報が「たくさん」あってもハッキング自体、割に合わない仕事になってしまうのだ。最近では、大手に比べIT予算が豊富にないことから、セキュリティ対策が十分でない可能性の高い中小企業をターゲットにする傾向が見られているのである。
先日、シマンテック(Symantec)が公開したインターネットセキュリティ脅威レポート(Internet Security Threat Report 2016)によると、サイバー攻撃の約6割は中小企業やスタートアップ企業をターゲットとする攻撃と記述している。当事者の立場から考えると驚く程の数値である。今回このコラムを借りて、なぜハッカーは、中小企業を狙うのかを簡単に説明したいと思う。
中小企業は狙われやすい
本来なら、価値のある情報が多そうなところを狙うと思われていたハッカーは、なぜ中小企業にそのターゲットを定めてきているのか。実は、かなり論理的な考え方に基づいた賢い(?)選択だと筆者は思う。
中小企業の場合、この「サイバーセキュリティ」についてかなり誤解している部分がある。まず、ホスティング業者やシステム委託先にセキュリティは考えて(対策して)もらっていると勝手に思い込んでいるのである。サイバーセキュリティは、当事者の責任の下対応していかなければならないものである。
2つ目は、「ハッキングされたら、その時に対応策を考えれば良い」と認識していることである。つまり事後対応すれば良いと考えているのである。セキュリティへの投資は、リターンのない投資だ。予算や人に限りのある中小では、やっぱり後回しにされがち。最近のIncマガジン(The Big Business of Hacking Small Businesses, 2015)でも、71%のデータ漏洩事故は会社規模100人以下の中小を対象に行われていると言っている。サイバー攻撃による各企業側の被害額を平均すると約3万6,000ドルを上回るそうだ。大企業としては大した金額でないかもしれないが、中小企業には死活問題に陥る危険性もあるだろう。
中小企業は、サイバーセキュリティに目を向けられないという現状を、ハッカーらは把握しているのである。
その他、理由は色々とあるものの、いまだにセキュリティ対策について全社的に真剣に取り組む中小企業は数少ないのが現状である。重要な個人情報や企業機密等を安全に管理しなければならないのは、大企業でも中小企業でも差はない。よってハッカーらも、「たくさん」情報を持っている大手を狙うコストとセキュリティのスカスカな中小を狙うコストを天秤にかけるだろうし、非常に合理的な判断として、中小企業を狙う方にシフトしていくのである。
それでは、中小のセキュリティ対策は、どうすればいいのか。
ここで言っておきたいが、セキュリティ対策は、継続的に取り組んでいかなければならないということである。つまり、一回の投資ですべてが万々歳ではないということ。
そして、外部からの攻撃は知られているが、内部者による情報漏洩にも気をつけるべきだ。攻撃者がサイバー攻撃を試みる際、45%が試験的に自社に攻撃を仕掛けてみており、そのうちの29%は成功しているそうだ。
中小企業のセキュリティ、どのようにアプローチすべきなのか。
まず、自社のWebサイトが脆弱(ぜいじゃく)であることを認めることから始まる。Webサイトの脆弱性を突いた攻撃は、場所を問わず起こり得る。サイバーセキュリティについて考え方を変えることが、サイバーセキュリティのための第一歩である。
次に、重要情報に対してのアクセスポリシーを策定することである。これは、サイバーセキュリティを考慮する際には必須だ。内部者による犯行を未然に防ぐ、そして、社内にて情報管理の担当者としても、万が一の事故があっても本人を守ることができるのである。そして攻撃ターゲットにある対象を守るためのソリューションを導入することである。例えば、Webサイトのセキュリティであれば、Webアプリケーションファイアウォール(WAF)が考えられるだろう。
では、Web攻撃対策として必須的な「Webアプリケーションファイアウォール(WAF)」とは何だろうか。
WAF(ワフ)は、Webアプリケーションファイアウォール(Web Application Firewall)の略で、脆弱性を悪用した攻撃からWebアプリケーションを保護するものである。
中小企業に対してWAF導入が必須的であることは、下記の二つの理由で説明できる。
- Webサイトのセキュリティ強化:WAFは、最近行われる様々なWeb攻撃のパターンを分析し、それに適切な対応を行うことができる。
- 脆弱性を悪用した攻撃への対応:Webアプリケーションに脆弱性が検知された場合、WAFはその脆弱性を悪用した攻撃に対抗し、完璧に解決できる。
脆弱性の多いWebサイトをしっかりと保護するためにも、WAF導入を検討して導入しなければならない。
それでは、中小企業向けの最適のWAFとは?
WAFの種類は、ハードウェア型とソフトウェア型、そしてクラウド型がある。この中で、最近多く注目されてのは「クラウド型WAF」である。
「クラウド」とは、機器を利用するユーザが単にインターネットにアクセスすることで、アプリケーションなど様々なサービスの提供を受けられるサービスである。最近企業システムのクラウド化が加速しているが、それはセキュリティ分野でも例外ではない。
既存のハードウェア型WAFは、これまで自主的に保有している電算室のサーバの前に設置され、外部から行われる不正アクセスやウェブ攻撃からWebサーバを保護する方式だった。しかし、クラウド型WAFサービスは、装備の設置に努力をかけなくても良い。進化している仮想化環境に最適なWebセキュリティソリューションだと言えるだろう。
クラウド型WAFのメリット
クラウド型WAFは、下記の三つの理由で多数の企業から選ばれている。
- 低費用で運用・導入可能:既存のハードウェア型WAFに比べ、初期費用も安価で提供され、月額制で行われている。特に負担がないので、企業は気軽に利用できる。
- 短期間で導入:クラウド型WAFは、別途にサーバ構築作業を行う必要がない。以下の3ステップで終わる。
①アカウント登録 ▶ ②ドメイン入力 ▶ ③DNS設定この3ステップで、早速な導入が可能である。他のインフラ調達や複雑な初期設定がないことから、これはクラウド型WAFが持つ強力なメリットだと言える。
- システム運用管理の不要:システムの導入及びその後の運用管理は、該当セキュリティ企業ベンダーから提供するため、別途のセキュリティ担当者を配置する必要がない。
低コスト・高セキュリティ・ソリューション、クラウドブリック(Cloudbric)
クラウドブリックは、ペンタセキュリティのアプライアンス型WAF製品である「WAPPLES(ワップル)」の技術を基盤としたクラウド型WAFである。20年を超えるペンタセキュリティの技術力とノウハウで、もはや全世界に認められているサービスであり、個人ユーザー向けのサービスや企業向けのエンタープライズサービスを提供している。
クラウドブリックは、下記のとおり、三つの特徴を保有している。
- 全世界の専門家が認めた最高のソリューション:クラウドブリックは、既に全世界から認められているクラウド型WAFサービスである。2016 SC Awards Europeで最高の中小企業セキュリティソリューションとして受賞しており、その他にも2016 Cyber Defense Magazine AwardsからThe Hot Company in Web Application Security for 2016を受賞した。また、米国のNCSAM Championとしても選定された。
- 高度の技術力で外部からのウェブ攻撃遮断:米国のリサーチ専門機関である「Frost & Sullivan」の発表により、2016年アジア・パシフィック地域WAFのマーケットシェア第1位のWebアプリケーションファイアウォールのコア技術である自社開発の論理演算検知エンジン(COCEP™; Contents Classification and Evaluation Processing)を搭載したクラウドブリックは、不明確なWeb攻撃をより効果的に検知し、遮断する。
- 直観的なインタフェース画面を提供:ダッシュボードが一般ユーザーでも簡単に運用・管理できるように直観的なインタフェースで構成されている。
セキュリティは、その第一歩を踏むことが大切だ。中小企業を狙っているハッカーに立ち向かうべく、中小企業側でも低コストのクラウド型WAFを利用して、セキュリティを強化するべきである。
クラウドブリック(Cloudbric)の詳細情報は、こちらから詳しく確認できる。
キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。