セキュリティ対策、今後気をつけるべきポイント

 2017.12.26  Secure Enterprise編集部

現在「企業として適切なセキュリティ対策を取れている」と、胸を張って言える企業はどれ程いるでしょうか? 

2016年も様々なサイバー攻撃被害が発生し、昨年以上にセキュリティへの関心が高まった年になったのではないかと思います。

しかし、セキュリティ意識の向上と実際のセキュリティ対策は比例せず、まだまだ企業として適切なセキュリティ対策が取れていないというケースが少なくありません。

そこで今回は、皆さんのセキュリティ意識をさらに高め適切な対策を取っていただくために、“2017年のセキュリティトレンドと脅威予測、そして企業が今後気を付けるべきセキュリティ対策のポイントについて紹介します。

2017年のセキュリティトレンドと脅威予測

2016年に発生したサイバー攻撃事件や、12月にシマンテックが開いた記者発表会の内容を踏まえ、2017年のセキュリティトレンドと脅威予測のいくつかを紹介します。 

常時SSL通信の実装

SSL通信によるHTTP通信の暗号化は、セキュリティ業界で古くから推奨されてきたセキュリティ対策です。しかし2017年では、マーケティング視点から見たSSL通信の重要性が高まると予測します。

世界的な検索エンジンGoogleでは、既に常時SSL通信をWebサイトの評価項目として設定しており、近年その事実性が高まりました。

従って今後より多くのWebサイトが、セキュリティ対策だけでなくマーケティングの視点からも常時SSL通信を実装していくでしょう。

WAFのさらなる導入拡大

2016年はWebサイトの脆弱性を狙ったサイバー攻撃が相次いだことから、WAFの有用性がさらに認められ、導入が拡大していくと予測します。

また、クラウド型WAFが一般的に浸透しつつあり、2桁台の成長率もあり得るでしょう。

クラウドを狙ったランサムウェア被害

2015年から2016年にかけて急速に被害が拡大したランサムウェアですが、2017年にはクラウド上のファイルを狙ったランサムウェア被害が予測されています。

近年ファイル共有スペースをクラウド上に構築する企業も多く、それら企業を狙った攻撃が増加する可能性があるので注意が必要です。

※感染すると重要ファイルやシステム操作がロックされ、解除のために金銭を譲渡しなければならないマルウェア 

Mirai”によるIoTデバイスを利用した被害が拡大

MiraiはLinux上で動作するコンピュータを大規模な攻撃に利用できるマルウェアであり、IoTデバイスやネットワークカメラなどのオンライン機器を主に狙います。

IoTデバイスの急激な増加が見込まれている2017年において、このMiraiによる大規模なDDoS攻撃などが懸念されています。

モバイルデバイスの脆弱性を狙ったサイバー攻撃が急増

未だサイバー攻撃のメインターゲットとなっていないモバイルデバイスですが、企業でのモバイル活用拡大や、iOSなどの脆弱性多発によってモバイルデバイスを介した情報漏洩事件が多く発生する可能性があります。

コネクテッドカーの普及に伴い脅威が増加

数々のセンサー取り付けや外部ネットワークとの接続を可能とするネクテッドカーは、ハッキングされる可能性がある自動車としての危険性があります。

実際に、「BLACK HUT USA 2015-2016」では、ハッキングチームによる自動操縦の制御が可能と発表され、危険視されています。

以上のように、2017年もサイバー攻撃の脅威は止まるところを知りません。攻撃者は手を変え品を変え、そして攻撃対象を変えてまで重大な情報搾取や内部ネットワークへの侵入を目論んでいます。

ホワイトペーパー:公開ウェブサイトに安心感を! 脆弱性診断のススメ

企業が今後気を付けるべきセキュリティ対策のポイント

こうしたサイバー攻撃の深刻化を踏まえ、企業が今後気を付けるべきセキュリティ対策のポイントを紹介します。 

脆弱性を発生させない、埋もれさせない管理体制の徹底

攻撃者が狙うのは、常にハードウェアやソフトウェアが持つ脆弱性です。従ってハードウェア導入、ソフトウェア開発段階から運用に至るまで、脆弱性を発生させない/埋もれさせない管理体制の徹底が重要となります。

具体的にはセキュリティ性を意識したシステム設計や、開発段階でのセキュアコーディング、さらにはアプリケーションリリース前の脆弱性診断などが有効的です。

多角面からのサイバー攻撃に備えた総合セキュリティ環境

昨今のサイバー攻撃が狙う侵入経路は決して一つではありません。特に標的型攻撃に代表されるような組織的なサイバー攻撃に関しては、システム全体が持つ脆弱性をスキャンした上で攻撃経路を断定してきます。

従って、企業は単一経路へのセキュリティ対策だけでなく、多角面からのサイバー攻撃を想定したセキュリティ環境の構築が重要課題の一つです。 

これに伴い運用負荷の増大が予測されるので、SaaS型のセキュリティサービスを検討していきましょう。

組織間で迅速な情報共有体制を整える

サイバー攻撃によるセキュリティ対策を強化するためにも、組織間での情報共有は非常に重要です。昨今発生したサイバー攻撃の事件には、情報共有体制を整えていれば割けられた事例もいくつか散見されます。

特に、日々巧妙化する標的型メール攻撃に対しては、常に情報共有することで組織の隅々までセキュリティ意識を高めることが重要です。

Webアプリケーション脆弱性への危機意識を高める

近年発見されている脆弱性のほとんどは、Webアプリケーションが抱えています。

ソフトウェア製品の製品種類別の脆弱性届出状況

引用:ソフトウェア等の脆弱性情報の取り扱いに関する届出状況[2016年第3四半期(7月~9月)]

従って企業は、Webアプリケーションが持つ脆弱性への危機意識をさらに高め、定期的な脆弱性診断や、適切なソリューションの導入が必要になります。

WAFを導入し、あらゆるサイバー攻撃からWebサイトを守りましょう

2017年も被害が拡大するであろう、Webアプリケーションの脆弱性を狙ったサイバー攻撃ですが、“WAF(Web Application Firewall)”による脆弱性の保護が有効的なセキュリティ対策となります。 

WAFは、Webアプリケーションの前面に設置され、WebサイトからのHTTP/HTTPS通信やWebアプリケーションからのレスポンスを監視し、アクセスを制御することで様々なサイバー攻撃を防御することができます。

特に、近年増加するSQLインジェクションクロスサイトスクリプティング、コマンドインジェクションといったWebアプリケーションの脆弱性を狙ったサイバー攻撃に有効であり、従来のセキュリティ製品(ファイアフォール、IPSなど)では対策の取りづらいWebサイトを確実に守ること可能なのです。 

シマンテックが提供する「シマンテック クラウド型WAFは、DNS設定の変更のみで迅速かつ低コストなWAF導入を支援し、年間100回以上のシグネチャ更新で高セキュリティ性を実現するWAFソリューションです。

まとめ

いかがでしょうか?企業のセキュリティ意識は年々高まっているものの、サイバー攻撃の技術や種類はそれ以上の速度で成長しています。

既知の脅威はもちろん、未知の脅威に対応するためにも、今回紹介したセキュリティ対策のポイントを踏まえて、2017年のセキュリティ環境について見直していただければと思います。 

また、「シマンテック クラウド型WAF」は無償トライアルで事前検証を経た上で適切な導入を行っておりますので、この機会に是非ご確認ください。

セキュリティ診断サービス

本ブログ記事は、セキュリティに関する一般的な内容を掲載しています。シマンテック クラウド型WAF製品はウェブの情報漏えい対策に有効なソリューションですが、すべてのサイバー攻撃に対応できるものではありません。シマンテック クラウド型WAF製品についてご不明な点がございましたら、こちらのお問い合わせフォームよりご連絡ください。

RECOMMEND関連記事


RECENT POST「導入検討」の最新記事


この記事が気に入ったらいいねしよう!
WAF賢い選び方ガイド