クラウドセキュリティの脅威とWAFで対応可能な攻撃を解説

クラウドセキュリティとは、クラウドコンピューティング環境における情報資産を保護するための対策を指します。具体的には、データ、アプリケーション、インフラ、システムなどを不正アクセス、漏洩、改ざん、破壊から守るためのセキュリティ対策の全体像を指します。

従来のオンプレミス環境と異なり、クラウドサービスでは自社でデータセンターを保有せず、インターネット経由でサービスを利用するため、セキュリティリスクも大きく変化します。近年では、自社内にサーバを設置せず、クラウドサービスを使用する企業が増加しており、クラウドセキュリティの重要性が高まっています。

次章では、クラウド環境におけるセキュリティの脅威について説明します。

クラウド環境は、インターネット環境さえあれば場所を問わずサービスが利用でき、自社でハードウェアやソフトウェアを導入する必要がないことから近年普及していますが、従来のオンプレミス環境とは異なる脆弱性や攻撃方法が存在します。
本章では、クラウド環境における脅威の種類や被害事例についてご紹介します。

まず、クラウド環境はオンプレミス環境と比べて以下のような特徴があります。

・インターネット経由でアクセスできるため、攻撃対象になりやすい
・データが分散保存されているため、情報漏洩のリスクが高い
・常に最新の状態を維持する必要があるため、脆弱性が発生しやすい

これらの特徴から、クラウド環境はさまざまなセキュリティ脅威にさらされています。

・SQLインジェクション：
SQLインジェクション攻撃とは、WebサイトやWebアプリケーションの脆弱性（=弱点）につけこみ、データベースを操作するための言語である「SQL」を用いて、不正なSQL文をデータベースに送信し、個人情報の窃取やデータ改ざんなどを行うサイバー攻撃です。

・クロスサイトスクリプティング（XSS）：
Webサイトの脆弱性を利用し、記述言語であるHTMLに悪質なスクリプトを埋め込む攻撃です。攻撃者は、ユーザーの入力フォームやURLパラメータなどを利用して不正なスクリプトを埋め込み、サイト閲覧者のブラウザ上でそのスクリプトを実行させます。

・ゼロデイ攻撃：
システムの脆弱性に対して、修正が行われる前にそれを悪用するサイバー攻撃です。開発者や製造元が脆弱性を認識し、対策を講じる前に攻撃が行われるため、防御が難しい課題があります。

・DDoS攻撃：
攻撃対象となるWebサーバーなどに対し、複数のコンピューターから大量のトラフィックやリクエストを送りつけることで、正常なサービス提供を妨げる攻撃です。この攻撃を受けると、Webサイトやオンラインサービスが利用できなくなり、企業の業務や顧客サービスに深刻な影響を与えるおそれがあります。

・情報漏洩：
情報漏洩は、機密データや個人情報が意図せずに外部に流出する事態を指します。データベースやストレージからデータを窃取する攻撃が代表的です。

・ランサムウェア:
被害者のデータやシステムを暗号化し、それを人質にして復号のための身代金を要求するマルウェアの一種です。フィッシングメールや改ざんされたウェブサイトなどを経由して感染し、データが喪失・漏洩したり、デバイスが使えなくなったりする被害が生じます。

直近で大規模な被害が起きた事例としては、以下のものがあります。

・情報漏洩による顧客情報の流出
2024年5月24日、大手住宅メーカーが29万人を超える顧客情報がサイバー攻撃により流出する事案が発生したと発表しました。サイバー攻撃の手法は「SQLインジェクション」であり、過去に使用していたページの脆弱性を突いてパスワードを窃取したとみられます。
パスワードの流出元となったサイトは現在検索エンジンでヒットせず、サイト内の導線もなく、直接URLを入力しないと辿り着けない状態でした。こうしたことから同社ではサイトのメンテナンスを行っておらず、そのセキュリティ上の不備が狙われた形です。

・サービス停止による業務停止
大手動画サイトを運営する企業は2024年6月8日、同サイトを中心とするサービス群がランサムウェアを含む大規模なサイバー攻撃を受けたことを発表しました。同サイトは攻撃を受けたことで停止状態に陥り、本格的な普及には1か月以上かかると見込まれています。なお、2024年7月現在、最低限の機能を備えた仮説の新サービスが提供されています。

また、スーパーマーケットを運営する企業は2024年2月22日、VPN機器を狙った社内サーバーへのサイバー攻撃があったことを発表しました。侵入の発覚を受けて社内ネットワークを遮断したことで、ネットワークに接続されているシステムが一時的に停止。社内システムの完全復旧までに3か月を要し、決算報告の延期をはじめ多くの業務に悪影響が生じました。

このようなクラウド環境におけるセキュリティ上の脅威に対しては、次章以降でご紹介する「クラウド型WAF」の導入が効果的です。

WAF（Web Application Firewall）は、Webアプリケーションの脆弱性に対する攻撃を検知・遮断するセキュリティ対策ソリューションのことです。近年、Webアプリケーションの利用が拡大していることに伴い、WAFの重要性も高まっています。

WAFの種類としては、ソフトウェア型、ハードウェア型、クラウド型の3種類があります。

その中でもクラウド型WAFは、専用のハードウェアやソフトウェアを準備する必要がなく、導入や運用が容易で、スケーラビリティが高くトラフィックの増減に応じて柔軟に拡張できます。また、導入の容易さだけでなく、低価格な点も魅力の１つです。

クラウド型WAFはWebアプリケーションの脆弱性を突く攻撃に有効です。次章では、対応可能な攻撃について説明します。

近年、企業のクラウド利用が急速に拡大していますが、それに伴い、クラウド環境を狙ったサイバー攻撃も巧妙化しています。クラウド型WAFは、クラウド環境におけるWebアプリケーションをサイバー攻撃から守るために役立つセキュリティ対策であり、クラウド利用の普及に伴い重要性が増しています。

クラウド型WAFで対応可能な攻撃としては、以下の3つがあります。

アプリケーションレイヤー攻撃は、Webアプリケーションの脆弱性を突いた攻撃です。代表的なアプリケーションレイヤー攻撃には、以下のようなものがあります。

・SQLインジェクション:
データベースに不正なSQL文を挿入する攻撃です。

・クロスサイトスクリプティング (XSS):
ユーザーのブラウザに悪意のあるスクリプトを実行させる攻撃です。

・リモートコード実行 (RCE):
攻撃者が遠隔から悪意のあるコードやコマンドを送信し、ターゲットのシステムやネットワーク上で実行させる攻撃です。RCEにより、機密情報の漏洩、データの改ざん、システムの破壊などの深刻な被害が出る可能性があります。

クラウド型WAFは、これらのアプリケーションレイヤー攻撃を検知・遮断することが可能です。
またWAFには、既知の攻撃パターンや脆弱性をデータベースに登録する「シグネチャベース検知」、事前に定めたルールやロジックに基づいて攻撃を検知する「ヒューリスティック検知」、AIや機械学習アルゴリズムを用いた「機械学習検知」など、さまざまな検知方法が搭載されています。

不正アクセスは、認証情報や脆弱性を悪用して、システムに不正侵入する攻撃です。クラウド型WAFは、以下の機能によって不正アクセスを防ぐことができます。

・認証機能:
ユーザーの認証情報を検証し、不正なアクセスを制御します。

・アクセス制御機能:
IPアドレス制限やホワイトリスト機能などによって、アクセスを許可するユーザーを制限します。

・不正ログイン検知機能:
ログイン試行回数やログイン場所などを分析し、不正なログインを検知します。

DDoS攻撃は、大量のリクエストを送信して、システムをダウンさせる攻撃です。クラウド型WAFは、以下の機能によってDDoS攻撃を防ぐことができます。

・レート制限機能:
一定時間内に送信されるリクエスト数を制限し、DDoS攻撃を抑制します。

・IPアドレス制限機能:
攻撃者からのアクセスを遮断します。

・アプリケーションレベルのDDoS防御機能:
アプリケーションレベルの攻撃を検知・遮断します。

上記以外にも、クラウド型WAFは以下のような攻撃に対応可能です。

・ゼロデイ攻撃:
まだ公開されていない脆弱性を突いた攻撃です。

・ボットネット攻撃:
マルウェアに感染させた多数の端末を遠隔操作して行われる攻撃です。

・API攻撃:
APIを悪意のある目的で利用する攻撃です。APIの脆弱性を悪用して、データへの不正アクセス、サービスの妨害、データの改ざんなどが行われます。

クラウド型WAFには、以下のような導入メリットがあります。

・導入・運用が容易
専用のハードウェアやソフトウェアが不要で、既存のシステムに大きな変更を加えることなく導入できます。また、サービス提供者側がWAFの運用・管理を行うため、ユーザー側での複雑な運用作業が不要となります。

・スケーラビリティが高い
クラウドサービスの特性を活かし、トラフィック量の増減に応じて柔軟にリソースを調整・拡張できます。

・常に最新の状態が保たれる
サービス提供者によって、新しい脅威に対応したシグネチャやルールが迅速に更新され、常に最新の状態に保たれます。

・ランニングコストのみで利用できる
設備導入コストのような高額な初期費用がかからず、ランニングコストのみで利用できることもメリットです。

一方で、クラウド型WAF導入には以下のようなデメリットもあります。

・ランニングコストがかかる
ソフトウェア型WAFやハードウェア型WAFよりも、ランニングコストが高くなる傾向があります。

・データのセキュリティが懸念される
データがサービス提供者のデータセンターに保管されるため、データのセキュリティが懸念される場合があります。

クラウドセキュリティ対策は、情報システム部門にとって非常に重要であり、包括的なクラウドセキュリティ対策を実現するためには、以下の点に留意する必要があります。

・クラウド環境における特有の脅威を理解する
・リスクアセスメントに基づいて、適切な対策を選択する
・WAFを含む、さまざまな対策を組み合わせる
・対策を継続的に運用・監視する

さらに、組織全体のセキュリティ意識向上、セキュリティ教育の実施、セキュリティ体制の整備なども重要です。

Sproutlyでは、クラウド型WAFのサービスを提供しており、保守運用に手間をかけることなくクライアントのWebサイトをサーバー攻撃から守ることができます。あらゆるWebシステムに導入でき、24時間365日の高セキュリティを実現できます。

クラウド型WAFサービスの詳細は下記のページをご覧ください。

WEBアプリケーションファイアウォール

また、WAFだけでなくクライアントのクラウド環境に合った対策を検討し、安全な運用環境の実現に向けた支援も行っています。ご興味のある方は下記よりお問い合わせください。