2016年4月21日 「クラウドファースト時代のセキュアなWebサイト構築・運用の最適解」セミナー開催のご案内

システム本部 第二部 部長
榛葉 裕幸

来る5月27日(金)、当社セミナールームにて「クラウドファースト時代のセキュアなWebサイト構築・運用の最適解」を開催いたします。本コラムでは、予告編としてセミナー開催の背景や内容の要点をお伝えします。

はじめに

新年度がはじまり、新たにWeb担当者として企業のWebサイト活用を主導する立場になられた方も多いことと思います。今日、企業のWeb担当者には、UI/UX、コンテンツ/デジタルマーケティング、アクセシビリティ対応、デジタル・アナリティクス、SEO施策、CMSやサーバインフラといったサイト運営基盤・テクノロジーに関する知識など広くて深い知見が求められます。加えてサイバー攻撃が多発する昨今では、サイバー攻撃から自社サイトを守る視点からも、CMSやサーバインフラに関する高度で専門的な知識が必要になってきています。とはいえ、セキュリティ強化のためにはテクノロジーの知識や理解が重要だとは分かっていても、難しそう、時間がない、何を知らなければいけないのか、何を押さえればよいのか、お困りの方も多いのではないでしょうか。

本セミナーでは、新任のWeb担当者やWebサイトリニューアルを機にセキュリティ強化を検討中のご担当者に向けて、昨今のトレンドを踏まえつつ、企業サイトを運営するうえでどのようなリスクが存在しそれに対してどんな対策を講じるべきか、具体的な事例を織り交ぜながら「セキュリティ対策」「運用の利便性」「コスト」をバランスさせるための、CMS製品選定、クラウドサービスの活用事例など、イマドキのセキュアなWebサイト構築・運用の「最適解」をご紹介できればと思います。

企業のWebサイト運営に潜む脅威

今や企業にとっての「顔」であり、自社の重要な顧客接点・販路でもあるWebサイトを、サイバー攻撃の脅威から守ることは、あらゆる企業にとって重要な経営課題です。具体的にどのような脅威があるのでしょうか。

先月、情報処理推進機構(IPA)から毎年恒例の「情報セキュリティ10大脅威 2016」が発表されました。本資料は、情報セキュリティ分野の研究者、企業の実務担当者など69組織108名から構成される「10大脅威選考会」メンバーの審議・投票によってトップ10を選出し、各脅威についてメンバーの知見や意見を集めて解説したもので、資料公開が開始されてから今年で丸10年が経過しました。

2016年版でランキング入りした脅威のなかで、企業のWebサイト運営に関連する脅威としては「ウェブサイトの改ざん」「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」「サービス妨害攻撃によるサービスの停止」の3つが注目されます。

「ウェブサイトの改ざん」では「閲覧するだけでウイルスに感染するよう、CMS等の脆弱性を悪用してウェブサイトが改ざんされる事例が多く発生」しました。2015年に起きた成田国際空港の公式サイトが一時閉鎖に追い込まれたインシデントは、外部からCMSに不正侵入されたことによる改ざん事例です。CMSの脆弱性を悪用した改ざんにおいては、特にWordPressなど世界中で広く利用されているCMS製品の脆弱性を利用した改ざん被害が多く報告されています。また、先ごろJPCERTコーディネーションセンター(JPCERT/CC)から出されたレポート「改ざんの標的となるCMS内のPHPファイル」においても「CMSを構成している一部のPHPファイルが改ざんされ、その影響でWebサイトが生成するコンテンツの改ざん」被害が紹介されています。いずれも、標的とされたCMS製品は、世界的に利用されているオープンソース・ソフトウェア(OSS)でかつ、一般のサイト訪問者がアクセスするフロントエンドサーバにCMSを構成するプログラムファイルを配置するタイプの動的配信型CMSといった特徴がありました。

「脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加」とは「脆弱性対策情報の公開から利用者が対策を実施するまでのタイムラグを利用し、攻撃者は脆弱性を悪用する攻撃」です。例えば、CMS製品においても、2015年はJoomla!やWordPressといった世界的に普及しているOSS系のCMS製品やそのプラグインで深刻な脆弱性が複数公開されました。こうした脆弱性が公開された直後に、攻撃者は脆弱性が存在する(放置している)システムの存在有無やシステムに不正侵入するための弱点を探索(スキャン)し、発見された脆弱性を突いてWebサイト改ざん等の攻撃を行います。実際に、JPCERT/CCによる「インシデント報告対応レポート」によると昨年一年間でスキャンと考えられるインシデントが9000件近く確認されています。また、今年に入った3カ月間(1月1日~3月31日)でも、1654件のインシデントが確認されています。

「サービス妨害攻撃によるサービスの停止」とは「ハッカー集団によるウェブサイトを狙ったサービス妨害攻撃により、ウェブサイトが高負荷状態となり、利用者がアクセスできなくなる被害」で、いわゆる「DDoS(分散型サービス妨害)攻撃」による被害が多く発生しています。2015年は厚生労働省など官公庁のWebサイトを狙った攻撃が印象に残りましたが、今年に入ってからも、金融庁や国税庁などの官公庁はもとより、大手自動車メーカーなどの民間企業のWebサイトでも被害が確認されています。こうしたDDoS攻撃に対策するには、ネットワーク、サーバインフラといったプラットフォーム側での多層的な対策が必要となります。本格的に対策しようとすると従来よりも多くの専門的な知見や、専門的な知見を前提とした投資判断が求められます。

クラウドファースト時代の企業サイト運営

今月、日経BP社から新雑誌『日経クラウドファースト』が創刊されましたが、近年、システム導入やリプレースする際、パブリック・クラウドの利用を前提に考える「クラウドファースト」が広がっています。特にWebサイトにおいては、従来よりもセキュリティ強化策に対する投資が求められるなかでセキュリティ強化とコストをバランスさせる視点から、リニューアルのタイミングでパブリック・クラウドに移行するケースが増えています。

各種調査によると、パブリック・クラウドの普及状況は、導入期・成長期を超えて成熟期に入ったとされますが、企業のWebサイトにおいては、3年ほど前に、自動車メーカーや化粧品会社、製薬会社など大手企業を中心に、基幹系や情報系の業務システムのパブリック・クラウド移行を見すえた先導的利用として、Webサイトの配信プラットフォームをパブリック・クラウドに移行する動きがありました。ここ最近は、一般的に情報システムに対して厳しいセキュリティ基準を求める金融機関においても、Webサイトの配信基盤としてパブリック・クラウドを採用する動きが広がっています。昨年、主に金融機関で情報システムに関する安全対策の共通指針として利用される「金融機関等コンピュータシステムの安全対策基準(FISC基準)」が改訂されましたが、改訂の目的のひとつは、システムの早期導入やコスト削減などの効果が期待できるクラウド利用推進のためのクラウド対応でした。

最近の傾向として、特にWebサイトについては、セキュリティ施策を含めオンプレミスですべてを自前で調達・運用するのはコストや業務負荷が過大となるため、費用対効果を考慮して、自前のデータセンターで自社情報システム部門が運用する形態から、事前の投資なしで必要なセキュリティを獲得でき、オンプレミス環境よりもコスト削減が期待できるパブリック・クラウドに積極的にアウトソーシングする動きがあります。当社においても、パブリック・クラウド利用前提で、サイト構築、CMS導入からマネージド・サービスまで、Webサイトの運営基盤全体を当社が一貫してご提供する事例が増えています。

イマドキのセキュアなWebサイト構築・運用の最適解

本セミナーでは、新任のWeb担当者やWebサイトリニューアルを機にセキュリティ強化を検討中のご担当者に向けて、クラウドファースト時代のセキュアなWebサイト構築・運用について、具体的な事例を織り交ぜながら「セキュリティ対策」「運用の利便性」「コスト」をバランスさせるためのポイントを解説できればと思います。また、国内トップクラスの導入実績を誇るCMS「WebRelease2」の製造元であるフレームワークスソフトウェア・桝室様と、Webサイトの改ざん対策に有効な「ウェブアルゴス」の製造元であるデジタルインフォメーションテクノロジー・橋本様をゲストにお迎えし、デモンストレーションや事例を交えて、セキュアな企業サイト運営に最適なソリューションをご紹介します。

WebReleaseは、株式会社フレームワークスソフトウェアが開発した国産の企業向け商用 CMS です。2000年7月の出荷開始以来、大手メーカーや金融機関、官公庁や大学など、多くのかたに採用されています。そして今日に至るまで、数多くの様々なニーズを取り込みながら日々進化を続けてきました。

ITpro EXPO AWARD 2014 優秀賞受賞。WebARGUS(ウェブアルゴス)は、Webサイ卜の改ざんを瞬時に見つけて、改ざんとほぼ同時にサイトを修復する、セキュリティソリューションです。改ざんの瞬間検知・瞬間復旧により、悪質な未知のサイバー攻撃の被害から企業のWebサイトを守ると同時に、改ざんされたサイトを通じたウイルス感染などの被害拡大を防ぎます。

ご多用かとは存じますが、まだ席に余裕がございますので、皆様のご参加を心よりお待ちしております。セミナー終了後、個別のご質問、ご相談にお答えする時間も別途ご用意する予定です。

関連情報

メールニュース登録

メールニュースでは、本サイトの更新情報や業界動向などをお伝えしています。ぜひご購読ください。