　2020年から相次いでいるVPNを狙った攻撃や、マルウェア、SolarWindsなどの企業内アプリケーションの脆弱性を悪用する攻撃だけでなく、業務系のWebアプリケーションへの攻撃もまた、組織内部へのペネトレーションの一つの有力な手法として認知され、攻撃者の標準的な手順に書き加えられたと考えるのが妥当だろう。

だからこそ「ゼロトラスト・セキュリティ」が有効

　このような攻撃対象領域の変化には、ファイアウォールの内外を問わずに全てのアクセスをIDで認証し、アプリケーションやデータへのアクセス権を厳密に制御する「ゼロトラスト・セキュリティモデル」に基づく対策が有効だ。

　自社で運用するWebアプリケーションだけでなく、SaaS型の業務アプリケーションもゼロトラストの指針に含めることはできる。実際行われている対策方針の具体例をいくつか挙げてみよう。

利用者認証の強化

　インターネットからWebアクセス可能な業務Webアプリケーションや、SaaSアプリケーションのログインには多要素認証を使う。それらのアプリケーションが、「SAML 2.0」や「Open ID Connect」に対応したシングルサインオン（SSO）に対応していれば、すでに企業や組織で利用しているスマートフォンアプリなどによる多要素認証の仕組みと統合することで、利便性と高度なセキュリティを両立できる。

　それを必須の仕様としてポリシーで定め、いま各部門が業務で利用しているSaaSアプリケーションを把握し、整理するのもいい考えだ。

アクセス制御とポリシーの適用

　ID認識型プロキシ（Identity Aware Proxy）などを用いて、そのユーザーに許可されたアプリのみにアクセスできるようインフラで制御する。さらに、アプリケーションのレベルで、ユーザーロールに基づいて、アクセスできるコンテンツやデータなどのきめ細かい制御を加えることで、リスク発生時のダメージを最小化することができる。

Web脆弱性攻撃の防止

　脆弱性を突く攻撃に備え、Webサーバやアプリケーション脆弱性の定期的な点検や、業務アプリケーションの手前にWAF（Web Application Firewall）を設置するのは基本だ。しかし、WAF運用の実態は、攻撃を受けても監視とアラート（通知）を上げるのみで、攻撃をブロックする設定やルールのメンテナンスが行われず、手抜き運用されているWAFも実は多い。

　「普段どんな種類の攻撃をブロックできているか？」など、運用の実態やセキュリティに対する意識を探る一段踏み込んだ問いかけを、WAFの運用者や外部のSaaSベンダーにしてみるのも良い試みだろう。

　業務アプリケーションからの機密情報の漏えいやアカウントの乗っ取りは、顧客の個人情報の漏えい以上に、企業や組織（あるいは国家）に大きなダメージを与えるリスクとなりうる。急速に進む業務デジタル化の陰から徐々にその片りんが浮かび上がってきた「見えない攻撃」。守る側には、脅威の変化をとらえ、対策すべき領域を広げて見つめ直す視座が求められている。

スマホアプリの“目立たぬ弱点”　分かっていても対策が難しいワケ
スマホアプリなどの隠れた弱点となっているAPIを狙う攻撃の現状と対策上の課題について、アカマイ・テクノロジーズでWebセキュリティを追う中西一博氏が解説する。
「普通の企業サイト」がいま攻撃に晒されているワケ　”見て見ぬふり”のわずかなスキに忍び寄る影
Webサーバやサービスの脆弱性を狙った、SQLインジェクションなどの一般的なWebアプリケーション攻撃は相変わらず猛威を振るっている。そしてこの背景には、闇市場で最近流通している「ある品目」が関係していそうなことが見えてきた。
コロナ禍で増加する不正ログイン　2021年に狙われる業界は？
2020年に公表されたサイバー被害の傾向などから、世界と国内で起きたWeb攻撃からその背景や狙いを読み取り、2021年に取るべき重点対策を考えていく。今回は、その中でも昨年顕著な伸びを見せた、成り済ましによる不正ログイン攻撃について取り上げる。
不正送金問題で暗躍する「不正ログインbot」　大量にアクセスされても“見えない”理由
ドコモ口座やゆうちょ銀行などを巻き込んだ不正送金事件。事件の手口には未だ謎が残っており、単純な話では終わらなさそうだ。今回は「見えない不正ログイン」という観点から、こうした犯行の手法や、事件を取り巻く背景を改めて考察してみたい。