相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー 見過ごされてきた“死角”への対策は：「見えないWeb攻撃」──情報漏えい対策の盲点（2/2 ページ）

クラウド化の波やコロナ禍の影響により、Webベースの業務アプリケーションが普及したため、悪意を持った第三者にとっては攻撃しやすい状況にある。今回は、最近漏えい事件が相次いでいる「業務アプリ」に焦点を当て、Webセキュリティを解説する。

[中西一博，ITmedia]

　この動きは、MicrosoftがExchangeへの攻撃で示唆したような、国家の支援を受けるハッカーグループの関与や、その背景にある地政学的な緊張の高まりと無関係ではないだろう。

　パンデミック以降のワクチンや製薬、新エネルギー、新素材、コンピューティング、宇宙、軍事など、世界のバランスを左右しうる技術やデータを狙って、企業内ネットワークやサプライチェーンに深く入り込もうとする攻撃が急増し、すでに日本もその渦中にあるといえる。

　2020年から相次いでいるVPNを狙った攻撃や、マルウェア、SolarWindsなどの企業内アプリケーションの脆弱性を悪用する攻撃だけでなく、業務系のWebアプリケーションへの攻撃もまた、組織内部へのペネトレーションの一つの有力な手法として認知され、攻撃者の標準的な手順に書き加えられたと考えるのが妥当だろう。

だからこそ「ゼロトラスト・セキュリティ」が有効

　このような攻撃対象領域の変化には、ファイアウォールの内外を問わずに全てのアクセスをIDで認証し、アプリケーションやデータへのアクセス権を厳密に制御する「ゼロトラスト・セキュリティモデル」に基づく対策が有効だ。

　自社で運用するWebアプリケーションだけでなく、SaaS型の業務アプリケーションもゼロトラストの指針に含めることはできる。実際行われている対策方針の具体例をいくつか挙げてみよう。

利用者認証の強化

　インターネットからWebアクセス可能な業務Webアプリケーションや、SaaSアプリケーションのログインには多要素認証を使う。それらのアプリケーションが、「SAML 2.0」や「Open ID Connect」に対応したシングルサインオン（SSO）に対応していれば、すでに企業や組織で利用しているスマートフォンアプリなどによる多要素認証の仕組みと統合することで、利便性と高度なセキュリティを両立できる。

　それを必須の仕様としてポリシーで定め、いま各部門が業務で利用しているSaaSアプリケーションを把握し、整理するのもいい考えだ。

アクセス制御とポリシーの適用

　ID認識型プロキシ（Identity Aware Proxy）などを用いて、そのユーザーに許可されたアプリのみにアクセスできるようインフラで制御する。さらに、アプリケーションのレベルで、ユーザーロールに基づいて、アクセスできるコンテンツやデータなどのきめ細かい制御を加えることで、リスク発生時のダメージを最小化することができる。

Web脆弱性攻撃の防止

　脆弱性を突く攻撃に備え、Webサーバやアプリケーション脆弱性の定期的な点検や、業務アプリケーションの手前にWAF（Web Application Firewall）を設置するのは基本だ。しかし、WAF運用の実態は、攻撃を受けても監視とアラート（通知）を上げるのみで、攻撃をブロックする設定やルールのメンテナンスが行われず、手抜き運用されているWAFも実は多い。

　「普段どんな種類の攻撃をブロックできているか？」など、運用の実態やセキュリティに対する意識を探る一段踏み込んだ問いかけを、WAFの運用者や外部のSaaSベンダーにしてみるのも良い試みだろう。

　業務アプリケーションからの機密情報の漏えいやアカウントの乗っ取りは、顧客の個人情報の漏えい以上に、企業や組織（あるいは国家）に大きなダメージを与えるリスクとなりうる。急速に進む業務デジタル化の陰から徐々にその片りんが浮かび上がってきた「見えない攻撃」。守る側には、脅威の変化をとらえ、対策すべき領域を広げて見つめ直す視座が求められている。