自社運営のWebサービスをWAFで守ることは今やセキュリティ対策の常識となっている。だが、それだけでは正規アクセスに見せかけた不正アクセスを防ぐことはできない。では、どうすれば実効的な対策を実現できるのだろうか。
テック企業かどうかを問わず、オンラインサービス(Webサービス)を自社で開発、運用するケースが急増している。一般企業にとっては、デジタルトランスフォーメーション(DX)に不可欠な“武器”とも言える。
そこで重要になるのがセキュリティ対策だ。自社にとってビジネス上欠かせない重要情報や顧客の個人情報が漏えいすれば、事業そのものだけでなく、会社全体の信頼が大きく揺らぎかねない。
Webサービスのセキュリティは、従来の一般企業におけるセキュリティと出発点が異なるところに根本的な難しさがある。一般企業はこれまで、インターネットとの通信をできる限り制限することで社内のシステムやデータを守ってきた。しかし、Webサービスはインターネットを通じてサービスをすることが前提だ。「インターネットとの通信をできる限り制限すること」などできない。
Webサービスへのサイバー攻撃対策としては「WAF(Webアプリケーションファイアウォール)」が推奨されており、実際に導入している企業は非常に多い。言い方を変えれば、「Webサービスの保護ならWAFを入れればいい」というイメージがある。だが、WAFを導入すればあらゆるサイバー攻撃に対応できるというわけではない。
では、なぜWAFでは不十分なのだろうか。
提供:F5ネットワークスジャパン合同会社
アイティメディア営業企画/制作:アイティメディア編集局
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。