ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
企業向けクラウドサービスの開発・運用に10年以上携わった後、ユービーセキュアにジョイン。開発者としての経験を踏まえて、デベロッパーとセキュリティの融合を目指して、プロダクト開発に邁進中。最近のマイブームはストレッチ。頭も体も心も柔らかくしていきましょう!
筧さんこんにちは!今日のテーマは「予算もリソースも少ない中、多数のWebサイトのセキュリティを担保する方法」だそうですが、これってちょっと虫がよすぎやしない?
筧さん
いきなり言いますねぇ(笑)。現代のビジネス環境において、多数のWebサイトを運営することは、多くの企業にとって重要な活動です。実際に、製品・サービスサイトやキャンペーンサイト、オウンドメディア、ECサイトといった多様なサイトが、それぞれの事業のニーズに合わせて構築・公開されていますよね。しかし、Webサイトの数が増えるほど、管理とセキュリティの維持が大きな課題となってきます。
Webサイトがたくさんあれば、管理とセキュリティのコストもそれだけかかるものミア。
筧さん
そうですね。Webサイトの増加に伴い、サイトに対する攻撃も自動化されており、攻撃者は脆弱性のあるサイトを常時探索し、攻撃のチャンスをうかがっています。
このような状況をうけて、「Webサイトのリスクを洗い出しておくこと」が非常に重要となっており、そのための手段として脆弱性診断が一般的になっています。一方で、サイトへの脆弱性診断は、時間と労力がかかる作業であり、ビジネスのスピードを落としてしまう、コストがかかってしまうなどのデメリットも抱えています。
特に保有するWebサイト数が多い場合はこれらの問題がより顕著になるため、大量サイトに向けた効率的な運用を検討する必要があるのです。
「大量サイトに向けた効率的な運用」とは、具体的にはどういうことミア?
筧さん
サイト単位、現場単位で個別に脆弱性診断を行っていく運用では、どうしてもリスクの高いWebサイトのセキュリティ対策を重点的に行う形となり、コーポレートサイト、キャンペーンサイトなど静的ページやそれに準ずるような複雑でなくサイトリスクが低いと思われている多数のWebサイトは目が届かない状況が発生してしまいます。しかし、攻撃者が自動化された攻撃で一様にサイトを狙ってくる以上、リスクが低いからといって、セキュリティ対策を行わない、という方針はもはや妥当とはいえません。
家のセキュリティだって「玄関の鍵をかけたから、トイレの窓の鍵は確認しなくてOK」なんてありえないミア!
筧さん
そうなんです。現在においては、継続的で一貫性のあるリスク評価と、洗い出されたリスクの管理、対処を全社横断で提供する運用が求められており、それを現実的なコスト、リソースで実現するためには、自動で脆弱性を診断してくれるツールの活用が必須なんです。
なんと!自動で脆弱性を診断してくれる、そんな夢みたいなツールがあるミア?
筧さん
そうなんです。では、自動診断ツールを利用した、大量サイトでの脆弱性管理運用を構築するためのポイントをご紹介しますね。
ほほう……敵が自動で攻撃してくるなら、こちらも自動で脆弱性を診断するミア!
筧さん
そうそう。大量サイトのセキュリティ管理において、自動診断ツールを組み込むことで、早期に脆弱性を発見し、修正するサイクルを確立することが可能となり、長期的なセキュリティの向上を目指せるようになります。
ユービーセキュアが開発するWebサイトの自動診断ツール「VexCloud」では、こうした目が届かない多数のWebサイトを効率的に診断・管理するために必要な機能性が盛り込まれており、多数のお客様にご活用いただいています。
なんと、すでにみなさん自動診断を活用されているとは!ちなみに「自動」といっても、診断精度はしっかりしているミア?
筧さん
もちろん!実際に自動診断ツールを使っていただいているお客様でも、「クリティカルな脆弱性が含まれたまま本番公開されているサイトが発見される」などの事例が多数出ています。私たち自身も、今まで目の届かなかったサイトに潜むリスクを認識することの重要性を実感していますね。
自動診断ツール、とっても頼もしいミア。今日はいろいろ教えてくれてありがとミア!
筧さん
こうした自動診断ツールを活用することで、現実的なコスト・リソースで多くのWebサイトのセキュリティ管理運用を構築できますから、セキュリティ管理にお悩みの方はぜひ、ユービーセキュアに相談してみてくださいね。