現代のビジネスにおいてWebサイトは重要なデジタル資産であるため、攻撃者にとって非常に狙いやすく企業へのダメージを与えやすいターゲットにもなります。人気のあるWebサイトは、Webマルウェアや悪意のあるファイルの配布、データ漏洩、サービスの中断、脆弱性の悪用と言った脅威に常にさらされています。
そこで、重要なデジタル資産であるWebサイトのセキュリティリスクを緩和するには、脆弱性診断、クラウドWAAP、改ざん検知を組み合わせたWebセキュリティソリューションが必要になります。
Webセキュリティの課題は、多様化するサイバー攻撃やセキュリティ対策の複雑化と予算不足などにより、十分な対策が実施されず、個人情報や機密情報の漏洩、Webサイトの改ざんなどの被害の発生につながります。
このような状況下で、利用者側のニーズと提供側のサービスとの間にはGAPがあり、そのGAPが攻撃者にスキを与えています。
予防的対策:脆弱性診断サービス
網羅性の高い手動診断では費用が高額となり要望を満たすことが出来ない。
ツール診断は安価であるが、診断項目が限られ診断要件を満たせない。
発見的対策:WAF
多くのWAFサービスは、コストが高く経済性が見合わない。
また、安価なサービスはあるが、WAFの管理が行える人材がいないため十分なWAFの運用が行えていない。
発見的対策:改ざん検知
昨年発覚したECサイトの決済フォームの改ざんは、HTTP巡回方式では検知出来ない攻撃であった。
「予防的対策」と「発見的対策」の双方を組み合わせて導入することにより、上記課題(ニーズとのGAP)を埋めることが出来るサービスとなっています。
予防的対策:脆弱性診断サービス
ツール診断と手動診断を組み合わせハイブリット診断。
予算や診断対象に合わせて柔軟な診断が可能。
発見的対策:WAF
次世代型クラウドWAAPサービスを提供。
WAFだけでなくAPI/Bot/L7DDoSにも対応、マネージドセキュリティサービス(MSS)を組み合わせることで、クラウドWAAPと改ざん検知の統合管理も可能。
発見的対策:改ざん検知
原本比較型とHTTP巡回型を組み合わせたハイブリッド型改ざん検知ソリューションで、外部公開コンテンツだけでなくシステム内部や設定ファイル、Web Shellの挿入も検知可能。
予防的対策:脆弱性診断サービス
Web・ネットワークの定期的なセキュリティ診断・脆弱性診断で情報漏えい事故などのリスクを未然に回避します。
Webアプリケーションやシステムの脆弱性を洗い出します。
セキュリティ診断・脆弱性診断サービスの詳細
https://www.itmanage.co.jp/security/sitescan/
発見的対策:WAF
WebアプリケーションおよびAPIセキュリティソリューション(WAAP)は、WAF/APIセキュリティ、Bot緩和およびL7 DDoS保護機能を提供します。
クラウドWAAPサービスの詳細
https://www.itmanage.co.jp/security/waap/
発見的対策:改ざん検知
HTTP巡回型改ざん検知:Webサイトの改ざんの有無を定期的にチェックするSaaS型セキュリティサービスです。
HTTP巡回型改ざん検知サービスの詳細
https://www.itmanage.co.jp/security/gred/
原本比較型改ざん検知
攻撃手法を問わないWeb改ざん検知・自動復旧サービス、不正アクセスによる「改ざん」と正常な更新を判別し、不正改ざんのみ自動復旧を実現できます。
原本比較型改ざん検知サービスの詳細(外部リンク)
https://www.site-patrol.biz/
Webアプリケーション診断
ツール診断 :220,000円~
手動診断 :50,000円~
ハイブリッド診断:270,000円~
クラウドWAAP (Web Application and API Protection)
初期費用:なし
月額費用:8,640円~
MSSは、別途費用がかかります。
HTTP巡回型改ざん検知
初期費用:なし
月額費用:30,000円~
原本比較型改ざん検知(Audit Plan)
初期費用:58,000円~
月額費用:34,800円~
