業務システムのクラウド化やSaaSの利用拡大などにより、企業内で利用されるWebアプリケーションがどんどん増加している。また、スマートデバイスの普及によって、その利用形態も社内や社外の場所に依存しない形へと変化している。
一方で懸念されているのが、標的型攻撃やゼロデイ攻撃といったキーワードに象徴されるセキュリティ脅威の高まりだ。特に標的型攻撃は、少し前まで偽装メールを主な手段としていたが、現在は急速にWebページへと軸足を移している。
例えば、マルウエアを感染させたい企業や組織の従業員がアクセスする頻度の高いWebページを厳選して改ざんし、トラップを仕掛けて待ち構える「水飲み場型攻撃」とも呼ばれる標的型攻撃による被害が急増している。昨日まで安全だったはずのWebページが、ある日突然リスクに変わってしまうのだから、どうにも防ぎようがない。
一方、インターネットのバックボーン回線からアクセス回線まで広帯域化が進んだ現在、ネットワーク帯域を節約するために導入するようなWebコンテンツ・キャッシュに対する投資は、その金額に見合うほどの効果は得られない。また、コンテンツの種別によってWebページへのアクセスをWebカテゴリーでコントロールするURLフィルタリングの仕組みも、先の水飲み場攻撃のような手口には効き目がない。
それよりも、より多くのユーザーが多様なデバイスからWebアプリケーションを利用できるアクセス環境、SSL通信の背後に巧妙に隠されたマルウエア対策、多様なワークスタイルをサポートする柔軟性といった観点から、Webセキュリティ強化に全力を挙げて取り組むべきだ。企業は、Webシステムの運用・利用環境に対する投資の配分を見直すべき時期を迎えているといえる。
では、今日のクラウド時代においては、具体的にどういったWebセキュリティ対策が求められるのだろうか。マカフィーの松本匡史氏は、次のような基本方針を示す。
「ますます巧妙化し、悪質化していくゼロデイ攻撃や標的型攻撃に対しては、決め手となるセキュリティ対策があるわけではありません。種類の異なる様々なセキュリティ対策を幾重にも施していく、多重防御、多層防御が前提となります」