トレンドマイクロが 2016年11月までに報道された ECサイトからの情報漏えい事例をまとめたところ、その数は 18件にのぼり、20万件以上の個人情報等が漏えいした可能性があることが分かりました。今や ECサイトがサイバー攻撃を受け、情報漏えいの被害に遭う事件は日常的に繰り返されており、潜在的には報道されている数以上の攻撃が実施されていると考えられます。そうした背景を踏まえ、トレンドマイクロでは、セキュリティに関する ECサイトの現況を把握するべく、2016年12月に企業・組織における ECサイトの構築・運用・セキュリティの実務担当者 619名を対象とした「企業における ECサイトのセキュリティ実態調査 2016」を実施しました。
実態調査の結果から、回答者の 49.1%が自社で展開している ECサイトに対してサイバー攻撃を「受けたことがある」と回答しており、国内の ECサイトがさらされている脅威の深刻さが明らかとなりました。さらに、今回は OS やミドルウェアの脆弱性を狙った攻撃から ECサイトを守るための IPS/IDSの導入状況を深堀し、そこから見えてきた ECサイトが検討すべきセキュリティ対策について紹介します。
■気付かないうちに ECサイトは攻撃を受けている?
本調査の中で、ECサイトに対してサイバー攻撃を受けたことがあると回答した 304名を対象に、受けた攻撃の手法について尋ねたところ(複数回答)、脆弱性を突く攻撃を受けたと回答した割合は、DDoS攻撃に続いて高く、OSの脆弱性が 48.0%、ミドルウェアの脆弱性が 37.8%となりました。一方で、こうした攻撃を検知・ブロックする侵入防御システム(IPS)または侵入検知システム(IDS)といったセキュリティ対策を自社に導入しているかどうかという質問に対して、「導入されている」と回答したのは全体の 62.4%にとどまり、未だ OSやミドルウェアの脆弱性を狙った攻撃に対するセキュリティ対策の遅れが目立ちました。
こうした ECサイトにおける IPS/IDSの対策導入が遅れていることで、多くの担当者が自社の ECサイトがさらされている脅威に気づけていないのではないかということが今回の調査で見えてきました。「自社が展開している ECサイトに対して、過去1年以内にサイバー攻撃を受けた」と答えた回答者のうち、84.2%が IPS/IDSを導入しています。これは偶然に IPS/IDSを導入している ECサイトがそうした攻撃を受けていたわけではなく、IPS/IDSを導入していたことでそうした攻撃に気付くことができたのでしょう。さらに、「過去1年以内に攻撃を受けていない、または受けたかどうか分からない」と答えた回答者のうち、58.7%は IPS/IDSの導入が進んでいない、または導入が把握できていないと回答しており、こうした IPS/IDSといったセキュリティ対策が実施できていない企業においては、日常的に行われているサイバー犯罪者の攻撃通信にそもそも気づけていない可能性があります。
図1:自社の ECサイトに対して、過去1年以内にサイバー攻撃を受けたことがある回答者とそうでない回答者における IPS/IDSの導入状況(企業における ECサイトのセキュリティ実態調査 2016)
■サイバー攻撃の理解不足が招く、セキュリティ対策の遅れ
それでは、こうした IPS/IDSを導入している ECサイトの担当者は、導入していない ECサイトの担当者と何が違うのでしょうか。興味深いことに、調査の結果からは、ECサイトの担当者の間でサイバー攻撃に対する理解度の差が存在することが分かりました。本調査の中で、「ECサイトを狙ったサイバー攻撃(脅威)があることを知っていますか。」という質問に対し、「知っている(概要を説明できる)」と答えた回答者のうち 80.9%が IPS/IDSを導入している反面、「知らない、または概要を説明できない」と答えた回答者では IPS/IDSを導入しているのはわずか 41.2%という結果になりました。
図2:ECサイトを狙ったサイバー攻撃(脅威)を知っている回答者とそうでない回答者における IPS/IDS導入状況(企業における ECサイトのセキュリティ実態調査 2016)
こうしたことから、ECサイトに対するサイバー攻撃の脅威を理解できている担当者においては、IPS/IDSの必要性を認識し、自社の ECサイトに対策を導入しており、そうした脅威の理解が不足している担当者では ECサイトの脆弱性を狙ったサイバー攻撃に対する対策が遅れているという傾向が見られました。
■ECサイトの脅威を可視化し、能動的なセキュリティ対策を
こうした ECサイトのセキュリティ対策を強化していくためには、まず ECサイトを狙ったサイバー攻撃の脅威を知ることが重要です。そうした理解を深めつつ、今回着目した IPS/IDSといったセキュリティ対策の導入をお勧めします。そして IPS/IDSを導入したならば、自社の ECサイトがさらされている脅威が可視化され、ECサイトを狙ったサイバー攻撃の脅威を実感できるでしょう。こうした脅威の可視化は非常に大切です。自社の ECサイトがどのような攻撃で狙われているかが分かる上、実際に被害に遭う前に ECサイトを狙うサイバー攻撃の兆候に気付き、能動的に対応を実施していくことが可能となります。
こうした ECサイトに対する脅威を可視化し、検知・ブロックするためのソリューションとして、トレンドマイクロではサーバセキュリティ対策ソリューション「Trend Micro Deep Security™」とネットワーク型侵入防御システム「TippingPoint」を提供しています。Deep Security はサーバにインストールするソフトウェア型(ホスト型)のセキュリティ対策製品です。ウイルスの侵入を防ぐ「不正プログラム対策」、OSやアプリケーション、ミドルウェアの脆弱性を突いた攻撃を OSのネットワーク層でブロックする「IPS(侵入防御)」、外部の不正な URLへの通信をブロックする「Webレピュテーション機能」、「ファイアウォール」、ファイルやレジストリに改ざんが発生した際に管理者に通知する「変更監視」、「セキュリティログ監視」等のセキュリティ機能を1つの製品で実装しています。また、TippingPoint は、ECサイトのシステムにインラインで設置し、パフォーマンスや生産性に影響を与えることなく、脆弱性を狙った高度な攻撃から ECサイトを守ります。TippingPoint は、脆弱性発見・調査・分析を行うトレンドマイクロの研究機関に加え、第三者機関からの情報を活用することによりゼロデイ脆弱性に対する迅速な対応が可能です。
その他、トレンドマイクロでは、ECサイトのセキュリティ強化を検討するユーザにとって役立つ情報を公開しています。詳細については、以下のページを参照してください。
セキュリティの専門家が考える 公開サーバセキュリティのあるべき姿:
http://www.trendmicro.co.jp/jp/business/solutions/server-security/index.html
■企業におけるECサイトのセキュリティ実態調査 2016の概要
調査名:企業におけるECサイトのセキュリティ実態調査 2016
URL:http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20170131041304.html
実施時期:2016年12月27日~12月28日
回答者:企業・組織におけるECサイトの構築・運用・セキュリティの実務担当者619名
手法:インターネット調査