すぐに検知すべき4つの「被害」とは
WebARGUSが復旧できる「被害」は大きく4つに分けられる。1つ目は「編集」だ。文書や画像の改ざんやファイルの暗号化などがこれに当たる。2つ目は「削除」。ファイルやディレクトリ、ブラックリスト、設定リストなどが対象だ。Configファイルなどが削除され、不正アクセスにつながる例もある。3つ目は「追加」。ファイルやディレクトリの追加や新規作成のほか、マルウェアの侵入やバックドアプログラムの設置などを指す。4つ目は「プロパティの変更」。ファイルやディレクトリのユーザー、オーナー、パーミッションなどの変更により、公開すべきではないファイルが外部から見えるようになったり、実行権限を勝手に付与されてアプリケーションの不正操作につながったりすることがある。
WebARGUSは、Webサーバーなどのインターネット上に公開されているサーバーの防御はもちろん、Active Directory(AD)サーバーやファイルサーバーなどの非公開サーバーの防御にも導入可能だ。公開サーバーであれば、htmlやcssなどのコンテンツファイルや、PHP、Javaなどのプログラムファイルが監視対象となる。公開サーバー・非公開サーバー共通で守れる対象としては、各種設定ファイル(conf、hosts、iptablesなど)がある。「WebARGUSの導入により、root権限の取得、パスワード変更、ポート開放、新規ユーザー作成といったよくある攻撃に対する防御機能を備えたサーバーの構築が可能になります」と長谷川氏は説明した。
過去のインシデント事例から見える有効性
WebARGUSは2014年よりサービスを展開しており、金融、官公庁、通信・インフラ、サービスなど約400社、3,500以上のサーバーに導入されている。開発から販売、サポートまで一気通貫で行い、サポートは年間ライセンスに含まれるため、予算計画が立てやすい点も強みの一つだという。
その有効性は過去の事例からも確かめることができる。実際のセキュリティインシデントのうち、WebARGUSを導入していれば復旧できた事案は多いと長谷川氏。具体的には「JavaScriptが改ざんされてクレジットカード情報が漏れた」「ランサムウェアによって電子カルテと復旧バックアップデータが暗号化された」「設定ファイルが削除され、不正アクセスによってサイトが改ざんされた」「権限周りを変更されて重要な機密データが漏れてしまった」などの事例だ。いずれの事案も数万件のデータ流出や数ヵ月の業務停止など、企業に深刻な被害が出ている。
WebARGUSは「サイバーレジリエンス」を強化できることで、「ゼロトラストセキュリティ」思想とも一致する。長谷川氏は最後に、WebARGUSが「予期せぬ被害を即時復旧・無害化し、インシデント時におけるBCPの向上に有効な選択肢だ」と強調して、講演を締めくくった。
