イオンモール株式会社様事例
Webアプリケーションへの攻撃は、インフラ強化のみでは防げない
対策の検討
イオンモール様導入事例集
(PDF:1.2MB)
- Webアプリケーションへの攻撃によって起こる事象の把握
- 防御対策に必要な手段とそのコスト試算
- 運用・維持管理の容易性
- 防御対策としてWebアプリケーションのコードレビューでの対処、ネットワーク機器のようなアプライアンスの導入を検討
イオンモール(株)様のWebサイトへのWeb脆弱性診断を実施した結果、Webアプリケーションの攻撃として、トップ2に入るクロスサイトスクリプティングにより、Webサーバ構造やページの改ざん・破壊、フィッシングサイト等への誘導と個人情報の取得、システムダウンを引き起こさせる、Webシステムの破壊が起こりえることが判明した。
イオンモール(株)様のWebサイト現状
- Webサイトの攻撃は、インフラに対するセキュリティ強化で実現してきた。
- 昨今急激に増えているWebサイトへの攻撃は、多くの企業が直面しているのと同様にWebアプリケーションへの攻撃の危険にさらされていた。
- イオンモール(株)様においては、過去にルーターやネットワークファイヤーウォールのようなネットワーク機器を麻痺させるDoS・DDoS攻撃を受け、実際にWebサイトが麻痺し、サービスが停止してしまった経験をもっている。
よって、昨今急激に増えていているWebアプリケーションへの攻撃は脅威に感じていた。 特に、ネットワークセキュリティ機器を通過してウェブサイトを麻痺させるDoS・DDoS攻撃は、過去システムが麻痺した苦い経験を持つだけに脅威であった。
導入前の課題:インフラ強化のみでは防げない
イオンモール(株)様においては、過去Webサイトが攻撃を受けた苦い経験を持つことから、早急に防御対策を検討することとなった。
- Webアプリケーションへの攻撃に対し、従来のインフラ強化と、インフラに対するセキュリティ強化では防げない。
- 防御対策に、たくさんのコストを掛けられない。
- 対策した後の運用・維持管理に手間をかけられない。
WAPPLESの導入理由
- WAPPLESは攻撃検知・防御が従来のWAF製品と異なり、ルールベースによる次世代のロジック分析エンジンにより、導入及び運用時の作業負荷を大幅に軽減しており、パフォーマンス低下を起こさない。
- Webアプリケーション(コードレビュー)での対応ではコストがかかり過ぎるが、WAPPLES導入では運用・維持管理が容易なうえ、維持コスト も安価である。
- Webアプリケーションやコンテンツが変更になってもプログラムを修正することなく防御できる。
- WAPPLES開発元のペンタセキュリティ社は日本でPCI DSS(PCIデータ・セキュリティ基準)初適合証明を取得している。
- 国際共通評価基準(CC)の認証やセキュリティ適合性検証などの多数の認証を取得した実績からその安定性について高い評価を受けたことにより、韓国知識経済部 から新ソフトウェア商品大賞を受賞している。
*韓国知識経済部: 大韓民国の国家行政機関で、日本の経済産業省に相当する。
導入の効果
- WAPPLESの導入で、従来のインフラ強化とインフラに対するセキュリティ強化と併せて、さらに安定したWebサービスを提供できることとなった。
- 攻撃による被害を防ぐことが可能となり、システム部のシステム維持にかかるコストを低減でき、本来の業務に専念することが可能になった。
WAPPLES導入のポイント
- Webアプリケーションへの攻撃は、インフラに対するセキュリティ強化では防げない。
- 防御対策に多大なコストをかけられない。
- 運用・維持管理に手間をかけられない。
- 導入及び運用時の作業負荷を大幅に軽減しており、パフォーマンス低下を起こさない。
- Webアプリケーション対応ではコストがかかり過ぎるが、WAPPLES導入は運用・維持管理が容易な上、維持コストも安価である。
- Webアプリケーションやコンテンツが変更になっても、プログラムを修正することなく防御が継続できる。
高い信頼性を証明する各種認証の取得
- PCIDSS (PCIデータ・セキュリティ基準)WAF製品で初適合証明取得
- 国際共通評価基準(CC)認証
- 韓国政府から新ソフトウエア大賞受賞