事業の多い企業でのセキュリティ対策
ーコラムー
2019年9月19日号
事業の多い企業でのセキュリティ対策
今回は、Cloudflare担当の私が、お客様からよく聞く課題と、Cloudflareの導入検討理由についてお話致します。
多くの事業を展開する企業では、ITに対するニーズも多様です。しかし、それに反してIT部門を少人数で運用していることも多いことから、返信の遅いIT部門に何かの構築を依頼するよりも、スモールスタートで手軽に始められるクラウドサービスに、各部門が独自で加入してしまうケースがあります。
シャドーITという言葉が世に出てきたのはかなり前のことですが、その時既に「野良クラウド」が、事業の根幹をなすものへ成長していたり、月単位で新規開設のサイトが増えたりして、簡単に統制の効く状況になっているお客様がいます。
中には利便性だけを考慮し、セキュリティ対策がかなり甘いものなどが存在することもあります。
「そこまでクリティカルじゃないので多少なら止まっても大丈夫」
「有名なサイトじゃないので狙われないと思います」
と考える人も結構多いようですが、サイト停止や改ざんの影響が出ると、たちまち報道やツイートれてしまいますし、それに有名なサイトでなくとも狙われることもあります。
以前にハクティビスト(政治的・社会的意図をもって攻撃を行うハッカーまたはその集団)が日本企業をしらみつぶしに攻撃するということがありました。
また、コンシューマ向けのサイトならサービス応対に恨みをもった個人が腹いせに攻撃するということもあるかもしれません。
以前に高校生がDDoS代行組織に依頼しオンラインゲームサイトを停止させた事件がありましたね。
しかし、外部へ公開したサイトの全ての担当者にWAFやDDoS対策製品の導入を依頼するのはかなり大変です。なかなか動いてくれないでしょうし、機能や性能、運用面のレベル間でバラツキが生じます。
そこでクラウド型WAF、DDoS防御サービスのCloudflareが必要とされるワケです。
クラウド型なら導入も簡単で各サイトの管理者の負担がなく、DNSのレコードを変更することで利用者の通信をCloudflareへ向けるだけなので、各部門担当者の理解も得られやすく、また統一ブランドでの導入により統制も取れやすいと考えられます。
Cloudflareのエンタープライズプランでは、数百Gbpsの大規模なDDoS攻撃に耐えることができ、また最新のパターンファイルが平均6時間程度で自動配信されます。 このような仕組みを統一的に導入できたらかなり良い状態ですよね。
管理的には、一人の管理者がCloudflare全体を管理することや、それぞれの部門管理者がCloudflare上のそれぞれのドメインを管理することも可能ですが、Multi-Userの機能を使うことで、各部門に運用を委任しつつ全体管理者が全ドメインの設定を確認/変更できるようにすることも可能です。
いかがでしたでしょうか。このような要件で、大学様に導入した事例もございます。学部や研究室等で乱立する公開サイトをCloudflareで守ることが出来ました。
サイトの数が多く、システム部門にて設定変更依頼をさばき切れないような場合には、設定変更を委任(委譲)することを主目的として、上記のような構成で導入するケースもあろうかと思います。その場合、システム部門の運用負荷が軽減され、利用部門もビジネスの俊敏性が確保されます。同様のことでお困りの際にはお声がけ頂ければと思います。
執筆者:角田 貴寛
三井情報株式会社
ソリューション技術本部 次世代基盤第二技術部 第一技術室
CISSP、CEH
現在、セキュリティ関連調査研究・教育業務に従事