金融サービス、エネルギー、ヘルスケア企業などの重要インフラは、常に攻撃を受けている。こうした脅威を阻止するため、連邦政府はゼロ・トラストの採用を推奨しているが、残念ながら米国の重要インフラ組織の80%は採用していない。
F5 NGINXのウェビナーで話をする機会があり、共有責任モデルを使用してF5 NGINXを利用する重要なアプリケーションを最適に保護する方法について議論しました。ネットワークスタックを深く掘り下げ、OPSWATの F5 NGINX Plus 用認定モジュール(プラグアンドプレイ、ゼロトラスト・セキュリティ・ソリューション)がファイルアップロードの脅威にどのように対抗するかを学びました。
アプリケーション・セキュリティのリスクと課題
不正ファイルは、サイバー防御を突破するための一般的な手法である。2022年、トレンドマイクロは、悪意のあるファイルを利用してシステムに感染する試みが220億回以上行われたことを報告しました。回避能力の高いマルウェアの増加により、こうしたリスクはますます高まっています。ある調査によると、マルウェアの98%は少なくとも1つの回避テクニックを使用しています。
OPSWAT は、300 の異なる組織を対象に、ウェブアプリケーションのセキュリティに関する懸念について調査しました。90% 以上が収益の損失を懸念し、風評被害とサービス提供の不能が上位 3 つを占めました。これらの懸念は、業種や場所を問わず同様でした。これらのリスクを防ぐには、ゼロトラスト・ファイルアップロード・ソリューションが必要です。
アプリケーション・セキュリティの盲点
安全でないアプリケーションがもたらす危害を認識しながらも、多くの組織は一般的な脅威から最善の方法で保護する方法を認識していません。同じ調査で、私たちは組織のウェブアプリケーションセキュリティスタックに共通する 3 つの盲点を特定しました。それは、悪意のあるファイルを防ぐためにすべてのファイルアップロードをスキャンしていないこと、1 つのウイルス対策エンジンだけで受信ファイルをスキャンしていること、未知のマルウェアやゼロデイ攻撃を防ぐためにファイルアップロードをサニタイズしていないことです。
悪意のあるファイルは、しばしばネットワーク侵入の第一歩となります。複数のマルウェア対策エンジンでファイルをスキャンし、ファイルのアップロードをサニタイズすることを怠ると、深刻な結果を招き、侵入の可能性が飛躍的に高まります。
責任の共有:安全保障への懸念の分離
アプリケーションで F5 NGINX のようなテクノロジー、あるいはロードバランサー、Web アプリケーションファイアウォール、リバースプロキシ、フォワードプロキシなどのネットワークデバイスを使用している場合、アプリケーションのセキュリティ保護における役割に気づいていない可能性があります。これらのネットワーク・デバイスは、ネットワーク・アクセス管理、セキュリティ・ポリシー管理、規制コンプライアンス・ストレージ、コンテナ・セキュリティなどのネットワーク・セキュリティの責任を担います。
セキュリティ責任の分担は意図的なものである。責任を分担することで、セキュリティ態勢が強化される。基本的には、自分が最もよく知っていることに専念してください。ネットワーク・セキュリティについては、F5 NGINXに任せるのが最善策です。しかし、悪意のあるファイルアップロードの解決策を見つけることは、あなたの責任です。例えば、OPSWAT は、ファイル・アップロードのセキュリティ、マルウェアのコンテンツ・スキャン、顧客データ保護を専門としています。当社の技術プラットフォーム、MetaDefenderは、悪意のあるファイルがネットワークに侵入するのを防ぐように設計されています。
もう1つの一般的な懸念はコンプライアンスです。ユーザーのデータをシステムに取り込むことを許可している場合、アプリケーション・セキュリティのコンプライアンス指令が多数あり、これは組織の責任となります。F5とNGINXはネットワークコンプライアンスを処理しますが、ネットワークセキュリティの上にファイルアップロードとデータ保護のソリューションが必要です。
責任共有モデルにより、ベンダーは自社の関心事に集中でき、顧客はユースケースに最適なツールを柔軟に選択できる。もしあなたのユースケースがファイルのアップロードを含むのであれば、包括的で信頼ゼロのソリューションが必要です。
ゼロ・トラストを実現する多層防御の方法
悪意のあるファイルアップロードに対する防御の第一層は、既知の脅威に対してファイルをスキャンすることから始まります。OPSWAT Multiscanning テクノロジーは、99%以上の検出精度を達成するために、複数の主要なマルウェア対策エンジンを組み合わせています。これらのエンジンは、特定のタイプの既知のマルウェアの検出に特化しています。また、ヒューリスティックや機械学習を利用して、ファイルに未知のマルウェアが含まれている可能性を評価するエンジンもあります。
しかし、複数のマルウェア対策エンジンでスキャンするだけでは、未知の脅威を撃退することはできません。未知の脅威やゼロデイ攻撃から保護するために、OPSWAT は、Deep CDR (Content Disarm and Reconstruction) を使用しています。これは、マルウェアのない安全で使用可能なファイルを生成し、元のファイルを隔離するコンテンツサニタイズの一形態です。Deep CDR は、120 以上のファイルタイプを処理します。再帰的なサニタイゼーションを使用して、通常のCDRよりも深く、.rarや.zipのような一般的なアーカイブファイルをスキャンし、PDFやOffice Suiteファイルの画像のようなドキュメント内のオブジェクトもスキャンします。
最後に、システムを通過する機密データを可視化し、管理する必要がある。Zero Trustは、お客様が常に危険にさらされていることを想定しています。当社のProactive DLP (Data Loss Prevention)技術は、個人を特定できる情報(PII)やクレジットカード番号など、ファイル内の機密コンテンツを識別します。
共有責任モデルにファイルアップロード・セキュリティを追加:プラグアンドプレイ・セキュリティ・ソリューション
当社の調査では、F5 NGINXのユーザーがプラグアンドプレイのセキュリティソリューションを求めていることがわかりました。このようなニーズに応えるため、OPSWAT 、データを保護し、コンプライアンスを維持するためのファイルアップロードセキュリティのオールインワンソリューションを開発しました。
セキュリティを強化する最もシンプルで費用対効果の高い方法は、F5とNGINXのネットワークセキュリティに、次のようなプラグアンドプレイソリューションでもう1つの防御レイヤーを追加することです。OPSWAT MetaDefender ICAP Server.30以上のマルウェア対策スキャンエンジンとDeep CDR 、Proactive DLP (Data Loss Prevention)を組み合わせ、ネットワークトラフィックセキュリティにおけるゼロトラストの実現を支援します。
MetaDefender ICAP Server モダンなアプリケーションを簡単に保護する方法について詳しくお知りになりたい場合は、お問い合わせください。
