アイロバの『BLUE Sphere （ブルースフィア）』&『mamorune（マモルネ） 』
WebサイトやPCをまとめてガッチリ守る

企業のセキュリティ対策となると、あれもこれも必要となり、コストが嵩んでしまいがち。しかも、運用が難しかったり、複数のサービスを導入することで煩雑になったりと、導入していてもなかなか難しかったりします。そのため中小企業だと、運用・管理ができなかったり、予算を確保できず一部しか対策しなかったりで、十分なセキュリティ対策ができていないケースがほとんどでしょう。

そんな中小企業に向けた安価でまるごとセキュリティ対策ができるサービスが、今回紹介するアイロバのWebサイトを守る『BLUE Sphere 』とPCを守る『mamorune』です。アイロバの赤羽根さんと勝部さんにお話を伺いました。

赤羽根潤一さん（以下、赤羽根）　「本日は2つのセキュリティサービスを紹介したいのですが、まずは株式会社アイロバについてお話したいと思います。弊社は、サーバーネットワーク事業（インフラ事業）とセキュリティサービス事業を行っている企業になります。元々はサーバーネットワーク事業（インフラ事業）が中心だったのですが、お客様に対してネットワーク環境を提供する際、セキュリティ回りは他社さんのセキュリティサービスを紹介することがほとんどでした。ただ、中小企業のお客様がメインなのですが、紹介できるサービスがなかなかないんです。運用できないとか予算が足りないということで、危険性を説明しても入れられない状況が多くて」

池澤あやかさん（以下、池澤）　「確かに、中小企業だと予算の問題はありそうですね」

赤羽根　「そこで、中小企業のお客様でも導入しやすい低価格で、技術力がなくても扱いやすいサービスを作ろうということで、今回紹介する『BLUE Sphere』というサービスを開発し、『mamorune』についてもパートナー様製品をブランディングし提供した次第です」

池澤　「開発までして参入したわけですね」

赤羽根　「そうなんです。まずはBLUE Sphereという、WAF（Web Application Firewall）などのセキュリティ対策サービスから紹介しましょう。WAFってご存じですか？」

池澤　「ウェブアプリケーションの脆弱性をカバーするようなもの？」

赤羽根　「そうですね。脆弱性は結構頻繁に見つかるケースが多く、その都度対応するのは無理なんです。そこで、BLUE Sphereがウェブ専用のファイアウォールとして守るというサービスになります」

池澤　「お客様にWAFと言ってもよくわからないんじゃないですか？」

赤羽根　「いつも、まずWebサイトにとってのセキュリティ対策とはどういうものなのか、というところから説明させていただいています。たとえば住んでいる家の場合、防犯対策として鍵をかけたり、監視カメラをつけたり、場合によっては警備会社にお願いしたりしますよね。また、万が一に備えて火災保険や地震保険などに入ります。

Webサイトもそうした家と同じで、Webサーバ上にWebサイトを置いておくだけではダメで、しっかりとセキュリティ対策をしておかないと、侵入されて書き換えられてしまったり、それによって損害賠償が発生したりする可能性があります。そのため、家と同様しっかり守る必要があります、というような説明をしております」

池澤　「Webサイトの場合は、自分たちだけでなくお客様にも迷惑をかける可能性があるので、セキュリティ対策は重要ですよね」

赤羽根　「BLUE Sphereは、そうしたセキュリティ対策のサービスではありますが、他社サービスと違う部分についてお話したいと思います。先程のたとえで言いますと、自宅にさまざまな防犯対策を施すのと同様、Webサイトにもさまざまなセキュリティ対策が必要になってきます。WAFはその1つで、そのほかにもDDoS攻撃（Webサーバが処理しきれない大量のアクセスをすることで、サービスを停止させる攻撃）への防御対策や、DNS（Domain Name System）の監視、Webサイトの改ざん検知など、複数の対策をしておくべきなのですが、そうなると管理も煩雑になってしまいます」

池澤　「それぞれ別々のメーカーのサービスを導入するとなると、確かに面倒ですよね」

赤羽根　「別々のメーカーだと管理面だけでなく、費用も割高になってしまいます。そういったお話をお客様にすると、『予算がない』とか『このサービスは取り扱ったことがない』ということで、導入できないというケースが多く発生していました。そこで、必要なセキュリティ対策やサポート、運用を1つにまとめたBLUE Sphereをサービス化し、多層防御という考え方を推奨しています」

池澤　「オールインワンで費用も抑えられ、運用も楽なら任せたくなりますよね。WAFで防げる攻撃としては具体的にどういったものがあるのでしょう」

赤羽根　「基本的にはWebサイトに対する直接的な通信攻撃になります。攻撃者の傾向として、まずWebサイトがどういった構成で作られているのか、脆弱性を見つけ出す攻撃を仕掛けてきます。そうした攻撃をまずシャットアウトするとともに、直接書き換えてくるような攻撃に対してもブロックします」

池澤　「加えてDDoS攻撃の対策もありますが、DDoS攻撃って単にアクセス集中なのか、攻撃なのか検知が難しそうなのですが、そのあたりはどのように判断しているのでしょう」

赤羽根　「複数のしきい値や通信内容の中身などを複合的に判断することで、弊社のエンジンが自動で止める形になっています。おっしゃる通り、過剰検知として実際に一般のユーザーさんが、ただただ更新を連打しているケースもありますが、少なくとも機械的に操作しないと難しいレベルだったり、長くセッションを占有するような、人間の操作ではおかしいと判断したときに、攻撃と判断しています」

池澤　「DDoS攻撃の報道は、最近本当によく目にしますよね。あと、DNSの部分は他社と契約しているケースがほとんどだと思いますが、どこを守ってくれるのでしょう」

赤羽根　「DNSは監視するという形になります。たとえば、お客様が管理されているDNSサーバの内容が書き換えられた場合、アラートを出すという仕組みになっています。もし知らないうちに書き換えられた場合、お客様は正規のサイトを見ているつもりなのに、実は偽のサイトを見ていたという事態になってしまいます。もちろん自社で監視されているお客様もいますが、監視をしていないと、いくらWebサイトのセキュリティを強化していても、偽サイトへ飛ばされてしまっていたら無意味になってしまいますので」

赤羽根　「あともう1つ、サイバーセキュリティ保険というのも用意しています。セキュリティ対策というのは、いくらがんばっても100%守ることは不可能です。そのため、多層防御によって守られてはいるものの、万が一の保険として別途費用がかかることなく加入いただけます」

池澤　「保険が掛け金なしで付いてくるというのはいいですね。どういった事例が対象になるのでしょう」

赤羽根　「三井住友海上火災保険とのコラボレーションで『BLUE Sphere専用サイバープロテクター』というサービスなのですが、基本的には、法律上の損害賠償金や訴訟費用、事故対応に対する復旧費用、公的調査対応費用など、賠償保証最大2,000万円、費用保証最大1,000万円が受けられます。万が一の際は、追加料金なしで少しでも補填されるので、経営者や担当者の方への安心感を与えるサービスにはなっていると思います。

池澤　「この保険が実際に使われたことはあるんですか？」

赤羽根　「サービスを開始してから3年経っていますが、いまのところ保険が使われるようなサイバーセキュリティ事故は起こっていないですね」

池澤　「そうすると、BLUE Sphereがキチンと未然に防げているってことですね」

赤羽根　「そうだと思いたいです。実はこの保険、企業に掛かっておりWebサイト以外も対象となるので、入っていたほうが安心感は高まります」

赤羽根　「この手のサービスは、基本的に1サイト1契約が必要で、たとえば自社のコーポレートサイト以外に、サービスごとにサイトが複数ある場合、サイトごとに契約しなければならず、かなりの出費になってしまいます。BLUE Sphereは、そういう契約だと予算的に厳しいという企業のために、1企業1契約という形を取っています。そのため企業が持っているドメインすべてまとめて、導入できるのがポイントです。この点が、BLUE Sphereを導入する決め手になるケースが多く、WAFを導入できなかったお客様が、この契約ならと導入するに至っています」

池澤　「1企業1契約というのは、複数のドメインを所有している企業にとってはありがたいですね」

赤羽根　「お客様からの評判もよく、おかげ様で国内主要アワードのWAF&セキュリティ部門で、第1位を獲得しています」

池澤　「Webサイトを守るために必要なことは、一括りでまとめてサポートしてくれるというのは、やはり便利ですよね」

赤羽根　「1企業1アカウントで、費用も抑えられているので、導入しやすいのではと思っています。料金については細かく言うと、アカウント数ではなくトラフィック料というのを設けているのですが、他社の場合は1カ月のうちのいちばんトラフィックが多かった時間帯の直近5分平均から算出しています。この場合、たとえばDDoS攻撃を5分間受けていたとすると、それがその月の費用になってしまいます。そうなると、月によっては費用が跳ね上がってしまい予算を上回ってしまいます。

我々の場合は、3カ月の平均値で出しています。そして、DDoS攻撃を受けた場合でも、外からの通信は対象外で外へ向けての通信のみ課金のため、料金としても安価にすみますし、ランニングコストも上下動が少なくなると思います」

池澤　「他社サービスだと、外からの通信も対象になっていると」

赤羽根　「そうですね。攻撃性のある通信はカウントしないことになってはいますが、その判断は難しいと思います」

勝部浩和さん（以下、勝部）　「続きまして、データプロテクションサービスの『mamorune』のサービスを紹介いたします。本サービスはPCが対象で、バックアップとセキュリティ対策のサービスになります。具体的には、お使いのPCにクラウドバックアップ機能と、アンチマルウェア機能を提供する簡単にご導入いただけるサービス です。

昨今のリモートワークなどで、ノートPCを自宅に持ち帰るケースが増えていると思いますが、その際に一時的に作成されたファイルなどはPCに保管するはずです。そうした場合でもクラウドへバックアップする環境を提供して、データを守ることが可能になります」

池澤　「バックアップ系のサービスはほかにもありますが、mamoruneはどんな特徴があるのでしょう」

勝部　「クラウドへバックアップすることで、ローカルバックアップとは違った機能を提供できます。誤って削除してしまった場合に復活できるという、バックアップサービスならではの機能はもちろんですが、クラウドにバックアップするため災害などでPCが使用できなくなっても、別のPCに復旧することが可能です。また、ランサムウェアなどでPC内のデータが暗号化されてしまったとしても、クラウド上に保管したデータは影響を受けないため、データを安全に復旧できます」

池澤　「クラウドだと通信環境があれば、いつでもバックアップやリカバリーが可能なので、その点は楽ですよね」

勝部　「それに加えて、アンチマルウェア機能も提供していますので、ランサムウェアによって悪さをされないようあらかじめ防御できるようになっています。また、万が一PCを紛失してしまった場合、管理者はPCが最後にオンラインであった場所を確認できます。さらに、バックアップをとっている領域を遠隔操作で削除することもできます。そのため、情報漏えいを未然に防ぐことも可能となっています」

池澤　「バックアップを行っているPCは、管理者が一元管理できるということでしょうか」

勝部　「はい、Web上の管理画面を提供していますので、企業内のPCのバックアップ状況やセキュリティの状態などを確認できます。クラウドへのバックアップとアンチマルウェアの機能は2つに分かれていて、基本的には両方使っていただくことを推奨していますが、アンチマルウェアはすでに導入されている企業も多いので、クラウドバックアップ機能のみの導入も可能となっています」

池澤　「大企業だと、PCに対するセキュリティ管理はしっかり行っていると思いますが、中小企業だとそこまで取り組んでいるところは少ないですよね」

勝部　「そうですね。お使いのPCのバックアップまで行えていない所も多いかと思いますので、マモルネを導入してセキュリティの向上の足がかりとしていただければと思っております」

池澤　「価格が気になるところですが」

勝部　「料金は、基本的にバックアップを取る容量によって課金する形式ですが、まずは基本パックを選んで利用していただき、容量やデバイス数など必要に応じてオプションを追加していくという形をおすすめしています。1台あたりで換算すると容量10GBでおよそ月額1200円程度になります」

池澤　「文書ファイルなら容量的にも十分ですし、価格も抑えられているのではないでしょうか。バックアップの頻度というのはどのぐらいなんでしょう」

勝部　「頻度は最短1分間隔でバックアップできますが、標準では30分ごとで行います」

池澤　「バックアップを何日分残すかという設定は」

勝部　「無期限に保存することも可能ですが、そうなると容量が膨らんでしまうため、どうしても課金に関連してきますので、データの重要性との兼ね合いになりますが、お客様と相談の上、3カ月程度などに設定することが多いですね」

池澤　「今後はどのような展開を考えているのでしょう」

赤羽根　「今後、サイトへの攻撃というのが、AIによってより高度化されて、攻撃なのか否かの判断がより難しくなってくるのではと予想しています。そうした攻撃に対して、どれだけお客様のサービスに影響を与えないよう守れるか、日々努力していきたいと思っています。お客様へセキュリティの強化を啓蒙しつつ、良質かつ安価に提供できる体制を整えていき、新機能や新サービスの追加を半年から1年のスパンで提供し続けていきたいと考えています」

池澤　「結構中小企業ってリソースが足りていないと思うんですよね。いろいろと自社でやろうと思っても、そこにリソースを割くのであれば、本業の方に割きたいって思うはずです。とりあえず、このサービスを契約しておけば安心、というものが中小企業にとってはすごくありがたいのではとすごく感じました。それこそ保険までついてくるのは、安心感が高く任せたいのではと思いました」