Posts

[펜타시큐리티] ASOCIO ICT 우수기업상 수상

ペンタセキュリティ、「ASOCIO ICT優秀企業賞」を受賞

ペンタセキュリティ、「ASOCIO ICT優秀企業賞」を受賞

IoT・クラウド・ブロックチーェンセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳・貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)が11月8日、日本で開催された「ASOCIO Summit 2018」で「ASOCIO ICT Company」優秀企業に選定されたことを明らかにした。

<ASOCIO ICT Company 受賞しているペンタセキュリティの李・錫雨社長>

1984年設立された「ASOCIO(Asian-Oceanian Computing Industry Organization)」は、日本・オーストラリア・ニュージーランド・シンガポール・香港など、24か国のICT関連協会と機関が参加する国際ICT団体である。ASOCIOは、毎年サミットを開催し、革新的なICT製品·技術で事業を展開した優秀企業と機関を選定することで、情報通信産業の共同発展に向け、活動を展開している。

ペンタセキュリティは、従来の事業方式を革新し、産業競争力を強化し、新たなビジネスモデルを展開した企業として認められ、「ICT Company」部門の優秀企業に選ばれた。ペンタセキュリティは、データセキュリティ/ウェブセキュリティ/認証セキュリティの分野でアジア・パシフィック地域のレファレンスを多数蓄積している。ペンタセキュリティのウェブアプリケーションファイアウォールであるWAPPLES(ワッフル)は、市場調査機関のフロスト&サリバン(Frost&Sullivan)が主管したICTアワードで「アジア・パシフィック地域最高のセキュリティ製品」として選ばれた。

ペンタセキュリティのCEOの李錫雨氏は、「アジア・パシフィック地域のICT市場の急成長に伴い、セキュリティ要求も同時に高まっている。今回の受賞は、ペンタセキュリティがアジア・パシフィック地域に長期間集中して事業を展開してきた成果であるので、とても嬉しい。」とし、「これからも国家別製品およびサービスの現地化を通じて、アジア・パシフィック地域の最高セキュリティ企業の立場をより強固にする予定だ。」と述べた。


本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
E-mail : japan@pentasecurity.com
TEL : 03-5361-8201

profile

HEM Infosecとパートナーシップ締結で台湾セキュリティ市場進出

ペンタセキュリティ、

HEM Infosecとパートナーシップ締結で台湾セキュリティ市場進出

IoT・クラウド・ブロックチェーンセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳・貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)は、7月9日、台湾政府機関や主要IT企業などにセキュリティ製品およびサービスを提供する「HEM Infosec Co.、Ltd(以下HEM Infosec)」とパートナーシップ締結を通じて、台湾セキュリティ市場への進出と共にグローバル事業を拡張することを明らかにした。

台湾は、既存のIT製造業と半導体などの分野で頭角を現しており、アジア各国の物理セキュリティ市場でも高いシェアを占めている。しかし、政府の情報セキュリティ関連規制の発効が他のアジアの国に比べ、相対的に遅かったことが理由となり、サイバーセキュリティ分野では 注目すべき成果を表すことができなかった。一例として、台湾行政院の情報通信安全処調査によると、2017年を基準、台湾政府機関のサイバーセキュリティ関連人材は全体IT人材の7%未満に過ぎないということが分かった。

 

これに、台湾政府はサイバーセキュリティ事業の育成促進と「アジアのシリコンバレーを目指す。」という、政府政策の実施に向け、約110億台湾ドル(約403億円)に達する投資を敢行した。その一環として、未来志向的インフラ開発及び国家技術開発などの事業が推進される予定であり、人工知能(AI)、モノのインターネット(IoT)、ブロックチェーンなどの新技術分野のスタートアップ育成計画も推進中である。

 

政府政策の変化とともに民間市場でもウェブアプリケーションファイアウォール(WAF)など、実質的に高いセキュリティを実現するセキュリティ製品の需要が大きく増加した。このような市場のニーズによって、台湾政府機関や公共機関などにアンチウイルスなどのエンドポイント(EndPoint)セキュリティ製品を主に供給してきた「HEM Infosec」がウェブアプリケーションファイアウォールの事業展開に向け、「ペンタセキュリティ」とパートナーシップを締結したものだ。

 

ペンタセキュリティは、韓国市場1位を超え、シンガポール・ブラジル・バングラデシュ・ルワンダなど、グローバル市場で事業領域を拡張している企業情報セキュリティ専門企業であり、アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーションファイアウォールの「WAPPLES(ワップル)」を通じて、グローバルコンサルティング会社の「フロスト&サリバン(Frost & Sullivan))が主管したICTアワードで「アジア・パシフィック地域最高のセキュリティ企業」に選定された。

 

ペンタセキュリティが「HEM Infosec」を通じて、台湾の公共機関及び教育機関などに供給する「WAPPLES(ワップル)」は、独自開発した論理基盤検知エンジンの「COCEP™」を搭載することで、まだ知られていない新型ウェブ攻撃にも対応可能なウェブアプリケーションファイアウォールである。台湾のMing Dao大学はペンタセキュリティを優先供給者に選定し、内部セキュリティテストを準備中であり、台湾の新竹市警察署の内部セキュリティ強化プロジェクトなども進行中だ。

 

ペンタセキュリティの新事業本部長であるDS KIMは「シンガポール・マレーシアなどのアジア地域で築いてきたレファレンスとノウハウを基盤として「HEM Infosec」とともに、台湾で様々なプロジェクトを推進している。今回の台湾進出は、各国家の現地事情に最適化したプロジェクト推進を通じた新規ビジネスモデル創出の意味を持ち、ここから培ったノウハウを従来のアジア市場事業本格化だけでなく、アフリカやヨーロッパなどの新規市場進出に向けた戦略的な基盤とする計画である。」と述べた。

 


本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
E-mail : japan@pentasecurity.com
TEL : 03-5361-8201

profile

「2018年02月号」世界各国でセキュリティ警告?!続々発生しているセキュリティ事故、その対策とは?話題の暗号通貨もまるごと解説。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□■ ペンタセキュリティシステムズ メールマガジン 2018/02/28 ■□■
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【01】【掲載】 週刊BCN主催のセミナー・キャラバン2018In名古屋
【02】【特集】 Q&Aで分かる暗号通貨(仮想通貨)のすべて
【03】【セキュリティ動向】 2017年ITセキュリティ系の注目キーワードを振り返ってみる。
【04】【月間レポート】 最新Web脆弱性トレンドレポート2018年01月号公開
【05】【今のトピック】 グーグル、HTTPS拡散対策強化開始
【06】【コラム】 モノのインターネット(IoT)も大手企業の役目なのか。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【01】【掲載】 週刊BCN主催のセミナー・キャラバン2018In名古屋
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

週刊BCNが「業界の“今”がわかる!有力商材が見つかる!SIer・リセラーのためのITトレンドセミナー」 をテーマと

して今年初の全国キャラバンを2月2日、愛知県名古屋市からスタートしました。
ペンタセキュリティは、ラリタン・ジャパン・サイバーソリューションズ・キングソフト・NTTPCコミュニケーションズ
・ビーブレイクシステムズの5社と共に参加し、最新ITトレンド関連の様々な話題に対して講演を行い ました。
ペンタセキュリティでは、グローバルビジネス本部日本セキュリティビジネス戦略部門ゼネラルマネージャーの 陳貞

喜さんが 「今こそ、Webサイトを守るWAFを再認識!~4Hから見るWAFを選ぶ基準と日本に 上陸した進化したクラウド

型WAFサービスのご提案~」をテーマに解説を行いました。最近、Web改ざん や標的型攻撃などのサイバー攻撃の増加

しているが、Webサイトを守るための方法やセキュリティ認識は まだ距離があり、このような誤解やサイバー攻撃の

対策について解説しました。

 

より詳しい内容は、下記のリンクでご確認ください。

>> 週刊BCN掲載詳細はこちら
https://goo.gl/sP7PqZ

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【02】【特集】 Q&Aで分かる暗号通貨(仮想通貨)のすべて
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

最近、ビットコインで代表される暗号通貨(仮想通貨)が多くの人たちから注目を集めています。しかし、多くの人た

ちが暗号貨幣について関心を持ち始めると、これを悪用した犯罪も続々起きています。
最近日本では有名な暗号通貨取引所で約580億円の暗号通貨が不正アクセスで奪取された事件が起きました。その規

模は歴史上最大規模であり、2014年日本で発生した470億円相当の暗号通貨ハッキング事件を上回る規模です。
日本だけでなく全世界各地で暗号通貨を狙った新種犯罪が登場しています。ICO詐欺、貨幣採掘詐欺など種類も増加し

ていて、犯罪規模も知能化されるなど、対策の必要性に対する話が台頭しています。

 

より詳しい内容は、下記のリンクをクリックしてください。

 

>> 「Q&Aで分かる暗号通貨(仮想通貨)のすべて」はこちら
https://goo.gl/9WmzYq

 

▼ 他の特別連載記事はこちら ▼
≫≫ Q&Aで分かる「情報セキュリティ」のすべて https://goo.gl/dQSDTK
≫≫ Q&Aで分かる「コネクティッドカー)」のすべて  https://goo.gl/XqeMTx
≫≫ Q&Aで分かる「モノのインターネット(IoT)」のすべて https://goo.gl/ZfHFRh

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【03】【セキュリティ動向】 2017年ITセキュリティ系の注目キーワードを振り返ってみる。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2017年は自動運転車や暗号通貨(仮想通貨)、家庭用IPカメラなど、IT分野全般的に新 技術を結合した商品が登場

しました。それで、2017年話題になった注目キーワードや情報セキュリティ 関連事件を調べてみました。2017年話題

のキーワード6つを今から確認してみてください。

 

>> 「2017年ITセキュリティ系の注目キーワードを振り返ってみる。」全文はこちら
https://goo.gl/7aodws

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【04】【月間レポート】 最新Web脆弱性トレンドレポート2018年01月号公開
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにした トレンドレポートです。

本レポートは、世界的に幅広く参考している脆弱性関連のオープン情報であるExploit-DBより公開されているWeb

脆弱性について、ペンタセキュリティのR&Dセンターのデータ セキュリティチームの専門的知識と経験を活かし作

成されています。

 

【概要】

2018年01月に公開されたExploit-DBの脆弱性報告件数は、50件でした。この中で最も多い件数の脆弱性が公開された

攻撃は SQLインジェクション(SQL injection)攻撃でした。特に、攻撃難易度と危険度が二つとも高い攻撃もSQL

インジェクション攻撃でした。攻撃難易度や危険度が高いレベルに該当されるSQLインジェクション攻撃の中で”

Advantech WebAccess< 8.3 – SQL Injection”脆弱性は、URL経路の中で攻撃コードが挿入される特異点がある脆弱性です。

該当脆弱性を含めて、EDB解析レポートに公開された脆弱性に対して予防するためには最新パッチとセキュアコーディング

をお薦めします。しかし、完璧なセキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはウェブ

アプリケーションファイアウォールを活用した深層防護(Defense indepth)を具現する考えなければなりません。

 

>> 最新Web脆弱性トレンドレポートダウンロードはこちら
https://goo.gl/2UBbRD (PDF / 772kb)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【05】【今のトピック】 グーグル、HTTPS拡散対策強化開始
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

海外の最新IT動向をまとめて伝える今のトピックでは、世界各地でのセキュリティ関連トピックを紹介いたします。

今回のトピックでは、2017年発生した情報流出事件を含め、世界を緊張させたランサムウェア「ワーナークライ

(WannaCry)」攻撃その後の経過、個人情報保護のために使っているVPNサービスからの欠陥ニュースに対して解説

いたします。

 

目次は、以下の通りです。

(1) グーグル、HTTPS拡散に拍車をかける
(2) VPNサービスも慎重に選択して使うべき!
(3) 英国の国家保健サービスの低いセキュリティ
(4) 歴史上最大規模の情報が流出された2017年

 

>>「グーグル、HTTPS拡散対策強化開始」全文はこちら
https://goo.gl/CWSsHk

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【06】【コラム】 モノのインターネット(IoT)も大手企業の役目なのか。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

毎月ペンタセキュリティの R&D センターからコンテンツ作成し、配信しているセキュリティコラムを紹介いたします。

 

【概要】
まず、誤解がある。
ある事物をインターネットに接続させることさえすれば、いわゆる「モノのインターネット」になるという誤解。
ウェブでIoT、スタートアップ、モノのインターネット、起業などの検索語を入力すると、華やかな美辞麗句で飾られた

書き込みがすごく出てくる。「モノのインターネットにスタートアップ育成」、「IoTスタートアップを始まる方法」、

「熱いモノのインターネット起業熱気」など、とても熱い。これは、政府も同じだ。モノのインターネットこそ小資本

で起業が容易な未来産業であり、我々は創造的に何だかんだ…。

しかし、IoTは本当に小資本のスタートアップにふさわしい事業だろうか。
結論から言えば、今はそうではない。 それではいけない。

(略)

 

モノのインターネット(IoT)技術の発展により、多くの企業でIoT事業を始めようとしています。しかし、IoT事業は

単純なものではありません。人間に直接影響を与えることが可能なので、実はその技術はリスクを持っているものが

ほとんどです。
モノのインターネットに対してよくする誤解を解説し、実際事業をするためにはどういうところに気を使わなければ

ならないのかを、本コラムから解説します。

 

>>コラム 「モノのインターネット(IoT)も大手企業の役目なのか。」全文はこちら
https://goo.gl/CfEc1o

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 製品・パートナシップに関するお問い合わせ
ペンタセキュリティシステムズ株式会社 日本法人
Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

■ 本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(11月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 11月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

11月の最新Web脆弱性トレンド情報

2017年11月に公開されたExploit-DBの脆弱性報告件数は、総15件であり、10月に公開された脆弱性数(67件)と比べると77%ほど減少しました。今月非常に多くの脆弱性が公開された攻撃はクロスサイトスクリプティング(Cross Site Scripting)であり、この中で最も注目すべきの脆弱性は「KirbyCMS < 2.5.7 – Cross Site cripting脆弱性」です。当脆弱性は、ファイルアップロード(File Upload)攻撃と混合されています。悪性コードをsvgファイルにセーブした後、そのファイルをアップロードする方式です。当脆弱性を防ぐためには、最新パッチとセキュアコーディングを行うことをお薦めします。ですが、完全なるセキュアコーディングは不可能であり、持続的にセキュリテイ性を維持するためにはWebアプリケーションファイアウォールを活用した深層防護(Defense indepth)を具現する必要があります。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

 

sebastien-gabriel-232358

【コラム】 安全だと思ったWi-Fiセキュリティ、WPA2が崩れた。

「WPA2(Wi-Fi Protected Access 2)」も崩れた。Wi-Fiセキュリティの不安というのはいつも話題になっていたが、そのたびにWPA2は唯一の安全な方法としておすすめされたりした。以前の「WEP(Wired Equivalent Privacy)」に比べて、WPA2は名前から’Protected’だったので、何となく十分に保護されているような気がした。セキュリティ専門家たちもWPA2だけは安全だと言ってたので、利用する人たちは安心した。

 

1997年に導入されたWEP方式は、2001年に致命的なセキュリティ脆弱性が発見され、この代わりにセキュリティを強化した’WPA(Wi-Fi Protected Access)’標準が制定された。しかし、TKIP(Temporal Key Integrity Protocol)方式のセキュリティプロトコルを使用するWPAもたった60秒以内にハッキングできるという事実が明らかになった。幸いに、その脆弱性はTKIP暗号化アルゴリズムではなく、AES(Advanced Encryption Standard)方式を使用することによって回避することができた。また、WPAに続いて、AESに基づいたCCMP(Counter Cipher Mode with block chaining message authentication code Protocol)を基本に使用するWPA2が登場し、今日までWi-Fiネットワークプロトコルセキュリティ標準として位置づけられている。

 

それで、セキュリティ専門家たちも「WPA2を使いなさい!」、「WPA2は安全です!」と強く主張したのだ。ところが、そのWPA2まで崩れたのだ。その経緯を見てみよう。

 

「KRACK」にクラック

WPA2を狙った「KRACK(Key Reinstallation AttaCK)」は、名前の意味そのままKeyを再設定する攻撃である。WPA2プロトコルの鍵管理脆弱性を攻撃する。米国国土安全保障省(DHS)配下の情報セキュリティ対策組織であるUS-CERT(United States Computer Emergency Readiness Team、アメリカのコンピュータ緊急対応チーム)では、KRACKの危険性について「復号化・パケットの再生・TCP接続ハイジョキン・HTTPコンテンツ・インジェクションなどが影響を受ける。プロトコル自体の問題であるため、WPA2標準のほとんど、またはすべての部分に該当する。」と言った。

 

KRACK攻撃者は、Wi-Fiネットワーク過程に介入し、鍵を再設定することで、これまで安全に暗号化されていると信じて疑わなかった情報、例えばクレジットカード番号、パスワード、電子メール、メッセージなどの敏感な情報を盗み取ることができる。これに、Wi-Fiを使っていた人たちは大きな混乱に陥った。

 

「WPA2は信じても良いって言ってなかった?」、「暗号化は安全だといつも言ってたでしょう!」「AESも不安というわけか!」

 

これは当然な反応だ。それほどWPA2に対する信頼が堅固だったのだ。そして、攻撃による被害規模は想像もできないほど深刻だ。考えてみよう。私たちはWi-Fiを通じて、どれほど多くの、そして危険な情報をやり取りしてたのか。混乱は、当たり前のことだ。

 

しかし、混乱は問題に対する誤解を起こすこともある。「暗号化してもすべてやられるのではないか!」という怒りをよく見た。結論から言えば、そうではない。KRACKはWPA2セキュリティプロトコルのfour-way handshakeプロセスに非正常的に介入して、無線アクセスポイント(Wireless Access Point、WAP)ではなく、利用者クライアントに影響を与える攻撃であり、プロセスのセキュリティを証明するのに使用される数学、つまり暗号化を無用の長物にしている攻撃ではない。

 

「それではこれからはWPA2を使ってはいけないのか?」

 

これもまた、そうではない。クライアントセキュリティ・アップデートなどに対する確認、そしてアクセスポイント機器のクライアント機能解除などの措置を取らなければならないが、すぐWPA2の使用を中断してはならない。誇張して話すと、代案がない。

 

ふと思い出す昔話

 

第一、裏切り。

 

裏切りは、信じたほど痛い。信頼が深かったら、その分痛い。そのために、相互間に重ねた道義的な信頼関係を壊す行為である裏切りは、さらに悪い行為に取り扱われる。古代から裏切り者は獣とみなした。ダンテの新曲を見ると、地獄は逆に立てた円錐形になっているが、裏切り者はその円錐の一番下にいる。地獄の底には、自分の弟であるアベルを殺したカイン、自分を信じたカエサルを暗殺したブルータス、イエスキリストを裏切ったイスカリオテのユダが地獄で最もあくどい悪魔たちにかみちぎられている。そういう文章を書くほど、裏切りという行為は嫌がれるのだ。

 

第二、スケープゴート。

 

総体的な問題がある。 社会的な、つまりシステムの問題だ。問題を正すか、それとも問題ではないように、お互い合意して解決するはずだが、システム的な問題のほとんどがそうであるように解決が難しい問題だ。そういう時、犠牲物を利用する。古代イスラエルでは、贖罪の日になると羊を立てて、人間の罪をこの羊が代わりに負って去ると宣言した後、荒れ地に追い出したりする風習があった。そのシステムの罪は、羊と一緒にシステムの外に行ったから、罪がすべて消えたという、解決法のない解決策だ。

 

信じて疑わなかったWPA2が裏切った。信じたほど痛い。
しかし、WPA2プロトコル問題を暗号化に負わせるのは、誤解から発生した問題だ。

過去のWEPそしてWPAがそうであったように、WPA2も方式を改めなければならないが、
暗号化は依然として信じられる、事実上唯一のセキュリティ方法だという事実は、変わらない。

profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(9月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 9月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

9月の最新Web脆弱性トレンド情報

2017年9月に公開されたExploit-DBの脆弱性報告件数は、総72件であり、その中でSQLインジェクションが62件で最も多い件数で発見されました。9月に公開されたSQLインジェクション脆弱性は、攻撃を実行し易い方だと分類されました。何故なら、この攻撃はオンライン検索を通じてダウンロードできる、攻撃ツールの使い方さえ知れば、誰にでも手軽に悪用できるからです。ですが、このような易い攻撃難易度持つ同時に、SQLインジェクションはその危険度が高すぎて、早急に対応が必要である攻撃に分類されました。幸いに、大部のSQLインジェクション攻撃は、Webアプリケーションファイアウォール通じて容易に対応できます。よって、持続的なセキュリティを維持するためには、Webアプリケーションファイアウォールとセキュアコディングを活用した、多層防御を具現しなければなりません。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

 

radek-grzybowski-66457

【コラム】 クラウド時代のセキュリティ、核心だけ簡単に

ITセキュリティ、難しい。簡単なことだって、きちんとやりきれないことだが、難しいことだからさらに難しいし大変だ。

 

わずかサーバ一つ運営しようとしても、しなければならない仕事があまりにも多い。さらに最近はクラウドが人気だ。企業のコンピューティング環境を企業が直接管理しないから、従来のあらゆるセキュリティ問題から自由になったわけかというと、そうではない。クラウドサービス提供者は、ハードウェアレベルでのセキュリティは提供するが、アプリケーションやデータセキュリティは相変わらずサービス利用者の役目だ。それで、最近ITセキュリティの核心、本当に必須的な核心だけを簡単に書こうとしている。もちろん、これがITセキュリティの全部ではない。しかし、この程度だけしたら、ITセキュリティ事故の90%ぐらいは軽く防ぐことができる。

 

防げた事故: WAF?

セキュリティ事故の種類は様々である。ニュースを見ても毎日様々な事故が絶え間なく起きるから。数えきれないほど多くの攻撃をどうやって一々防げるか、と最初からあきらめた方がいいんじゃないかと思うほどだ。しかし、最近起きたセキュリティ事故の90%以上はウェブアプリケーションを通じて起きた事故だ。事故の種類はさまざまだが、その始まりはウェブアプリケーション、特にウェブコンテンツレベルでの脆弱性からスタートし、その後、様々な種類の事故につながったものだ。つまり、とっくにウェブアプリケーションファイアーウォール(Web application firewall、WAF)でも稼動していたら充分に阻止できたはずの事故がほとんどである。

 

それにも関わらず、防げなかったら?: 暗号化

にもかかわらず、事故は必ず発生してしまう。これはとても重要な見方であり、認識である。よくITセキュリティというのは、事故が全く起こらないことを前提にしてすることだと思う。
しかし、そうではない。むしろ、ITセキュリティは事故が起こることを前提にしにやることだ。無条件的に完全な防御のみを前提するなら、万一、事故が発生した後、原状での回復力が著しく落ちるため、企業において最も重要なことであるビジネスの連続性を維持することはできない。したがって、事故発生を前提したまま、「問題は回復力」、これが最近のITセキュリティのパラダイムである。世の中のすべての防御網は、開かれる可能性を持っていて、全てのデータは流出される可能性を持っている。それがデータというものの当初の性質である。したがって、データ流出を防ぐために最善を尽くすものの、同時にデータが流出する事態に備えなければならない。そんなことが起きた際にも最悪の状況、つまりデータ内容の流出を防ぐ方法はデータ暗号化だけだ。犯罪者らがデータを盗むことはもし成功するとしても、データの内容を見ることはできないように、つまり盗んだデータを使うことはできないようにしてこそ、被害を最小化することができる。

 

クラウドはクラウドで: クラウドセキュリティ

クラウドコンピューティングに対する疑いは、まだ完全に消えていないようだ。クラウドはまだ完成度の低い技術であり、既存システムの使用と比べて無駄に複雑なだけで、何だか安全ではないようだという否定的偏見が依然としてある。しかし、これはまだクラウドを使ったことのない人々の誤解であるだけで、実際にクラウドを導入し、使用してみた企業は態度が完全に反対に変わり、ほめ言葉ばかり言う。特にクラウドを通じて新規アプリケーションやサービス適用にかかる時間は前と比べることができない程度に短縮され、維持・保守費用も大きく削減されたと満足する。そしてまだクラウドに転換していない企業は、既にクラウドに転換した企業のビジネス速度に追いつくことができないだろうと大声で話す。やはり、今の時代はクラウドだ。

それで、最近はサーバなどの電算システムを直接管理しない企業が多い。そして世界的にとても有名で巨大なクラウド会社が代わりに引き受けて処理してくれるからセキュリティ問題も絶対ないだろうと信じている。しかし、これはとても深刻な誤解である。クラウドサービス提供者(プロバイダー)は、ハードウェア及びネットワークレベルのセキュリティだけ提供する。アプリケーションやデータセキュリティに対する責任はサービス使用者の役目だ。これは真っ暗な秘密でもなく、サービス製品説明書にも明確に書かれている事実である。それでは、一体何をどうすれば良いか。例えば、ウェブアプリケーションの保護のため、以前のようにWAFハードウェアを直接設置して運用できない時にどうすれば良いのだろうか。

クラウドはクラウドで防ぐ。クラウド環境に合致するクラウドセキュリティシステムを適用することができるし、複雑なインストールプロセスなしにただ何回かクリックで、既存のハードウェアWAFと同一のクラウド・セキュリティ・サービスを提供してもらうこともできる。

 

スタートアップのセキュリティ: クラウド・セキュリティ・サービス

とても重要なテーマがまた一つある。スタートアップである。スタートアップは破壊的な革新とアイデアを通じて、短期間で超高速の成長を志向する新生企業であり、たいてい自由な企業文化を誇る。これはすなわち、セキュリティや安全にあまり気にしていないかもしれないという認識と繋がっている。実際、スタートアップでのセキュリティ事故は絶えず起きている。事業拡張とマーケティングに集中しているため、セキュリティの問題を考える時間がないかもしれない。その後、他のスタートアップがセキュリティ事故のせいで崩れる姿を見てからやっとセキュリティの必要を悟ったりする。

しかし、悟ってばかりいる。

しかし、規模が小さなスタートアップが大手企業レベルのセキュリティシステムを整備する方法がないという訴えも無視できない。大手企業レベルのセキュリティシステムはお金がとてもかかる仕事なのに、事業を始める時からお金をたくさん持っているスタートアップはほとんどないから。しかし、方法はある。クラウド時代なので、ITセキュリティもまたクラウドサービスで提供される。クラウドサービスとは、ネットワークを通じてコンピューティング環境と機能を提供するサービスだ。技術的な言葉で言うと「弾力的オンデマンド仮想マシン」であり、したがって、使用量によって資源量が増えたり減たりする柔軟性を持つため、サービスを使用した量だけ費用を支払えば良い。最近は、企業情報セキュリティの最も重要な3大要素であるウェブセキュリティ・データ暗号化・認証セキュリティ全部クラウドサービス形態で提供されるため、スタートアップであっても大手企業レベルのセキュリティの力量を持つことができる。

 

クラウド時代のセキュリティ?

要約すると、

-事故は、ほとんどがウェブアプリケーションで起きる。WAFを利用して防止しよう。
-にもかかわらず、事故が起きた場合、データ暗号化を通じて最悪の状況を避ける。
-ITセキュリティシステムを直接運営できない状況なら、クラウドセキュリティを適用しよう。
-費用のせいでセキュリティを十分にできないスタートアップであれば、クラウド型WAFサービスを使おう。
クラウド時代のセキュリティ、こうすれば良い。