Posts

2000x1083FinalistsTrust-1024x554

ペンタセキュリティMydiamo、 SC Awards US 2020データベース部門のファイナリストに採択

ペンタセキュリティMydiamo、

SC Awards US 2020データベース部門のファイナリストに採択

IoT・クラウド・ブロックチェーンセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳・貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)は12月2日、オープンソースデータベース暗号化ソリューションMyDiamo(マイ・ディアモ)がSCメディア主催のSC Magazine Awards USの「最高のデータベース・セキュリティソリューション(Best  Database Security Solution)」部門のファイナリストとして採択されたことを明らかにした。

 

2000x1083FinalistsTrust-1024x554

 

ペンタセキュリティが提供するMyDiamoは世界初のオープンソースデータベース暗号化ソリューションで、アプリケーション及びクエリの修正が不要でカラム単位暗号化を提供する透過型暗号化(Transparent column Encryption、TDE)方式により、暗号化の適用後にもパフォーマンス劣化がないため、オープンソースDBMSに最適されたソリューションである。

暗号化機能に加え、アクセス制御及び監査ログの機能を提供するのみならず、HIPAAやPCI-DSSなどのコンプライアンスに準拠し、統合データベースセキュリティを実現した。特にMySQL・MariaDB・PerconaDB・PostgreDB等の様々なオープンソースDBMS環境をサポートする一方、一般企業には商用ライセンスを提供しながら非営利団体などには非商用ライセンスを提供するなどライセンスを多様化し、利便性を確保しつつセキュリティを高めることで、顧客満足を実現してきた。

一方、SC Magazine Awardsは約30年にわたってサイバーセキュリティ分野をリードする専門家及び製品・サービスを選定し賞を授与するイベントであり、業界においてその権威と影響力を認められている。セキュリティ産業分野の専門家たちの厳選な審査により受賞者が決められ、データベース部門以外にも、クラウドコンピューティング・フォレンジックソリューション・認証技術など、様々な分野における専門性が高く優秀な企業に対し、賞を授賞する。受賞者は2020年2月25日サンフランシスコで開かれる授賞式で発表予定である。

ペンタセキュリティCSOのDS Kimは、「ペンタセキュリティはデータベース暗号化技術を基盤として成長を続けてきた企業だからこそ、今回のファイナリストに採択されたのは感無量だ」とし、「商用プログラムのメインテナンスのコスト増加により、企業においてオープンソースの使用率がどんどん増大しているため、これからも多様なオープンソースDBMS環境のサポートと定期的な機能アップデートを行い、グローバル顧客により良い製品の提供に向けて尽力していきたい」と語った。

授賞部門、候補企業リストは下記のURLにて確認できる。

https://www.scmagazine.com/2020-sc-awards-trust-awards-finalists/

MyDiamo(マイ・ディアも)

MyDiamoは、OSS(Open Source Software)のMySQLとMariaDBに特化したDBMSエンジンレベルの暗号化ソリューションであり、エンジンレベルのカラム暗号化セキュリティとパフォーマンスの両立を実現させるアプリケーションから独立したコンポーネントです。ペンタセキュリティでは、オフィシャルサイトにて個人用の非営利的利用のため、無償ライセンスを提供しています。


製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

profile

「2017年10月号」企業が注意すべき2017情報​セキュリティ10大脅威、対策備えは?!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□■ ペンタセキュリティシステムズ メールマガジン 2017/10/31 ■□■

https://www.pentasecurity.co.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

目次

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】Security Days Fall 2017でセキュリティ脅威動向と対策を丸ごと解説!

【02】OSS DB暗号化ソリューション 「MyDiamo(マイ・ディアモ)」、PostgreSQL

暗号化を提供開始

【03】最新Web脆弱性トレンドレポート2017年9月号公開

【04】【ニュース】不正アクセスでの個人情報およびカード情報がそのまま漏洩?

【05】今月のコラム「2017年自動車サイバーセキュリティの現状」

【06】企業が注意すべき2017情報セキュリティ10大脅威、対策は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】Security Days Fall 2017でセキュリティ脅威動向と対策を丸ごと解説!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティがSecurity Days Fall 2017に参加いたしました。SecurityDays

Fallは、最新の脅威動向とセキュリティ対策に対して解説するイベントで、東京と

大阪で開かれました。様々な情報セキュリティ関連の企業が参加し、セッションを通

じて、企業情報セキュリティ、特に最近話題になっているDDoS対策とウェブの脆弱性

や改ざん対策、クラウドセキュリティについて解説いたしました。

そこで、ペンタセキュリティは「サイバー攻撃は、セキュリティ対策に取り組んでいる

企業だけが知っている。」というタイトルで講演しました。弊社のブログでは、セミナー

内容の紹介とともにセミナーで使われた資料を無料で配布しているので、ご興味を持って

いる方々は、是非ご確認ください。

>> Security Days Fall 2017現場およびセミナー紹介はこちら

https://goo.gl/UMbhha

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【02】OSS DB暗号化ソリューション 「MyDiamo(マイ・ディアモ)」、Postgre

SQL暗号化を提供開始

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが10月19日から当社のOSS DB暗号化ソリューションであるMyDiamo

(マイ・ディアモ)で、MySQL、MariaDB、PerconaDB対応機能に加え、PostgreSQL

DBの暗号化を提供することになりました。

オープンソースの普及および商用プログラムの保守費用を含む維持費用の負担等により、

企業のオープンソース使用率は増加していて、2012年4月、日本国内PostgreSQL関連

ベンダー及びユーザ企業が集まり、「PostgreSQLエンタープライズコンソーシアム

(PGECons)」を発足しました。

近年の情報漏えいによるセキュリティへの危機感からPostgreSQLに特化した暗号化

ソリューションのニーズが高まり、 MyDiamo(マイ・ディアモ)のラインナップとして

PostgreSQL暗号化を追加しました。より詳しい内容は、下記のプレスリリースを

ご参照ください。

>> プレスリリース全文はこちら

https://goo.gl/jMNp9V

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】最新Web脆弱性トレンドレポート 2017年9月号

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとに

したトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連の

オープン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュあ

リティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成さ

れています。

【概要】

2017年9月に公開されたExploit-DBの脆弱性報告件数は、総72件であり、その中でSQL

インジェクションが62件で最も多い件数で発見されました。9月に公開されたSQLイン

ジェクション脆弱性は、攻撃実行の難易度が低い方に分類されました。この攻撃は、

オンライン検索を通じてダウンロードできる攻撃ツールの使い方さえ知れば、低いレベル

の難易度で誰にでも手軽に悪用できます。

ですが、SQLインジェクション脆弱性は、低い攻撃難易度持つ同時に高いレベルの危険度

に分類されました。幸いに、ほとんどのSQLインジェクション攻撃は、Webアプリケー

ションファイアウォール通じて簡単に対応できます。よって、持続的なセキュリティを

維持するためには、Webアプリケーションファイアウォールとセキュアコーディングを

活用した多層防御を具現する必要があります。

 

>> 最新Web脆弱性トレンドレポート全文はこちら

無料ダウンロード: https://goo.gl/s4AQ8u

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【04】【ニュース】不正アクセスでの個人情報およびカード情報がそのまま漏洩?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

最近、不正アクセスによる個人情報漏えいに関するニュースが連日報道されて

います。企業の情報を狙う不正アクセスにより、顧客の機密情報やクレジットカード

情報などの敏感な情報が流出されながら、企業が受けている被害件数も増加しています。

特に、最近ターゲットとして狙られているのは、EC系のサイトです。それで今回は、

9月と10月発生した「不正アクセスによって被害を受けた日本国内のECサイト被害事例」

を調べて、ECサイトでの情報セキュリティ対策を紹介します。

 

>>ニュースまとめ全文はこちら

https://goo.gl/61mK9P

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【05】今月のコラム「2017年自動車サイバーセキュリティの現状」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

毎月ペンタセキュリティの R&D センターからコンテンツ作成し、配信している

セキュリティコラムを紹介いたします。

【概要】

自動車ITセキュリティは、大衆の興味を集めるテーマである。よく知られている致

命的なハッキング事件があった自動車メーカーだけでなく、潜在的にこのような可能性

を持っている自動車製造業者も、今後の自動車産業がどんな姿であろうかを予測するた

めに、素早く動いている。2017年現在、こういう動きは私たちにどういう意味であろうか。

——————————————————————————————————-

時代の発展により、自動車とインターネットの結合であるコネクティッドカーに対する

人々の興味も高くなっています。今回はIT業界でエバンジェリストとして活躍している

筆者が日本の自動車製造会社の役員たちとの交わした会話を通じて、今後の自動車や

自動車セキュリティに対して紹介します。詳しい内容は、本コラム

からご確認ください。

 

>>コラム「2017年自動車サイバーセキュリティの現状」全文はこちら

https://goo.gl/bYZdvX

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【06】企業が注意すべき2017情報セキュリティ10大脅威、対策は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

近年、ネットワーク環境の変化がさらに高速化している中、特に企業を取り巻く情報

セキュリティ環境も急速に変化しており、中小・中堅企業から大手企業まで組織の規模

を問わず日々発生している個人情報漏えい事故や不正アクセスによる被害が増大してい

ます。企業としてはセキュリティ対策が不可欠な課題です。

それで、日本の情報処理推進機構(IPA)で発表した「2017情報セキュリティ10大脅威」

を紹介し、企業はどう対策していくべきか、そして情報セキュリティのためにどういう

ソリューションが必要であろうかについて解説いたします。

 

目次は、以下の通りです。

(1) 2017情報セキュリティ10大脅威とは?

(2) 企業・組織における情報セキュリティ10大脅威

(3) 企業の情報セキュリティのためには?

① WAFの必要性

② WAFの種類別メリットやデメリット

③ クラウド型WAF、Cloudbric(クラウドブリック)

>>「企業が注意すべき2017情報セキュリティ10大脅威、対策は?」全文はこちら

https://goo.gl/iq6s23

 

*クラウドブリック(Cloudbric)

アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーション

ファイアウォールであるペンタセキュリティのワップル(WAPPLES)の論理演算

検知エンジンエンジンを活用したクラウド型WAFサービスです。

 

▼ クラウドブリック(Cloudbric)に関する詳細情報はこちら ▼

≫≫ https://goo.gl/pGauEA

≫≫ https://goo.gl/dk4Ltp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 製品・パートナシップに関するお問い合わせ

ペンタセキュリティシステムズ株式会社 日本法人

Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

 

■ 本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【コラム】オープンソースDB、エンジンレベル、カラム暗号化、トータルソリューション

韓国と日本のITの現場は、一見似ているようで、まったく違う。主に使用するソフトウェアからもその差ははっきりしている。企業向けのソフトウェアの代表格であるデータベースだけを見ても、日本はMySQLやMariaDBそしてPostgreSQL等「オープンソースソフトウェア(Open Source Software)」の利用率が韓国に比べてはるかに高い。興味深い現象である。もう少し掘り下げてみましょう。

オープンソースデータベース

オープンソースソフトウェアは、長所がとても多い。誰でも無料でダウンロードし、自ら勉強しながら簡単に身につけることができる。だから、ユーザー層が厚い。一般企業では、このようなオープンソースソフトウェアの使える人材を簡単に採用することができるし、無料もしくは比較的に安い価格政策のおかげで、電算システムの構築費用を削減する効果も大きいとも言える。全世界数多くの開発者が自発的に参加する文化の産物であるため、最新技術の適用が速く、ソフトウェア自体の技術的な発展速度も早いということもまた大きな長所である。

ところが、韓国には何だか分からないけど「オープンソース」不信がある。「無料ソフトウェアを企業で使うのは、なんかちょっと不安じゃない?」と言い、値段の高い商用ソフトウェアを購入してしまうのだ。もちろん、商用ソフトウェアも長所が多い。オープンソースソフトウェアに比べて、より明確な開発ロードマップによって製品を開発して供給するため、急に生産終了になったり、アップグレードが中断される危険性が低い点だけでも、すでに十分な長所になる。しかし、純粋技術そのものだけを見てみると、オープンソースソフトウェアを選択する比率が高い日本の方が韓国に比べては「より技術的な理解に基づいて」意思決定をしていると考えても間違った解釈ではなさそうだ。 ところが、

「オープンソースデータベースは安全か?」

企業がソフトウェアを選択する基準は様々があるはずだが、その中でも最も重要な基準は、安全性ではないかと思う。特に、データベースの場合、安全性が不安なら性能が圧倒的に優れていると言っても絶対選択してはいけない。データベースは今日、企業の最も重要な資産であるデータを直接扱うソフトウェアだからである。韓国の企業が主に商用ソフトウェアを選択する最も大きな理由も安全性に対する漠然とした期待感があるからである。

こうしたデータベースやその中に入っているデータの安全性に影響を及ぼす様々な要素の中で最も重要なのは、暗号化である。暗号化は、データベースセキュリティの核心であり、本質である。その他にあらゆる道具は、暗号化の補助手段に過ぎない。今からは、データベース暗号化のあれこれを見ながら、OSSデータベースの安全性を考えてみよう。

データベース暗号化の種類

まずは、データベース暗号化の4つの方式を見てみよう。

1)アプリケーションAPI:アプリケーションソースの修正が必要
2)データベースAPI:データベースソースの修正が必要
3)暗号化プラグイン:DBサーバ内部に暗号化モジュール挿入
4)エンジンレベル暗号化:データベース内部に暗号化エンジン挿入、ソース修正は不要

1)から4)の順で暗号化を実現する位置が外部のアプリケーションからデータベースの内部に近くなる。よって、データベース内に直接暗号化エンジンを挿入する「エンジンレベル暗号化」は、アプリケーションやデータベースのソースの修正が不要なので、楽チンである。但し、エンジンレベルとなると、データベースのベンダーではない限り、難しく、これまではデータベースベンダーが独占してきた領域であった。他方、オープンソースデータベースは、ソース自体オープンであるため、エンジンレベル暗号化の開発が可能となるわけだ無論、開発のためには、高いレベルのセキュリティ技術は必須であることはいうまでもない。

そして、暗号化をする対象によって、暗号化の方式は3つに分けられる。

1)ディスク暗号化:データベースが保存されているディスク全体を暗号化
2)ファイル暗号化:データベースファイル全体を暗号化
3)カラム暗号化:データベース内部の特定カラムを指定して暗号化

1)から3)の順で、暗号化する対象のサイズが小さくなる。暗号化する対象のサイズが小さくなるということは、アクセス制御およびセキュリティ監査の効果、そしてセキュリティコントロール有効性(Security Control Granularity)が高くなる。すなわち、データ単位で細かくセキュリティ設定ができるという意味である。

技術的に論じる意味がないと言われているディスク暗号化は論外にしておいて、ファイル暗号化は、データベースファイルを丸ごと暗号化する方式である。ファイルの中に入ってあるどんな内容でも、閲覧するためにはファイル全体を復号しなければならないという意味である。他方、カラム暗号化は特定のデータを指定し、選択的に暗号化する方式である。それぞれメリット・デメリットはあるが、カラム暗号化は、必要なデータのみを選択的に暗号化ができ、そのデータ単位で細かくアクセス制御および監査の設定ができることからファイルを丸ごと暗号化するファイル暗号化に比べて業務プロセス負荷やセキュリティの面で有利な暗号化方式だと言えるでしょう。

かつてエンジンレベルの暗号化ソリューションは、カラム暗号化に対応できないと言われてきたが、進歩した技術よりエンジンレベルでの動作を確保しながらカラム単位の暗号化ができる製品が既に出てきている。

以上の暗号化方式は、それぞれ技術的なメリット・デメリットがあり、導入後、業務上体感するメリット・デメリットがある。技術的なメリット・デメリットももちろん導入時考慮しなければならない項目であるが、実質上、暗号化ソリューションは、導入による業務上負荷にて選定時大きく左右される。例えば、データーベースベンダーが大々的に広告しているエンジンレベルの「透過的(Transparent)暗号化」の訴求ポイントは、「ソースを修正する必要がないので楽な暗号化」というかたちになる。アプリケーションやデータベースのソースおよびクエリーを修正することなく、導入できるということは非常に魅力的である。

但し、暗号化ソリューションの導入を考えているのであれば、ひたすら利便性のみを重視してはいけなく、暗号化の本来の目的であるセキュリティの面からもちゃんと考慮しなければならない。利便性とセキュリティの両立を実現することはなかなか難しいことである

「暗号化だけでは、セキュアではない」

暗号化だけでは、セキュアではない。暗号化だけではセキュアとは言えないということである。暗号化後、誰でもが復号できてしまったら、その暗号化はセキュアではなくなる。当然ながら権限のあるユーザのみが暗号化データを復号できるようにアクセス制御は必須である。そして、そのセキュリティシステムが正常に作動しているかを常に監視しなければならない。このように暗号化には、アクセス制御、そして監査は付き物である。

暗号化・アクセス制御、セキュリティ監査、そして、鍵管理でセキュアになれる。これは、暗号化を実現するにおいて、当たり前なことであり、基本中の基本である。業務によっては、セキュリティポリシー上必須機能はまだまだある。パスワード暗号化のための一方向暗号化、インデックスカラムのための部分暗号化、PCI-DSSの遵守のためのカード番号マスキング等データベース暗号化時の要素は、いくらでもある。市販のデータベース暗号化製品は、このような要素でセキュリティ設計がされているトータルソリューションとしてパッケージングされている。

開発者がOSS DBを無償でダウンロードし、インストールしたとして、セキュリティを実現するために上述の様々な要素を頑張って実装していくのも、できないわけではない。但し、費用対効果の問題が生じる。OSS DBに対しセキュリティを実現するために頑張ったコストは費用に高い。あとからのメンテナンスも懸念される。セキュリティは、専門家に任しておいて、ただただその製品を簡単に導入することでお互いハッピーになれるのである。セキュリティは、専門家に任しておくべきである。

それで、「オープンソースDB、エンジンレベル、カラム暗号化、トータルソリューション」

今まで見たデータベース暗号化のあれこれを総合してみると、「オープンソースDB、エンジンレベル、カラム暗号化、トータルソリューション」が必要だという結論に到達する。結論が理由なく長いわけではない。技術的、そして実務的な長所や短所を全て考えて、利便性やセキュリティ性を全て満たした結論である。それでは、また最初の質問に戻って、

「オープンソースデータベースは安全か?」

安全だ。オープンソースデータベースのエンジンレベルで動作しながら、カラム暗号化を支援して、アクセス制御やセキュリティ監査、鍵管理などのデータ暗号化の3代必須要素や一方向暗号化、部分暗号化、マスキングなど、必ず必要な機能までそろえた最新の暗号化トータルソリューションがあれば。

結論の核心は、いろいろな暗号化方式の中で「エンジンレベル暗号化」を通じて透明(Transparent)でありながらも「カラム暗号化」を支援することにより、データ単位で完璧なセキュリティ性を達成することがセキュリティ的には最も理想的な暗号化方式の組み合わせである。しかし、「透明性(Transparency)」と「セキュリティコントロール有効性(Security Control Granularity)」の中で一つだけを選択しなければならない状況であるなら、どんな場合でも絶対諦めてはいけない要素なので、セキュリティコントロール有効性を選択すべきである。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

MyDiamo (マイ・ディアモ)

 

MyDiamoは、OSS(Open Source Software)のMySQLとMariaDBに特化したDBMSエンジンレベルの暗号化ソリューションであり、エンジンレベルのカラム暗号化セキュリティとパフォーマンスの両立を実現させるアプリケーションから独立したコンポーネントです。ペンタセキュリティでは、オフィシャルサイトにて個人用の非営利的利用のため、無償ライセンスを提供しています。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201