クラウド型WAFサービス Archives | Penta Security Systems Inc.

Posts

「2018年04月号」暗号通貨を最も安全に保護する方法は何?クレジットカード情報から教育業界の情報まで全ての情報はハッカーのターゲット！

2018-04-27/カテゴリ: メールマガジン /作成者: Penta Security

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□■　　　ペンタセキュリティシステムズ　メールマガジン　2018/04/27　　　　■□■
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【01】【プレスリリース】暗号通貨ウォレット「ペンタ・クリプトウォレット」発売を発表
【02】【プレスリリース】クラウドブリック、「IP評価サービス・ウェブ脆弱性情報DB・WAF性能

評価ツール」3種のサービスを提供開始
【03】【月間レポート】最新Web脆弱性トレンドレポート2018年03月号公開
【04】【ペンタソリューション】 PCI DSSの完璧な準拠のためのデータ暗号化とサイバーセキュリティ
【05】【コラム】教育情報セキュリティポリシーに関するガイドラインに対応しなければならない理由
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【01】【プレスリリース】暗号通貨ウォレット「ペンタ・クリプトウォレット」発売を発表

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
今年の1月、日本最大の暗号通貨取引所の「コインチェック」で史上最大規模のハッキング事故が発生し、

約580億円の暗号通貨が盗難される事件がありました。当取引所では、いわゆる「ホットウォレット」に

暗号通貨を保管していましたが、コインチェックではこの「ホットウォレット」用の個人鍵が奪取され、

コインチェックのNEM(ニュー・エコノミー・ムーブメント)の口座から約580億円のNEMが流出されたと

説明しました。この事件により、ホットウォレットより安全性が保障されるコールドウォレットが注目を

集めている中、ペンタセキュリティで暗号通貨ウォレットの「ペンタ・クリプトウォレット(Penta Crypto

Wallet)」を新たに発売しました。
ペンタ・クリプトウォレット(Penta CryptoWallet)は、暗号通貨取引のための鍵生成から取引プロセス全般

にわたってEnd-to-Endセキュリティを具現して、既存の暗号通貨セキュリティが持っていた脆弱性問題を

解消するための暗号通貨セキュリティ・トータルソリューションとして、6月から公式発売を予定しており、

現在はCBT(Closed Beta Test)を実施しています。

より詳しい内容は、プレスリリース全文をご確認ください。

＞＞「暗号通貨ウォレット「ペンタ・クリプトウォレット」発売を発表」プレスリリース全文はこちら
https://bit.ly/2qLTssc

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【02】【プレスリリース】クラウドブリック、「IP評価サービス・ウェブ脆弱性情報DB・WAF性能

評価ツール」3種のサービスを提供開始
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

クラウド基盤のウェブセキュリティサービス提供会社クラウドブリックが「IP評価サービス・ウェブ脆弱

性情報データベース・ウェブアプリケーションファイアウォールの性能評価ツール」の各種のウェブセキュ

リティリソースを無償提供するCloudbric Labsサービスを日本で新たに提供開始いたしました。
クラウドブリックは、別途ソフトウェアのインストールなしで、DNS変更だけでサービス利用が可能なクラ

ウド型WAFとして、独自開発した論理基盤検知エンジンを活用し、ID奪取を狙ったサイバー攻撃及びDDoS

攻撃を検知し、保護するウェブサイトセキュリティソリューションです。
今回提供を開始するCloudbric Labsサービスを通じて、Cybersecurity Insidersが主催する2018Cybersecurity

Excellence Awardsで「今年のサイバーセキュリティプロジェクトでアジア・パシフィック(Cybersecurity

Project of the Year-Asia/Pacific)部門を受賞しました。

サービスの詳しい情報は、下記のプレスリリースをご参考ください。

＞＞「クラウドブリック、“IP評価サービス・ウェブ脆弱性情報DB・WAF性能評価ツール”3種サービス

を提供開始」プレスリリース全文はこちら

https://bit.ly/2Hzrw5n
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】【月間レポート】最新Web脆弱性トレンドレポート2018年03月号公開
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンド

レポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオープン情報であるExploit-DB

より公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティ

チームの専門的知識と経験を活かし作成されています。

【概要】

2018年3月に公開されたExploit‐DBの脆弱性報告件数は、26件でした。この中で最も多くの脆弱性が公開

された攻撃は、SQL Injection(SQLインジェクション)です。特に、Joomla Componentで51つの脆弱性が

公開されました。注目すべきことは””ClipBucket < 4.0.0 – Release 4902″”脆弱性です。当脆弱性は、それ

ぞれCommand Injection, File Upload, SQL Injection脆弱性を利用して攻撃が行なわれました。このように

様々な脆弱性を利用した攻撃に対しては注意する必要があります。
当脆弱性を予防するためには、最新パッチとセキュアコーディングをおすすめします。しかし、完璧な

セキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはウェブアプリケーシ

ョンファイアウォールを活用した深層防御(Defense indepth)実装を考慮しなければなりません。

＞＞最新Web脆弱性トレンドレポート3月号まとめはこちら

https://bit.ly/2HhWQ51

＞＞最新Web脆弱性トレンドレポート(PDF)ダウンロードはこちら
https://bit.ly/2vAWENb (PDF / 869kb)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【04】【ペンタソリューション】 PCI DSSの完璧な準拠のためのデータ暗号化とサイバーセキュリティ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【概要】
PCI DSSという言葉、聞いたことがありますか？クレジットカード取引が増えることによってサイバー攻撃

を通じて違法にクレジットカード情報を取得し、これを悪用する事件が相次いで発生しています。このよう

なカード情報流出を防ぐために「クレジットカード情報を取り扱うためのセキュリティ標準」がまさに

PCI DSSです。
最近、ECサイトなどのインターネットと電子商取引を通じた取引が増えながら、自然に決済のためのカード

情報などの個人情報をインターネット上に登録することが増えています。しかし、問題は、このような

サイトがハッカーによって攻撃を受け、サイトに保存されていた顧客の個人情報が流出される事件も徐々に

増えているということです。
それで、今回はPCI DSSについて調べて、PCI DSSを準拠するために不可欠な２つの方法、データ暗号化と

サイバーセキュリティについて詳しく調べます。また、日本のPCI DSS準拠のためのガイドラインについ

ても解説いたします。

＞＞「PCI DSSの完璧な準拠のためのデータ暗号化とサイバーセキュリティ」全文はこちら
https://bit.ly/2F1Yt53

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【05】【コラム】教育情報セキュリティポリシーに関するガイドラインに対応しなければならない理由
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【概要】
2016年7月、文部科学省では「教育情報セキュリティのための緊急提言」を公表し、公務系や学習システム

の分離など、8項目の情報セキュリティ対策を設けることを促しました。そして、約1年後の2017年10月には

「教育情報セキュリティポリシーに関するガイドライン」が公表されました。

今までニュースポータルのメインを飾ったサイバー攻撃とこれに対する被害事例をみると、2017年米国の

信用情報会社エクイファックスからアメリカ全体人口の40%の個人情報が流出された事件や日本最大の

暗号通貨取引所のコインチェックが不正アクセスを受け、約580億円を盗まれたことなどの金融業界で起き

た事件が殆どでした。それで、教育業界において情報セキュリティの必要性に対しては認知していなかった

かもしれませんが、実は、教育業界もハッカーたちの目標としてよく狙われる市場です。
2016年佐賀県教育委員会の不正アクセス事件や大阪大学の情報流出事件などが続けて発生しながら、教育

業界も狙われる可能性があるという認識が生じているが、なぜ狙われるか、またどのような情報が狙われる

かについてはまだよくわからない方々もいるはずです。
果たして、なぜハッカーは教育関連の情報を狙うのでしょうか。そして教育機関で教育情報のセキュリティ

政策ガイドラインに従って、セキュリティ政策を樹立するためには何をすればいいのでしょうか。

詳しい内容は、コラム全文をご参照ください。

＞＞「教育情報セキュリティポリシーに関するガイドラインに対応しなければならない理由」全文はこちら
https://bit.ly/2Hekhw1

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 製品・パートナシップに関するお問い合わせ
ペンタセキュリティシステムズ株式会社　日本法人
Tel：03-5361-8201 ／ E-mail： japan@pentasecurity.com

■ 本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
Tel：03-5361-8201 ／ E-mail： mkt1@pentasecurity.com
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

クラウドブリック、「IP評価サービス・ウェブ脆弱性情報データベース・WAF性能評価ツール」3種のサービスを提供開始

2018-04-23/カテゴリ: ニュース＆イベント /作成者: Penta Security

クラウドブリック、

「IP評価サービス・ウェブ脆弱性情報データベース・WAF性能評価ツール」3種のサービスを提供開始

クラウド基盤のウェブセキュリティサービス提供会社Cloudbric(クラウドブリック)（https://www.cloudbric.com/、以下、クラウドブリック)が2018 Cybersecurity Excellence Awards受賞を公表することとともに、「IP評価サービス・ウェブ脆弱性情報データベース・ウェブアプリケーションファイアウォール（以下、WAF）の性能評価ツール」の各種のウェブセキュリティリソースを無償提供するCloudbric Labsサービスを日本からも4月24日から提供することを明らかにした。

クラウドブリックは、別途ソフトウェアのインストールなしで、DNS変更だけでサービス利用が可能なクラウド型WAFで、独自開発した論理基盤検知エンジンを活用し、ID奪取を狙ったサイバー攻撃及びDDoS攻撃を検知し、保護するウェブサイトセキュリティソリューションである。今回、日本で新たにサービスを開始する「Cloudbric Labs」は、他セキュリティソリューションとは差別された専門家が提供するサービスのために開発されており、Cybersecurity Insidersが主催する2018 Cybersecurity Excellence Awardsで「今年のサイバーセキュリティプロジェクトでアジア・パシフィック部門(Cybersecurity Project of the Year-Asia/Pacific)を受賞した。

サービス提供背景及び詳細紹介

クラウドブリックは、企画当時から「誰もが簡単に使えるウェブセキュリティサービス」を標榜し、高価のアプライアンス型WAFの導入が難しいスタートアップや中小企業でも合理的な価格でレベルの高いセキュリティサービスを利用できるようにし、究極的にはセキュリティの大衆化に貢献しようとする趣旨で開発されたサービスである。今回、新たにサービスを開始するCloudbric Labs(https://labs.cloudbric.com/)は、このようなクラウドブリックの趣旨からさらに発展し、セキュリティ専門家が分析したウェブ脆弱性やリスク情報、そしてこのような情報を簡単に取得できるプラットフォームを無償で提供することにより、セキュリティに専門的な知識を持っていない一般人であっても高まっているウェブ脅威に対して積極的に対応できるように、下の３つのサービスを提供する。

BlackIPedia
Threat Index
WAFER

< ▲ Cloudbric Labs – BlackIPediaの検索画面>

BlackIPediaは、入力したIPに対する危険IP有無とブラックリストに登録されたIPであろうかなどを確認する機能を含め、ブラックIP Top 100のような情報を提供する。検索画面から特定のIPアドレスを入力すると、該当IPに対する危険度や登録頻度、その推移を見ることができる。Threat Indexの場合、CVE、Exploit DBなどの脆弱性情報提供サイトから取りまとめたウェブ脆弱性情報を検索できる機能を提供する。これを通じて日本だけでなく、グローバル的に流行っている最新のウェブ脆弱性に対してモニタリングし、これを分析した情報を通じて、セキュリティ措置の必要有無を迅速かつ簡単に判断し、対応できるようにする。BlackIPediaとThreat Indexから提供する情報はAPIまたはメールを通じて無料購読することができる。

また、今年の下半期からサービス提供予定であるWAF性能評価ツールのWAFERは、Cloudbric Labs研究チームが収集・管理するExploit DBパターンと攻撃パターンを使用して、テスト対象ドメインにトラフィックを転送して、WAFの性能を評価する。これを通じて、現在利用しているウェブサーバ及びウェブサイトのセキュリティレベルを自体点検し、評価することができる。

<▲ Cybersecurity Excellence Awards受賞認証>

Cybersecurity Excellence Awards

Cybersecurity Excellence Awardsは、情報セキュリティ分野で革新やリーダーシップを認められたり、製品の優秀性を認められた企業及び個人に受賞するプログラムで毎年開催されている。今年のCybersecurity Excellence Awardsの場合、70個以上の部門に約400個以上の製品が応募し、グローバルサイバーセキュリティ分野の専門家たちが属しているLinkedIn情報セキュリティコミュニティの会員約40万名の投票により、受賞企業が選定された。

今回のCybersecurity Excellence Awardsでクラウドブリック「Cloudbric Labs」を通じて、今年のサイバーセキュリティプロジェクト(Cybersecurity Project of the Year)のアジア・パシフィック部門とウェブサイトセキュリティ部門を受賞しており、非商業的プロジェクトであることにもかかわらず提供サービスの価値と質、実用性など多方面で専門家たちの認定を受けたことが受賞の理由だと説明した。

2018 Cybersecurity Excellence Awardsに対する詳細情報及び各部門別の受賞者情報は下記のホームページで確認できる。

2018 Cybersecurity Excellence Awards公式ホームページ：https://cybersecurity-excellence-awards.com/
2018 Cybersecurity Excellence Awards部門別受賞情報：https://cybersecurity-excellence-awards.com/2018-cybersecurity-professional-awards-winners-and-finalists

クラウドブリック製品詳細はこちら

本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
E-mail : japan@pentasecurity.com
TEL : 03-5361-8201

ペンタセキュリティ、神戸デジタル・ラボと販売代理店契約を締結

2017-09-25/カテゴリ: ニュース＆イベント /作成者: Penta Security

ペンタセキュリティ、

神戸デジタル・ラボと販売代理店契約を締結

クラウドブリックのエンタープライズWAFサービス、

関西地方へ供給拡大

データ暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が9月26日、株式会社神戸デジタル・ラボ（以下、KDL）との販売代理店契約の締結を通じて、関西地方でクラウドブリック(Cloudbric)のエンタープライズWAFサービスの供給を本格的に拡大することを明らかにしました。

ペンタセキュリティは、最近東京以外にも大阪・名古屋・福岡などの地方で情報セキュリティセミナーを開催し、さらに多くの地域企業がセキュリティソリューションを利用できるようにサービス範囲を広めていきました。今年8月、自社のクラウド型WAFであるクラウドブリック(Cloudbric)の企業向けエンタープライズWAFサービスを新規リリースし、新規パートナーシップの募集活動を活発にしてきたペンタセキュリティは、Proative Defenseを通じて企業セキュリティソリューションのラインアップを強化してきた関西有数の企業である神戸デジタル・ラボと販売代理店契約を締結し、本格的にサービス供給を拡大することになりました。

今回の契約を通じて、クラウドブリック(Cloudbric)は、アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーションファイアウォールであるペンタセキュリティのワップル(WAPPLES)の技術をもとに実装されたクラウド型WAFサービスです。独自開発した論理演算検知エンジン(COCEP™; Contents Classification and Evaluation Processing)を活用しており、米国の性能測定機関であるトリーグループ(Tolly Group)で施行したシグネチャ基盤WAFとの比較テストで検知率及び誤検知率などのウェブアプリケーションファイアウォールの主要性能が優れているという評価を受けました。また、2016年SC Awards Europeでは、グローバル企業を追い抜いて「最高の中小企業セキュリティ・ソリューション(The WINNER in BEST SME SECURITY Solution)に選定され、グローバルレベルの優秀な技術力を認められました。

KDLは、ウェブビジネスを主軸にし、ITコンサルティングサービス及びシステム開発・運営・保守サービスを総合的に提供する独立系ベンダーとして、従来は脆弱性診断サービスやセキュリティ対策支援サービスなどを提供してきました。最近、ウェブ攻撃に積極的に対応できるソリューションを要求する声が高まることにより、ペンタセキュリティとの販売代理店契約を締結し、クラウド型WAFサービスであるクラウドブリック(Cloudbric)エンタープライズWAFサービスを提供することとなりました。

ペンタセキュリティは、全世界13ヵ国の約40社のグローバルパートナー社とセキュリティサービスの拡散及び大衆化を推進してきた経験とノウハウを基に今年の8月から企業顧客単位のカスタマイズサービスであるクラウドブリック(Cloudbric)エンタープライズWAFサービスを新たにリリースしました。当サービスは、ウェブ攻撃遮断サービスとCDNサービス、DDoS攻撃対応サービス及び無料SSL認証書発行サービスを提供はもちろん、各企業顧客向けの独立したサービス環境を構築し、安定性を確保、またカスタマイズされたセキュリティポリシーを提供し、100Mbps以上のトラフィック帯域についてもカバーできる多様な料金プランを通じて中小企業及びハイエンドユーザーも合理的な価格でサービスの導入・運用・サポートが可能です。
ペンタセキュリティCSOのDSKimは、「日本情報セキュリティ市場の規模は2010年6,000億円から2017年約１兆億円を超えると推定されるなど、毎年持続的な拡張趨勢を見せています。これは、セキュリティ脅威の急増と一脈相通するところであり、企業の所在地とは関係なく、ウェブ攻撃が発生するため、地方企業であってもセキュリティは不可欠だ。」とし、「今回の協業を通じて、地方の多くの企業にも合理的な価格で高度のセキュリティサービスを提供して、企業が一層安定的にビジネスを展開できるように寄与したい。」と言及しました。一方、ペンタセキュリティは9月26日から29日まで開催されるSecurity Days Osaka・Tokyoカンファレンスでセミナーをする予定です。

今後開催されるペンタセキュリティのセミナー・イベント情報に関しましては、ペンタセキュリティの公式ブログで確認できます。以下のサイトで確認できます。

Cloudbric(クラウドブリック)

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか５分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。

製品詳細はこちら

製品に関するお問い合わせ
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティ、名古屋・大阪で大興電子通信との初合同セミナーを開催

2017-08-18/カテゴリ: ニュース＆イベント /作成者: Penta Security

ペンタセキュリティ、名古屋・大阪で

大興電子通信との初合同セミナーを開催

サーバセキュリティからエンドポイントセキュリティまで、

Web攻撃対策に向けた実質的な解決策を提示

データ暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒューストン/米国法人)は、大興電子通信株式会社との合同セミナーを8月29日と30日の両日間、名古屋と大阪で開催することを明らかにしました。

最近のセキュリティ脅威は、世界的に類似な様相を見せながら急増し、グローバルな話題として浮上しています。

日本では、2020年東京オリンピック・パラリンピック競技大会の開催を控え、内閣サイバーセキュリティセンター(NISC)を通じて、対策の強化に取り組んでおります。また、東京都中小企業振興公社ではサイバーセキュリティ対策促進助成金の公募を公表するなど、企業セキュリティ対策の準備を促進しています。一方、欧州連合(EU)では、一般個人情報保護法(General Data Protection Regulation、以下GDPR)の制定を通じて、今まで曖昧であった個人情報取扱方針を強制力のある制度として改正し、ヨーロッパ全域に適用させようとする動きを見せています。

このような状況の中、グローバルでレベルの高い技術力を所有し、その経験とノウハウを積み重ねてきたペンタセキュリティと、日本でのシステム構築からハードウェア保守まで多様なサービスを顧客に提供してきた大興電子通信は、Web攻撃対策に対する実質的な解決策を提示するための合同セミナーを開催することといたしました。

今回の合同セミナーは、企業経営者とセキュリティ担当者の方々を対象に、Webセキュリティ対策に必要であるサーバセキュリティとエンドポイントセキュリティについて紹介いたします。第1部は、大興電子通信が米国政府機関にて採用している新概念アイソレーションテクノロジーに対する紹介をいたします。第2部ではペンタセキュリティがサイバー攻撃に対して、合理的で実質的なWebセキュリティ対策を実施する方法と次世代セキュリティソリューションを紹介する予定です。名古屋は8月29日(火)午後2時30分から5時まで、大阪は8月30日(水)午後2時30分から5時まで開催します。

ペンタセキュリティは、今回のセミナーで実質的なWebセキュリティ対策に対する提案とともに、サーバセキュリティのためのクラウド型WAFサービス「Cloudbric®(クラウドブリック)」のデモンストレーションを交えて説明します。Cloudbric®(クラウドブリック)は、アジア・パシフィック地域のマーケットシェア1位のWebアプリケーションファイアウォールである「WAPPLES(ワップル)」の論理演算検知エンジンを搭載したクラウド基盤のWAFです。アカウント生成・ドメイン入力・DNSへの転換の３つの段階で簡単にWebサイトセキュリティに必要な全てのサービスを利用することができ、グローバル市場から大好評を受けた製品です。日本では、顧客向けのエンタープライズWAFサービスを新規リリースし、パートナー企業の募集活動を活発に進めています。

ペンタセキュリティのCSOであるDSKimは「Web攻撃は、全世界的に類似な攻撃手法とパターンで企業の規模を問わず広範囲にわたって発生している。企業はセキュリティ対策の準備に多く困難していることが現実だ。」とし、「多くの企業がITセキュリティの強化に向け、効果的なセキュリティ対策を講じられるよう今後も継続的にセミナーを開催して、様々な活動を展開していく予定だ。」と言及しました。

今回の合同セミナーに対する詳しい内容の確認及び参加の申し込みは、ペンタセキュリティの公式ホームページで確認できます。

Cloudbric(クラウドブリック)

製品詳細はこちら

製品に関するお問い合わせ
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

クラウドブリック、企業顧客向けのエンタープライズWAFサービスをリリース

2017-08-01/カテゴリ: ニュース＆イベント /作成者: Penta Security

クラウドブリック、

企業顧客向けのエンタープライズWAFサービスをリリース

グローバルで好評のクラウド型WAFで、

各種Web攻撃・DDoS攻撃遮断及びセキュリティ・カスタマイズ提供

データ暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、8月1日、クラウド型WAFサービスである「クラウドブリック(Cloudbric)」を企業顧客向けのエンタープライズサービスで新規リリースを開始したことを明らかにしました。

クラウドブリック(Cloudbric)は、アジア・パシフィック地域のマーケットシェア1位のWebアプリケーションファイアウォールであるペンタセキュリティのワップル(WAPPLES)の技術を基盤として実装されたクラウド型WAFサービスで、独自開発した論理演算検知エンジン(COCEP™;Contents Classification and Evaluation Processing)を活用しており、シグネチャ検知基盤のWAFとは違って、頻繁なシグネチャのアップデートが必要なく、新種・亜種の攻撃に対応が可能です。米国の性能測定機関である「トリーグループ(Tolly Group)」で施行したシグネチャ基盤WAFとの比較テスト結果、検知率及び誤検知率など、WAFの主要性能が優れているという評価を受けました。

データセンター、Web及びドメインホスティング企業、インフラ提供企業など全世界13カ国のグローバルパートナー約40社とセキュリティサービスの大衆化及び拡散に先立ってきたクラウドブリック(Cloudbric)は、中小事業者のセキュリティレベルを画期的に向上させ、グローバル市場で先に好評を得て、2016　SC Awards Europeで世界的セキュリティ企業を抜いて「最高の中小企業セキュリティ・ソリューション(The WINNER in BEST SME SECURITY Solution)」として選定されました。ペンタセキュリティでは、グローバル市場での経験とノウハウを活かして、合理的な価格でグローバルレベルの安定性とセキュリティを提供する差別化されたサービスで市場を攻略し始めました。

今回新規リリースした「クラウドブリック・エンタープライズWAFサービス」は、従来のWAFサービスとは違ってWeb攻撃遮断とCDNサービス、DDoS攻撃対応及び無料SSL認証書の発行サービスを基本的に提供するだけでなく、各企業顧客のために独立したサービス環境を構築し、安定性を確保しながら各顧客に合わせたカスタマイズ・セキュリティ・ポリシーを提供するのが特徴です。また、100Mbps以上のトラフィック帯域においてもサポートできる様々な料金政策を通じて、中小企業及びハイエンドユーザーも合理的な価格でサービスの導入・運用・サポートが可能です。

最近ペンタセキュリティは、グローバルパートナー社とセキュリティサービスの拡散を推進してきた実績に基づき、日本市場でもセキュリティ・コンサルティング企業、Web脆弱性診断サービス企業などのセキュリティ専門企業はもちろん、セキュリティ商品を提案する企業との戦略的な連携を目標として、パートナー社募集活動を活発に進めています。

ペンタセキュリティのCSOのDSKimは「最近のセキュリティ脅威は特定国家に限らず、攻撃手法やパターンが世界的に似ている様相を見せながら、急増している。これに対して、日本政府でも2020年の東京オリンピック・パラリンピック競技大会の開催を控え「内閣サイバーセキュリティセンター(NISC)」を通じてサイバーセキュリティ対策準備に取り組んでいる。」とし、「Web攻撃は、全世界的に似ているパターンを見せるだけでなく、公共・民間機関を問わず、企業規模に関係なく幅広く発生している。そのため、全世界で通用される技術がさらに必要であり、グローバル・スタンダードな技術を実質的に選択し、正しく対応しなければならない。」と言及しました。

Cloudbric(クラウドブリック)

製品詳細はこちら

製品に関するお問い合わせ
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】クラウド時代のセキュリティ、核心だけ簡単に

2017-07-14/カテゴリ: セキュリティコラム /作成者: Penta Security

ITセキュリティ、難しい。簡単なことだって、きちんとやりきれないことだが、難しいことだからさらに難しいし大変だ。

わずかサーバ一つ運営しようとしても、しなければならない仕事があまりにも多い。さらに最近はクラウドが人気だ。企業のコンピューティング環境を企業が直接管理しないから、従来のあらゆるセキュリティ問題から自由になったわけかというと、そうではない。クラウドサービス提供者は、ハードウェアレベルでのセキュリティは提供するが、アプリケーションやデータセキュリティは相変わらずサービス利用者の役目だ。それで、最近ITセキュリティの核心、本当に必須的な核心だけを簡単に書こうとしている。もちろん、これがITセキュリティの全部ではない。しかし、この程度だけしたら、ITセキュリティ事故の90%ぐらいは軽く防ぐことができる。

防げた事故: WAF?

セキュリティ事故の種類は様々である。ニュースを見ても毎日様々な事故が絶え間なく起きるから。数えきれないほど多くの攻撃をどうやって一々防げるか、と最初からあきらめた方がいいんじゃないかと思うほどだ。しかし、最近起きたセキュリティ事故の90%以上はウェブアプリケーションを通じて起きた事故だ。事故の種類はさまざまだが、その始まりはウェブアプリケーション、特にウェブコンテンツレベルでの脆弱性からスタートし、その後、様々な種類の事故につながったものだ。つまり、とっくにウェブアプリケーションファイアーウォール（Web application firewall、WAF）でも稼動していたら充分に阻止できたはずの事故がほとんどである。

それにも関わらず、防げなかったら?: 暗号化

にもかかわらず、事故は必ず発生してしまう。これはとても重要な見方であり、認識である。よくITセキュリティというのは、事故が全く起こらないことを前提にしてすることだと思う。
しかし、そうではない。むしろ、ITセキュリティは事故が起こることを前提にしにやることだ。無条件的に完全な防御のみを前提するなら、万一、事故が発生した後、原状での回復力が著しく落ちるため、企業において最も重要なことであるビジネスの連続性を維持することはできない。したがって、事故発生を前提したまま、「問題は回復力」、これが最近のITセキュリティのパラダイムである。世の中のすべての防御網は、開かれる可能性を持っていて、全てのデータは流出される可能性を持っている。それがデータというものの当初の性質である。したがって、データ流出を防ぐために最善を尽くすものの、同時にデータが流出する事態に備えなければならない。そんなことが起きた際にも最悪の状況、つまりデータ内容の流出を防ぐ方法はデータ暗号化だけだ。犯罪者らがデータを盗むことはもし成功するとしても、データの内容を見ることはできないように、つまり盗んだデータを使うことはできないようにしてこそ、被害を最小化することができる。

クラウドはクラウドで: クラウドセキュリティ

クラウドコンピューティングに対する疑いは、まだ完全に消えていないようだ。クラウドはまだ完成度の低い技術であり、既存システムの使用と比べて無駄に複雑なだけで、何だか安全ではないようだという否定的偏見が依然としてある。しかし、これはまだクラウドを使ったことのない人々の誤解であるだけで、実際にクラウドを導入し、使用してみた企業は態度が完全に反対に変わり、ほめ言葉ばかり言う。特にクラウドを通じて新規アプリケーションやサービス適用にかかる時間は前と比べることができない程度に短縮され、維持・保守費用も大きく削減されたと満足する。そしてまだクラウドに転換していない企業は、既にクラウドに転換した企業のビジネス速度に追いつくことができないだろうと大声で話す。やはり、今の時代はクラウドだ。

それで、最近はサーバなどの電算システムを直接管理しない企業が多い。そして世界的にとても有名で巨大なクラウド会社が代わりに引き受けて処理してくれるからセキュリティ問題も絶対ないだろうと信じている。しかし、これはとても深刻な誤解である。クラウドサービス提供者（プロバイダー）は、ハードウェア及びネットワークレベルのセキュリティだけ提供する。アプリケーションやデータセキュリティに対する責任はサービス使用者の役目だ。これは真っ暗な秘密でもなく、サービス製品説明書にも明確に書かれている事実である。それでは、一体何をどうすれば良いか。例えば、ウェブアプリケーションの保護のため、以前のようにWAFハードウェアを直接設置して運用できない時にどうすれば良いのだろうか。

クラウドはクラウドで防ぐ。クラウド環境に合致するクラウドセキュリティシステムを適用することができるし、複雑なインストールプロセスなしにただ何回かクリックで、既存のハードウェアWAFと同一のクラウド・セキュリティ・サービスを提供してもらうこともできる。

スタートアップのセキュリティ: クラウド・セキュリティ・サービス

とても重要なテーマがまた一つある。スタートアップである。スタートアップは破壊的な革新とアイデアを通じて、短期間で超高速の成長を志向する新生企業であり、たいてい自由な企業文化を誇る。これはすなわち、セキュリティや安全にあまり気にしていないかもしれないという認識と繋がっている。実際、スタートアップでのセキュリティ事故は絶えず起きている。事業拡張とマーケティングに集中しているため、セキュリティの問題を考える時間がないかもしれない。その後、他のスタートアップがセキュリティ事故のせいで崩れる姿を見てからやっとセキュリティの必要を悟ったりする。

しかし、悟ってばかりいる。

しかし、規模が小さなスタートアップが大手企業レベルのセキュリティシステムを整備する方法がないという訴えも無視できない。大手企業レベルのセキュリティシステムはお金がとてもかかる仕事なのに、事業を始める時からお金をたくさん持っているスタートアップはほとんどないから。しかし、方法はある。クラウド時代なので、ITセキュリティもまたクラウドサービスで提供される。クラウドサービスとは、ネットワークを通じてコンピューティング環境と機能を提供するサービスだ。技術的な言葉で言うと「弾力的オンデマンド仮想マシン」であり、したがって、使用量によって資源量が増えたり減たりする柔軟性を持つため、サービスを使用した量だけ費用を支払えば良い。最近は、企業情報セキュリティの最も重要な3大要素であるウェブセキュリティ・データ暗号化・認証セキュリティ全部クラウドサービス形態で提供されるため、スタートアップであっても大手企業レベルのセキュリティの力量を持つことができる。

クラウド時代のセキュリティ?

要約すると、

-事故は、ほとんどがウェブアプリケーションで起きる。WAFを利用して防止しよう。
-にもかかわらず、事故が起きた場合、データ暗号化を通じて最悪の状況を避ける。
-ITセキュリティシステムを直接運営できない状況なら、クラウドセキュリティを適用しよう。
-費用のせいでセキュリティを十分にできないスタートアップであれば、クラウド型WAFサービスを使おう。
クラウド時代のセキュリティ、こうすれば良い。

ペンタセキュリティ、AWS Summit Seoul 2017でクラウドセキュリティ・ソリューション展示

2017-04-27/カテゴリ: ニュース＆イベント /作成者: Penta Security

ペンタセキュリティ、AWS Summit Seoul 2017で

クラウドセキュリティ・ソリューション展示

クラウド型WAFやクラウド暗号化製品紹介及び新規パートナーシップ模索

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、4月19日から20日まで二日間開催された「AWS Summit Seoul 2017」でクラウド暗号化ソリューションである「D’Amo Cloud」とクラウド型Webアプリケーションファイアウォールの「WAPPLES Cloud」を紹介しました。

AWS Summitは、既存の顧客がAWSを通じて成功を収めることができるように専門的な技術コンテンツを提供し、新規顧客にはAWSプラットフォームに対する教育を提供することを目的とするイベントです。毎年ソウルをはじめ、東京、ロンドン、シンガポール、パリなど、28都市で開催されています。ソウルで開催された「AWS Summit 2017」には約9,000人が事前登録し、昨年より約2倍以上の訪問客が展示場を訪問しました。

今年から本格的にクラウドセキュリティ・ソリューションを提供するため、クラウド事業部を新設したペンタセキュリティは、クラウド関連のセキュリティ要求事項をすべて満たすため、「Penta Cloud Security」という名称でクラウド型WAF、暗号化、認証ソリューションを統合・提供し始めました。今回のイベントでは、当該ソリューションを紹介し、AWS環境での適用方法を知らせる機会を作りました。

クラウド型Webアプリケーションファイアウォール製品である「WAPPLES Cloud」は、アジア・パシフィック地域のマーケットシェア1位のWAFであるWAPPLESの仮想アプライアンスである「WAPPLES V-Series」を中心に、パブリック・プライベートクラウドなどの顧客環境に応じて、様々なサービスやアーキテクチャを提供いたします。既存のITシステムをクラウドに移転したり、運営中のクラウドにWAFを適用する場合はもちろん、Security as a serviceとしてWAFサービスを提供しようとする事業者にも様々な形のパートナーシップと事業協力が可能です。

クラウド暗号化製品である「D’Amo Cloud」は、企業セキュリティレベルの高いデータセキュリティをクラウド顧客に提供できるように最適化した暗号化ソリューションであり、「D’Amo　Agent for Cloud」と暗号化鍵管理仮想アプライアンスの「D’Amo　KMS V-Series」を様々なクラウドシステム環境に合わせて適用することができます。

ペンタセキュリティのCSOのDSKimは「ペンタセキュリティは、2010年からクラウド環境でセキュリティソリューションを提供するために全力を傾けてきた。クラウドセキュリティ問題を一回で解決できるPenta Cloud Securityを通じて、日本クラウド市場占有率1位のAWS環境に最適化されたセキュリティソリューションを提供する予定だ。」とし、「これからもたくさんのクラウド関連事業者との協力を通じて、安全なクラウド環境構築に向けて努力する予定だ。」と言及しました。

一方、AWS Summit Tokyo 2017は5月30日から6月2日まで3日間、東京のグランドプリンスホテルと品川のプリンスホテルで開催される予定です。

WAPPLES(ワップル）

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

製品詳細はこちら

製品に関するお問い合わせ
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティのクラウドブリック、１ヶ月間100GB無料提供プロモーション開始

2017-02-15/カテゴリ: ニュース＆イベント /作成者: Penta Security

ペンタセキュリティのクラウドブリック、

１ヶ月間100GB無料提供プロモーション開始

ドメイン登録だけでSSL認証書発行およびWebサイトセキュリティに必要なすべてのサービスを提供

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、2月1日から1ヶ月間、クラウド基盤のWebサイトセキュリティサービスであるCloudbric®(クラウドブリック)の新規登録顧客に１ヶ月間該当サービスを100GBまで無料で提供するプロモーションを開始することを明らかにしました。

ペンタセキュリティのCloudbric®(クラウドブリック)は、アジア・パシフィック地域で市場シェア1位のWebアプリケーションファイアフォールのWAPPLES®(ワップル)の技術を基にして作られたクラウド基盤のWebハッキング遮断サービスで、中小事業者および個人Webサイト運営者のために開発されました。2016年11月からは、Webサイトセキュリティに必要なWAFおよびDDos攻撃防止、不正アクセス制御などの機能に加え、無料SSL認証書の発行サービスまで提供し、多くの中小事業者に注目されています。

㋁から1ヶ月間進行されるCloudbric®(クラウドブリック)の月100GB無料提供プロモーションは、日本でサービスを開始して初めて開始するプロモーションで、期間内登録顧客には、既存のCloudbric®(クラウドブリック)が提供していた2週間データ使用量4GB無料特典に加えて、1ヶ月間100GBまで無料で提供します。今回のプロモーションは、法人用クラウドサービス比較サイトのBoxil(ボクシル)を通じて行われています。

一方、Cloudbric®(クラウドブリック)は2016年ヨーロッパのSC Awardと米国のCyber Defense Magazine Awardsでの受賞を通じて、グローバル競争力を認められ、ひいては全世界のデータセンターおよびホスティングプロバイダーのためのクラウドブリックパートナシッププログラムを本格的に展開しています。現在、米国、日本、香港、ベトナムなどのメジャー企業との契約を通じて、世界中9か所のリージョンが構築され、持続的な海外パートナシップを通じてサービス可能地域を拡張しています。

ペンタセキュリティのCSOのDSKimは、「日本でもWebサイト運営者たちがセキュリティサービスを必須として認識する傾向が見られ、今回のプロモーションを準備することにした。」とし、「これとともに、全世界に構築したリージョンを基に、クラウドブリックのパートナシッププログラムも世界的に活性化させる予定だ。」と言及しました。

Cloudbric®(クラウドブリック)の詳しいサービス紹介やプロモーション内容はBoxilのWebサイト(https://boxil.jp/cloud_waf/1262)で確認できます。

Cloudbric(クラウドブリック)

製品詳細はこちら

製品に関するお問い合わせ
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】まだ有料SSL認証書を使用中のあなたに今、必要なのは？

2017-01-02/カテゴリ: セキュリティコラム /作成者: Penta Security

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットで連載しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

ウェブを利用したサービスが多様になり、情報のやり取りが簡単になっただけに、ハッキング攻撃にさらされる危険性も高まっており、暗号化通信は不可欠な要素になった。暗号化通信は、HTTPSプロトコルを使用することにより、実現できるが、HTTPSプロトコルを使用するためには、認証機関(CA:Certificate Authority)からSSL認証書の発行をしなければならない。しかし、費用に対する負担と複雑な認証プロセスなどによって、発行率は低いのが現実である。
日本のWebソリューション会社であるAtlas21が2016年5月に東京証券取引所市場第1部に上場した主要企業を対象に実施した調査によると、Webサイトの全ページに暗号化通信を適用するHTTPS完全対応率は1%で、世界の主要企業が約17%であることに比べ、かなり低い数値を記録した。
つまり、ほとんどのWebサイトがSSL/TLSが適用されず、セキュリティの最も基本である暗号化通信も保障できていない状況ということだ。

[ 世界及び日本の主要企業WebサイトのSSL対応現況 ]

(参考:世界主要企業サイトの約4割が常時SSLに対応–あとらす二十一調査(ZDNet Japan)

Let’s Encryptの登場

SSL認証書の発行には認証機関によって少しずつ差があるが、年間約$80~$400の費用を支払わなければならない。EV、Wildcardなどのオプションを追加することになれば、費用はさらに上がる。コスト的な負担以外にも、複雑なドメイン認証作業がSSL認証書の発行率が低い理由の一つである。該当ドメインに対して、認証機関から認証を受けるためにはメール認証、DNSレコードの追加などの作業が必要になる。また、認証作業が終わった後、SSL認証書を発行してもらったら、直接ウェブサーバにアップロードしなければならず、認証書を更新するたびに同じ作業が必要だ。
それで、SSL使用の参入障壁になるこのような問題を解決し、誰もが安全な暗号化通信を使えるような環境を作るために、Mozilla、Cisco、Akamai、Electronic Frontier Foundation(EFF)、IdenTrust、などの様々なグローバルの主要IT企業がISRG(Internet Security Research Group)という認証機関を作り、Let’s Encryptというプロジェクトを開始するようになった。

Let’s Encryptの特徴

Let’s Encryptの登場により、SSL認証書を無料、手軽に、自動的に発行することができるようになったが、この内容について少し詳しく調べてみよう。

1.無料発行
SSL認証書発行の際、費用が発生しない。ルートドメイン当たりに発行数に制限はあるが、最大2000個/1週なので、無制限と見ても過言ではない。
2.簡単なドメイン認証
Cert botというソフトウェアをウェブサーバに設置すれば、認証作業が自動的に行われる。メール認証、DNSレコードの追加などの作業が必要ない。
3.自動認証書発行/更新
ドメインが認証されると、Let’s Encryptから自動的に認証書が発行され、ウェブサーバに保存され、90日単位で自動更新される。認証書の発行、更新のための作業が必要ない。

無料SSL認証書のセキュリティ

無料で使うことができるし、認証作業も簡単で、更新も自動的に行われるから便利だが、何より重要なのはセキュリティが保障されるかどうかであろう。

Let’s Encryptは安全なのか。
結論から言えば、安全だ。

Let’s EncryptはGlobal Sign、GeoTrustなどのルート認証機関で発行する商用SSL認証書と同じレベルのセキュリティを確保する。
SSL認証書は、各OSやウェブブラウザから信頼されたルート認証機関だけが発行できる。信頼できるルート認証機関と言えば、Internet Explorerの場合は、[設定→インターネットオプション→内容→認証書]から確認することができる。

[Internet Explorerの信頼できるルート認証機関]

Let’s Encryptの場合は、どうやって発行されるのだろうか。

Let’s Encryptは、ウェブブラウザから信頼されたルート認証機関であるIdenTrust(DST Root CA X3)が相互認証(Cross-Sign)する形でSSL認証書を発行する。

下の例から見られるようにLet’s EncryptのSSL認証書も商用SSL認証書のように信頼されたルート認証機関から同一の段階を経て発行される。

[上:商用SSL認証書の例　/下:Let’s Encrypt SSL認証書の例]

[商用SSL認証書とLet’s Encrypt SSL認証書のルート認証機関]

したがって、Let’s Encryptの無料SSL認証書は、商用SSL認証書と同様なレベルのセキュリティを確保すると言えるだろう。

Let’s Encryptの使い方

従来の商用SSL認証書の場合、メール認証、DNSレコードの追加などの方法を通じてドメインを認証するが、Let’s Encryptは、cert botというソフトウェアを通じて自でドメインを認証するため、使用のためには、当該ソフトウェアをインス�

Posts

クラウドブリック、

「IP評価サービス・ウェブ脆弱性情報データベース・WAF性能評価ツール」3種のサービスを提供開始

ペンタセキュリティ、

神戸デジタル・ラボと販売代理店契約を締結

クラウドブリックのエンタープライズWAFサービス、

関西地方へ供給拡大

ペンタセキュリティ、名古屋・大阪で

大興電子通信との初合同セミナーを開催

サーバセキュリティからエンドポイントセキュリティまで、

Web攻撃対策に向けた実質的な解決策を提示

クラウドブリック、

企業顧客向けのエンタープライズWAFサービスをリリース

グローバルで好評のクラウド型WAFで、

各種Web攻撃・DDoS攻撃遮断及びセキュリティ・カスタマイズ提供

ペンタセキュリティ、AWS Summit Seoul 2017で

クラウドセキュリティ・ソリューション展示

クラウド型WAFやクラウド暗号化製品紹介及び新規パートナーシップ模索

ペンタセキュリティのクラウドブリック、

１ヶ月間100GB無料提供プロモーション開始

ドメイン登録だけでSSL認証書発行およびWebサイトセキュリティに必要なすべてのサービスを提供

[ 世界及び日本の主要企業WebサイトのSSL対応現況 ]

(参考:世界主要企業サイトの約4割が常時SSLに対応–あとらす二十一調査(ZDNet Japan)

[Internet Explorerの信頼できるルート認証機関]

[上:商用SSL認証書の例 /下:Let’s Encrypt SSL認証書の例]

[商用SSL認証書とLet’s Encrypt SSL認証書のルート認証機関]

[上:商用SSL認証書の例　/下:Let’s Encrypt SSL認証書の例]