Posts

[펜타시큐리티] ASOCIO ICT 우수기업상 수상

ペンタセキュリティ、「ASOCIO ICT優秀企業賞」を受賞

ペンタセキュリティ、「ASOCIO ICT優秀企業賞」を受賞

IoT・クラウド・ブロックチーェンセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳・貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)が11月8日、日本で開催された「ASOCIO Summit 2018」で「ASOCIO ICT Company」優秀企業に選定されたことを明らかにした。

<ASOCIO ICT Company 受賞しているペンタセキュリティの李・錫雨社長>

1984年設立された「ASOCIO(Asian-Oceanian Computing Industry Organization)」は、日本・オーストラリア・ニュージーランド・シンガポール・香港など、24か国のICT関連協会と機関が参加する国際ICT団体である。ASOCIOは、毎年サミットを開催し、革新的なICT製品·技術で事業を展開した優秀企業と機関を選定することで、情報通信産業の共同発展に向け、活動を展開している。

ペンタセキュリティは、従来の事業方式を革新し、産業競争力を強化し、新たなビジネスモデルを展開した企業として認められ、「ICT Company」部門の優秀企業に選ばれた。ペンタセキュリティは、データセキュリティ/ウェブセキュリティ/認証セキュリティの分野でアジア・パシフィック地域のレファレンスを多数蓄積している。ペンタセキュリティのウェブアプリケーションファイアウォールであるWAPPLES(ワッフル)は、市場調査機関のフロスト&サリバン(Frost&Sullivan)が主管したICTアワードで「アジア・パシフィック地域最高のセキュリティ製品」として選ばれた。

ペンタセキュリティのCEOの李錫雨氏は、「アジア・パシフィック地域のICT市場の急成長に伴い、セキュリティ要求も同時に高まっている。今回の受賞は、ペンタセキュリティがアジア・パシフィック地域に長期間集中して事業を展開してきた成果であるので、とても嬉しい。」とし、「これからも国家別製品およびサービスの現地化を通じて、アジア・パシフィック地域の最高セキュリティ企業の立場をより強固にする予定だ。」と述べた。


本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
E-mail : japan@pentasecurity.com
TEL : 03-5361-8201

hacker-1944688_1280

【コラム】 セキュリティ脅威にはアクセス制御より暗号化が効果的だ。


データベースセキュリティや情報漏えい対策において「暗号化」と「アクセス制御」はどちらがさらに重要であろうかを常に熾烈に競争してきた。

この二つは、セキュリティに対するアプローチからお互い明確に違って、長所と短所もそれぞれ違うのでユーザたちを悩ませた。
それで今回は基本の基本である暗号化とアクセス制御の長所と短所を調べて、究極的に情報保護のために使用すべきのソリューションは何だろうかを説明したい。

 

暗号化そしてアクセス制御

 

暗号化の方では、アクセス制御に比べてはるかに高いセキュリティを強調した。万が一、情報漏えい事故が発生した時にも既に暗号化されたデータなら内容だけは露出されず安全なので、暗号化こそ根本的なセキュリティ方法だというのだ。しかし、全体のセキュリティシステム構築にかかる期間が比較的長くて構築後の暗号化処理をしてみると、システム性能に影響を及ぼす可能性があるという点が短所として指摘されたりした。特に速度と安定性が強く要求される金融機関などの企業は、性能影響に対する予測が難しいという点のため、暗号化システムの導入を躊躇したりもした。

 

アクセス制御の方では、暗号化に比べて簡便な構築などの主にシステム可用性を強調した。アカウントによって情報に対するアクセス権限を付与したり遮断する方法を通じて情報漏えい事故を未然に防止する効果があるという、本来の趣旨よりかえってシステムとネットワーク性能に及ぼす影響が暗号化に比べて少ないという点を長所として広報した。名分はセキュリティ道具なのにもセキュリティに対する言及が少ないという点は、おそらく自らも短所を認める態度であろう。暗号化とシステム性能の関係に対する漠然な疑いを確実な恐怖で拡大することにもいつも先頭に立ったアクセス制御の方では今も同じ立場を取っている。

 

暗号化とアクセス制御は、長年の競争を通じて鍛えられた。相手を反面教師にして、自分の短所を克服し、自分の強みをより引き上げようとする努力をしてきた。そして、もう双方いずれも十分に鍛えられたようだ。
二つの間の優位を冷静に判断する時になったという話だ。

 

まず、暗号化は、これまで金融機関などのシステム性能と速度そして安定性などに非常に敏感な現場に進入することによって、既存にやや不足していると評価されたシステム可用性の問題を確実に克服したという事実を証明した。アプライアンス一体型の方式の導入など、ソフトウェアとハードウェアを含めた不断の努力を通じて短所と指摘されてきた速度の問題も完全に解決した。その結果、今は誰もが「暗号化は、セキュリティレベルは高いとはいえ、速度が遅いのが問題」と言わないようになった。

 

一方、アクセス制御は長所の広報をより強化する方向を選択した。「アクセス制御のハードウェア一つだけ設置すれば、たった数日にすべてのセキュリティ問題がきれいに解決される。」という言葉は、企業のセキュリティシステム構築の担当者なら誰でも一度は聴いてみたような広報セリフだ。少しだけ集中して聞いてみると、主客が転倒した言葉であるという事実をすぐ気付くかもしれないが、一応聞いたところでは結構良さそうに聞こえるし、かなり効果的だった。そして暗号化を代替できるとし、データマスキング機能などを自慢したりもするが、情報セキュリティ専門家たちはこれを話にならない無駄な迷信に過ぎないと言う。

 

情報を保護するための究極のソリューションとは

 

もう暗号化とアクセス制御の競争1次戦は終了したようだから、企業が保有した貴重な資産である情報を保護する究極のソリューションは何なのか、判定する時である。

 

ほとんどのセキュリティ政策の場合、「情報が絶対流出されないこと」を大前提にしようとする傾向がある。流出を根本的に遮断するとし、数多くの道具と方法を動員したにもかかわらず相次いで発生した大規模の情報漏えい事故を考えて見ると、非常に深刻な弱点を内包している単純な危機管理論理に過ぎない。誠に残念な話だが、情報は流出されるものだ。情報はさらに広く、急速に広がっていく性質を持っているので、いくら防ごうとしても、人の力で防げるものではない。情報流出は、もしかしたら必然だ。それが情報の固有の性質だから。

 

結局、情報セキュリティはただセキュリティのレベルの高低によって判断されなければならない。それも、情報はいつでも流出される可能性があるという前提の下、流出を防ぐために最善を尽くすべきだが、万が一、情報が流出された状況でもきちんと備えなければならない。その必要と危険性は、今まで起きた様々な事件事故がすでに証明している。暗号化は、意味があって価値を持っている情報を変形して、無意味で価値のないビットに置き換えることにより、情報窃盗を狙う目的そのものを根本的に破壊させる事故防止の抑止力だ。同時に情報が既に流出された状況でも情報の内容が露出される最悪の事態だけは発生しないようにする最終兵器そして究極の兵器だ。

 

例えると黄金を無価値な石に変えることだろう。金を狙う者は多いが、石を狙う者はない。ただ元の状態への変換のための鍵、つまり暗・復号化のための暗号鍵を知っている者だけが石を再び金に変えることができる。誰が暗号化鍵を持つのかをあらかじめ指定することによって、情報アクセス権限を管理するという点から見ると、鍵管理を適切に運用するなら、これはアクセス制御方式が提供するセキュリティをすでに含めているに違いない。したがって、暗号化とアクセス制御競争1次戦が優劣をつけることができない勝負であったら、第2戦は、暗号化の圧倒的勝利だと予想している。 あらゆる情況がそうだ。

 

 

company

【コラム】 実用主義企業セキュリティの3要素

この前、「経営層が知っておくべきセキュリティ――対策は実用主義暗号化で」を投稿した後、このような質問を受けた。

「実用的セキュリティとは何か?実用的に保護するためには、何をしなければならないか?」
「何から始めて、どんな技術で、どのように設計したら実用的なセキュリティか?」
「技術者でなく、経営者の立場から実用的セキュリティを実現するためには、何を知るべきか。」

セキュリティの最も深刻な問題は技術の難解さであり、そのため、企業の現場では相対的に理解しやすくて簡単な根本的な方法論だけを選択する傾向があり、これは、結局セキュリティの弱点になり、事故が発生する。なので、より現実的で実用的な方法論が必要だという話までにして、話を終えたが、これはちょっと無責任に見せたかもしれない。それで、上の質問に対して、より総体的な答えを申し上げたい。

 

個人セキュリティと企業セキュリティ

何から始めたら良いか。それは、「個人セキュリティ」と「企業セキュリティ」の違いを理解することだ。
セキュリティ事故が発生すれば、いつも「わが社は、セキュリティをしたんだけど!」と被害者の訴えを聞いたりする。それは、事実だ。確かにセキュリティ措置を取ったのは確かだ。しかし、事故は発生する。それなら、セキュリティ措置は最初から余計なことだったのか? そうだ。そのようなセキュリティは、無駄だ。経緯が明確な事故が繰り返して起きるのは、何か問題がある方法論、特に個人セキュリティ措置だけを取っているためであり、これは「個人セキュリティ」と「企業セキュリティ」の差をきちんと理解していないためだ。
一般的に、「ITセキュリティ」というと、ほとんどの人はアンチウイルスやパスワードを思い浮かべる。これは、全て個人セキュリティ観点での問題だ。特に、アンチウイルスは、企業と機関が使う大規模の電算システムの動作とは距離があり、あくまで個人のPCのための道具だ。なのに、セキュリティ事故が起こると、アンチウイルス会社が事件のプロファイラーを自任し、対策としてワクチンの設置を勧める場合が多い。実際には、ほとんどの電算システムとそのOSにはワクチンの設置ができないのにもかかわらず。そして、事故が発生した会社のPCにはすでにワクチンぐらいはもちろん設置しておいたにも。
もちろん、とても関係がないわけではない。企業の電算システム構成がどうであれ、そしてどんなOSを使うとかは関係なく、企業に属する個人ユーザが接する環境はほとんどがPCやWindowsシステムであり、これを侵入経路として利用し、犯罪を図る場合も結構あるから、完全に無駄だというわけではない。しかし、個人セキュリティと企業セキュリティは、最初から違う概念から始まって、その方法論もまた全く違う。にもかかわらず、社会的に個人セキュリティだけが強調されたため、相対的に企業セキュリティは重要な問題と扱ってない。技術者さえ、それが何なのか知らない場合が多い。
では、企業セキュリティの構成要素とその核心になる道具を調べてみよう。

 

企業セキュリティ = データセキュリティ+Webセキュリティ+認証セキュリティ

企業セキュリティの3要素とは、
1)データセキュリティ
2)Webセキュリティ
3)認証セキュリティ
である。

 

そして、各要素の核心になるのは、

 

1)データの暗号化
2)アプリケーションセキュリティ
3)セキュリティ認証サーバ
である。

 

1)データセキュリティ

今日のITセキュリティの中心は、過去のネットワークやサーバなどの電算インフラを保護することに力を尽くした装置的セキュリティからデータとアプリケーションを保護する情報的なセキュリティに移動している。これは、私たちが最後まで守らなければならない価値が何なのかを悟っていく過程と見ることができる。企業、そして機関が究極的に守らなければならない本当の価値は「データ」だ。そして、データを守る様々な方法の中で最も根本的で安全な方法は、「暗号化」だ。事実上、唯一である。暗号化の他には、事実上方法が別にないからだ。そして、データ暗号化はたくさんの企業セキュリティ要素の中でも最も根幹をなすセキュリティインフラの基盤技術である。

 

2)Webセキュリティ

 

すべてのデータは、アプリケーションを通じて移動する。そして、今日のアプリケーションの主な環境はウェブだ。最近のウェブは、通信技術だけではない。システム環境からユーザインタフェースに至るまでのすべてのIT技術がウェブで収集され、統合されている。これからは、全てのアプリケーションがウェブ環境で開発されて運用されるはずだ。ウェブに統合される環境の変化は、より広く繋がってさらに多くのものを共有しようとする開かれた社会への変化を意味する。これは、誰でも逆らうたくても、あえて逆らうことができない時代的な流れであり、Webセキュリティの重要度は今も非常に高いが、これからはより高まるだろう。「Webセキュリティ」は、企業セキュリティの実戦的な最前線である。
前述で、全てのデータは、アプリケーションを通じて移動すると述べた。システムやネットワークではなく、アプリケーション、そして最近のウェブは、通信技術だけではないとも話した。これは、Webセキュリティにおいて最も重要な弱点を指摘しようというものだ。よくウェブを通信技術だけと考えて、ウェブセキュリティをシステムセキュリティやネットワークセキュリティ方法論で解決しようとする試みをしたりする。たとえば、ネットワークファイアウォールがウェブセキュリティソリューションの振りをしたりもする。しかし、ウェブセキュリティにおいて最も重要な領域は、アプリケーションセキュリティだ。実際に起きているウェブセキュリティ事故、いや、最近起きている全ての情報セキュリティ事故の約90%がWebアプリケーションの盲点を悪用した攻撃による事故だ。事故が最も頻繁に起きるところから優先的に集中して防御する。これが、実用的な考え方である。重ねて強調するところだが、ウェブセキュリティにおいて最も重要な核心は、「アプリケーションセキュリティ」だ。

 

3)認証セキュリティ

そして、個人セキュリティと企業セキュリティの概念が最も密接に交差する地点が、「認証セキュリティ」だ。個人セキュリティレベルでの認証セキュリティ方法として最も有名なのはパスワードだ。しかし、ユーザー個人ができることは、ただ難しいパスワード作るぐらいに過ぎない。もちろん、パスワードを十分難しく作るなら安全だ。しかし、一定の形式を備えて十分に安全なパスワードをセキュリティ政策によって定期的に変更するなど、複雑な手続きが必要だ。そうすると、結局、侵入者から防除することはするが、自分もパスワードを忘れてしまってシステムにアクセスできない状態に至ることも案外によく起こる。これは、より実用的な認証セキュリティの必要性を逆説的に話したものだ。認証セキュリティの必須要素、つまり、十分なセキュリティとユーザーの便利性、そして業務効率性の間の関係が崩れた結果と見られる。そして、企業がやるべきことを個人に転嫁した無責任な態度とも見られるだろう。「認証セキュリティ」は、従来の個人セキュリティレベルから企業セキュリティレベルに移る、情報セキュリティ概念の転換点である。
企業セキュリティレベルでの認証セキュリティの核心は、「セキュリティ認証サーバ」である。「SSO(Sigle Sign-On)」機能を備えた認証サーバは、認証手続きを一本化することにより、サーバの数が非常に多い企業の電算環境でも、各サーバごとに異なる認証手続きを経ず、全体を利用することができるように一括的に処理が可能にしてくれる。ユーザーの身元を確認して、単一認証だけで、全体サーバへのアクセスを許可はするが、ユーザー各自の権限によって各サーバに対して異なる権限を適用し、統合的に管理する。このような基本的な機能に加えて、セキュリティ認証サーバは、上の過程全体にわたって十分なセキュリティまで維持してくれる。これを通じて、前で列挙した認証セキュリティの必需要素、十分なセキュリティとユーザーの便利性、そして業務の効率性まで全て充足する。

 

実用主義企業セキュリティの3要素

 

では、最初の質問に戻って、
「実用的セキュリティとは何か?実用的に保護するためには、何をしなければならないのか?」

企業セキュリティの3要素 : 1)データセキュリティ・2)ウェブセキュリティ・3)認証セキュリティ
各要素の核心: 1)データ暗号化・2)アプリケーションセキュリティ・3)セキュリティ認証サーバ

 

これをすれば良い。これならなら十分、「実用主義企業セキュリティ」を成し遂げたと言えるのだ。

 

 

profile

ペンタセキュリティ、ガートナーHype Cycleに紹介されたDB暗号化ソリューションD’Amoで日本展開を本格化

 

g

 

ペンタセキュリティ、

ガートナーHype Cycleに紹介されたDB暗号化ソリューションD’Amoで日本展開を本格化

DB暗号化および形態保存暗号化(FPE)技術を活用したD’Amoの日本提供を本格的に拡大する予定

 

データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は10月04日、米国のIT分野調査・助言企業であるGartner(以下ガートナー)が発表する2016 Gartner Hype Cycle for Data Security報告書でデータベース暗号化(Database Encryption)および形態保存暗号化(Format-preserving Encryption、以下FPE)技術部門で紹介されたことを明らかにしました。

ガートナーは、米国の情報技術研究および諮問機関として認知度が高くて、信頼されている市場調査機関です。ガートナーでは、技術の発展および技術成熟度を5つの段階として示したGartner Hype Cycle for Data Security報告書(以下Hype Cycle)を1995年から毎年発刊し、新技術を紹介しています。昨年から全世界的に大規模のデータ漏えい事故が発生し、データセキュリティ及び暗号化技術に対する需要が急増した中で、ペンタセキュリティがデータベース暗号化ソリューションD’Amoを通じて、データベース暗号化(Database Encryption)及びFPE技術部門でSample VendorとしてHype Cycleに紹介されたものです。

ペンタセキュリティのDB暗号化ソリューションD’Amoは、FPE技術を使用しており、データの形式や長さを維持したまま、暗号化しなければならない特殊な場合に導入が可能なソリューションです。FPE技術は、米国国立標準技術研究所(NIST) でこの技術を利用したアルゴリズムを標準として指定するなど活性化されることにより、2016年のHype Cycleでも初めて登場し、企業でもFPE技術を導入する動きが急速に進んでいる状況です。

それによってペンタセキュリティでは、Database Encryption技術及びFPE技術を活用しているD’AmoやMyDiamoの日本市場への提供を本格的に展開していく計画を明らかにしました。

日本では、今年の1月から「特定の個人識別するための番号の利用等に関する法律(通称マイナンバー制度)」の施行とともに、2020年に開催される東京オリンピックを控えて国際水準のクレジット取引のセキュリティ環境を整備を目的とした「クレジットカード取引のセキュリティ対策の強化に向けた実行計画」を発表しています。それによって、日本企業ではマイナンバーおよびクレジットカード情報など敏感な個人情報を安全に保護するためのソリューションを導入する必要があると予想しています。

ペンタセキュリティのCTOのDSKimは、「最近、頻繁に起ているデータ漏えい事故によって、全世界的にデータセキュリティに対する認識が高まっており、日本でもマイナンバー情報の漏えいやクレジットカード情報流出などに対応するために努力している。」とし、「19年にわたる技術開発の経歴や約3400個のレファレンス構築経験を活かし、日本でも多様なお客様に適したセキュリティソリューションを提供していく予定だ。特に、ペンタセキュリティが提供するFPE技術は形式が決まっているマイナンバーやクレジットカード情報などのデータを安全に暗号化することができるので、今より多くの需要があると考えられる。」と言及しました。

 D’Amo(ディアモ)

2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,400ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(7月)がリリースされました。

 

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 7月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

【コラム】 2016年、知っておくべきWeb脆弱性4大項目

 

Key Conductorsコラム

 

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

連日と言っていいほどサイバー犯罪のニュースを耳にするようになったと思うが、この増加傾向は何を表しているんだろうか。

そのベースにあるのは、まさに「脆弱(ぜいじゃく)なWeb」が多いことである。今の時代、悪意のある人間はいとも簡単にWebページにアクセスでき、脆弱な部分を見抜いてしまう。このような行為を手助けするかのように自動化されたツールが出回っているのも事実である。つまり、サイバーテロを試みる者さえいれば「専門的」なハッカーである必要はないのだ。

「安全なWeb」の実現には、努力目標としてセキュリティレベルを上げていくようなさまざまな行動を起こさなければならない。本稿では2016年上半期のWeb脆弱性TOP4を取り上げる。下半期のセキュリティ対策を設けるにあたり、微力ながら参考になればと願っている。

 

1.SQLインジェクション(SQL Injection)

 

Webサイト攻撃の定番ともいえるSQLインジェクションは、アプリケーションプログラムの脆弱性を突き、開発レベルでは想定していなかったSQL文を実行することでデータベースを不正に操作する攻撃手法である。この攻撃が成功すると、ハッカーはデータベースサーバに対してファイルの読み込みや書き込みが可能な状態になり、任意のプログラミングを実行できるようになる。WHO(世界保健機構)のような大きな団体ですらSQLインジェクション攻撃にさらされたことがある。

悪意のある者はWebから簡単に自動化されたツールを入手し、攻撃のための下見に利用している。例えば「sqlmap」という自動化ツールを使用すれば、ターゲットのURLに対してSQLインジェクションが可能となる脆弱性がないかどうかスキャンできる。しかし、Exploit(エクスプロイト)攻撃を通じて、間違ったコードを挿入する場合、MySQLシンタックスエラーが生じることもある。

2014年、ハッキングの被害にあったソニープレイステーションのケースもSQLインジェクションによるもので、この昔ながらの脆弱性を突いた攻撃は現在でも十分すぎるほどの破壊力がある。SQLインジェクションの試みが通ってしまうと、そこから抜かれる情報によって、企業側には計り知れない被害を及ぼすことになる。

 

2.クロスサイトスクリプティング(Cross Site Scripting:XSS)

 

ユーザーの入力に対し適切な措置が設けられていないシステムの脆弱性を突くXSS(クロスサイトスクリプティング)も定番の攻撃だ。

ユーザーに対し入力を許可する部分は、悪意のある者にとっては利用価値が高く、常に攻撃の対象になるのである。実行可能なコードやスクリプトのタグをシステム側に挿入し、意図した行動を起こすようにコントロールできる強力な攻撃の入口となるからだ。

一般ユーザーが、XSSが仕込まれたWebサイトを訪問し、ページを閲覧するために1クリックするだけで悪意のあるコードが実行され、セッションクッキーや個人情報等が何者かに渡されてしまう。実際クレジットカード情報も抜かれ、本人の覚えのない買い物をしてしまうケースも多々ある。

WhiteHat Securityが公開しているホワイトペーパーによれば、どんなWebサイトでも67%はXSSの脆弱性にさらされているという。つまり、XSSを利用したWebハッキングは攻撃を行う側にとってコストパフォーマンスが高い方法であるのだ。セッション・ハイジャック(Session Hijacking)を決行し、政府のWebサイトを改ざんする等、その効果の高さは大したものである。

ただし近年、Webブラウザ側で事前にXSSの試みをチェックする機能が実装されていることは不幸中の幸いである。

 

3.ファイルインクルージョン(File Inclusion)

 

ファイルインクルージョンは、Webサーバ上のデータに対し入力検証の不備を突いて不正なスクリプトを挿入する攻撃手法である。そのパターンとしては、RFI(Remote File Inclusion)とLFI(Local File Inclusion)がある。

RFIは不正なスクリプトをサーバに挿入し、ターゲットのページを介して悪意のあるコードを実行させることで、サーバ側はもちろん、クライアント側にも被害を及ぼすことになる。LFIは、ターゲットのサーバ上のファイルに対し、不正なスクリプトを挿入し、デフォルトファイル名の変更、データのアップロード/ダウンロードの実行等やりたい放題ができる。

この脆弱性をうまく利用できれば、ログファイルからIDとパスワードを洗い出し、他の攻撃と組み合わせてログインジェクション攻撃なども実行できてしまう。このような脆弱性に対応するためには、入力検証の仕組みの脆弱性を把握し、不備を改修していくことを推奨する。

 

4.不完全な認証及びセッション管理(Broken Authentication and Session Management)

 

Webアプリケーションでは、HTTPのリクエストトラッキング機能がない故に認証のリクエストとそのセッションを継続的に管理する必要がある。悪意のある者は、このセッション情報から、ユーザーのタイムアウト、パスワード、ログアウト等さまざまな情報を入手できる。
この脆弱性の記憶に新しい事例は、マイクロソフトが提供するHotmailに悪意のあるスクリプトを挿入し、ユーザーのパスワードを入手しようとする攻撃を改修した際に発覚したものだ。この脆弱性ではユーザーインタフェースにトロイの木馬を仕掛け、ユーザーにパスワードの入力を複数回求めるものだった。そして、その入力データは即座に悪意ある者に送られるというシンプルながら非常によくできたものであった。
この種の脆弱性は、企業側で認証システムをカスタマイズし、セッション管理の不備があらわになってしまった場合に起こり得る。ユーザーがログアウトの処理をせずにそのままサイトを閉じてしまうようなケースでこのような脆弱性にさらされる可能性が高い。
開発者レベルでセッション管理の確認はもちろん、SSLによるセッションの暗号化も基本中の基本の対策であろう。

 

まずは、行動を起こす

 

このコラムで紹介した脆弱性は、Webアプリケーション、Webサーバ、Webページにおける最も有名な攻撃手法である。ありとあらゆる対策は開示されていて対応は進んでいるものの、まだまだ道は長いと言える。開発時における優先順位の上位に「Webセキュリティ」を持ってきてもらえるように認識を変えることも伴わなければならない。

まずは、この4つの脆弱性に対し、企業側で行動を起こすことをお願いしたい。脆弱性を認識しているのか、対策は取っているのか。現実問題として確認してほしい。
次のステップは、WAFなどの適切なソリューションの検討だ。脆弱性はセキュリティホールとも言われる。しかし、この小さい穴を利用して、貴重な情報を盗み出したいと思う者がたくさんいる。

企業としての社会的責任、そして貢献を考える際に、経営側は「セキュリティ」を念頭に置かなければならない。セキュリティホールはしっかりと埋めておかなければならないのである。

 

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

【情報】最新Web脆弱性トレンドレポートのEDB-Report(6月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 6月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

902214eb-1024x768

【コラム】 JTB個人情報漏えい事故、データを守るのは暗号化

ジェイティービー(JTB)から約793万人の個人情報の流出が疑われる事故が発生した。事故の経緯はこうである。

JTB個人情報漏えい事故の経緯

2016年3月15日、旅行商品のインターネット販売を行う子会社であるi.JTBに問題のメールが送られてきた。約250人のオペレーター体制で顧客に対応していて、既存の取引先の社名でのお問い合わせメールであり、通常の業務処理を行った。メールに添付されていた圧縮ファイルの中にはPDF形式の電子航空券(eチケット)が入っており、圧縮を解除しファイルを開いたが、航空券には申請者の名前が書かれていなかった点と、本文にもこれといった内容がなかったため、「無効」メールに分類し、処理を終えた。

このオペレーターのコンピュータは、この時から添付ファイルに仕組まれていた内部ネットワーク侵入用マルウェアに感染されていたが、これを検出するアンチウイルスワクチンプログラムは、その役割を果たせなかった。

3月19日、社内Webサーバから外部への異常な通信が発覚、3月19日、当のWebサーバを一旦物理的に分離した後、問題になった回線を遮断すべく、ブラックリストに登録するなどの措置を行った。その後も、異常な通信はまた発生していた。

4月1日、顧客向けの広報メールやアンケート調査などに使用される個人情報データを保存する「実績データベース」内部に外部からの侵入によりCSV(Comma-Separated Values:データフィールドをコンマで区分したテキストデータファイル、主にお互いに互換されないフォーマットを使用するプログラム同士で資料を受け渡すとき使用される)ファイルが生成され、削除された痕跡が発見された。生成ルートは不明、削除命令は商品情報などの情報を社内の各サーバーに転送する制御サーバにより実行されたとみられる。

5月13日、生成された後、すぐ削除されたCSVファイルの復元中に該当ファイル内部に顧客の個人情報が含まれていたことが発見された。6月10日、問題のファイルを復元してみると、約793万人の個人情報が漏洩された可能性が確認された。そして6月14日、JTB社は、顧客の個人情報漏えい可能性をメディアに公表した。事故が発生した以後、状況分析までかかった時間がとても長いとは思うが、とにかく隠蔽せずに、公表したことは、ほめられるものである。

事故発生後、論争の空しさ

JTBの発表後、とても騒々しくなった。実質上日本は深刻な情報セキュリティの死角地帯と言っても過言ではない。他の先進国に比べ情報セキュリティ関連法律は、極端に言うと、あまりにも不十分である。「平和ボケしているからね」と日本のお客様からよく聞く。今回のような大規模の情報漏えい事件が発生すると、その原因の分析やセキュリティ対策のお粗末さを非難するに走り、その論争で盛り上がる。

その一部だが、次のようなことが議論されているようだ。

-勤務者のセキュリティ意識が希薄
-情報セキュリティの責任者が不在で、セキュリティポリシーが甘い
-データベースに対するセキュリティ対策が不十分
-データ暗号化をしなかった。

これは、セキュリティ関連問題で常に議論される話である。すべて正しい。もう情報漏えいされてしまってからには、議論することすら空しさを感じてしまうが、ここからどのような実質的な対策を見出していくのかは、勉強にあるのである。
「勤務者のセキュリティ意識の希薄」だが、もちろん、最も言いやすい原因ではあるが、セキュリティ意識が高くても、事故は起こる。その確率を下げることはできるが。そして、現実問題として大きな大企業では情報セキュリティの専門部隊と責任者を別途設置し運用することができるかもしれないが、みんなができるわけではないのだ。

オペレーターの250人が一日処理しているメールは何通あるのだろうか。「不明な送信先からのメールは開けない」といった社内ルールがあったとしても既存のお客様を装ったメールであれば、通常の業務として処理をする。JTBも「問題のメールを処理した人の過ちとは思えない」と話す。これは責任回避ではなく、事実がそうであり、セキュリティ意識が希薄とは違う気がする。

JTBの発表内容からセキュリティ対策自体、不十分とは言い難い。通常の対策は行っていた。事故当時も問題になった「実績データベース」に関するセキュリティ対策の甘さはあったものの、普通にセキュリティ措置を行っていたとみられる。実績データベースのデータを暗号化しなかったということは、痛いんだが、データ暗号化を実施していない会社は、実に結構あるものだ。マイナンバー制度の施行後この半年、個人情報を保管している企業でどれほど、暗号化を実施しているんだろうか。だから今回の事故は、個人情報を持っている企業なら、どこにでも起こり得ることであり、JTBの肩を持つわけではないが、「運が悪かった」とも言えるだろう。事故後はもう遅いが、今後の対策はより具体的かつ、現実的でなければならない。

内部ネットワーク侵入は、実はいとも簡単に起きる

言うまでもなく今回の問題は、極端にいえばデータを暗号化しなかったことに尽きる。データ暗号化さえすりゃ、今回の問題は起こらなかったことを言っているわけではない。まず、内部ネットワークへの侵入だ。ありとあらゆる方法でいとも簡単に内部ネットワークに侵入できるわけで、情報漏え事故はいつ、どこでも起こり得るのだ。打つ手がないとでも思ってしまうかもしれないが、セキュリティ対策は、事故発生の確率を減らすための日々の努力を意味するということを理解して頂きたい。

この言葉を覚えて頂きたい。「内部ネットワーク侵入は、必ず起こる」

悪意のある者は、忍者のように忍び込んでくるために、知らないうちにやられるわけで、しかもやられたのかも認識できずいるケースも多々ある。ここで、セキュリティ対策として、暗号化の出番になる。暗号化を実施していなかったことが今回の漏えい問題の至らないところである。その故に名前や性別、生年月日、メールアドレス、住所、電話番号、パスポート番号、パスポート取得日などが含まれた、なんと793万人分の個人情報がこっそり抜かれたしまったのだ。データ暗号化を実施しておいたならば、最悪の結果にまでは至らなかったのではと、私は思う。

でも、ハッカーがルート(Root)の権限をどうやって奪取できたかは不明らしい。この点も、極めて重要だ。DBAにスーパーAdminの権限を持たしているのであれば、ゲームオーバーである。したがって、暗号化、そしてDBAとセキュリティ管理者の権限分離は同時に考慮すべきものである。もちろん暗号化には適切な鍵管理は必須である。

情報社会、その利便性とリスク

JTBは、「これから専務取締役をトップとするITのセキュリティの専任統括部門を設置し、グループ全体のITセキュリティの更なる向上に努める」とした。本件の発生経緯と事故後の対応から一応は、応援したくなる気持ちでいるが、最大手のJTBの会社イメージはガタ落ちし、失った顧客の信頼を回復するまでは、かなりの時間はかかるでしょう。

今年は、国民背番号制度、マイナンバーの元年でもある。マイナンバーの利用領域は、制限された部門となっているが、今後ありとあらゆるサービスと連携することで、無数の個人情報と紐づいていくことになる。これは、マイナンバー制度施行の目的でもある社会構造改善による利便性につながるだろうけど、その分のリスクも同時に抱え込むことになるのだ。個人情報漏えいを懸念していた、まさしくこの時期に、行った今回の大規模の漏えい事件である故に、その余波は大きいのだ。痛い分、予防接種だと考え、これからの情報セキュリティについて、社会全体で真剣に考える良いチャンスではないか。予防接種は、効くものである。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】PCI DSSの核心、Webセキュリティとデータ暗号化

情報セキュリティ製品の広告を見てみると、製品導入を決める基準としてさまざまな「標準」を羅列する。その中でも「PCI DSS」は、特によく登場する主人公である。

「自社のWebアプリケーションファイアウォールWAPPLESは、PCI DSS要求事項を満たし、PCI-DSS基準の適合認証を保有しています!」とか「オープンソースデータベース暗号化ソリューションMyDiamoは、クレジットカード番号のマスキング機能など、PCI DSSの要求事項を全て遵守しています!」とか。

いったい何の話なんだろう。難しい。こんなに強調しているのを見ると、何かとても重要なものには違いないだが…。

「それでいったいPCI DSSが何だ?」

「PCI DSS」とは、クレジットカード会社の会員のカード情報および取引情報を安全に管理するため、クレジットカード決済の全過程にわたって関連されている人はみんなが遵守しなければならないクレジット産業界のセキュリティ標準である。

PCI DSSが登場する前には、クレジットカードの会社ごとにそれぞれ異なるセキュリティ基準を要求していたので、一般事業者は、お互いに違う数多くの基準を充足しようとした。すると、費用もたくさんかかるし、とても不便だった。このような不便さを解消するためにJCB、アメリカンエキスプレス、Discover、MasterCard、VISAなどの国際的なクレジットカードの大手企業が共同で委員会を組織して「PCI DSS」という、事実的には「標準」となるのを策定したものだ。これは、「私たちと取引するためには、この標準に従わなければならない。」というように感じれるかもしれない。ところが、あまりにも大きな会社の連合だから、従わざるをえない。拒否したら、商売ができないから。

ところが、NIST、ANSI、ASA、ISOなどの国際的に通用される標準制定機関ではない民間企業が作り出した規格を「標準」と言えるだろうか。そもそも標準とは、ある物事を判断するための根拠や基準なのに、それを営利を目的にして運営される民間企業が決めても良いのだろうか。疑いの目で見る人もいるだろう。しかし、「PCI DSS」の内容を詳しく見ると、これは標準だと十分言える。かなり立派で、詳細かつ緻密な規格である。

全般的、細部的なセキュリティ状態の診断及び審査過程、アプリケーションやシステム、そしてネットワークなどの領域ごとに実施する浸透テストの回数や時期などのセキュリティ政策だけでなく、何回不正ログイン試行を繰り返すとロック処理されるのか、またはクライアントPCに個人アプリケーションファイアウォールのインストール状況の確認など、細かい基準まで完備している規格である。このように具体的で厳格な基準を提示するため、クレジットカードの取引と関係のない企業や組織でもPCI DSSを情報セキュリティ基準として採択する場合も多い。

それでは、PCI DSSがいったい何なのか、その内容をより詳しく調べてみよう。本質をちゃんと把握するためには、周りからの話を聞くのよりも当事者が説明したものを見たほうが良い。それで、「PCIセキュリティ標準委員会(PCI Security Standards Council)」が言うPCI DSSの認証仕組みを見ると…

 

KakaoTalk_20170412_150820812

図1)PCI DSSの認証仕組み
PCI DSSの認証仕組みは「PCI PTS」、「PCI PA-DSS」、「PCI DSS」、「PCI P2PE」など、4つのカテゴリーに分類されている。一つ一つ見る前に知っておくべき点は、PCI DSSが究極的に目的することは2種の情報を安全に守ることだ。2種の情報とは、クレジットカードの持ち主の個人情報やクレジットカードの番号や追加的な情報を含めた取引情報を示すが、これを合わせて「敏感情報」としよう。PCI DSSの全仕様は、まさにその「敏感情報」をどう扱うかについての内容である。

1)PCI PTS(PIN Transaction Security)
クレジットカード端末機などのハードウェア設計および検証の基準である。物理的装備やネットワークトランザクションを通じて、敏感情報が流出されることを防ぐための通信セキュリティ及びデータ暗号化などセキュリティ標準の遵守可否を確認する。

2)PCI PA-DSS(Payment Application Data Security Standard)
アプリケーション開発会社を対象とする認証基準である。カード会社及び会員会社そしてクレジットカードの会員が使う業務用ソフトウェアで敏感情報が伝送、処理、保存される過程での通信セキュリティ及び暗号化可否などを確認する。

3)PCI DSS(Data Security Standard)
クレジットカードインフラ全般にわたってネットワークとシステム構成が安全なのかなどを総合的に判断する基準である。アカウント統制及びアクセス制御を通じて、業務環境の厳しい管理はもちろん、定期的なセキュリティ監査実施有無などのセキュリティ政策まで含むとても広い概念である。技術的には、主にアプリケーション内部と通信区間での敏感情報の安全性および暗号化可否を検討し、安全性を判断する。

4)PCI P2PE(Point to Point Encryption)
PCI DSS全体の基になるのは、暗号化である。ただの暗号化ではなく、P2P暗号化、すなわちクレジットカード端末機からカード会社のアプリケーションを経てデータベースに保存されるまで、データが移動する全過程にわたった暗号化である。敏感情報は必ず最初から最後まで暗号化されていなければならない。

上記の内容をより簡単にまとめると、

1)PCI PTS=ハードウェア設計者が注意すべきの点
2)PCI PA-DSS=ソフトウェア開発者が注意すべきの点
3)PCI DSS=敏感情報を取り扱うすべての人が注意すべきの点
4)PCI P2PE=敏感情報は必ず最初から最後まで暗号化

こう説明できる。つまり、PCI DSS全体の基になる 4)を除いて見たら、1、2、3は業務分野に従う分類である。では、分野ではなく、内容そのものだけを見たらどうだろう?

PCI DSS、核心は、Webセキュリティとデータ暗号化

まず、「PCI PTS」を見ると、クレジットカード端末機とネットワークなど、主にハードウェアと関連している分類だが、その内容を見ると、純粋なハードウェア設計のほか、内容のほとんどがデータ暗号化、そしてトランザクション通信セキュリティ関連の内容となっている。ちゃんと暗号化しているのか、暗号化したデータを安全にやり取りしているのかなど。

ところが、データが移動してアプリケーションに到達してからは、その内容はアプリケーションが扱う対象になる。ところが、最近のアプリケーションは、ほとんどがWebアプリケーションである。実際に起きているアプリケーション関係のセキュリティ侵害事故のほとんどがWebセキュリティ事故だ。したがって、Webアプリケーション開発プロセスの基準となる「PCI PA-DSS」の内容のほとんどはWebセキュリティ関連の内容であり、内容の核心はデータ暗号化になる。

敏感情報を扱う全般的なセキュリティ政策とも言える「PCI DSS」もまた、内容を見れば、ほとんどがWebセキュリティとデータ暗号化関連の内容だ。そして「PCI P2PE」は別に言うまでも無く、用語自体が区間全体にわたった暗号化という意味だからやっぱりWebセキュリティとデータ暗号化が主な内容だ。

ところで、なぜWebセキュリティとデータ暗号化の内容が主になるのだろう。

最近の通信はほとんどがWebだし、最近のアプリケーションはほとんどがWebアプリケーションである。本格Web時代と言えるのだ。IoT、フィンテック(FinTech)などの技術が登場することによって、Webはますます私たちの日常になっているのだ。データは、アプリケーションを通じて移動する。そしてアプリケーションの主要環境はWebである。通信技術だけでなく、システム環境からユーザインタフェースに至るまで、すべてのIT技術がWebに統合されている。これからは、すべてのアプリケーションがWeb環境で開発され、運用されることに間違いない。したがって、分野とか分類に関係なく、最も重要なセキュリティは「Webセキュリティ」になるしかない。

そして先に述べたように、PCI DSSの究極的な目的は敏感情報を安全に守ることだ。用語も複雑だし、やるべきのこともすごく多いだが、結局言いたいのは「データを守りましょう。」ということだ。これは、覚えておくべきの非常に重要なポイントである。今日、情報セキュリティの中心は、過去に集中したネットワークやサーバーなどのインフラを保護するセキュリティからデータとアプリケーションを保護するセキュリティへ移動している。これは、結局本当に重要な価値が何かに気づく過程とも言える。本当に守らなければならない価値とは?当然、データだ。そして、データを最も安全に守る唯一の方法は「暗号化」だ。なぜ?暗号化以外には、別の方法がないから!

それでは、また最初に戻って、下の文章を読んでみよう。

「自社のWebアプリケーションファイアウォールWAPPLESは、PCI DSS要求事項を満たし、PCI-DSS基準の適合認証を保有しています!」
「オープンソースデータベース暗号化ソリューションMyDiamoは、クレジットカード番号のマスキング機能など、PCI DSSの要求事項を全て遵守しています!」

上の文章が少しは違く見えないのか。難しくて複雑な言葉も、言葉の核心を把握すると、すごく簡単に理解できるのだ。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そしてカード情報保護研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

MyDiamo (マイ・ディアモ)

 

MyDiamoは、OSS(Open Source Software)のMySQLとMariaDBに特化したDBMSエンジンレベルの暗号化ソリューションであり、エンジンレベルのカラム暗号化セキュリティとパフォーマンスの両立を実現させるアプリケーションから独立したコンポーネントです。ペンタセキュリティでは、オフィシャルサイトにて個人用の非営利的利用のため、無償ライセンスを提供しています。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティ、 2015年下半期の「Web脅威動向解析報告書」公開

 

ペンタセキュリティ、 2015年下半期の「Web脅威動向解析報告書」公開

脆弱性情報を通じたWebサイト攻撃および管理者権限取得をターゲットにした攻撃急増
暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が2015年下半期に収集された情報を基にした「Web脅威動向分析報告書(Web Application Threat Report)」を公開しました。2010年から年2回(上半期/下半期)に公開している「Web脅威動向分析報告書」は、探知ログに対する統計情報の提供に同意した約1,000台のWAPPLES(ワップル)から収集された統計情報を分析した結果を基にして作成されるもので、実際のWeb環境で収集された情報を基にしています。本レポートにより、ペンタセキュリティのWebアプリケーションファイアウォールであるWAPPLESを利用している顧客は効果的にセキュリティ脅威トレンドを把握して攻撃に迅速に備えることができます。

2015年下半期のWeb脅威動向では、脆弱性スキャンを目的にした攻撃が最も多く発生し、攻撃危険度が「深刻」と現れた攻撃が多かったです。特に脆弱性関連情報を通じたWebサイト攻撃や管理者の権限取得をターゲットにした攻撃が頻繁に現れました。このような攻撃は、同年上半期にも約4億万件の攻撃探知件数を記録して1位を占めた攻撃類型です。

また、OWASP(Open Web Application Security Project) Top 10 attacksを基準としてはA1に該当するセキュリティ危険であるInjection攻撃が31%を占めながら最も高い順位を記録しました。当攻撃は、比較的に簡単に攻撃を試みることができるが、攻撃の難易度に比べては技術的な影響度が深刻であり、必ず対応が求められます。Injection攻撃に次いで26%を占めて、2位を記録した攻撃はSecurity Misconfiguration(不適切なセキュリティの設定)で、当攻撃はシステムに対する権限を攻撃者が持つことが可能なので、システム全体がハッキングされる危険がある攻撃です。

今回の下半期Web脅威動向分析報告書からはこのような攻撃動向情報とともにWAPPLESが探知した‘Black List Top 30’情報も一緒に提供されます。

ペンタセキュリティの最高技術責任者であるDS Kimは、「このようなWebサイト攻撃および管理者権限取得をターゲットにした攻撃が成功する場合、Webサイトの脆弱性が露出されることと共に機密情報が流出されたりWebサーバが動作不能状態になる可能性がある。」とし、「各種の攻撃を予防するため、サーバおよびセキュリティ担当者は強力なアクセス制御を通じて、権限管理レベルを管理し、事前にWebアプリケーションファイアウォールソリューションを構築して、Web攻撃脅に備えなければならない。」と述べました。

ICS-Report

 

Webアプリケーション脅威解析報告書:ICS-Report
ペンタセキュリティが年2回(上半期/下半期)発行されるトレンドレポートです。本レポートより全世界のWAPPLESから収集された検知ログの統計情報をもとに解析された実運用上の脅威の情報を確認することができます。

 

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201