Posts

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(11月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 11月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

profile

ペンタセキュリティ、ガートナーHype Cycleに紹介されたDB暗号化ソリューションD’Amoで日本展開を本格化

 

g

 

ペンタセキュリティ、

ガートナーHype Cycleに紹介されたDB暗号化ソリューションD’Amoで日本展開を本格化

DB暗号化および形態保存暗号化(FPE)技術を活用したD’Amoの日本提供を本格的に拡大する予定

 

データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は10月04日、米国のIT分野調査・助言企業であるGartner(以下ガートナー)が発表する2016 Gartner Hype Cycle for Data Security報告書でデータベース暗号化(Database Encryption)および形態保存暗号化(Format-preserving Encryption、以下FPE)技術部門で紹介されたことを明らかにしました。

ガートナーは、米国の情報技術研究および諮問機関として認知度が高くて、信頼されている市場調査機関です。ガートナーでは、技術の発展および技術成熟度を5つの段階として示したGartner Hype Cycle for Data Security報告書(以下Hype Cycle)を1995年から毎年発刊し、新技術を紹介しています。昨年から全世界的に大規模のデータ漏えい事故が発生し、データセキュリティ及び暗号化技術に対する需要が急増した中で、ペンタセキュリティがデータベース暗号化ソリューションD’Amoを通じて、データベース暗号化(Database Encryption)及びFPE技術部門でSample VendorとしてHype Cycleに紹介されたものです。

ペンタセキュリティのDB暗号化ソリューションD’Amoは、FPE技術を使用しており、データの形式や長さを維持したまま、暗号化しなければならない特殊な場合に導入が可能なソリューションです。FPE技術は、米国国立標準技術研究所(NIST) でこの技術を利用したアルゴリズムを標準として指定するなど活性化されることにより、2016年のHype Cycleでも初めて登場し、企業でもFPE技術を導入する動きが急速に進んでいる状況です。

それによってペンタセキュリティでは、Database Encryption技術及びFPE技術を活用しているD’AmoやMyDiamoの日本市場への提供を本格的に展開していく計画を明らかにしました。

日本では、今年の1月から「特定の個人識別するための番号の利用等に関する法律(通称マイナンバー制度)」の施行とともに、2020年に開催される東京オリンピックを控えて国際水準のクレジット取引のセキュリティ環境を整備を目的とした「クレジットカード取引のセキュリティ対策の強化に向けた実行計画」を発表しています。それによって、日本企業ではマイナンバーおよびクレジットカード情報など敏感な個人情報を安全に保護するためのソリューションを導入する必要があると予想しています。

ペンタセキュリティのCTOのDSKimは、「最近、頻繁に起ているデータ漏えい事故によって、全世界的にデータセキュリティに対する認識が高まっており、日本でもマイナンバー情報の漏えいやクレジットカード情報流出などに対応するために努力している。」とし、「19年にわたる技術開発の経歴や約3400個のレファレンス構築経験を活かし、日本でも多様なお客様に適したセキュリティソリューションを提供していく予定だ。特に、ペンタセキュリティが提供するFPE技術は形式が決まっているマイナンバーやクレジットカード情報などのデータを安全に暗号化することができるので、今より多くの需要があると考えられる。」と言及しました。

 D’Amo(ディアモ)

2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,400ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

profile

ペンタセキュリティ、シンガポールで自社WebアプリケーションファイアウォールWAPPLESをODMを通じて供給

ペンタセキュリティ、シンガポールで自社Webアプリケーションファイアウォール
WAPPLESをODMを通じて供給

シンガポールでのWebアプリケーションファイアウォール供給を始めて、グローバル市場拡大

データベース暗号化とWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、8月16日、シンガポールのサイバーセキュリティ企業であるQuannとのODM契約を通じて、シンガポールで自社WebアプリケーションファイアウォールのWAPPLES(ワップル)を「Quann WAF」製品として供給開始することを明らかにしました。シンガポール最大の防衛産業会社のCertis Ciscoの子会社であるQuannは、サイバーセキュリティサービスを提供する企業としてサイバー攻撃のリスク評価およびセキュリティ・コンプライアンスに関するコンサルティングを提供する企業です。Quannは、Webアプリケーションファイアウォール技術を顧客に提供する方法を調べる中、ペンタセキュリティとの協力を通じてODM(Original Design Manufacture:開発力を備えている企業が販売網を備えている流通業者に商品やサービスを提供する生産方式)方式でWebアプリケーションファイアウォールを提供することにしました。ペンタセキュリティのWAPPLES(ワップル)は、アジア・パシフィック地域のマーケットシェア1位のWebアプリケーションファイアウォールとしてペンタセキュリティが独自開発した論理演算型エンジン(COCEP™)を活用しており、他社のWebアプリケーションファイアウォールとは違く、別途シグネチャのアップデートが必要ないという特徴を持っています。また、米国の性能測定機関であるTollyグループ(Tolly Group)で施行したテストを通じて、海外の有名Webアプリケーションファイアウォールに比べて、TPS、CPS、誤探率などのWebアプリケーションファイアウォールの主要性能が優れているという評価を受けた履歴があります。今回、ペンタセキュリティとQuannが結んだODM契約を通じて、WAPPLES(ワップル)は「Quann WAF」という名称でシンガポールで提供される予定です。「Quann WAF」は、ペンタセキュリティの初ODMプロジェクトで、東南アジアの主要3大市場であるシンガポール、香港、マレーシアに販売される予定で、その後はWebアプリケーションファイアウォールだけでなく、セキュリティ管理サービス(Managed Security Service)でもQuann WAFを活用する予定だそうです。また、Quannのグローバル・パートナー社を通じて、WAPPLES(ワップル)とQuann WAFをグローバル市場でも供給することで、グローバル市場での立地を固めていく見込みです。

ペンタセキュリティの最高技術責任者であるDS Kimは、「優秀な技術力を認められているWAPPLES(ワップル)を「Quann WAF」としてシンガポールをはじめ、アジア・パシフィック地域で提供することができてとてもうれしい。」とし、「これからもペンタセキュリティのレベルの高い技術力を盛り込んだ製品を様々な国家に提供し、グローバル市場へ事業領域を拡張していく計画である。」述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】PCI DSSの核心、Webセキュリティとデータ暗号化

情報セキュリティ製品の広告を見てみると、製品導入を決める基準としてさまざまな「標準」を羅列する。その中でも「PCI DSS」は、特によく登場する主人公である。

「自社のWebアプリケーションファイアウォールWAPPLESは、PCI DSS要求事項を満たし、PCI-DSS基準の適合認証を保有しています!」とか「オープンソースデータベース暗号化ソリューションMyDiamoは、クレジットカード番号のマスキング機能など、PCI DSSの要求事項を全て遵守しています!」とか。

いったい何の話なんだろう。難しい。こんなに強調しているのを見ると、何かとても重要なものには違いないだが…。

「それでいったいPCI DSSが何だ?」

「PCI DSS」とは、クレジットカード会社の会員のカード情報および取引情報を安全に管理するため、クレジットカード決済の全過程にわたって関連されている人はみんなが遵守しなければならないクレジット産業界のセキュリティ標準である。

PCI DSSが登場する前には、クレジットカードの会社ごとにそれぞれ異なるセキュリティ基準を要求していたので、一般事業者は、お互いに違う数多くの基準を充足しようとした。すると、費用もたくさんかかるし、とても不便だった。このような不便さを解消するためにJCB、アメリカンエキスプレス、Discover、MasterCard、VISAなどの国際的なクレジットカードの大手企業が共同で委員会を組織して「PCI DSS」という、事実的には「標準」となるのを策定したものだ。これは、「私たちと取引するためには、この標準に従わなければならない。」というように感じれるかもしれない。ところが、あまりにも大きな会社の連合だから、従わざるをえない。拒否したら、商売ができないから。

ところが、NIST、ANSI、ASA、ISOなどの国際的に通用される標準制定機関ではない民間企業が作り出した規格を「標準」と言えるだろうか。そもそも標準とは、ある物事を判断するための根拠や基準なのに、それを営利を目的にして運営される民間企業が決めても良いのだろうか。疑いの目で見る人もいるだろう。しかし、「PCI DSS」の内容を詳しく見ると、これは標準だと十分言える。かなり立派で、詳細かつ緻密な規格である。

全般的、細部的なセキュリティ状態の診断及び審査過程、アプリケーションやシステム、そしてネットワークなどの領域ごとに実施する浸透テストの回数や時期などのセキュリティ政策だけでなく、何回不正ログイン試行を繰り返すとロック処理されるのか、またはクライアントPCに個人アプリケーションファイアウォールのインストール状況の確認など、細かい基準まで完備している規格である。このように具体的で厳格な基準を提示するため、クレジットカードの取引と関係のない企業や組織でもPCI DSSを情報セキュリティ基準として採択する場合も多い。

それでは、PCI DSSがいったい何なのか、その内容をより詳しく調べてみよう。本質をちゃんと把握するためには、周りからの話を聞くのよりも当事者が説明したものを見たほうが良い。それで、「PCIセキュリティ標準委員会(PCI Security Standards Council)」が言うPCI DSSの認証仕組みを見ると…

 

KakaoTalk_20170412_150820812

図1)PCI DSSの認証仕組み
PCI DSSの認証仕組みは「PCI PTS」、「PCI PA-DSS」、「PCI DSS」、「PCI P2PE」など、4つのカテゴリーに分類されている。一つ一つ見る前に知っておくべき点は、PCI DSSが究極的に目的することは2種の情報を安全に守ることだ。2種の情報とは、クレジットカードの持ち主の個人情報やクレジットカードの番号や追加的な情報を含めた取引情報を示すが、これを合わせて「敏感情報」としよう。PCI DSSの全仕様は、まさにその「敏感情報」をどう扱うかについての内容である。

1)PCI PTS(PIN Transaction Security)
クレジットカード端末機などのハードウェア設計および検証の基準である。物理的装備やネットワークトランザクションを通じて、敏感情報が流出されることを防ぐための通信セキュリティ及びデータ暗号化などセキュリティ標準の遵守可否を確認する。

2)PCI PA-DSS(Payment Application Data Security Standard)
アプリケーション開発会社を対象とする認証基準である。カード会社及び会員会社そしてクレジットカードの会員が使う業務用ソフトウェアで敏感情報が伝送、処理、保存される過程での通信セキュリティ及び暗号化可否などを確認する。

3)PCI DSS(Data Security Standard)
クレジットカードインフラ全般にわたってネットワークとシステム構成が安全なのかなどを総合的に判断する基準である。アカウント統制及びアクセス制御を通じて、業務環境の厳しい管理はもちろん、定期的なセキュリティ監査実施有無などのセキュリティ政策まで含むとても広い概念である。技術的には、主にアプリケーション内部と通信区間での敏感情報の安全性および暗号化可否を検討し、安全性を判断する。

4)PCI P2PE(Point to Point Encryption)
PCI DSS全体の基になるのは、暗号化である。ただの暗号化ではなく、P2P暗号化、すなわちクレジットカード端末機からカード会社のアプリケーションを経てデータベースに保存されるまで、データが移動する全過程にわたった暗号化である。敏感情報は必ず最初から最後まで暗号化されていなければならない。

上記の内容をより簡単にまとめると、

1)PCI PTS=ハードウェア設計者が注意すべきの点
2)PCI PA-DSS=ソフトウェア開発者が注意すべきの点
3)PCI DSS=敏感情報を取り扱うすべての人が注意すべきの点
4)PCI P2PE=敏感情報は必ず最初から最後まで暗号化

こう説明できる。つまり、PCI DSS全体の基になる 4)を除いて見たら、1、2、3は業務分野に従う分類である。では、分野ではなく、内容そのものだけを見たらどうだろう?

PCI DSS、核心は、Webセキュリティとデータ暗号化

まず、「PCI PTS」を見ると、クレジットカード端末機とネットワークなど、主にハードウェアと関連している分類だが、その内容を見ると、純粋なハードウェア設計のほか、内容のほとんどがデータ暗号化、そしてトランザクション通信セキュリティ関連の内容となっている。ちゃんと暗号化しているのか、暗号化したデータを安全にやり取りしているのかなど。

ところが、データが移動してアプリケーションに到達してからは、その内容はアプリケーションが扱う対象になる。ところが、最近のアプリケーションは、ほとんどがWebアプリケーションである。実際に起きているアプリケーション関係のセキュリティ侵害事故のほとんどがWebセキュリティ事故だ。したがって、Webアプリケーション開発プロセスの基準となる「PCI PA-DSS」の内容のほとんどはWebセキュリティ関連の内容であり、内容の核心はデータ暗号化になる。

敏感情報を扱う全般的なセキュリティ政策とも言える「PCI DSS」もまた、内容を見れば、ほとんどがWebセキュリティとデータ暗号化関連の内容だ。そして「PCI P2PE」は別に言うまでも無く、用語自体が区間全体にわたった暗号化という意味だからやっぱりWebセキュリティとデータ暗号化が主な内容だ。

ところで、なぜWebセキュリティとデータ暗号化の内容が主になるのだろう。

最近の通信はほとんどがWebだし、最近のアプリケーションはほとんどがWebアプリケーションである。本格Web時代と言えるのだ。IoT、フィンテック(FinTech)などの技術が登場することによって、Webはますます私たちの日常になっているのだ。データは、アプリケーションを通じて移動する。そしてアプリケーションの主要環境はWebである。通信技術だけでなく、システム環境からユーザインタフェースに至るまで、すべてのIT技術がWebに統合されている。これからは、すべてのアプリケーションがWeb環境で開発され、運用されることに間違いない。したがって、分野とか分類に関係なく、最も重要なセキュリティは「Webセキュリティ」になるしかない。

そして先に述べたように、PCI DSSの究極的な目的は敏感情報を安全に守ることだ。用語も複雑だし、やるべきのこともすごく多いだが、結局言いたいのは「データを守りましょう。」ということだ。これは、覚えておくべきの非常に重要なポイントである。今日、情報セキュリティの中心は、過去に集中したネットワークやサーバーなどのインフラを保護するセキュリティからデータとアプリケーションを保護するセキュリティへ移動している。これは、結局本当に重要な価値が何かに気づく過程とも言える。本当に守らなければならない価値とは?当然、データだ。そして、データを最も安全に守る唯一の方法は「暗号化」だ。なぜ?暗号化以外には、別の方法がないから!

それでは、また最初に戻って、下の文章を読んでみよう。

「自社のWebアプリケーションファイアウォールWAPPLESは、PCI DSS要求事項を満たし、PCI-DSS基準の適合認証を保有しています!」
「オープンソースデータベース暗号化ソリューションMyDiamoは、クレジットカード番号のマスキング機能など、PCI DSSの要求事項を全て遵守しています!」

上の文章が少しは違く見えないのか。難しくて複雑な言葉も、言葉の核心を把握すると、すごく簡単に理解できるのだ。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そしてカード情報保護研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

MyDiamo (マイ・ディアモ)

 

MyDiamoは、OSS(Open Source Software)のMySQLとMariaDBに特化したDBMSエンジンレベルの暗号化ソリューションであり、エンジンレベルのカラム暗号化セキュリティとパフォーマンスの両立を実現させるアプリケーションから独立したコンポーネントです。ペンタセキュリティでは、オフィシャルサイトにて個人用の非営利的利用のため、無償ライセンスを提供しています。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201