Posts

profile

ペンタセキュリティのクラウドWebハッキング遮断サービス「クラウドブリック」、登録サイト数4200個を超え

ペンタセキュリティのクラウドWebハッキング遮断サービス

「クラウドブリック」、登録サイト数4200個を超え

 

ドメイン登録だけでSSL認証書発行および
Webサイトセキュリティに必要な全サービスを提供

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が12月21日、自社のクラウド基盤のWebハッキング遮断サービスであるCloudbric®(クラウドブリック)に登録したWebサイト数が4200個を超えたことを明らかにしました。

Cloudbric®(クラウドブリック)は、情報セキュリティ分野の最前線で約20年間ノウハウを蓄積してきたペンタセキュリティが中小企業や個人ユーザも手軽にセキュリティサービスを利用できるように開発したクラウド基盤のサービスで、アジア・パシフィック地域のマーケットシェア1位のWebアプリケーションファイアウォールであるWAPPLES(ワップル)の技術を搭載しています。アプライアンスタイプのWebアプリケーションファイアフォールとは異なり、アカウント作成およびドメイン入力、DNS変更の3つのステップにより、Webサイトのセキュリティにおいて必要なすべてのサービスを提供しているので、グローバル市場の小規模事業者から大きな反響を得て、登録Webサイト数が今年初2,000個から2倍の4,200個まで増えました。

Cloudbric®(クラウドブリック)は、Webハッキング攻撃・Webトラフィック改ざん・個人情報奪取・DDoS攻撃・Webサイト改ざんなどからWebサイトを保護する機能に加え、今年11月からLet’s Encryptとの連携により無料SSL証明書の発行サービスを追加し、さらに高度のセキュリティサービスを提供しています。ITに関する知識がなくても簡単に適用することができるし、エンタープライズ級のセキュリティサービスを手軽に利用できるという点を高く評価され、SC Awards Europe2016では「最高の中小企業セキュリティソリューション(Best SME Security Solution)」賞を受賞し、 米国の「国家サイバーセキュリティ意識向上月間(National Cyber Security Awareness Month、NCSAM)ではセキュリティサービス部門のチャンピオン企業として2年連続選定されました。

ペンタセキュリティのCTOのDSKimは、「2015年初めてグローバル市場にクラウドブリックを披露した以来、何回の受賞を通じて、クラウド市場が活性化された海外からクラウドブリックの高度のセキュリティ性を認められ、そのおかげでユーザが増加し続けていると見られる。」とし、「世界的にクラウド基盤のサービスが商用化されることにより、ペンタセキュリティも高いレベルのセキュリティサービスを提供し続けて、全般的なWebサイトのセキュリティレベル向上に貢献したい。」と言及しました。

Cloudbric(クラウドブリック) 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティのクラウドブリック、AWS Innovate Online Conference 2016参加

ペンタセキュリティのクラウドブリック、
AWS Innovate Online Conference 2016参加

韓国企業で初めてブース運営、AWS上のWebセキュリティ対策の講演
データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が7月14日、韓国のセキュリティ企業としては初めてAWS Innovate Online Conference 2016で仮想ブースを運営したことを明らかにしました。

AWS Innovate Online Conferenceはアマゾンウェブサービス(AWS)の多様なプログラムと情報及びメリットについて具体的に知らせるオンラインでのカンファレンスであり、AWS Cloudおよびクラウドコンピューティングに興味があれば、誰でも無料で参加が可能であり、2015年にはインド、香港、オーストラリア、ニュージーランドなどアジア全域で約6,000人が参加しました。簡単な登録手続きを通じて、参加者はクラウドへの移転、アプリケーション拡張などのようなAWS適用方法や事例を見ることができます。

AWSのAPN(Amazon Partner Network)技術パートナーであるペンタセキュリティは、11年間アプライアンスタイプのWebアプリケーションファイアウォールソリューションであるワップル(WAPPLES)をアジア市場に提供し、 蓄積した技術やノウハウを基にし、クラウド基盤のWebアプリケーションファイアウォールのクラウドブリック(Cloudbric)ビジネス・エディション(Business Edition)を開発しました。AWSのデータセンタインフラを活用するクラウドブリックは、Amazon CloudFront、ELB(Elastic Load Balancing)、Auto ScalingなどのAWSサービスと完璧に互換されて、AWS利用者には適合なソリューションと言えます。また、ワップル(WAPPLES)とクラウドブリック(Cloudbric)に搭載されている論理演算検知エンジン(COCEP)は、Web攻撃の特性により探知するアルゴリズムが搭載されており、定期的なシグネチャのアップデートがいりません。最初設定の時、自動的に最適のセキュリティ設定が適用されるため、セキュリティがよく分からない一般の方であっても適用及び管理が容易であるのが特徴です。

クラウドブリック(Cloudbric)は、韓国企業としては初めてブースを運営しました。仮想のブースを訪問する参加者は、AWS上のWebアプリケーションを安全に保護する方法と性能が優れたWebアプリケーションファイアウォールを選ぶ基準に対する講演を聞いて、クラウドブリックの適用方法について詳しく説明を聞くことができました。7月14日の現地時間午前9時から午後7時まではリアルタイムでライブチャットを通じてお問い合わせに対する回答も聞くことができました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「AWSクラウドは、企業規模、事業分野に関係なく同一のプラットフォームとインフラを使用することで、ITインフラの平等化に貢献している。」とし、「これは誰もが高いレベルのセキュリティサービスを簡単に使用できるように作られたクラウドブリックのビジョンと同じく、このような点からAWSとクラウドブリックは相乗効果を発揮できると思う。今後、AWSクラウドだけでなくさまざまな環境でも、誰でも適用できる「セキュリティの平等化」のためのサービス最適化にもっと集中する予定だ。」と述べました。

AWS Innovate Online Conferenceに対する情報は下記のリンクで確認できます。
http://aws.amazon.com/jp/events/aws-innovate/

Cloudbric(クラウドブリック)

 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。

 

 

Cloudbricに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティのクラウドブリック、SC Awards Europe 2016 Finalistに選定

 

ペンタセキュリティのクラウドブリック、SC Awards Europe 2016 Finalistに選定

クラウドWebハッキング遮断サービスで2016年最高中小企業セキュリティソリューション最終候補に選ばれ
データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が5月24日、クラウド基盤のWebハッキング遮断サービスであるCloudbric(クラウドブリック)が情報セキュリティ産業分野でリーダーシップを披露している企業に賞を授与するSC Awards Europe 2016(以下SCアワード)の最終候補に選定されたことを明らかにしました。

SCアワードは、情報セキュリティ産業分野の最新ニュースやリサーチ資料、分析情報を提供するSC Magazine UKで主管する授賞式で、毎年、革新的なセキュリティ技術を保有した専門家や開発業社、供給会社を受賞者として選定してきました。今回のSCアワードの最終受賞者は、情報セキュリティ産業で経験を蓄積し、専門知識を保有している審査委員の評価で選定されます。クラウドブリックは、最高中小企業セキュリティソリューション部門で最終候補に選定されており、2016年6月7日、ロンドンで開かれるSCアワード授賞式で最終受賞者が発表される予定です。

SCマガジンの編集長であるTony Morbin氏は、「ハッカーは絶えずに新たな手口を探し、個人情報を流出しようとしている。そのため、企業はこれに併せたセキュリティサービスを提供しなければならない。」とし、「ペンタセキュリティのWebサイトセキュリティソリューションであるクラウドブリックは、革新的かつ効率的なセキュリティ技術でWebセキュリティサービスのレベルを向上させたため、最終候補に選定された。」と伝えました。

ペンタセキュリティのクラウドブリックは、中小企業向けに開発されたクラウド基盤のWebハッキング遮断サービスです。ITセキュリティ技術の研究開発を始めてから今年で19年目を迎えたペンタセキュリティは、ほとんどの中小企業がWeb攻撃を防御するための製品を購入するには予算と資源が不足していて、重要なセキュリティには弱いという事実に基づいて、2015年クラウドブリックの提供を開始し、エンタープライズレベルのセキュリティサービスを月額サービス方式で提供し始めました。このようなサービス運営方式は、韓国およびグローバル市場において今までセキュリティソリューションの利用が難しかった小規模のオンライン事業者から大きな反響を得ています。

Cloudbric(クラウドブリック)

 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。

 

 

Cloudbricに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティのクラウドブリック、WorldHostingDays Global 2016に出展

 

ペンタセキュリティのクラウドブリック、WorldHostingDays Global 2016に出展

クラウドブリックのBusiness Editionを通じて欧州市場への本格的攻略
暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、 クラウド基盤のWebハッキング遮断サービスである「Cloudbric(クラウドブリック)」を主要製品として掲げて、3月15日から17日まで3日間ドイツで開催されたWorldHostingDays Global 2016(以下WHD Global)に参加したことを明らかにしました。

WHD Globalは、今年で12年目を迎えた世界最大規模のホスティングおよびクラウドコンファレンスで、全世界のホスティングおよびクラウド事業者のネットワーキングを目的としています。今回のイベントでは、展示会、基調講演、セッションとともにBierFest、ConneXion Partyなどの交流の場も設けられました。WHDは、毎年シンガポール、米国、中国、インドなど世界各地で開催され、日本でもWHDジャパンが2016年10月に開催される予定です。今年のWHD Globalは、ドイツユーロパークで開催され、約6,600人あまりが訪問、210余りのブースが参加しました。

ペンタセキュリティは、韓国のセキュリティ企業の中では唯一に参加し、クラウド基盤のWebハッキング遮断サービスであるクラウドブリックをヨーロッパのIT産業従事者に紹介しました。イベントに参加した訪問客は、クラウドブリックがアジア∙パシフィックの市場占有率1位WebアプリケーションファイアウォールであるWAPPLES(ワッフル)の技術を基にして作られたという点やセキュリティ知識を持っていない一般のWebサイト運営者のためのサービス版とエンタープライズ事業者のためのビジネスエディション版を使用者のニーズに合わせて提供するという点に高い興味を示しました。

特に、多くのヨーロッパホスティング及びクラウド産業の関係者は、既存のWebアプリケーションファイアウォールサービスとは異なり、クラウドブリックのビジネスエディションは彼らのWebサーバ環境に直接設置され、Webサイトの速度に及ぼす影響を最小化しながら多様なハイパーバイザー(hypervisor)環境を支援するため、既存インフラに大きな変化なく適用が可能な点を高く評価しました。これとともに、WHD Globalの参加者の約65%が企業の最高経営陣を務めていて、実質的な事業パートナーシップに対する深みのある対話ができました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「クラウドブリックのビジネスエディションは、ホスティング事業者がインフラの上で簡単かつ便利にセキュリティソリューションを提供できるように最適化したソリューション」とし、「今回のイベントは、ヨーロッパのIT市場にクラウドブリックを知らせる踏み台で、これからは持続的にヨーロッパ市場を攻略するよてい」と述べました。

Cloudbric(クラウドブリック)

 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。

 

 

Cloudbricに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティのクラウドブリック、グローバルスタートアップをサポート

欧州最大の起業支援機関「スタートアップブートキャンプ」に

Webセキュリティサービスを提供

データベース暗号化とWebセキュリティの専門企業ペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ)のクラウド基盤のWebセキュリティサービスであるクラウドブリック(Cloudbric)が12月1日から欧州のスタートアップアクセラレーターである「スタートアップブートキャンプ(Startup Bootcamp)」のスタートアップ向けのインキュベーションにセキュリティサービスをサポートすることを明らかにしました。

スタートアップブートキャンプは、デンマーク・コペンハーゲンに本部がある欧州最大の起業支援機関として、スタートアップアクセラレータープログラムを提供しています。現在、欧州にある7つの都市で活発な活動を展開しており、これまで全世界で165のスタートアップを養成しました。当機関はICTとモバイルに特化したアクセラレータープログラムを通じて、アイデアが集約されたサービス業中心の起業支援に乗り出していますが、初期段階の企業をベンチャー段階にまで成長させる過程で業界専門家からのアドバイス、法律諮問や財務知識の教育、ホスティングサービスなど、ビジネスに必要な様々なインキュベーションプログラムを提供しています。

今年からは該当プログラムに「情報セキュリティサービス」を新たに追加しましたが、これはスタートアップ業界でもWebを介して行われる情報の流出に積極的に対応していることを意味します。特にICT関連のスタートアップは多種のデータベースを扱っているため、セキュリティの脆弱性が成長における最大の壁となっています。しかし、限定された資本金や小規模のWebサービスであるため、導入および運用に高コストがかかるセキュリティ対策を検討すること自体、困難であることが実情です。

スタートアップブートキャンプでは、ペンタセキュリティのクラウドブリックと連携することにより、このような状況に打開策を提案できるようになりました。
クラウドブリックは、今年1月15日にグローバル市場にリリースしたクラウド基盤のWebアプリケーションファイアウォールサービス(http://www.cloudbric.jp)として、サイトに登録し設定を変更するだけでペンタセキュリティの代表的なWebアプリケーションファイアウォール製品であるWAPPLESレベルの強力なWebセキュリティサービスをいただけます。また、セキュリティやITに関する知識がなくても、Webサイトが受けている攻撃情報を直感的なダッシュボードを通じで一目で確認できます。クラウドブリックは、これから1年間スタートアップブートキャンプに所属されている各スタートアップに約$1,788相当のセキュリティサービスを提供します。

ペンタセキュリティにおけるクラウドブリックビジネスの統括責任者であるCTOのDS Kimは、「クラウドブリックがペンタセキュリティの社内ベンチャーを通じて成長した事業であるだけに、世界各地の優れたスタートアップをサポートしながらクラウドブリックのサービスや企画などに対し新しい刺激を受けています。」と言い、「これからもICTスタートアップを積極的にサポートし続け、ICT生態系を活性化させ、将来情報セキュリティの大衆化をリードする企業になりますと」と述べました。
当該価格は、「スタートアップブートキャンプ」に所属された企業のみを対象としたイベント価格でございます。
日本国内の価格ポリシー等詳細は、japan@pentasecurity.comまでお問い合わせください。

Cloudbric(クラウドブリック)

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。

 

 

Cloudbricに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

 

【コラム】安全なインターネットの基準、WAF

―「今やWeb時代、その時代こそWebセキュリティが肝心!」― これでもかとあきれるほど耳にする言葉です。それにもかかわらず、その重要性があまり認識されていないのが実情です。そのため、何度も繰り返して言いますが、Webセキュリティは、重要です!

物事はすべてインターネット、つまりWebを介して行われているのに、どうしてWebセキュリティは疎かにされているのか、考えてみましょう。
残念なことに、その答えは既に出ています。「安全なインターネットとは何か」、に対する正確な概念がないためです。

 

「安全なインターネットとは何か」
世の中には、重要であっても、その重要性が十分認識されていないことがあります。ICTセキュリティこそ、その代表例でしょう。
世の中に広く浸透しているICTの時代、ICTセキュリティが重要であることは誰もが知っているはずです。
しかし重要であることを知りながらも、何を、どうすればいいか分からず、多くの場合疎かにされています。それが状況をより深刻にさせています。

世の中は一見カオスな世界のように見えますが、その中には、様々なシステムが複雑に絡み合っていて、どうにかして効率的且つ合理的に動いているのです。
問題と解答が飛び交う混迷した世界ですから、ICTセキュリティが本当に深刻な問題であるなら、解決策やセーフティネットが整っていたはずです。もちろん、そのソリューションはあります。調べてみましょう。

 

ICTセキュリティは個人にとっても集団にとっても、大きな懸念材料です。
「国際標準」は、それらを収集して洞察し、ほぼ完璧にまとめたものです。
代表例として挙げられるのが、イギリスのBSI(British Standards Institute)が制定したBS7799基盤のセキュリティ認証であり、フレームワークの「ISO27001」です。
また、経営に焦点を合わせた「情報セキュリティマネジメントシステム(ISMS;Information Security Management System)」も重要な標準規格です。
これらのフレームワークを参照し、それぞれの仕様に合わせて企業のセキュリティシステムを構築すれば、ある程度安全なICTセキュリティのポリシー確立や仕組構築が可能となります。

 

ある企業がISO27001を取得したということは、全体で11の評価項目で「安全」と認められたことです。それは、その企業がICTセキュリティに関わる全てのリスクを総合的に管理し、改善できる基本的な仕組が整っているという意味です。
ICTセキュリティは単なるシステムや技術ではなく、組織全体と個人それぞれが生活を営む「文化」であり、「環境」でもあるため、認証を取得したからといって、100%安全になったとは言えませんが、「代替的に」安全になったとは言えます。

 

では、安全なインターネットの基準となる国際標準はあるのでしょうか?

 

答えは、「あります」。

世界的なNGOオンライン信頼度監査機関である「OTA(Online Trust Alliance)」は、毎年、有名Webサイトを対象にセキュリティ性を点検し、安全なインターネット文化の確立に向け先駆けて取り組んでいるWebサイトを選定し、「オンライントラスト栄誉賞(OTHR;Online Trust Honor Roll)」を授与しています。
政府をはじめ、金融機関、SNSなど、様々な分野にわたって約1000の有名サイトが対象となります。
今年は、そのうち約46%がセキュリティ性の不足を理由に選定対象から外され、1位の「最も信頼できるWebサイト」には、「Twitter」が選定されました。

それでは、OTHRの選定基準は何でしょうか。

 

まず、着目すべきなのは、

今年から「WAF(Web Application Firewall、Webアプリケーションファイアウォール)の使用有無」が評価に関わる重要項目として追加されたことです。

 

それを受けて「安全」ランクを取得した企業は、去年の30%から今年は44%へと増えるなど、選定結果に大きな影響を与えました。やや遅きに失した感はありますが、その決定は当然なことです。
WAFはそもそもWebセキュリティの基本であり、核心であるWebアプリケーションセキュリティに特化して開発されたものです。
外部からの攻撃を事前に遮断し、マルウェアなどの有害物がサーバーへ侵入することを防ぎ、Webセキュリティ脆弱性が外部にさらされないようにするなど、Webセキュリティの全般にわたって最も重要な役割を行っています。
そのため、WAFは他のセキュリティ機器に比べ、Webサイト全体の安全性に与える影響力非常に大きなものがあります。また、OTAは、これからWAFの使用有無がOTHRの選定に大きな影響を及ぼすと述べました。この決定も当然でしょう。

 

「なら、WAFを買えば済むのか? いくら?」
このように簡単に決定できるものなら、売り手も買い手も楽でしょうが、企業における意思決定は企業の成長や発展、ひいては企業の死活にかかわる大事なことです。
何事も簡単には決定できません。またそうしてはいけません。特にコストが決め手となる新規スタートアップ企業にとっては、なおさらです。
世の中は、欲しいものであふれています。残念ながら、その全てを手に入れることはできません。
WAFも同じです。高い機器ではありませんが、安いとも言えません。いくら良いものであっても、すぐ買えるわけではありません。

そうなら、とりあえずクラウド型WAFサービスを試してみましょう。
簡単な操作だけで実際にWAFを導入したような効果が得られます。マウスを数回クリックするだけで、ICTセキュリティ事故の9割をも占めるWebハッキング攻撃を全て遮断できます。
最も頻繁に発生しているWebサイトハッキングをはじめ、Webからのデータ漏洩、不正アクセス、Webサイト改ざんなど、その全てを遮断します。

クラウド型のサービスで提供されるため、機器の保守コストもかからず、利用初期は一定期間無料で利用できます。その後、オンラインビジネスが軌道に乗れば、トラフィック量によって最適なプランを選択し、所定の使用料を払えばいい訳です。

 

ならば、クラウド型WAFの中でもどのサービスを選ぶべきでしょうか。

実際現場における最重要なWebセキュリティ作業は何でしょうか?
長年にわたる経験を基に、意見を述べさせていただきますと、管理者のモニタリングではないでしょうか。日に日に激変するWeb脆弱性のトレンド分析、実際に御社のWebサイトを狙う者たちの行動分析、日々溜まっていく攻撃と防御のログなど、完璧なWebセキュリティは持続的なモニタリングを通してのみ確保できます。

いくら早いスピードや優れた性能を持つWebセキュリティ機器を使用するとしても、モニタリング・ユーザーインターフェースに力を入れなければ無用の長物になってしまうのが事実です。
優れたWAFの性能で知名度の高い様々な製品を比べ、その中で最も直感的にわかるユーザーインターフェースを持つ製品を選ぶことを推奨します。何回も強調しましたが、Webセキュリティ作業の核心はモニタリングであるためです。

penta1.jpg

[クラウド型WAFサービス 「cloudbric」のダッシュボードUI]

そして重要なのは、当該クラウド型WAFサービスがどのハードウェア型WAFの技術をもとに作られたかを調べることです。
企業が成長するにつれWebサイトも成長していき、理由はともあれWebに関わる全ての設備を自ら運用する必要がある場合もでてきます。
その時になってから、クラウド型サービスではなく定番のハードウェア型WAFに移行しても遅くはありません。同一技術をもとに形のみ変えた製品ですので、システムの変更による非効率や業務の空白は発生しません。
ただし、クラウド型WAFサービスとハードウェア型WAFサービスが「同一技術」でなければ、順調な移行を期待できません。クラウド型サービスを利用しているうちに必要性を感じてハードウェア型を導入することになったら、当該クラウド型サービスの基盤となる製品を選択することを推奨します。そうすると、システム構成の変更も認識せず、スムーズにビジネスを引き続き継続できます。

要するに、いいWAFとは何でしょうか。

 

シグネチャ基盤ではなく論理演算基盤のものを勧奨します。
論理演算検知技術は、時代の要請によるものだからです。安全か危険かを基準に作成された対象リストをもとに検知する既存のシグネチャ基盤技術は、なんとか命脈を保ってきましたが、今やIoT時代。Webが爆発的に拡張していく本格的なWeb時代の到来です。
まず、トラフィック量が膨大していきますが、いつまでリストをいちいち参照しながら安全か危険かを探るつもりでしょうか。不可能なことは明らかです。これこそが論理演算基盤のWAFでなければならない理由です。

ここまで考えると答えがまとまってきます。
便利なモニタリングを可能にする直感的ユーザーインターフェースとクラウド型WAFサービスを提供する論理演算検知基盤のWAFが正解です。一瞬の迷いもないはずです。両方の長所を持つ製品はそれほど多くはありません。




Cloudbric(クラウドブリック)

 

Cloudbricは、ペンタセキュリティ独自の論理演算検知エンジン(COCEP:COntents Classification and Evaluation Processing)搭載のWAPPLESを基に開発されたSaaS型Webセキュリティサービスです。Cloudbricは、Web攻撃や情報漏洩を恐れながらも、高価でインストールが難しいということなどから導入できなかった個人や中小零細企業を主なターゲットに、リーズナブルな価格で、簡単に導入できる強力なWAFサービスを提供致します。

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】韓国から見た日本年金機構の個人情報漏えい事件を語る

 

韓国から見た日本年金機構の個人情報漏えい事件を語る

 

マイナンバー社会保障・税番号制度の施行を目前に、必要なセキュリティ対策とは。
日本年金機構の年金情報の管理システムがハッキングを受け、125万人もの個人情報が漏えいされる大事故が発生した。日本の公共機関としては史上最大規模の事件であり、今後被害がさらに拡大する恐れもあることから、マイナンバー社会保障・税番号制度の施行を目前に、個人情報の管理における懸念や不信の声が高まっているという。韓国では常に目にしている「このシーン」が他国でも起きていることを見ていたら、妙な気持さえする。「ようこそ、地獄へ」各種メディアから報道されている事件の全貌から、その本質と核心を探ってみたところ、どうやら、セキュリティ対策といって、何をどうすればいいのか、はっきりしていない。一つずつ綿密に突き詰めていけば、問題の核心に近づけるはずだ。

現段階であがっている問題とその対策は、概ね以下の通りだ。

「発端はウイルス感染なので、問題はアンチウイルスソフトなのか。」
「組織の内部ネットワークによる拡散なので、ネットワークセキュリティに集中するべきなのか。」
「データを安全に保管していなかったので、データベースを暗号化すれば、済むのか。」

1. アンチウイルスソフトは対策にならない

最初にウイルスを発見した時、外部の管理会社は、「情報を漏えいできるようなウイルスではない」と判断した。恐らく従来型のウイルスを装った悪性コードであろう。アンチウイルスは、既存のリストからマッチングさせるシグネチャベースであるため、そもそものはなし、その限界がある。最近の情報セキュリティの傾向をみると、「アンチウイルスの導入は、基本中の基本」とみられる。しかし、実際には、それは対策にはならないのだ。攻撃者の立場で考えてみよう。「標的」を定めた攻撃者は、既知の攻撃のパターンを用いるバカなことはしない。市販のアンチウイルスソフトにてテストしてから攻撃に挑むだろう。だからと言って、市販のアンチウイルスソフトが不要というわけではない。少なくとも、「新米」のハッカーによる攻撃に対する対策としては、十分有効だろう。

 

2. ネットワークのセキュリティ対策で済む問題ではない
殆どのWebハッキング攻撃のパターンは、通常1次攻撃と2次攻撃にわけて考えられる。1次攻撃は、外部から標的の内部ネットワークに潜入すること、そして、2次攻撃は、1次攻撃の成功を持って内部のネットワークおよびシステムを支配し、目的を達成することを意味する。2次攻撃により成し遂げたいのは、「重要なデータ」である。最近の攻撃には、一昔前までの攻撃のようにただシステム上不具合を意図する愉快犯的な試みもないわけではないが、大規模のシステムを狙う場合のコストを考えても、得るもの(対価)がなければ、狙うも者もいないのが定説になっている。得るものとは?個人情報といった、いわゆる「カネになるもの」であることは、想像に難しくないだろう。

今回の事件に戻ろう。1次攻撃の試みとしてEメールを用いていることに注目する必要がある。通常のネットワークレベルのセキュリティ製品では、Webを介し転送されるEメールやWebコンテンツを監視対象にすることができない。「コンテンツ」はネットワークのL7(OSI 7レイヤによる分類)にてその「正体」が分かるが、主にL4を管理するネットワークセキュリティ製品は当該コンテンツの悪意を判断できないためだ。ここでL7を監視できる「WAF(Web Application Firewall、Webアプリケーションファイアウォール)」の出番となる。

だからこそ、ただ「ネットワークセキュリティ」だけでは、済む問題ではないというのだ。最初に感染した福岡支部の職員のパソコンをネットワークから完全隔離したにも関わらず、まもなく東京本部でも感染が確認され、すぐさまその広がりをみせた。ネットワークセキュリティにおける階層の脆弱性を利用したに違いないだろう。一体どれだけ「WAF導入の必要性」を訴えれば、分かっていただけるのか。残念なことばかりだ。

 

3. 単なるデータ暗号化では、十分ではない

 

今回の事件の当事者である日本年金機構やその監督機関である厚生労働省の方なら大変耳障りであるお話になるが、そもそもの話、なぜデータの暗号化をしていないのか。これは国民の個人情報を扱っている機関として恥を知るべく、この場を借りて指摘したい。もはや日本も韓国のように個人識別番号のマイナンバー社会保障・税番号の制度の施行を目前にしているものの、個人情報におけるセキュリティ対策として暗号化に関するコンプライアンスを定め、社会インフラを整備し、具体的な方法論を官公署のみならず民間にも浸透させていく等、特段の措置を取る必要がある。言うまでもなく、当然なことであろう。

「データ暗号化」は、事実上非常に複雑なものである。そのアルゴリズムは簡単であるものの、暗号化は複雑である。なぜだろう?

今後、これと類似した事件がどれだけ発生するかによっては、既存の個人識別番号を別な番号に「変換」することも考えられる。韓国がそうであった。そして番号を扱うシステム自体が「番号」の形式や属性に依存しているのであれば、「FPE (Format Preserving Encryption, 形態維持暗号化)」といった、より高度な暗号化技術が求められる場合も必ず出てくる。そのため、なりすまし防止への対応と同時に多様な環境への対応にも備えるべきだ。セキュリティを強調すると、その使用環境は狭まる傾向がある。しかし、セキュリティのためだといって、今更ながら特定の指定されたパソコンのみ使うことを強要することはできない。モバイル環境にも、個人情報が流れているPOS(Point Of Sale, 販売時点情報管理)システムなどにも、対応しなければならないのだ。要するに、単なる暗号化ではなく、「データ暗号化プラットフォーム」の構築が求められているということが言いたい。今回のような個人情報の漏えい事件により、当分は本人確認手続き等が厳しくなるだろうが、同時にデータ暗号化の仕組みは、ICTシステム全体にわたって適用されなければならない。単なる暗号化製品を提供している会社はいくらでもある。しかしながら、データ暗号化プラットフォームの全体をカバーできる暗号化専門会社は、そうはいない。必ず暗号化のコア技術を保有している「専門会社」と相談してもらいたい。

事件の全貌やその対策に関して検討してみた。 繰り返しいうが、韓国では、常に目にしていたシーンであり、日常茶飯事である。

日本の開発者、そして個人情報の管理責任者に言いたい。韓国では10年以上も前から毎日のように目にしていることであると。個人情報の管理と漏えいの問題は、日本にとっても他人のことではないことを認識してもらいたい。

WAPPLES

 

WAPPLESは, 世界各国117,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201