Posts

profile

「2018年08月号」ハッカーはどんな企業をターゲットにするのか? 最もハッキングされやすい産業は何?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□■   ペンタセキュリティシステムズ メールマガジン 2018/08/29    ■□■
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】【月間レポート】 最新Web脆弱性トレンドレポート2018年05月号公開
【02】【ペンタソリューション】 最もハッキングに脆弱な産業は?
【03】【ペンタオリジナル】 中小企業がよくするウェブセキュリティに対する誤解
【04】【コラム】 変化する未来自動車の5つの要素:最終回

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】【月間レポート】 最新Web脆弱性トレンドレポート2018年05月号公開

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンド

レポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオープン情報であるExploit-DB

より公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティ

チームの専門的知識と経験を活かし作成されています。

 

【概要】

 

2018年5月に公開されたExploit‐DBの脆弱性報告件数は、95件でした。そして、最も多い脆弱性が公開

された攻撃はSQLインジェクション(SQL Injection)です。特に、EasyService Billing, MySQL Blob

Uploaderから各5個の脆弱性が公開されました。

ここで、注目すべき脆弱性は、”EasyService Billing”と”MySQL Blob Uploader”脆弱性です。当脆弱性は、

SQLインジェクション(SQL Injection)とクロスサイトスクリプティング(Cross Site Scripting)が

複合的に修行されるMultiple Vulnerabilitiesです。

 

当脆弱性を予防するためには最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュア

コーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイア

ウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。

 

>> 最新Web脆弱性トレンドレポート2018年05月号まとめはこちら

https://bit.ly/2Mp34Xw

 

>> 最新Web脆弱性トレンドレポート2018年05月号レポート全文ダウンロードこちら

https://bit.ly/2MFaAwQ

 

**次回のWeb脆弱性トレンドレポートは四半期ごとに提供されます。

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【02】【ペンタソリューション】 最もハッキングに脆弱な産業は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

最近、多様な産業がハッキングで被害を受けています。ニュースを見ると、病院・大学・会社・銀行など、

その分野も様々です。

昨年行われたアンケート結果によると、企業のCSOとセキュリティ担当者は、金融産業が情報セキュリティ

に最も気を使わなければならない産業と答えています。これは明白な事実です。今までの調査によると、

金融事業が他の産業群に比べ、サイバー攻撃の回数が多かったです。金融産業は、ハッカーたちには

かなり良いターゲットです。

しかし、それとして金融産業群に含まれない産業群や中小企業がハッカーのターゲットではないと油断

してはいけません。

 

今回は、果たしてハッカーたちがどのような方法でハッキング戦略を立ててハッキングをするのか、また

ハッキングに最も脆弱な産業は何なのかをご解説いたします。

 

さらに詳しい内容は、コラム全文をご参考ください。

 

>> 「最もハッキングに脆弱な産業は?」全文はこちら

https://bit.ly/2KuzYQL

 

※ ペンタソリューションを他のコラムはこちらから確認できます。

 

▶「未来IT技術の基盤、ブロックチェーン」全文はこちら

https://bit.ly/2L1cYOf

 

▶ペンタソリューションのコンテンツリストはこちら

https://bit.ly/2Na9ar0

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】【ペンタオリジナル】 中小企業がよくするウェブセキュリティに対する誤解
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

ここ数年間、有名会社たちがハッキングされたことがニュースに連日報道され、企業の不安感が高まって

います。問題は、私たちがこのようなハッキングが大手企業などの規模が大きくて安定的な会社で起きた

話だけを聴いているため、ハッカーが中小企業を狙うはずがないと信じていることです。

 

しかし、これは非常に大きな勘違いです。

米事業者の中で中小企業の割合は8割ほどで、約2,800万社の中小企業が存在します。中小企業は、会計・

マーケティング・運営管理などをすべて自分でしなければなりません。最近は、約54%以上の企業が直接

ウェブサイトの構築及び管理までしています。多くの事業が次第にオンライン化していき、10年前には

考えもしなかったSNSや広告、SEO、オンライン評価、ウェブサイトのデザインと管理などの数多くの

ものを直接管理しなければならないのです。

 

既に多くの課題を持っている中小企業の運営者たちにウェブセキュリティ、データセキュリティなどを

期待するのは、もしかしたら無理かもしれません。 結果的に、米国の中小企業の中で約8割が公式的に

ウェブセキュリティシステムを構築していないと答えました。

 

大手企業は巨大なセキュリティシステムを計画し、多くの開発者とセキュリティ担当者を通じて、ウェブ

サイトの脆弱性を簡単かつ早く見つけることができます。しかし、中小企業にとってはとても難しいこと

です。そのため、ハッカーたちは世界的に有名な企業を攻撃する代わり、中小企業を狙うのです。

 

大手企業のみが攻撃を受けたものだという誤解だけでなく、中小企業がウェブセキュリティについてして

いる誤解はさらにあります。今回は、その誤解について調べてみます。

 

さらに詳しい内容は、コラム全文をご参考ください。

 

>> 「中小企業がよくするウェブセキュリティに対する誤解」全文はこちら

http://bitly.com/2MH6DnW

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【04】【コラム】 変化する未来自動車の5つの要素:最終回
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

【概要】

モノのインターネットやクラウドのような言葉が日常的な用語となり、技術系で働かない人々にももう

不慣れでない。近年では、様々な分野で第4次産業革命を言及しながら、社会全般にわたって大きな変化

と革新を持って来るはずだと期待している。

第4次産業革命時代を迎え、様々な産業分野で変化が起きている。その中でも、代表的なのは「モノの

インターネット」と「クラウド」で、その中でもモノのインターネットを導く自動車が注目を浴びている。

このコラムでは、宇宙、または空間を意味する「SPACE」をセキュリティ(Security)、プラットフォーム

(Platform)、自律走行(Autonomous)、連結性(Connectivity)、電化(Electrification) の 5つの単語

の組み合わせで定義し、ネットワークと繋がり、変化していく未来自動車の様子を詳しく説明する。

 

【目次】

第1回

・SPACEとは?

・電化(Electrification)

 

第2回

・連結性(Connectivity)

・自律走行(Autonomous Driving)

 

第3回

・プラットフォーム(Platform)

・セキュリティ(Security)

 

>>「変化する未来自動車の5つの要素:第1回」全文はこちら

https://bit.ly/2uGZhdp

 

>>「変化する未来自動車の5つの要素:第2回」全文はこちら

https://bit.ly/2NEwMUL

 

>>「変化する未来自動車の5つの要素:最終回」全文はこちら

https://bit.ly/2OTiMHk

 

>>「SPACE:変化する未来自動車の5つの要素」ホワイトペーパーのダウンロードはこちら

https://bit.ly/2PsQQLl(2MB/PDF)

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 製品・パートナシップに関するお問い合わせ
ペンタセキュリティシステムズ株式会社 日本法人
Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

 

■ 本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

watt

ペンタセキュリティ、「2016年Webアプリケーション脅威解析報告書」公開

ペンタセキュリティ、「2016Webアプリケーション脅威解析報告書」公開

セキュリティ脅威に效果的に対応するためのウェブ攻撃タイプ及び産業別国家別時間帯別攻撃の動向分析拡大
金融・教育分野はランサムウェアと同様の不正プログラムのアップロード攻撃が50%以上

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、2016年の一年間、全世界で発生したウェブ攻撃の動向を分析した「Webアプリケーション脅威解析報告書(Web Application Threat Trend Report)」を公開しました。

2010年から発表しているWebアプリケーション脅威解析報告書は、アジア・パシフィック地域の市場占有率1位のウェブアプリケーションファイアウォール製品「WAPPLES(ワップル)」が収集した実際のデータを基盤としたもので、収集に同意した検知ログをペンタセキュリティの「ICS(Intelligent Customer Support)システム」で分析し、作成します。これによって、セキュリティ管理者たちはウェブ攻撃タイプ、産業別の攻撃の動向、国家別の動向など、様々な分析結果を理解し、セキュリティ脅威のトレンドを把握してハッカーの攻撃に効果的に対応することができます。

レポートの概要は以下のとおり。

1.2016年ウェブ攻撃の動向では、「SQLインジェクション(SQL Injection)攻撃」*が45%で最も高く、ウェブページに悪性コードを挿入する「クロスサイトスクリプティング(Cross Site Scripting)攻撃」**が30%で第2位を占めました。両方どちらも一度で内部情報流出が可能であり、これを通じて深刻なレベルの脅威につながるため、使用者の格別な注意が必要です。

2.2016年ウェブ攻撃の動向では、産業別に他の攻撃の様相を確認することができました。個人や団体の私設サイトには、クロスサイトスクリプティング攻撃が主に行われました。金融・教育産業では、悪性ファイルをアップロードしてシステム権限を得る「ファイルアップロード(File Upload)攻撃」***、運送・製造・建設業などには「SQLインジェクション攻撃」が目立っており、コミュニティのような攻撃が50%以上を占めました。コミュニティのような私設団体の場合、相対的にセキュリティ措置がきちんと行われず、様々な個人情報を含んでおり、ハッカーたちの主なターゲットになる場合が多いです。したがって、各産業による攻撃の動向に合わせたセキュリティ対策を樹立し、より効果的にハッキング被害を防ぐことができます。

3.2016年ウェブ攻撃の動向では、特定の大陸別で頻繁に見える攻撃パターンが存在しました。主にアジア地域ではクロスサイトスクリプティング攻撃が、ヨーロッパや北・南アメリカではSQLインジェクション攻撃が目立っており、アジアで開始される攻撃が増加している傾向です。したがって、特定の大陸・国家のトラフィックに対するセキュリティ政策を強化する方法を悩まなければなりません。

ペンタセキュリティのCSOのDSKimは「2010年から発刊されたウェブ攻撃の脅威解析報告書では、WAPPLES運営関連技術的な報告書だったとすれば、今年からセキュリティ政策の立案過程で必要な情報を含め、セキュリティ管理の役に立てるように産業別、国家別、時間帯別のウェブ攻撃の動向を追加した。」とし、「全てがインターネットで結ばれている時代にウェブセキュリティ措置は必須的だ。重要な情報を保有した機関および団体がウェブハッキング攻撃に効果的に対応するに当たって、この報告書が少しでも役になることを願う。」と言及しました。

2016年Webアプリケーション脅威解析報告書は、ペンタセキュリティのホームページ(https://www.pentasecurity.co.jp/セキュリティ脅威トレンド解析レポートのダウン/)でダウンロードできます。

 

【技術用語説明】

*SQLインジェクション(SQL Injection)攻撃とは、ウェブアプリケーションの隙を悪用し、アプリケーションの開発者が予想できなかったSQL文章が実行させることで、データベースを非正常的に操作する攻撃です。

**クロスサイトスクリップティング(Cross Site Scripting)攻撃とは、ユーザアクセスの際に表示内容が生成される「動的ウェブページ」の脆弱性、またはその脆弱性を利用した攻撃方法を意味します。動的ウェブページの表示内容の生成処理の際、ウェブページに任意のスクリプトが侵入して、ウェブサイトを閲覧したユーザ環境に侵入したスクリプトが実行されます。

***ファイルアップロード(File Upload)攻撃とは、攻撃者が攻撃プログラムを当該システムにアップロードして攻撃する方法を意味します。攻撃方法は、攻撃者がシステム内部の命令を実行できるウェブプログラム(ASP、JSP、PHP)を製作し、資料室と共にファイルをアップロードできる処に攻撃用プログラムをアップロードする形式です。

 

WAPPLES(ワップル)

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。


製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

title_SEC_1706

ペンタセキュリティ、大阪・福岡で情報セキュリティセミナー開催

 

ペンタセキュリティ、大阪・福岡で情報セキュリティセミナー開催

@ITセキュリティ・ロドショでサイバ動向解説や
中小企業Webセキュリティにする質的な解決策の提示予定

@it_image3

データ暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、6月2日と6月30日、大阪と福岡で開かれる「@ITセキュリティセミナー 東京・大阪・福岡ロードショー」に参加することを明らかにしました。

 

@ITは、セキュリティ担当者向けのコンテンツと製品および技術に関する解説記事を提供するITセキュリティ専門媒体で、最近は企業向けの情報セキュリティ対策のを手伝うための様々なセミナーを開催しています。6月には、「@ITセキュリティセミナー 東京・大阪・福岡ロードショー」という名称で各分野の専門家がセキュリティ問題や最新の情報を伝達します。

 

ペンタセキュリティは、今回の@ITセキュリティセミナーのうち、大阪と福岡セミナーに参加します。二回のセッションで、最近のサイバー攻撃動向と企業情報セキュリティに対する誤解について説明し、これに対する代案として実質的で簡単に導入できるウェブセキュリティ対策の紹介など、企業経営者とセキュリティ担当者に役立つ情報を伝える予定です。大阪は6月2日の金曜日の午後3時45分から、福岡は6月30日の金曜日の午後3時05分から40分にわたって進行し、申込者に限って参加できます。

 

今回のセミナーでは、ペンタセキュリティのクラウド基盤のウェブセキュリティサービスであるCloudbric®(クラウドブリック)を直接試演する予定です。Cloudbric®(クラウドブリック)は、アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーションファイアウォールであるWAPPLES(ワップル)の論理演算検知エンジンを搭載したクラウド基盤のWAFで、ユーザーフレンドリーで直感的なダッシュボードを通じて、ウェブサイト攻撃の現況と攻撃の発生地などの情報を簡単に確認することができます。既存の装備形態のウェブアプリケーションファイアウォールとは違って、アカウント生成とドメイン入力、DNSへの転換という3つの段階で、簡単にエンタープライズ級のセキュリティサービスを利用することができ、ヨーロッパなどのグローバル市場から大好評を得ている製品です。

 

ペンタセキュリティのCSOのDSKimは「企業を狙うセキュリティ脅威は増える一方、大手企業ではない中小企業の場合、ターゲットになるという認識がほとんどないため、事前にセキュリティ対策を整えていない企業では攻撃を受けたことすら認知することができない状況だ。」とし、「今回のセミナーを初め、企業各社の情報セキュリティ認識を強化する機会を作り、高いセキュリティを実現できるように持続的にセミナーを拡大していく計画だ。」と言及しました。

 

セミナーに関する詳しい内容はペンタセキュリティ公式ホームページ(https://www.pentasecurity.co.jp)から確認できます。

WAPPLES(ワップル)

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。


製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

profile

ペンタセキュリティ、セキュリティプラットホームと IoTセキュリティのビジネスのためのMOUを締結

 

ペンタセキュリティ、

セキュリティプラットホームとIoTセキュリティのビジネスのためのMOUを締結

スマートファクトリーセキュリティにセキュリティプラットホームのH/Wセキュリティモジュール技術活用予定

 

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、3月6日、セキュリティプラットホームとIoTセキュリティのビジネスのためMOUを締結したことを明らかにしました。

 

セキュリティプラットホームは、2015年設立されたIoTデバイスセキュリティ専門の企業であり、国際標準化団体であるTCGがセキュリティ標準として認証したIoT技術を持っています。今回のMOU締結を通して、IoTデバイスのセキュリティ設計に必要なカスタマイズ型ハードウェア、OS、ライブラリーを提供します。

 

ペンタセキュリティは、IoTビジネス本部を新たに新設し、既に推進していた自動車セキュリティ、AMIセキュリティに加えてスマートファクトリー、スマートホームのような様々なIoTセキュリティビジネスを拡大し、推進します。また、IoT環境でのセキュリティ脅威をより多角的に対応するため、H/W基盤のセキュリティソリューションを提供するセキュリティプラットホームとのMOUを進めることになりました。両社は今回の協力で、スマートファクトリーのためのセキュリティソリューションであるPenta Smart Factory Securityを含め、ペンタセキュリティの色々なIoTセキュリティソリューションに適用します。ペンタセキュリティは、これによりIoT環境でのE2E(End to End)セキュリティソリューションを提供する予定です。

 

Penta Smart Factory Securityは、スマートファクトリー環境で管理されるべきである色々なセキュリティ脅威を防御するため、IoT通信環境でのネットワーク攻撃を防御し、安全なデバイスおよびユーザーの認証手段を提供します。これにセキュリティプラットフォームのH/Wセキュリティモジュールを連動することで、デバイスの信頼性とセキュリティ性を向上できるようになりました。

 

セキュリティプラットフォームのH/Wセキュリティモジュールは、既存のIoT機器とたやすく連動ができ、低容量のプロセッサとメモリだけて独立的に駆動が可能であることから様々な環境に適用することができます。また、ペンタセキュリティのIoTセキュリティソリューションとの連動を通じて、IoT環境のセキュリティレベルを効果的に上昇できることを期待しています。

 

ペンタセキュリティのCSOのDSKimは、「セキュリティは容易で簡単であるべきということは、ペンタセキュリティとセキュリティプラットフォームの両方が共通的に追求する価値であるため、協業によってより見事なシナジー効果を上げている。」とし、「スマートファクトリーをはじめ、日常生活と密接に関わっているIoT技術をより安全に使用するため、研究と投資を積極的に進めるつもりだ。」と言及しました。

 D’Amo(ディアモ)

2004年リリースされたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,600ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

company

【コラム】 実用主義企業セキュリティの3要素

この前、「経営層が知っておくべきセキュリティ――対策は実用主義暗号化で」を投稿した後、このような質問を受けた。

「実用的セキュリティとは何か?実用的に保護するためには、何をしなければならないか?」
「何から始めて、どんな技術で、どのように設計したら実用的なセキュリティか?」
「技術者でなく、経営者の立場から実用的セキュリティを実現するためには、何を知るべきか。」

セキュリティの最も深刻な問題は技術の難解さであり、そのため、企業の現場では相対的に理解しやすくて簡単な根本的な方法論だけを選択する傾向があり、これは、結局セキュリティの弱点になり、事故が発生する。なので、より現実的で実用的な方法論が必要だという話までにして、話を終えたが、これはちょっと無責任に見せたかもしれない。それで、上の質問に対して、より総体的な答えを申し上げたい。

 

個人セキュリティと企業セキュリティ

何から始めたら良いか。それは、「個人セキュリティ」と「企業セキュリティ」の違いを理解することだ。
セキュリティ事故が発生すれば、いつも「わが社は、セキュリティをしたんだけど!」と被害者の訴えを聞いたりする。それは、事実だ。確かにセキュリティ措置を取ったのは確かだ。しかし、事故は発生する。それなら、セキュリティ措置は最初から余計なことだったのか? そうだ。そのようなセキュリティは、無駄だ。経緯が明確な事故が繰り返して起きるのは、何か問題がある方法論、特に個人セキュリティ措置だけを取っているためであり、これは「個人セキュリティ」と「企業セキュリティ」の差をきちんと理解していないためだ。
一般的に、「ITセキュリティ」というと、ほとんどの人はアンチウイルスやパスワードを思い浮かべる。これは、全て個人セキュリティ観点での問題だ。特に、アンチウイルスは、企業と機関が使う大規模の電算システムの動作とは距離があり、あくまで個人のPCのための道具だ。なのに、セキュリティ事故が起こると、アンチウイルス会社が事件のプロファイラーを自任し、対策としてワクチンの設置を勧める場合が多い。実際には、ほとんどの電算システムとそのOSにはワクチンの設置ができないのにもかかわらず。そして、事故が発生した会社のPCにはすでにワクチンぐらいはもちろん設置しておいたにも。
もちろん、とても関係がないわけではない。企業の電算システム構成がどうであれ、そしてどんなOSを使うとかは関係なく、企業に属する個人ユーザが接する環境はほとんどがPCやWindowsシステムであり、これを侵入経路として利用し、犯罪を図る場合も結構あるから、完全に無駄だというわけではない。しかし、個人セキュリティと企業セキュリティは、最初から違う概念から始まって、その方法論もまた全く違う。にもかかわらず、社会的に個人セキュリティだけが強調されたため、相対的に企業セキュリティは重要な問題と扱ってない。技術者さえ、それが何なのか知らない場合が多い。
では、企業セキュリティの構成要素とその核心になる道具を調べてみよう。

 

企業セキュリティ = データセキュリティ+Webセキュリティ+認証セキュリティ

企業セキュリティの3要素とは、
1)データセキュリティ
2)Webセキュリティ
3)認証セキュリティ
である。

 

そして、各要素の核心になるのは、

 

1)データの暗号化
2)アプリケーションセキュリティ
3)セキュリティ認証サーバ
である。

 

1)データセキュリティ

今日のITセキュリティの中心は、過去のネットワークやサーバなどの電算インフラを保護することに力を尽くした装置的セキュリティからデータとアプリケーションを保護する情報的なセキュリティに移動している。これは、私たちが最後まで守らなければならない価値が何なのかを悟っていく過程と見ることができる。企業、そして機関が究極的に守らなければならない本当の価値は「データ」だ。そして、データを守る様々な方法の中で最も根本的で安全な方法は、「暗号化」だ。事実上、唯一である。暗号化の他には、事実上方法が別にないからだ。そして、データ暗号化はたくさんの企業セキュリティ要素の中でも最も根幹をなすセキュリティインフラの基盤技術である。

 

2)Webセキュリティ

 

すべてのデータは、アプリケーションを通じて移動する。そして、今日のアプリケーションの主な環境はウェブだ。最近のウェブは、通信技術だけではない。システム環境からユーザインタフェースに至るまでのすべてのIT技術がウェブで収集され、統合されている。これからは、全てのアプリケーションがウェブ環境で開発されて運用されるはずだ。ウェブに統合される環境の変化は、より広く繋がってさらに多くのものを共有しようとする開かれた社会への変化を意味する。これは、誰でも逆らうたくても、あえて逆らうことができない時代的な流れであり、Webセキュリティの重要度は今も非常に高いが、これからはより高まるだろう。「Webセキュリティ」は、企業セキュリティの実戦的な最前線である。
前述で、全てのデータは、アプリケーションを通じて移動すると述べた。システムやネットワークではなく、アプリケーション、そして最近のウェブは、通信技術だけではないとも話した。これは、Webセキュリティにおいて最も重要な弱点を指摘しようというものだ。よくウェブを通信技術だけと考えて、ウェブセキュリティをシステムセキュリティやネットワークセキュリティ方法論で解決しようとする試みをしたりする。たとえば、ネットワークファイアウォールがウェブセキュリティソリューションの振りをしたりもする。しかし、ウェブセキュリティにおいて最も重要な領域は、アプリケーションセキュリティだ。実際に起きているウェブセキュリティ事故、いや、最近起きている全ての情報セキュリティ事故の約90%がWebアプリケーションの盲点を悪用した攻撃による事故だ。事故が最も頻繁に起きるところから優先的に集中して防御する。これが、実用的な考え方である。重ねて強調するところだが、ウェブセキュリティにおいて最も重要な核心は、「アプリケーションセキュリティ」だ。

 

3)認証セキュリティ

そして、個人セキュリティと企業セキュリティの概念が最も密接に交差する地点が、「認証セキュリティ」だ。個人セキュリティレベルでの認証セキュリティ方法として最も有名なのはパスワードだ。しかし、ユーザー個人ができることは、ただ難しいパスワード作るぐらいに過ぎない。もちろん、パスワードを十分難しく作るなら安全だ。しかし、一定の形式を備えて十分に安全なパスワードをセキュリティ政策によって定期的に変更するなど、複雑な手続きが必要だ。そうすると、結局、侵入者から防除することはするが、自分もパスワードを忘れてしまってシステムにアクセスできない状態に至ることも案外によく起こる。これは、より実用的な認証セキュリティの必要性を逆説的に話したものだ。認証セキュリティの必須要素、つまり、十分なセキュリティとユーザーの便利性、そして業務効率性の間の関係が崩れた結果と見られる。そして、企業がやるべきことを個人に転嫁した無責任な態度とも見られるだろう。「認証セキュリティ」は、従来の個人セキュリティレベルから企業セキュリティレベルに移る、情報セキュリティ概念の転換点である。
企業セキュリティレベルでの認証セキュリティの核心は、「セキュリティ認証サーバ」である。「SSO(Sigle Sign-On)」機能を備えた認証サーバは、認証手続きを一本化することにより、サーバの数が非常に多い企業の電算環境でも、各サーバごとに異なる認証手続きを経ず、全体を利用することができるように一括的に処理が可能にしてくれる。ユーザーの身元を確認して、単一認証だけで、全体サーバへのアクセスを許可はするが、ユーザー各自の権限によって各サーバに対して異なる権限を適用し、統合的に管理する。このような基本的な機能に加えて、セキュリティ認証サーバは、上の過程全体にわたって十分なセキュリティまで維持してくれる。これを通じて、前で列挙した認証セキュリティの必需要素、十分なセキュリティとユーザーの便利性、そして業務の効率性まで全て充足する。

 

実用主義企業セキュリティの3要素

 

では、最初の質問に戻って、
「実用的セキュリティとは何か?実用的に保護するためには、何をしなければならないのか?」

企業セキュリティの3要素 : 1)データセキュリティ・2)ウェブセキュリティ・3)認証セキュリティ
各要素の核心: 1)データ暗号化・2)アプリケーションセキュリティ・3)セキュリティ認証サーバ

 

これをすれば良い。これならなら十分、「実用主義企業セキュリティ」を成し遂げたと言えるのだ。

 

 

ペンタセキュリティ、正品認証ソリューションD’EAL(D’Amo Seal)リリース

ペンタセキュリティ、正品認証ソリューションD’EAL(D’Amo Seal)リリース

PKI技術を応用し高いセキュリティを実現、RFID・NFCとの連携を通じ、実用性を上げ
データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が8月18日、PKI技術を基盤とした正品認証製品である「D’EAL(ディル、D’Amo Seal、ディアモ・シール)」をリリースしたことを明らかにしました。現在、偽造品に対する取引、不法流通などの問題が持続的に増加しています。韓国の政府機関である国家知識財産委員会(Presidential Council on Intellectual Property)が発刊した「2015年知識財産侵害対応および保護執行に関する報告書」によると、自動車部品・食品・衣類などの偽造品は、2013年の57億円から2014年88億円、そして2015年には98億円で、前年比10%ほど増加しており、経済協力開発機構(OECD)で偽造品取引が世界収入の2.5%を占めていると発表するなど、世界貿易市場でも深刻な話題として挙げられています。特に、多量に偽造されている食品・医薬品の場合は、命に大きな影響を与えるのでこれに対す対策がさらに必要になっています。

現在、偽造防止に使われる技術は、ホログラム・QR-Code・特殊インク・RFIDなどがあります。ホログラムやQR-Codeなどは、RFIDに比べて非常に安い価格で製作が可能ですが、複製の危険があるし、使用者が偽・変造を識別することが難しいです。また流通および製品管理が難しいことを理由として、流通や製品管理などの付加的な価値を創出するため、RFIDのような近距離通信技術を利用する方式が使用されています。RFIDのような近距離通信技術は、セキュリティソリューションと連携をしてこそTag複製、TagとReaderの間のセキュリティ脆弱性等の問題を補完して使用することができます。

ペンタセキュリティの正品認証製品である「D’EAL」は、PKI技術とハードウェアの側面で複製が不可能な技術を基にして既存の正品認証製品から現れる問題点を解決します。ハードウェアの複製防止技術を通じて、tagの無分別な複製を防止し、PKI技術を基盤にしてRFID・NFC・Beaconなどの多様な近距離通信技術を安全に使用できるようにします。これをもとに、品目別流通および在庫管理が可能となり、スマートフォンとの連動を通じて使用者の偽・変造識別がより簡単です。これだけでなく該当サービスに対する認証および暗号化技術を融合させ、使用者と管理者の安全なデータ管理体系を提供します。

ペンタセキュリティの最高技術責任者であるDS Kimは、「PKI技術を基盤としたスマートカーセキュリティソリューション、公認認証ソリューションなどをリリースしてきたノウハウを通じて、より高いセキュリティを確保する正品認証製品をリリースした。」とし、「最近、偽造品流通によって持続的な被害を受けてきた国内ブランドと共に正品認証商用化を進めている。今後、国家の流通産業保護および企業の経済的・ブランド信頼度の損失を最小限するため、ペンタセキュリティの正品認証技術を様々な製品に融合し、安全な流通環境を構築する予定だ。」と述べました。

D’Amo(ディアモ)

 

2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

D’Amoに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティシステムズのCTO、Duk Soo Kimが「Security Online Day 2015」にて講演

ペンタセキュリティシステムズ株式会社(以下、ペンタセキュリティ)は2015年9月7日、東京のソラシティカンファレンスセンター(御茶ノ水)で開催される「Security Online Day 2015」にて、最高技術責任者(CTO)であるDuk Soo Kim氏が「マイナンバー制度施行に必要なセキュリティ対策」に関して発表する予定だと明かしました。

「Security Online Day 2015」では、「データ経営を支える企業セキュリティの未来~次を見据えたサイバーセキュリティ/内部脅威対策とマイナンバー対応~」と題して、アナリストや法曹界、専門家、先進ユーザー企業などを講師にお迎えし、来場者の皆さまに最新のセキュリティ対策に関する情報とアドバイスをご提供していきます。(>>詳細はこちら

韓国は、マイナンバーと似ている住民登録番号制度を50年近く使用してきました。情報化社会が始まり、通信販売事業者、キャリアなど、膨大な個人情報を保持している企業が次々と個人情報漏洩事故に遭いました。ペンタセキュリティはこういった韓国の状況の中で、初めてデータセキュリティソリューションを商用化した先駆者であり、約2,900社への導入実績を持っています。主催者である翔泳社は、「韓国の教訓から学ぶ!」というテーマで韓国の代表的なセキュリティベンダーであるペンタセキュリティのCTOを講演者として招きました。

講演を担当するDuk Soo Kim最高技術責任者(CTO)は、韓国の浦項工科大学校の電気工学修士課程を修了し、1999年ペンタセキュリティに入社してから、16年間韓国の情報セキュリティ技術の成長に貢献した主役であります。

 

 

イベントに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティ, Webアプリケーションファイアウォールの「WAPPLES」が リリース10周年を迎え

ペンタセキュリティ, Webアプリケーションファイアウォールの「WAPPLES」が
リリース10周年を迎え
2005年のリリース後10年間、販売数2,500を突破

韓国国内シェアトップ、アジア・パシフィックのチャンピオングループのWAF

データ暗号化及びWebセキュリティソリューションの専門企業であるペンタセキュリティシステムズ(日本支社:東京都新宿区四谷四丁目3-20いちご四谷四丁目ビル3F、www.pentasecurity.co.jp、以下ペンタセキュリティ)が、当社のWAF(Webアプリケーションファイアウォール)製品、WAPPLESが2015年4月25日、リリース10周年を迎えたことを明らかにした。ペンタセキュリティは、1997年の創立以来、PKIソリューション、侵入検知システム等を開発・提供し、韓国における第1世代のセキュリティ企業としてスタートした。以来、韓国政府の行政電子署名システムの構築や顧客認証情報の暗号化ビジネスといった主要なセキュリティインフラ構築事業を行い、自社保有のコア技術とノウハウを持って、2004年3月、データ暗号化ソリューションの「D’Amo(ディアモ)」、2005年4月にはWebセキュリティソリューションの「WAPPLES(ワップル)」を市場に参入させた。

「インテリジェントWebアプリケーションセキュリティゲートウェイのソリューション」で2005年にリリースされたWAPPLESは、当時ほとんどのファイアウォール製品がネットワークファイアウォールだったのに対し、独自開発の論理演算検知エンジン(COCEP、Contents Classification and Evaluation Processing)を搭載してWeb攻撃を検知し、アプリケーションレベルでの保護を実現させた。ハッキング事件の急増に伴い、Webセキュリティにおけるニーズが増えていく中、アプリケーションレベルでのトラフィックの正確な分析による攻撃の検知及び遮断を行うWebアプリケーションファイアウォールのWAPPLESは、多くの企業のIT担当者に歓迎され、今もトップを堅持している。

リリース以来10年、今WAPPLESは、2015年1月時点で累積販売台数が2,500を突破し、世界の170,000のWebサイトを保護している。そして、韓国の調達庁が集計した2011年から2014年までの累積統計による受注金額ベースの平均シェアは68%となり、WAF市場にてトップを維持している。
セキュリティ研究所への持続的投資を行っており、Web攻撃検知技術のさらなる研究とともに、韓国国内外にて特許(ルール基盤Web攻撃検知、Webアプリケーション攻撃の検知方法等多数)を取得した。尚、韓国国内外の評価機関による認証(PCI-DSS、韓国国家情報院セキュリティ適合検証、国際CC EAL4等)にて信頼できる製品を提供することに徹してきた。2006年より、日本をはじめ、東南アジア、オーストラリア等世界各地にグローバル展開を開始し、アメリカのIT市場調査機関であるフロスト・アンド・サリバン社(Frost&Sulivan)から2年連続「今年のWAF」として賞を受賞する等、グローバル市場にてその優位性が証明されている。
ペンタセキュリティのDS Kim(最高技術責任者)は、「ここ10年、Webセキュリティ市場をリードしてきたWAPPLESは、市場トップ製品として、WAFがICT全般における必須アイテムとして位置付けることに大きく寄与した。今年リリース10周年を機に、これからの新たな10年の目標として、セキュリティ分野とは無関係な人でもWebセキュリティに無知な人でも使えるようなWAFを目指し、WAFの大衆化を推進していきたい。」とし、「その戦略の一環として今年初めに、クラウド型WAFサービスのcloudbric(クラウドブリック)のグローバル展開、IoTセキュリティR&Dセンターの設立等、Webセキュリティの大衆化のための投資および努力をしている」と述べた。

 

WAPPLESに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

 

【コラム】Webアプリケーションのセキュリティを強調する理由

韓国インターネット振興院によると、ハッキングトライの全体の7割以上がWebを介して行われているというほど、Webセキュリティは、もはや選択ではなく必須となりました。

しかし、Webセキュリティは、専門家といっても安全を保障することは難しいです。それは、現在セキュリティ対策の標準化が進められておらず、企業それぞれが異なるセキュリティ対策を構築しているためです。

Webセキュリティの安全性を確保するためには、企業のセキュリティ担当者がWebセキュリティに対して十分に理解した上で、自社のITシステムに合うWebセキュリティを構築する必要があります。ほとんどの企業は、Webセキュリティソリューションを導入していますが、Webセキュリティを十分に理解し適材適所に導入・運用している企業が少ないのが実情です。

当カラムでは、Webセキュリティを容易に理解できるよう全般的なITシステムの構造からはじめ、WebセキュリティがITシステムにどのように適用されるかを説明します。まず、ITシステムに対する理解や、Webセキュリティの概要について探ってみましょう。

クライアント ‐ サーバの構造に対する理解

私たちは、一般的にPCやノートパソコン、モバイルデバイスを利用してWebに接続します。IT用語としては、Webに接続するために利用するPCやノートパソコン、モバイルデバイスを「クライアント」といい、Webサイトやモバイルアプリケーションの画面のようにWebコンテンツを保存しておき、クライアントが接続したらコンテンツを表示するシステムを「サーバ」といいます(ITシステムにおけるサーバが全てWebサーバではありませんが、ここではWebセキュリティに関してのことですので、Webサーバを例えて説明します)。そして、クライアントとWebサーバを繋ぐ連結網を「Web」といいます。

セキュリティの観点からみると、一般的にクライアントのセキュリティは個別システムの安全と関係があり、サーバのセキュリティは企業システムの安全と関係があります。企業内部にあるクライアントのセキュリティもありますが、今回は、企業内におけるWebセキュリティの核心となるサーバのセキュリティについて探ってみましょう。

企業のサーバシステムの構造


企業内サーバのシステム構造を理解するために、まず、ITシステムの構造を確認してみましょう。

上図のように、ITシステムは、大きくネットワーク、システム、アプリケーションの3つの階層に構成されています。OSI 7階層やTCP/IP階層のような様々なITシステムモデルがありますが、こうした階層的分類では、ネットワーク、システム、アプリケーションの3つの階層が最も共通的な構造です。この3つの階層はお互いの相互作用を通じてITシステムを構成します。

ネットワーク階層は、データの送受信にかかわる通信を担当する役割をし、システム階層は私たちがよく知っているWindows、Linuxといったオペレーティングシステム(OS)のように、様々なアプリケーションが作動できるようにするプラットフォームの役割を行います。アプリケーションは、最上位の階層であり、多様な機能を行うプロトコル(HTTP、FTP等)及び応用サービスを提供します。

サーバシステムの構造も基本的にはこのITシステムの構造に従います。要するに、安全なサーバのセキュリティとは、ITシステムにおける3つの階層のセキュリティ、すなわち、ネットワーク、システム、アプリケーションの全てのセキュリティが安全に構築されていることを意味します。

Webセキュリティの中核は、アプリケーションのセキュリティ


理解を助けるために、ITシステムの各階層はWebセキュリティを確保するために、実際にどのように構築されているか、現実的な観点から探ってみましょう。

ネットワークのセキュリティのためには、安全ではないIPやポート(Port)に対するアクセス制御を行う必要があり、許可されたIPやポートからのトラフィックに対しても有害性の有無をチェックする必要があります。そのため、ほとんどの企業では、ファイアウォール(Firewall)と侵入検知/防止システム(IDS/IPS)を構築しています。

しかし、ファイアウォールの場合、許可されたIPやポートからの攻撃は遮断できず、また、IDS/IPSにて行われるネットワーク階層における有害性検査は、アプリケーション階層に対する理解がないまま行われるため、アプリケーションの脆弱性を狙った攻撃に対しては遮断できないという限界があります。

システムのセキュリティはOSに関わることが多いです。Windows、Linux、UnixなどのOSに対する開発及び提供に関わるメーカーは、自社システムに対して定期的なセキュリティのアップデートやパッチを行うことにより、知られているWeb攻撃に備えています。企業のセキュリティ担当者は、セキュリティのアップデートやパッチを行うことに加え、定期的にシステムの悪性コードを検出し、システムを常に安全な状態に維持しなければなりません。そのために企業は、アンチウイルスソリューションを導入しています。

このように、ほとんどの企業は、ネットワーク及びシステムのセキュリティに対しては、その必要性を理解し、セキュリティの構築に力を入れています。しかし、アプリケーションのセキュリティに対しては、そうではありません。

アプリケーションの階層は、ネットワークやシステムの階層に比べ高度化されており、アプリケーションの種類も多様であるため、大部分のセキュリティ管理者はセキュリティの適用に困っています。Webセキュリティを構築する際にも同様です。

Webセキュリティにおいて最重要なのは、アプリケーションのセキュリティです。私たちが普段利用しているWebは全てアプリケーションで構成されています。WebサイトやモバイルWebなどは全てアプリケーションで構成されており、それをターゲットとしたWeb攻撃もアプリケーションの脆弱性を狙った攻撃が多いです。SQLインジェクション、XSS(クロス・サイト・スクリプティング)のような有名なWeb攻撃も全てWebアプリケーションであるWebサイトの脆弱性を狙った攻撃です。Webシェルと呼ばれるWeb基盤悪性コードもphpなどで構成されたWebアプリケーションです。

Webセキュリティ業界で有名なOWASP(The Open Web Application Security Project)が選定したWeb脆弱性Top10も全てWebアプリケーション攻撃です。つまり、現在行われているWeb攻撃の9割以上が全てWebアプリケーションを狙った攻撃であると言っても過言ではありません。要するに、安全なWebセキュリティを構築するためには、安全なWebアプリケーションセキュリティの構築が必須ということです。

Webセキュリティ対策 においてアプリケーションのセキュリティが最も重要であるにも関わらず、実際にはどのように構築すればよいかという難題にぶつかり、適切なセキュリティが行われていないのが現状です。

次回では、その難題を解消するために、アプリケーションのセキュリティを集中分析し、安全なWebアプリケーションのセキュリティを構築するためには、どうすればいいかについて説明します。