Posts

profile

「2019年1月号」2018年の最も狙われた脆弱性は何?これから仮想通貨取引業者やPOS加盟店が知っておくべきのセキュリティ対策は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□■   ペンタセキュリティシステムズ メールマガジン 2019/01/30    ■□■
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】【特設ページ】 ペンタセキュリティが解説する仮想通貨取引所セキュリティのすべて

【02】【月間レポート】 最新Web脆弱性トレンドレポート2018年第4四半期版公開

【03】【ペンタソリューション】 2019年アジア・パシフィック地域のサイバー攻撃動向

【04】【ペンタソリューション】 クレジットカード決済の安全性に準拠、PCI DSSとは何?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】【特設ページ】 ペンタセキュリティが解説する仮想通貨取引所セキュリティのすべて

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

国内外で仮想通貨の取引が盛んでいる中、仮想通貨の普及に伴って様々な取引所が乱立しています。

また、このような仮想通貨市場の急成長とともに、国内外のハッカーらも仮想通貨取引所を狙い、サイバー

攻撃をすることも急増し、ハッキングによる被害も拡大されています。

時間が経つにより、被害額の規模も拡大されている仮想通貨取引所のハッキング、どうすれば良いのでしょうか。

また、仮想通貨取引所の法的規制やセキュリティのために解決しなければならない課題とは何があるのでしょうか。

仮想通貨交換業者なら必ず知って、対応するべきのセキュリティポイントを解説いたしました。

 

より詳しい内容は、ページからご確認ください。

>> 「ペンタセキュリティが解説する仮想通貨取引所セキュリティのすべて」特設ページはこちら

https://bit.ly/2R2gQBz

 

※ 仮想通貨関連の記事はこちら

▶「安全な取引所とは何を基準に選べばいい?仮想通貨取引所のセキュリティ対策について」全文

https://bit.ly/2Azz57k

▶「仮想通貨ビジネス、その発展性と展望を予測してみる。」全文

https://bit.ly/2zNelIL

▶「仮想通貨取引所「Zaif」がフィスコへ事業譲渡!移行の影響やこれまでのトラブルを解説」全文

https://bit.ly/2DADs4j

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【02】【月間レポート】 最新Web脆弱性トレンドレポート2018年第4四半期版公開

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。

本レポートは、世界的に幅広く参考している脆弱性関連のオープン情報であるExploit-DBより公開されている

Web脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を

活かし作成されています。

 

【概要】

2018年10月から12月まで公開されたExploit‐DBの脆弱性報告件数は、188件でした。

最も多くの脆弱性が公開された攻撃はSQLインジェクション(SQL Injection)です。また、多数の脆弱性が

公開されたソフトウェアは、DomainMOD、Webiness Inventoryで、各7個、3個の脆弱性が公開されました。

その中で最も多い脆弱性が公開されたDomainMODソフトウェアで修行された攻撃はクロスサイトスクリプティング

(Cross-Site Scripting)で、この攻撃はユーザに意図しない攻撃を修行させたり、クッキーやセッショントークンなど

の敏感な情報を奪取することが可能です。

特に公開されたDomainMODでは、Assets/add/registar accounts.php ファイルやUser/Profile/Display Name

などの同じFieldを利用した脆弱性が発見されました。

クロスサイトスクリプティング(Cross-Site Scripting)攻撃は、ウイルスの配布、ユーザセッション情報の奪取、

CSRF攻撃などの2次、3次被害に繋がる可能性があるので、注意が必要です。

当脆弱性を予防するためには、最新パッチやセキュアコーディングがお薦めです。

しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーション

ファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。

 

>> 最新Web脆弱性トレンドレポート2018年第4四半期版まとめはこちら

https://bit.ly/2Cxhkpx

>> 最新Web脆弱性トレンドレポート2018年第4四半期全文ダウンロードこちら
https://bit.ly/2DsMz6H
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】【ペンタソリューション】 2019年アジア・パシフィック地域のサイバー攻撃動向
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

情報セキュリティ市場の規模は、ますます大きくなっています。2018年には大規模のデータ流出事件を始め、

消費者の個人情報保護の問題やハードウェアの脆弱性などの話題になりました。特に、アジア地域では、

シンガポールの大規模の医療データ漏洩事件や日本と韓国の仮想通貨取引所ハッキング事件が大きな問題に

なりました。

それでは、今年、アジア・パシフィック地域で注目すべきサイバー攻撃の動向とは何でしょうか?今回は、

2019年注目すべき3大サイバー攻撃動向を簡単にまとめて解説いたします。

 

≪目次≫

1.CPUの脆弱性
2.IoTボットネット
3.サイバー物理攻撃の拡大

 

より詳しい内容は、コラム全文をご参考ください。

 

>> 「2019年アジア・パシフィック地域のサイバー攻撃動向」全文はこちら

https://bit.ly/2BT3qxG

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【04】【ペンタソリューション】 クレジットカード決済の安全性に準拠、PCI DSSとは何?
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

技術の発展により、日本にもキャッシュレス化が急速に進めています。その中で特に目立つのは、クレジット

カード決済の普及です。すでに世界中で最も普及された決済方法といえますが、日本も2020年の東京

オリンピックに向け、政府主導のキャッシュレス化を進めていく方針です。ここで、気になるのは、クレジット

カード決済の安全性です。クレジットカードの決済の普及と同時に、クレジットカードの情報を狙らう

ハッキング事件も増加しています。

クレジット業界では、情報保護のためにグローバルセキュリティ基準であるPCI DSSの要件や範囲等を指定

しています。
今回は、クレジットカード決済の安全性やPCI DSSの内容について解説します。

 

【目次】

  • PCI DSSとは?
  • キャッシュレス化によるメリット・デメリット
    1)  メリット
    2) デメリット
  • PCI DSSで求められる要件
  • PCI DSSの適用範囲とレベル
  • 最後に

より詳しい内容は、コラム全文をご参考ください。

>> 「クレジットカード決済の安全性に準拠、PCI DSSとは何?」全文はこちら
https://bit.ly/2MahUOf

 

※ PCI DSS関連の記事はこちら

▶「PCI DSS未対応は罰則やペナルティーも!?認証取得の方法や対応プロセスについて徹底解説」全文

https://bit.ly/2QZ3m4Z

 

▶「PCI DSSの完璧な準拠のためのデータ暗号化とサイバーセキュリティ」全文

https://bit.ly/2F1Yt53

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ メールマガジンの購読登録・削除
配信停止をご希望の方は、お手数ですが下記のURLからお手続きください。
https://bit.ly/2Rpn2jk

■ 製品・パートナシップに関するお問い合わせ
ペンタセキュリティシステムズ株式会社 日本法人
Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

■ 本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

profile

「2017年10月号」企業が注意すべき2017情報​セキュリティ10大脅威、対策備えは?!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□■ ペンタセキュリティシステムズ メールマガジン 2017/10/31 ■□■

https://www.pentasecurity.co.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

目次

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】Security Days Fall 2017でセキュリティ脅威動向と対策を丸ごと解説!

【02】OSS DB暗号化ソリューション 「MyDiamo(マイ・ディアモ)」、PostgreSQL

暗号化を提供開始

【03】最新Web脆弱性トレンドレポート2017年9月号公開

【04】【ニュース】不正アクセスでの個人情報およびカード情報がそのまま漏洩?

【05】今月のコラム「2017年自動車サイバーセキュリティの現状」

【06】企業が注意すべき2017情報セキュリティ10大脅威、対策は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】Security Days Fall 2017でセキュリティ脅威動向と対策を丸ごと解説!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティがSecurity Days Fall 2017に参加いたしました。SecurityDays

Fallは、最新の脅威動向とセキュリティ対策に対して解説するイベントで、東京と

大阪で開かれました。様々な情報セキュリティ関連の企業が参加し、セッションを通

じて、企業情報セキュリティ、特に最近話題になっているDDoS対策とウェブの脆弱性

や改ざん対策、クラウドセキュリティについて解説いたしました。

そこで、ペンタセキュリティは「サイバー攻撃は、セキュリティ対策に取り組んでいる

企業だけが知っている。」というタイトルで講演しました。弊社のブログでは、セミナー

内容の紹介とともにセミナーで使われた資料を無料で配布しているので、ご興味を持って

いる方々は、是非ご確認ください。

>> Security Days Fall 2017現場およびセミナー紹介はこちら

https://goo.gl/UMbhha

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【02】OSS DB暗号化ソリューション 「MyDiamo(マイ・ディアモ)」、Postgre

SQL暗号化を提供開始

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが10月19日から当社のOSS DB暗号化ソリューションであるMyDiamo

(マイ・ディアモ)で、MySQL、MariaDB、PerconaDB対応機能に加え、PostgreSQL

DBの暗号化を提供することになりました。

オープンソースの普及および商用プログラムの保守費用を含む維持費用の負担等により、

企業のオープンソース使用率は増加していて、2012年4月、日本国内PostgreSQL関連

ベンダー及びユーザ企業が集まり、「PostgreSQLエンタープライズコンソーシアム

(PGECons)」を発足しました。

近年の情報漏えいによるセキュリティへの危機感からPostgreSQLに特化した暗号化

ソリューションのニーズが高まり、 MyDiamo(マイ・ディアモ)のラインナップとして

PostgreSQL暗号化を追加しました。より詳しい内容は、下記のプレスリリースを

ご参照ください。

>> プレスリリース全文はこちら

https://goo.gl/jMNp9V

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】最新Web脆弱性トレンドレポート 2017年9月号

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとに

したトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連の

オープン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュあ

リティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成さ

れています。

【概要】

2017年9月に公開されたExploit-DBの脆弱性報告件数は、総72件であり、その中でSQL

インジェクションが62件で最も多い件数で発見されました。9月に公開されたSQLイン

ジェクション脆弱性は、攻撃実行の難易度が低い方に分類されました。この攻撃は、

オンライン検索を通じてダウンロードできる攻撃ツールの使い方さえ知れば、低いレベル

の難易度で誰にでも手軽に悪用できます。

ですが、SQLインジェクション脆弱性は、低い攻撃難易度持つ同時に高いレベルの危険度

に分類されました。幸いに、ほとんどのSQLインジェクション攻撃は、Webアプリケー

ションファイアウォール通じて簡単に対応できます。よって、持続的なセキュリティを

維持するためには、Webアプリケーションファイアウォールとセキュアコーディングを

活用した多層防御を具現する必要があります。

 

>> 最新Web脆弱性トレンドレポート全文はこちら

無料ダウンロード: https://goo.gl/s4AQ8u

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【04】【ニュース】不正アクセスでの個人情報およびカード情報がそのまま漏洩?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

最近、不正アクセスによる個人情報漏えいに関するニュースが連日報道されて

います。企業の情報を狙う不正アクセスにより、顧客の機密情報やクレジットカード

情報などの敏感な情報が流出されながら、企業が受けている被害件数も増加しています。

特に、最近ターゲットとして狙られているのは、EC系のサイトです。それで今回は、

9月と10月発生した「不正アクセスによって被害を受けた日本国内のECサイト被害事例」

を調べて、ECサイトでの情報セキュリティ対策を紹介します。

 

>>ニュースまとめ全文はこちら

https://goo.gl/61mK9P

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【05】今月のコラム「2017年自動車サイバーセキュリティの現状」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

毎月ペンタセキュリティの R&D センターからコンテンツ作成し、配信している

セキュリティコラムを紹介いたします。

【概要】

自動車ITセキュリティは、大衆の興味を集めるテーマである。よく知られている致

命的なハッキング事件があった自動車メーカーだけでなく、潜在的にこのような可能性

を持っている自動車製造業者も、今後の自動車産業がどんな姿であろうかを予測するた

めに、素早く動いている。2017年現在、こういう動きは私たちにどういう意味であろうか。

——————————————————————————————————-

時代の発展により、自動車とインターネットの結合であるコネクティッドカーに対する

人々の興味も高くなっています。今回はIT業界でエバンジェリストとして活躍している

筆者が日本の自動車製造会社の役員たちとの交わした会話を通じて、今後の自動車や

自動車セキュリティに対して紹介します。詳しい内容は、本コラム

からご確認ください。

 

>>コラム「2017年自動車サイバーセキュリティの現状」全文はこちら

https://goo.gl/bYZdvX

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【06】企業が注意すべき2017情報セキュリティ10大脅威、対策は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

近年、ネットワーク環境の変化がさらに高速化している中、特に企業を取り巻く情報

セキュリティ環境も急速に変化しており、中小・中堅企業から大手企業まで組織の規模

を問わず日々発生している個人情報漏えい事故や不正アクセスによる被害が増大してい

ます。企業としてはセキュリティ対策が不可欠な課題です。

それで、日本の情報処理推進機構(IPA)で発表した「2017情報セキュリティ10大脅威」

を紹介し、企業はどう対策していくべきか、そして情報セキュリティのためにどういう

ソリューションが必要であろうかについて解説いたします。

 

目次は、以下の通りです。

(1) 2017情報セキュリティ10大脅威とは?

(2) 企業・組織における情報セキュリティ10大脅威

(3) 企業の情報セキュリティのためには?

① WAFの必要性

② WAFの種類別メリットやデメリット

③ クラウド型WAF、Cloudbric(クラウドブリック)

>>「企業が注意すべき2017情報セキュリティ10大脅威、対策は?」全文はこちら

https://goo.gl/iq6s23

 

*クラウドブリック(Cloudbric)

アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーション

ファイアウォールであるペンタセキュリティのワップル(WAPPLES)の論理演算

検知エンジンエンジンを活用したクラウド型WAFサービスです。

 

▼ クラウドブリック(Cloudbric)に関する詳細情報はこちら ▼

≫≫ https://goo.gl/pGauEA

≫≫ https://goo.gl/dk4Ltp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 製品・パートナシップに関するお問い合わせ

ペンタセキュリティシステムズ株式会社 日本法人

Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

 

■ 本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティのOSS DB暗号化ソリューション「MyDiamo(マイ・ディアモ)」、PostgreSQL暗号化を提供開始

ペンタセキュリティのOSS DB暗号化ソリューション

「MyDiamo(マイ・ディアモ)」、PostgreSQL暗号化を提供開始

クラウド環境のためのオープンソースデータベースで「PostgreSQL」の暗号化サービス開始

データ暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、10月19日、当社のOSS DB暗号化ソリューションとしてMySQL、MariaDB、PerconaDBに対応できるMyDiamo(マイ・ディアモ)に加え、PostgreSQL DBの暗号化を提供することを明らかにしました。

 

ペンタセキュリティは、オープンソースのデータベース管理システム(DBMS)であるPostgreSQLに特化した高度な暗号化を提供するため、MyDiamo(マイ・ディアモ)のラインナップとしてPostgreSQL暗号化を追加しました。このソリューションは、カラム単位の暗号化、暗号化カラムに対するアクセス制御、そして監査機能をトータル提供するパッケージ型のソリューションであり、利便性とセキュリティを両立できます。

 

オープンソースの普及および商用プログラムの保守費用を含む維持費用の負担等により、企業のオープンソース使用率は、グローバル的に増加経路にあります。2012年4月、日本国内のPostgreSQL関連ベンダー及びユーザ企業は、企業システム上PostgreSQLの利用を促進する動きとして、「PostgreSQLエンタープライズコンソーシアム(PGECons)」を発足しました。開発用、研究用、そしてテスト用での使用のみならず、本番環境においての業務システム上PostgreSQLの活用という流れがあります。PostgreSQLは、MySQLやMariaDBと共に最も多く使われるオープンソースDBMSにもかかわらず、これまで特化されたセキュリティソリューションはありませんでした。近年の情報漏えいによるセキュリティへの危機感からPostgreSQLのデータベースに特化した暗号化ソリューションは時代の要求となっています。

 

このような市場性にてMyDiamo(マイ・ディアモ)のラインナップとして、MySQLやMariaDBに加え、PostgreSQLを追加しました。MyDiamoのPostgreSQL版は、シンガポールの「国際サイバーウィーク(Singapore International Cyber Week)」期間中開催された情報セキュリティ・カンファレンス「GovWare(GovernmentWare)」で初めて紹介しました。MyDiamo(マイ・ディアモ)は、アプリケーションのプログラムおよびクエリーの改修が必要なく、既設のシステムにAdd-onで導入ができる特長に加え、カラム単位の暗号化を実現した透過型暗号化(Transparent column Encryption)にて暗号化前後のパフォーマンス劣化も殆ど見られないのがポイントであります。

 

当社CSOのDSKimは、「PostgreSQL向けの暗号化ソリューションは、韓国国内よりはオープンソースのDBMSの使用率の高いグローバル市場においてニーズを確認している。特に日本においては、オープンソースのDBMSの中でもPostgreSQLの暗号化ニーズは、持続的に拡大している」と話し、「業種を問わず、様々な分野のユーザに対しては、は高度な暗号化技術を簡単に導入できるという、利便性とセキュリティを両立できるMyDiamo(マイ・ディアモ)を戦略的に展開する予定であるため、MyDiamo(マイ・ディアモ)で最も根源的なセキュリティ対策を実現して頂きたい」と言及しました。

 

 


 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

profile

「2017年9月号」 急増したweb脆弱性、8月に​最も多かったのは?最近WEBセキュリティ​トレンドから多様な情報を伝えます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□■ ペンタセキュリティシステムズ メールマガジン 2017/09/28 ■□■

https://www.pentasecurity.co.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

目次

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】ペンタセキュリティ、神戸デジタル・ラボと販売代理店契約を締結

【02】最新Web脆弱性トレンドレポート2017年8月号公開

【03】【特別連載】Q&Aで分かるモノのインターネット(IoT)のすべて

【04】今月のコラム「超スマート社会の始まりは、クレジット取引から」

【05】【今のトピック】みんなが分からなければならないセキュリティイシュー

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】ペンタセキュリティ、神戸デジタル・ラボと販売代理店契約を締結

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが9月26日、関西有数の企業である神戸デジタル・ラボ

と販売代理店契約を締結いたしました。この契約を通じて、ペンタセキュリティの

クラウド型WAFであるクラウドブリック(Cloudbric)のエンタープライズWAF

サービスを関西地方で本格的に拡大する予定です。詳しい内容は、下記のプレス

リリースからご確認ください。

 

>>プレスリリース全文はこちら

https://goo.gl/daHG38

 

*クラウドブリック(Cloudbric)

アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーション

ファイアウォールであるペンタセキュリティのワップル(WAPPLES)の論理演算

検知エンジンエンジンを活用したクラウド型WAFサービスです。

 

▼ クラウドブリック(Cloudbric)に関する詳細情報はこちら ▼

≫≫ https://goo.gl/pGauEA

≫≫ https://goo.gl/dk4Ltp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【02】最新Web脆弱性トレンドレポート 2017年8月号

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもと

にしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関

連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタ

セキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活か

し作成されています。

 

【概要】

2017年8月に公開されたExploit-DBの脆弱性報告件数は、総90件であり、その中で

SQLインジェクションが70件で最も多い件数で発見されました。公開された70件のSQ

Lインジェクション脆弱性の中で26件はJoomla CMSで発見されたものでした。

したがって、Joomlaを使用しているユーザーは特に

主要コンポーネントに対する最新パッチで脆弱性に対応する必要があります。その他

にも、ほとんどの脆弱性は、ウェブアプリケーション攻撃から発生しています。

 

>> 最新Web脆弱性トレンドレポート全文はこちら

無料ダウンロード: https://goo.gl/KpToD4

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】【特別連載】Q&Aで分かるモノのインターネット(IoT)のすべて

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

「Q&Aで分かる」特集は、ペンタセキュリティが韓国のTVチャンネルである「SBS

CMBCの経済ワイドイシュー」の「生活経済」コーナーで紹介・解説するセキュリティ

関連の内容をまとめて、提供する記事です。モノのインターネット(IoT)セキュリティ

から始まるこの特集は、最近話題になっているネットバンクのセキュリティに関する

話や仮想通貨などの新しく登場したセキュリティ脅威からウェブサイトハッキング、

ITセキュリティ、ホワイトハッカーなどの一般的な情報セキュリティまで現在存在する

様々な種類のセキュリティをテーマとしてよくある質問にご回答しながら解説します。

 

【内容まとめ】

  • 産業分野では自動車や工場などでもIoTを使用している。
  • 全世界のモノのインターネットデバイスは、今年84億台を記録し、来年には111億

台まで増加する見込み。来年の全世界のモノのインターネットセキュリティ関連

市場の規模は6,244千円に達する見込み。

  • モノのインターネットに対するセキュリティは従来のワクチンなどの手段では

絶対的に不足。IoTデバイスは、セキュリティを完璧に備えてから発売されなければ

ならない。

  • IoTデバイス自体でお互いに登録されている一つの経路だけでアクセス・連結できる

ように設定する機能も必要だ。

 

>> 「Q&Aで分かるモノのインターネット(IoT)のすべて」全文はこちら

https://goo.gl/VHK7J5

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【04】今月のコラム「超スマート社会の始まりは、クレジット取引から」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

毎月ペンタセキュリティの R&D センターからコンテンツ作成し、配信している

セキュリティコラムを紹介いたします。

 

【概要】

今日の日本社会は、大きな変化に直面している。高度化された情報社会、「超ス

マート社会」への変化だ。これは、政府が積極的に推進している公的制度と政策のた

めにでも避けられない変化に見える。しかし、その変化に対して、不安を話したり

政策推進の理由を分からないという不満もさんざん聞こえている。それで、情報と

変化の目的と意義を調べてみて、変化が本格化する前に予め確認しなければならない

現実的対応策を検討しようとする。

 

超スマート社会への移転に向き合って、私たちが確認しなければならないものは一体

何でしょうか。本コラムからご確認ください。

 

>>コラム「 超スマート社会の始まりは、クレジット取引から」全文

https://goo.gl/jpBN8J

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【05】【今のトピック】みんなが分からなければならないセキュリティイシュー

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

今のトピックは、最近話題になっているIT業界の動向と技術、ニュースなどをペン

タセキュリティの視線で叙述しながら、解説するコンテンツです。グローバル的なIT

動向を知りたい方や最近技術に関して知りたい方なら、是非ご覧ください。

 

(1) 今も人と写真の違いが分からないサムスンのスマホ

(2) イルカの音を聞き取れるAIセクレタリーたち

(3) エネルギー分野を攻撃するハッカーグループ

>>今のトピック全文はこちら

https://goo.gl/rKUMSh

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 製品・パートナシップに関するお問い合わせ

ペンタセキュリティシステムズ株式会社 日本法人

Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

 

■ 本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

profile

「2017年8月号」ペンタセキュリティ webセキュリティメールマガジン

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□■ ペンタセキュリティシステムズ メールマガジン 2017/08/17 ■□■

https://www.pentasecurity.co.jp/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆◆◆ 名古屋・大阪で情報セキュリティセミナーを実施します! ◆◆◆

 

本日は、セミナーのご案内をさせて頂きます。

8月29日(火)・8月30日(水)に渡って、ペンセキュリティシステムズ株式会社と

大興電子通信株式会社が共催セミナーを実施します。

 

『ペンタセキュリティ、名古屋・大阪で 大興電子通信との初合同セミナーを開催』

~ サーバセキュリティからエンドポイントセキュリティまで、

Web攻撃対策に向けた実質的な解決策を提示 ~

≫≫ https://goo.gl/VW7peh

 

【セミナーお申込みフォーム】

≫≫ https://goo.gl/pnwP32

 

「サイバー攻撃への備え”は何をすべきか?」

~多種多様な攻撃手法から機密・個人情報を守るための実施すべき対策~

 

特定の組織や人を狙っう標的型サイバー攻撃は、近年大きな脅威となっています。

進展著しいネット社会の利便性とは裏腹に、2020年に向けた我が国を取り巻く

サイバー脅威への備えは、国家レベルでの対策はもとより、企業全体で取り組むべき

重要な経営課題となってきました。

本セミナーでは、企業の皆様が取組むべきセキュリティ分野で特に重要な入口対策、

クライアントPC対策を分かりやすくご紹介します。

—————————————————————————————-

開催概要

—————————————————————————————-

■名古屋

開催日    2017年8月29日(火)14:30~17:00 (15:00開場)

場所      TKPガーデンシティPREMIUM名駅桜通口

〒450-0002 愛知県名古屋市中村区名駅3-13-5名古屋ダイヤビル3号館

■大阪

開催日    2017年8月30日(水)14:30~17:00 (15:00開場)

場所       アクセア貸会議室

〒541-0051 大阪市中央区備後町3-6-2 大雅ビル5F 第一会議室

参加費     無料

定員      30名

対象       経営者・経営企画担当者

社内情報システムの運用担当者

主催       ペンタセキュリティシステムズ株式会社、大興電子通信株式会社

—————————————————————————————-

プログラム内容

—————————————————————————————-

■「エンドポイント・セキュリティ(Endpoint Security)

~AppGuard Enterprise~」  <講演:大興電子通信株式会社>

今話題の米国政府機関が採用する革新的エンドポイントセキュリティテクノロジー

本セッションでは、攻撃の段階で脅威を遮断する、特許取得済みの革新的な

エンドポイントプロテクション製品についてご紹介致します。

また、エンジンが1MB以下と軽量なため、パソコンのシステム負荷が格段に軽く

業務に支障をきたしません。多種多様な攻撃から機密・個人情報を守る新概念

「アイソレーションテクノロジー」について解説します。

 

■「Webサイト・セキュリティ(Website Security)~ cloudbric ~

< 講演:ペンタセキュリティシステムズ株式会社>

サイバー攻撃は、セキュリティ対策に取り組んでいる企業だけが知っている!?

認知しなければわからないWeb攻撃の実情と低コストのWebセキュリティ対策。

Web攻撃による被害は、企業形態に関わらず起こり得るものの、セキュリティ対策に

取り組んでいなければ、攻撃されていたことすら認知できません。

本セッションでは、意外と知らないセキュリティにおける誤解と今から始める実践的な

Webセキュリティ対策をご提案致します。

 

▼ クラウドブリック(cloudbric)に関する詳細はこちらから ▼

≫≫ https://goo.gl/pGauEA

≫≫ https://goo.gl/dk4Ltp

 

—————————————————————————————-

◆◆◆ ペンタセキュリティが今年で創立20周年を迎えました! ◆◆◆

 

7月21日、ペンタセキュリティが創立20周年を迎えました。この20年、

ペンタセキュリティと共に「信頼できるオープン化された社会」を作るために

力を合わせてきた社員の方々が集まり、創立20年をお祝いしました。

 

『ペンタセキュリティ、創立20周年を迎え

企業顧客向けの未来のセキュリティビジョンを宣言』

~ データ暗号化・Webセキュリティ専門企業ペンタセキュリティの20年 ~

≫≫ https://goo.gl/pX1gGP

 

今回のイベントで、ペンタセキュリティは新しい世界を迎え、「先セキュリティ、

後の連結(Secure First, then Connect)」という新たビジョンを語りました。

より詳しいペンタセキュリティのビジョンや未来へのメッセージや創立20周年記念

イベント現場は、下記のページにてご確認できますので是非ご覧ください。

 

【イベント現場の詳細はこちらから】

≫≫ https://goo.gl/2aGxg5

—————————————————————————————-

◆◆◆ コラム :「クラウド時代のセキュリティ、核心だけ簡単に 」 ◆◆◆

 

最近クラウドの人気が高まり、これにより企業のコンピューティング環境を企業が

直接管理しないから、従来のあらゆるセキュリティ問題から自由になったわけか、

と考えがちですが、そうでもありません。クラウドサービス提供者は、ハードウェア

レベルでのセキュリティを提供するが、アプリケーションやデータセキュリティは

相変わらずサービス利用者の役目からです。それで、最近ITセキュリティの核心、

本当に必須的な核心だけを簡単に書きました。

 

詳しい内容は、下記のURLにてご確認ください。

【セキュリティコラムの詳細はこちらから】

≫≫ https://goo.gl/57VkzJ

—————————————————————————————-

【お問合せ先】

ペンタセキュリティシステムズ株式会社

e-mail : japan@pentasecurity.com

tel : 03-5361-8201

Homepage : https://www.pentasecurity.co.jp/

radek-grzybowski-66457

【コラム】 クラウド時代のセキュリティ、核心だけ簡単に

ITセキュリティ、難しい。簡単なことだって、きちんとやりきれないことだが、難しいことだからさらに難しいし大変だ。

 

わずかサーバ一つ運営しようとしても、しなければならない仕事があまりにも多い。さらに最近はクラウドが人気だ。企業のコンピューティング環境を企業が直接管理しないから、従来のあらゆるセキュリティ問題から自由になったわけかというと、そうではない。クラウドサービス提供者は、ハードウェアレベルでのセキュリティは提供するが、アプリケーションやデータセキュリティは相変わらずサービス利用者の役目だ。それで、最近ITセキュリティの核心、本当に必須的な核心だけを簡単に書こうとしている。もちろん、これがITセキュリティの全部ではない。しかし、この程度だけしたら、ITセキュリティ事故の90%ぐらいは軽く防ぐことができる。

 

防げた事故: WAF?

セキュリティ事故の種類は様々である。ニュースを見ても毎日様々な事故が絶え間なく起きるから。数えきれないほど多くの攻撃をどうやって一々防げるか、と最初からあきらめた方がいいんじゃないかと思うほどだ。しかし、最近起きたセキュリティ事故の90%以上はウェブアプリケーションを通じて起きた事故だ。事故の種類はさまざまだが、その始まりはウェブアプリケーション、特にウェブコンテンツレベルでの脆弱性からスタートし、その後、様々な種類の事故につながったものだ。つまり、とっくにウェブアプリケーションファイアーウォール(Web application firewall、WAF)でも稼動していたら充分に阻止できたはずの事故がほとんどである。

 

それにも関わらず、防げなかったら?: 暗号化

にもかかわらず、事故は必ず発生してしまう。これはとても重要な見方であり、認識である。よくITセキュリティというのは、事故が全く起こらないことを前提にしてすることだと思う。
しかし、そうではない。むしろ、ITセキュリティは事故が起こることを前提にしにやることだ。無条件的に完全な防御のみを前提するなら、万一、事故が発生した後、原状での回復力が著しく落ちるため、企業において最も重要なことであるビジネスの連続性を維持することはできない。したがって、事故発生を前提したまま、「問題は回復力」、これが最近のITセキュリティのパラダイムである。世の中のすべての防御網は、開かれる可能性を持っていて、全てのデータは流出される可能性を持っている。それがデータというものの当初の性質である。したがって、データ流出を防ぐために最善を尽くすものの、同時にデータが流出する事態に備えなければならない。そんなことが起きた際にも最悪の状況、つまりデータ内容の流出を防ぐ方法はデータ暗号化だけだ。犯罪者らがデータを盗むことはもし成功するとしても、データの内容を見ることはできないように、つまり盗んだデータを使うことはできないようにしてこそ、被害を最小化することができる。

 

クラウドはクラウドで: クラウドセキュリティ

クラウドコンピューティングに対する疑いは、まだ完全に消えていないようだ。クラウドはまだ完成度の低い技術であり、既存システムの使用と比べて無駄に複雑なだけで、何だか安全ではないようだという否定的偏見が依然としてある。しかし、これはまだクラウドを使ったことのない人々の誤解であるだけで、実際にクラウドを導入し、使用してみた企業は態度が完全に反対に変わり、ほめ言葉ばかり言う。特にクラウドを通じて新規アプリケーションやサービス適用にかかる時間は前と比べることができない程度に短縮され、維持・保守費用も大きく削減されたと満足する。そしてまだクラウドに転換していない企業は、既にクラウドに転換した企業のビジネス速度に追いつくことができないだろうと大声で話す。やはり、今の時代はクラウドだ。

それで、最近はサーバなどの電算システムを直接管理しない企業が多い。そして世界的にとても有名で巨大なクラウド会社が代わりに引き受けて処理してくれるからセキュリティ問題も絶対ないだろうと信じている。しかし、これはとても深刻な誤解である。クラウドサービス提供者(プロバイダー)は、ハードウェア及びネットワークレベルのセキュリティだけ提供する。アプリケーションやデータセキュリティに対する責任はサービス使用者の役目だ。これは真っ暗な秘密でもなく、サービス製品説明書にも明確に書かれている事実である。それでは、一体何をどうすれば良いか。例えば、ウェブアプリケーションの保護のため、以前のようにWAFハードウェアを直接設置して運用できない時にどうすれば良いのだろうか。

クラウドはクラウドで防ぐ。クラウド環境に合致するクラウドセキュリティシステムを適用することができるし、複雑なインストールプロセスなしにただ何回かクリックで、既存のハードウェアWAFと同一のクラウド・セキュリティ・サービスを提供してもらうこともできる。

 

スタートアップのセキュリティ: クラウド・セキュリティ・サービス

とても重要なテーマがまた一つある。スタートアップである。スタートアップは破壊的な革新とアイデアを通じて、短期間で超高速の成長を志向する新生企業であり、たいてい自由な企業文化を誇る。これはすなわち、セキュリティや安全にあまり気にしていないかもしれないという認識と繋がっている。実際、スタートアップでのセキュリティ事故は絶えず起きている。事業拡張とマーケティングに集中しているため、セキュリティの問題を考える時間がないかもしれない。その後、他のスタートアップがセキュリティ事故のせいで崩れる姿を見てからやっとセキュリティの必要を悟ったりする。

しかし、悟ってばかりいる。

しかし、規模が小さなスタートアップが大手企業レベルのセキュリティシステムを整備する方法がないという訴えも無視できない。大手企業レベルのセキュリティシステムはお金がとてもかかる仕事なのに、事業を始める時からお金をたくさん持っているスタートアップはほとんどないから。しかし、方法はある。クラウド時代なので、ITセキュリティもまたクラウドサービスで提供される。クラウドサービスとは、ネットワークを通じてコンピューティング環境と機能を提供するサービスだ。技術的な言葉で言うと「弾力的オンデマンド仮想マシン」であり、したがって、使用量によって資源量が増えたり減たりする柔軟性を持つため、サービスを使用した量だけ費用を支払えば良い。最近は、企業情報セキュリティの最も重要な3大要素であるウェブセキュリティ・データ暗号化・認証セキュリティ全部クラウドサービス形態で提供されるため、スタートアップであっても大手企業レベルのセキュリティの力量を持つことができる。

 

クラウド時代のセキュリティ?

要約すると、

-事故は、ほとんどがウェブアプリケーションで起きる。WAFを利用して防止しよう。
-にもかかわらず、事故が起きた場合、データ暗号化を通じて最悪の状況を避ける。
-ITセキュリティシステムを直接運営できない状況なら、クラウドセキュリティを適用しよう。
-費用のせいでセキュリティを十分にできないスタートアップであれば、クラウド型WAFサービスを使おう。
クラウド時代のセキュリティ、こうすれば良い。

title_SEC_1706

ペンタセキュリティ、大阪・福岡で情報セキュリティセミナー開催

 

ペンタセキュリティ、大阪・福岡で情報セキュリティセミナー開催

@ITセキュリティ・ロドショでサイバ動向解説や
中小企業Webセキュリティにする質的な解決策の提示予定

@it_image3

データ暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、6月2日と6月30日、大阪と福岡で開かれる「@ITセキュリティセミナー 東京・大阪・福岡ロードショー」に参加することを明らかにしました。

 

@ITは、セキュリティ担当者向けのコンテンツと製品および技術に関する解説記事を提供するITセキュリティ専門媒体で、最近は企業向けの情報セキュリティ対策のを手伝うための様々なセミナーを開催しています。6月には、「@ITセキュリティセミナー 東京・大阪・福岡ロードショー」という名称で各分野の専門家がセキュリティ問題や最新の情報を伝達します。

 

ペンタセキュリティは、今回の@ITセキュリティセミナーのうち、大阪と福岡セミナーに参加します。二回のセッションで、最近のサイバー攻撃動向と企業情報セキュリティに対する誤解について説明し、これに対する代案として実質的で簡単に導入できるウェブセキュリティ対策の紹介など、企業経営者とセキュリティ担当者に役立つ情報を伝える予定です。大阪は6月2日の金曜日の午後3時45分から、福岡は6月30日の金曜日の午後3時05分から40分にわたって進行し、申込者に限って参加できます。

 

今回のセミナーでは、ペンタセキュリティのクラウド基盤のウェブセキュリティサービスであるCloudbric®(クラウドブリック)を直接試演する予定です。Cloudbric®(クラウドブリック)は、アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーションファイアウォールであるWAPPLES(ワップル)の論理演算検知エンジンを搭載したクラウド基盤のWAFで、ユーザーフレンドリーで直感的なダッシュボードを通じて、ウェブサイト攻撃の現況と攻撃の発生地などの情報を簡単に確認することができます。既存の装備形態のウェブアプリケーションファイアウォールとは違って、アカウント生成とドメイン入力、DNSへの転換という3つの段階で、簡単にエンタープライズ級のセキュリティサービスを利用することができ、ヨーロッパなどのグローバル市場から大好評を得ている製品です。

 

ペンタセキュリティのCSOのDSKimは「企業を狙うセキュリティ脅威は増える一方、大手企業ではない中小企業の場合、ターゲットになるという認識がほとんどないため、事前にセキュリティ対策を整えていない企業では攻撃を受けたことすら認知することができない状況だ。」とし、「今回のセミナーを初め、企業各社の情報セキュリティ認識を強化する機会を作り、高いセキュリティを実現できるように持続的にセミナーを拡大していく計画だ。」と言及しました。

 

セミナーに関する詳しい内容はペンタセキュリティ公式ホームページ(https://www.pentasecurity.co.jp)から確認できます。

WAPPLES(ワップル)

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。


製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

networking-1626665_1280

【コラム】順序保存暗号化(Order Preserving Encryption)は安全な暗号化か。

順序保存暗号化(Order Preserving Encryption)は安全な暗号化か。

一般の企業で会社の情報セキュリティを担当しているKさんは、このごろ悩み事が多い。個人情報保護法の遵守のため、個人情報が保存されている業務システムに暗号化製品を導入して適用しようとしている。暗号化製品を設置すれば、個人情報保護法の遵守は問題ないが、業務システムの性能が低下する可能性があり、心配が大きい。
その時、偶然「OPE」という技術を採用したという暗号化製品の広告を見ることになる。OPE技術がどのような技術かは分からないが、暗号化後にもDB検索の性能低下がないという説明が大きく伝わってくる。OPEという名前が「Order Preserving Encryption」だから、暗号化(Encryption)も性能低下も解決するということで自分の悩みを一回で解決してくれそうだ。

 

個人情報の保護のため、DB暗号化製品を導入するケースが増え、上記の話のようにOPEに対する関心が高まっている。
「OPE(Order Preserving Encryption)」は、どのような技術であり、どれほど安全なのか。個人情報保護の安全性と性能低下の克服の二兎を得る技術であるかを調べることにしよう。

 

手順を維持する暗化は根本的に危

 

DB暗号化は、個人情報保護のための必須技術と認識されている。DBサーバに暗号化を適用すると、DBサーバに保存されるデータを暗号化して保存し、データを照会する際には暗号化されたデータを復号した後に使用者に対して提供される。DBサーバは暗号化と復号のための処理演算を追加で遂行しなければならないため、速度低下が避けられない。暗号化の適用によるDBサーバの性能低下問題は、暗号化アルゴリズムの効率的な実現技術で解決できる。

DB暗号化でさらに重要な問題は、検索の索引を生成する問題である。検索の索引は、DBに保存されている膨大なデータの中から必要なデータを迅速に照会するために使用されるDB内部の追加情報である。暗号化されたデータから希望するデータを検索するには、暗号化になる前のオリジナルデータを知らなければならないため、暗号化されたデータを全部いちいち復号しなければならない。希望するデータを一つ照会するたびに、膨大なデータをすべて復号しなければならないため膨大な演算量の負担が発生するしかない。これを解決する方法のひとつが、「順序保存暗号化(Order Preserving Encryption、以下OPE)」だ。

OPEは、かなりずいぶん前から存在していた技術だ。OPEの歴史を遡ると、第一次世界大戦から使用された「One-Part Code」技術がOPEの始祖といえる。暗号化されたデータについても、DBの検索索引を容易に作れるという特長のために2000年代からDBMS業界で注目され始めた。2004年には、R.Agrawalを含め4人のIBM研究員たちが最初にOPEという用語を定義した。彼らはOPEの概念に対する数学的モデルと実現に対する方向性を提示したが、安全性に対する具体的な言及や証明をしなかった。
(参考文献:R.Agrawal、J.Kiernan、R.Srikant、and Y.Xu、「Order-preserving encryption for numeric data」、SIGMOD 2004、pp.563~574)

 

データを迅速に照会するためには、データを順に整列しておかなければならない。例えば、数百万人のマイナンバーの中から自分が探すマイナンバーが含まれているかどうかを容易に探す方法は、マイナンバーを13文字の自然数と見て大きさ順に整理しておくことだ。しかし、この方法は暗号化後には使用できない。暗号化は、オリジナルデータを予測できない任意の値に変換する過程なので、暗号化されたデータはオリジナルデータとは全く違う順番に整列されるしかない。暗号化を適用しても、暗号化したデータがオリジナルデータと同様の順番に整列されるようにしてくれる方法がOPEである。大きさが小さい順に整列された数字データ1234、3456、5678という三つの数字があると仮定する。一般的な暗号化を適用すれば、三つの暗号化された数字間の順序が巻き込まれる。OPEを適用すれば、1234の暗号が3456の暗号より前に整列されて、3456の暗号は5678の暗号よりもリードすることになる。

順序保存暗号化という名称のように、果たしてOPEは安全な暗号化だろうか。安全な暗号化は、暗号文からオリジナルデータに関するいかなる情報も得られないべきだ。OPEは、暗号文で「順序」という情報を得ることができ、これをもとに、平文を類推することができる。上記で説明した1234、3456、5678の例に戻ってみよう。1234の暗号文(A)と3456の暗号文(B)を知っていれば、暗号文Aと暗号文Bの間に整列される暗号文Cは1234と3456の間にある値から作られた暗号文であることが把握できる。この場合、暗号を解読しようとする攻撃者が1234と3456を知って、二つの数を暗号化した値(暗号文A、B)たちも知っているため、このような攻撃方法を「選択平文攻撃(Chosen Plaintext Attack;以下CPA)」という。

安全な暗号アルゴリズムは、CPA攻撃モデルを採用した攻撃者が暗号文Cがどんな数字を暗号化したかを区分できない「非区別性(Indistinguishability)」を満足しなければならないが、OPEはこれを満足しないために安全な暗号化とは言えないのだ。したがって、OPEはDES、AES、SEED、ARIAなどと同じ普通のブロック暗号化アルゴリズムと肩を並べそうな高いレベルの安全性を備えていない。世界の情報セキュリティ関連の標準でOPEを見られないことも、このような理由だ。

 

「順序保存を提供する安全な暗号化は不可能なのだろうか」


という問題を解決するために、米国のジョージア工科大学(Georgia Tech)のボルディレワ(Boldyreva)教授を含めた4人の研究者たちが2009年の研究結果を発表した。
(参考文献:A.Boldyreva、N.Chenette、Y.Lee、A.O’Neill、「Order-Preserving Symmetric Encryption」、EUROCRYPT 2009、pp.224~241.)

ボルディレワは、制限的な環境ではOPEの脆弱攻撃であるCPA攻撃をある程度のレベルまでは防御できると証明した。尚且つ、制限条件でOPEにCPA攻撃をブロック暗号化アルゴリズムと同等のレベルに防御することは現実的に不可能というのも明らかにした。つまり、単純アルゴリズムの改善だけではこれ以上の安全性を期待することは難しいということだ。

アルゴリズム自体だけではCPA攻撃から逃れることはできないので、「どう実現するのか」が業界の主要関心事として浮上している。現在、大半のセキュリティ会社がOPEの安全性を補完してくれる技術およびセキュリティデバイスをともに使用し、OPEの脆弱性を補完するために努力している。OPEと共に他の検証を受けた暗号化アルゴリズムを使用したり、順序情報のみをさらに暗号化することなどをその例に挙げられる。しかし、このような状況についてよく知らない一般人たちは、「順序の保存暗号化」という名称だけを信じてOPEを他の暗号化アルゴリズムのように安全性が高いと考えやすい。

実際、ある会社ではOPE技術の安全性を誇大に評価して業界の非難を買ったりした。したがって、OPE関連ソリューションを選択する時には、製品内にOPEの安全性を補完してくれるセキュリティデバイス及び技術があるかを調べた後製品を選択しなければならない。特に、CPA攻撃は攻撃者が暗号化システムに容易にアクセスできる時に主に発生するので、製品にこのような弱点はないかを確認しなければならない。

 

暗号化を必要とする応用は様々だ。安全度が高いレベルで要求される応用がいれば、安全度が高くなくても大丈夫な応用もあり得る。OPEの場合、安全性を一部犠牲にして性能を選んだ応用と見られる。コラムの冒頭に仮想シナリオの主人公だったKさんのように、個人情報保護を必要とする応用では、長期間検証され高い安全度を保障してくれることができる標準的な暗号化技術が必要である。OPEは、オリジナルデータの順序が暗号化後も維持されるというメリ