Posts

EDB12

【情報】最新Web脆弱性トレンドレポートのEDB-Report(12月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 12月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

profile

ペンタセキュリティ、WebアプリケーションファイアウォールWAPPLESとの相互運用のため、HPE Securityとパートナーシップ

 

WebアプリケーションファイアウォールWAPPLESとの相互運用のため、

HPE Securityとパートナーシップ

 

HPE Securityソリューションの需要が高いアジア・パシフィック地域のIT市場攻略本格化


データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、02月06日Hewlett Packard Enterprise が提供するパートナープログラム、HPE Security Technology Alliances Partner(以下TAP)登録により、ペンタセキュリティのWebアプリケーションファイアフォールのWAPPLES(ワップル)とHPESecurity ArcSightとの相互運用が可能になることを明らかにしました。

 

最近、アジア・パシフィック地域の多くのArcSightの顧客からペンタセキュリティのWebアプリケーションファイアフォールのWAPPLESを使用し、両製品を統合し、活用しようとするニーズが高まっていました。これにより、両製品の相互運用のため、HPE Securityとのパートナーシップを進めることになりました。HPE Securityのパートナー制度であるTAPは、HPEセキュリティソリューションやパートナー製品間の相互運用性に基盤した標準をサポートします。パートナーシップを通じて、脅威検知および対応速度を高め、精巧な脅威の範囲や程度評価機能を向上させることで、顧客にはより優秀なセキュリティを安定的に提供すことができます。

 

これに対して、韓国HPEソフトウェア事業部を統括するイ・テヨン専務は、「パートナー社に必要なリソースを提供し、相互運用可能な認証された共同ソリューションを提供することで、HPE TAPプログラムは、顧客がサイバー犯罪の主な攻撃方法として、ますます高度化されるアプリケーションのセキュリティ脅威を迅速に検知して対応できるようにサポートする。」と言及しました。

 

加えて、WebアプリケーションファイアウォールのWAPPLESは、論理演算検知エンジン(COCEP™)を活用して、シグネチャのアップデートがなくても攻撃対応ができ、他社製品に比べて低い誤探率が特長で、2015アジア∙パシフィック地域のマーケットシェア1位に選ばれました。また、ペンタセキュリティは、2016アジア∙パシフィック地域最高のセキュリティベンダーとして選定され、ブランドや製品に対してグローバル競争力を認められており、HPE Securityとのパートナーシップを通じて、一層高いシナジーを得ることを期待しています。

 

ペンタセキュリティのCTOのDSKimは、「HPE Arcsightプラットフォームとの技術連携を通じて、アジア・パシフィック地域の市場支配力をより強化する計画だ。」とし、「アジア・パシフィック地域だけではなく、世界的にペンタセキュリティのソリューションの相互運用性を高めるため、持続的にグローバル企業とのパートナーシップを進んでいく予定だ。」と言及しました。

 

HPESecurityのセキュリティ情報・イベント管理(SIEM)(Security Information&Event Management)プラットフォームである「HPE ArcSight」は、多様なセキュリティ機器からのさまざまなログを収集・保存する機能を保持しています。同ソリューションは、システムログ(syslog)、DB、ファイルなどのログ形式に関係なく、データを収集・保存でき、高度の相関関係解析機能を含んでいて、グローバル市場、特にアジア∙パシフィック市場で需要が高まっています。

 

WAPPLES(ワップル)

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。


 


本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

E-mail : japan@pentasecurity.com

TEL : 03-5361-8201

 

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(11月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 11月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

sslcolumn

【コラム】 まだ有料SSL認証書を使用中のあなたに今、必要なのは?

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットで連載しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

ウェブを利用したサービスが多様になり、情報のやり取りが簡単になっただけに、ハッキング攻撃にさらされる危険性も高まっており、暗号化通信は不可欠な要素になった。暗号化通信は、HTTPSプロトコルを使用することにより、実現できるが、HTTPSプロトコルを使用するためには、認証機関(CA:Certificate Authority)からSSL認証書の発行をしなければならない。しかし、費用に対する負担と複雑な認証プロセスなどによって、発行率は低いのが現実である。
日本のWebソリューション会社であるAtlas21が2016年5月に東京証券取引所市場第1部に上場した主要企業を対象に実施した調査によると、Webサイトの全ページに暗号化通信を適用するHTTPS完全対応率は1%で、世界の主要企業が約17%であることに比べ、かなり低い数値を記録した。
つまり、ほとんどのWebサイトがSSL/TLSが適用されず、セキュリティの最も基本である暗号化通信も保障できていない状況ということだ。

[ 世界及び日本の主要企業WebサイトのSSL対応現況 ]
(参考:世界主要企業サイトの約4割が常時SSLに対応–あとらす二十一調査(ZDNet Japan)

 

Let’s Encryptの登場

SSL認証書の発行には認証機関によって少しずつ差があるが、年間約$80~$400の費用を支払わなければならない。EV、Wildcardなどのオプションを追加することになれば、費用はさらに上がる。コスト的な負担以外にも、複雑なドメイン認証作業がSSL認証書の発行率が低い理由の一つである。該当ドメインに対して、認証機関から認証を受けるためにはメール認証、DNSレコードの追加などの作業が必要になる。また、認証作業が終わった後、SSL認証書を発行してもらったら、直接ウェブサーバにアップロードしなければならず、認証書を更新するたびに同じ作業が必要だ。
それで、SSL使用の参入障壁になるこのような問題を解決し、誰もが安全な暗号化通信を使えるような環境を作るために、Mozilla、Cisco、Akamai、Electronic Frontier Foundation(EFF)、IdenTrust、などの様々なグローバルの主要IT企業がISRG(Internet Security Research Group)という認証機関を作り、Let’s Encryptというプロジェクトを開始するようになった。

Let’s Encryptの特徴

Let’s Encryptの登場により、SSL認証書を無料、手軽に、自動的に発行することができるようになったが、この内容について少し詳しく調べてみよう。

  • 1.無料発行
    SSL認証書発行の際、費用が発生しない。ルートドメイン当たりに発行数に制限はあるが、最大2000個/1週なので、無制限と見ても過言ではない。
  • 2.簡単なドメイン認証
    Cert botというソフトウェアをウェブサーバに設置すれば、認証作業が自動的に行われる。メール認証、DNSレコードの追加などの作業が必要ない。
  • 3.自動認証書発行/更新
    ドメインが認証されると、Let’s Encryptから自動的に認証書が発行され、ウェブサーバに保存され、90日単位で自動更新される。認証書の発行、更新のための作業が必要ない。

無料SSL認証書のセキュリティ

無料で使うことができるし、認証作業も簡単で、更新も自動的に行われるから便利だが、何より重要なのはセキュリティが保障されるかどうかであろう。

Let’s Encryptは安全なのか。
結論から言えば、安全だ。

Let’s EncryptはGlobal Sign、GeoTrustなどのルート認証機関で発行する商用SSL認証書と同じレベルのセキュリティを確保する。
SSL認証書は、各OSやウェブブラウザから信頼されたルート認証機関だけが発行できる。信頼できるルート認証機関と言えば、Internet Explorerの場合は、[設定→インターネットオプション→内容→認証書]から確認することができる。

[Internet Explorerの信頼できるルート認証機関]

Let’s Encryptの場合は、どうやって発行されるのだろうか。

Let’s Encryptは、ウェブブラウザから信頼されたルート認証機関であるIdenTrust(DST Root CA X3)が相互認証(Cross-Sign)する形でSSL認証書を発行する。

下の例から見られるようにLet’s EncryptのSSL認証書も商用SSL認証書のように信頼されたルート認証機関から同一の段階を経て発行される。

[上:商用SSL認証書の例 /下:Let’s Encrypt SSL認証書の例]
[商用SSL認証書とLet’s Encrypt SSL認証書のルート認証機関]

したがって、Let’s Encryptの無料SSL認証書は、商用SSL認証書と同様なレベルのセキュリティを確保すると言えるだろう。

Let’s Encryptの使い方

従来の商用SSL認証書の場合、メール認証、DNSレコードの追加などの方法を通じてドメインを認証するが、Let’s Encryptは、cert botというソフトウェアを通じて自でドメインを認証するため、使用のためには、当該ソフトウェアをインストールする必要がない。設置方法は、設置環境のOSによって違うが、一般的には、以下の手順による。

  • 1. git packageの設置

Let’s Encryptは、基本的にgitを通じてソフトウェアを配布するため、ソフトウェアをダウンロードするためには、まずgit packageを設置する必要がある。gitは、様々な人々がプログラミングをする時、ソースコードなどの変更履歴を記録、追跡するバージョン管理ツールで、gitのホームページからWindows、Macなどの設置環境のOSによってダウンロードする。Linux系のOSの場合には、gitホームページの案内に従って、コマンド入力をし、設置することができる。

  • 2. ソフトウェア(Cert bot)の設置および

Electronic Frontier Foundation(EFF)のCer tbotのホームページ(https://certbot.eff.org)で使用中のWebserverおよびOSを指定した後、表示されるマニュアルに従ってCert botを設置、実行する。設置および実行方法は、Let’s Encrypt総合ポータルサイトの「Let’s Encryptの使い方」で確認できる。

[cert botホームページの使用中のWebserverおよびOS指定画面]
[Debian 8を使用するApacheウェブサーバのマニュアルの例]
  • 3. ドメインの入力

Cert botの実行後、表示されるウィンドウでYESを押すと、Server Nameを設定する画面が表示される。当該画面にHTTPSを適用するドメインを入力する。

[Cert botの実行後、表示画面]
[HTTPSを適用させるドメインの入力画面]
  • 4. SSL認証書の発行確認

入力したドメインに対する認証が完了されたら、自動的にLet’s Encrypt CAと通信し、SSL認証書が発行される。発行された認証書は、etc/letsencryptディレクトリに自動保存され、下記のようなメッセージが表示される。「example.jp」には、HTTPSを適用したドメイン名が、「YYYY-MM-DD」には、SSL認証書の有効期間が表示される。

[SSL認証書発行の完了画面]

上記の全てのプロセスをユーザーが直接しなければならないが、誰でも簡単にできることではない。ウェブサーバーの種類及び設置環境のOSによって、事前作業や追加設定作業が要求されるなど、Let’s Encryptを導入するためには、ITに対する知識やある程度の技術力が要求されることが実情である。

Let’s Encryptを簡単に適用する方法

しかし、ITに対する知識がなかったり、生活が忙しい現代人がいるため、さらに簡単にLet’s Encryptを導入させるサービスが登場した。Free Website Security Serviceのクラウドブリック(Cloudbric)に加入すれば、git packageを設置する必要も、cert botソフトウェアをダウンロードする必要も、コマンドを入力する必要もない。ユーザーは、Cloudbric加入後、HTTPSを適用するウェブサイトだけ登録すれば終わり。 (さらに簡単にこの3つのステップを確認したいなら、クリックしてください。)

無料で追加的なWebセキュリティサービスも利用することができて、企業のWebサービス担当者、オンラインショッピングモールの運営者や個人ホームページ運営者にとっては、なかなか良い機会ではないかと思う。

 

まだお金を払って、SSL認証書を使っているなら、今からは、クラウドブリックで無料でSSL認証書を使うのはどうだろう。

 

001

【情報】最新Web脆弱性トレンドレポートのEDB-Report(10月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 10月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(9月)がリリースされました。

 

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 9月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

profile

ペンタセキュリティのクラウドブリック、米国NCSAMチャンピオンに2年連続選定

 

 

ペンタセキュリティのクラウドブリック、

米国NCSAMチャンピオンに2年連続選定

 

「国際サイバーセキュリティ認識向上月間(NCSAM)」キャンペーンを通じて情報セキュリティ大衆化をリード

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)のWebハッキング遮断サービスであるクラウドブリック(Cloudbric、http://www.cloudbric.jp/)が10月11日、去年に続き2年連続で米国の「国家サイバーセキュリティ意識向上月間(National Cyber Security Awareness Month, NCSAM)」でセキュリティサービス部門のチャンピオン企業として選定され、広報大使の役割を果たすことを明らかにしました。
米国は、2004年から10月を「国家サイバーセキュリティー意識向上月間(National Cyber Security Awareness Month、以下NCSAM)」として記念しています。NCSAMは、米国の国家サイバーセキュリティ協議会(NCSA:National Cyber Security Alliance)と国土安全保障省(Department of Homeland Security)が主催するキャンペーンであり、情報資産を保護することが国家安保の優先になるという認識を高めるために始まりました。このキャンペーンを通じて、国際的に情報セキュリティの重要性を知らせて、セキュリティ事故発生の際、国家のリスク管理能力を培うことを目指としています。

特に、今年のテーマは「Our Shared Responsibility」であり、全世界が繋がっている「Connected world」になっているだけに、IoT、クラウドの導入が拡大されていて、私企業・教育機関・政府機関などのチャンピオンが協力し、セキュリティの重要性を強調し、企業と個人のセキュリティ義務を想起させるメッセージを伝播する予定です。

クラウドブリックは、昨年グローバル市場で初披露された簡単で賢いWebハッキング遮断サービスとして、Webアプリケーションファイアウォールだけでなく、DDoS防御、SSLなどのウェブサイトの保護に必要な機能を全て提供しながら、ITに関する知識がなくても簡単に適用できるという点が高く評価されたため、昨年に続き、2年連続で唯一なクラウドWebアプリケーションファイアウォールソリューションとしてNCSAMの広報大使に選定されました。クラウドブリックは、今後大手企業のセキュリティ担当者だけでなく、一般人・個人事業者も簡単にセキュリティ事故を防止できるようにSNSを通じて「簡単に学ぶセキュリティノウハウ」とセキュリティコラムを共有しながら、広報大使の役割を担う予定を明らかにしました。

ペンタセキュリティのCTOのDSKimは、「2年連続NCSAMのチャンピオンとして選定され、グローバルサービスとしての地位を認められたようでとても嬉しい。」とし、「情報セキュリティの義務は、企業だけでなく我々が一緒に認知していなければならない文化の一つだと思うので、NCSAMの「Our Shared Responsibility」という趣旨にとても共感し、簡単かつ充実したコンテンツを通じてセキュリティ分野に対する感心をさらに高めることに貢献したい。」と言及しました。

Cloudbric(クラウドブリック) 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

technology-code-computer-1920x1080

【コラム】 ハッカーはなぜ中小企業をターゲットにするのか

 

Key Conductorsコラム

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

今回の話をする前に、「ハッカーは大手企業のみを攻撃のターゲットにしている」という固定観念は、捨てた方がいいと言っておきたい。「どうせ盗みに入るなら、お金持ちを狙う」という一般的な認識から、「ハッキングするなら価値のある情報を「たくさん」保有していそうな大手を狙うもの」といった考えに至るだろう。

しかし、ここが穴場である。大手を狙うコストを考えると、いくら成功した時に得られる情報が「たくさん」あってもハッキング自体、割に合わない仕事になってしまうのだ。最近では、大手に比べIT予算が豊富にないことから、セキュリティ対策が十分でない可能性の高い中小企業をターゲットにする傾向が見られているのである。

先日、シマンテック(Symantec)が公開したインターネットセキュリティ脅威レポート(Internet Security Threat Report 2016)によると、サイバー攻撃の約6割は中小企業やスタートアップ企業をターゲットとする攻撃と記述している。当事者の立場から考えると驚く程の数値である。今回このコラムを借りて、なぜハッカーは、中小企業を狙うのかを簡単に説明したいと思う。

 

中小企業は狙われやすい

 

本来なら、価値のある情報が多そうなところを狙うと思われていたハッカーは、なぜ中小企業にそのターゲットを定めてきているのか。実は、かなり論理的な考え方に基づいた賢い(?)選択だと筆者は思う。

中小企業の場合、この「サイバーセキュリティ」についてかなり誤解している部分がある。まず、ホスティング業者やシステム委託先にセキュリティは考えて(対策して)もらっていると勝手に思い込んでいるのである。サイバーセキュリティは、当事者の責任の下対応していかなければならないものである。

2つ目は、「ハッキングされたら、その時に対応策を考えれば良い」と認識していることである。つまり事後対応すれば良いと考えているのである。セキュリティへの投資は、リターンのない投資だ。予算や人に限りのある中小では、やっぱり後回しにされがち。最近のIncマガジン(The Big Business of Hacking Small Businesses, 2015)でも、71%のデータ漏洩事故は会社規模100人以下の中小を対象に行われていると言っている。サイバー攻撃による各企業側の被害額を平均すると約3万6,000ドルを上回るそうだ。大企業としては大した金額でないかもしれないが、中小企業には死活問題に陥る危険性もあるだろう。

中小企業は、サイバーセキュリティに目を向けられないという現状を、ハッカーらは把握しているのである。

その他、理由は色々とあるものの、いまだにセキュリティ対策について全社的に真剣に取り組む中小企業は数少ないのが現状である。重要な個人情報や企業機密等を安全に管理しなければならないのは、大企業でも中小企業でも差はない。よってハッカーらも、「たくさん」情報を持っている大手を狙うコストとセキュリティのスカスカな中小を狙うコストを天秤にかけるだろうし、非常に合理的な判断として、中小企業を狙う方にシフトしていくのである。

 

それでは、中小のセキュリティ対策は、どうすればいいのか。

 

ここで言っておきたいが、セキュリティ対策は、継続的に取り組んでいかなければならないということである。つまり、一回の投資ですべてが万々歳ではないということ。

そして、外部からの攻撃は知られているが、内部者による情報漏洩にも気をつけるべきだ。攻撃者がサイバー攻撃を試みる際、45%が試験的に自社に攻撃を仕掛けてみており、そのうちの29%は成功しているそうだ。

 

中小企業のセキュリティ、どのようにアプローチすべきなのか。

 

まず、自社のWebサイトが脆弱(ぜいじゃく)であることを認めることから始まる。Webサイトの脆弱性を突いた攻撃は、場所を問わず起こり得る。サイバーセキュリティについて考え方を変えることが、サイバーセキュリティのための第一歩である。

次に、重要情報に対してのアクセスポリシーを策定することである。これは、サイバーセキュリティを考慮する際には必須だ。内部者による犯行を未然に防ぐ、そして、社内にて情報管理の担当者としても、万が一の事故があっても本人を守ることができるのである。そして攻撃ターゲットにある対象を守るためのソリューションを導入することである。例えば、Webサイトのセキュリティであれば、Webアプリケーションファイアウォール(WAF)が考えられるだろう。

では、Web攻撃対策として必須的な「Webアプリケーションファイアウォール(WAF)」とは何だろうか。

WAF(ワフ)は、Webアプリケーションファイアウォール(Web Application Firewall)の略で、脆弱性を悪用した攻撃からWebアプリケーションを保護するものである。

中小企業に対してWAF導入が必須的であることは、下記の二つの理由で説明できる。

  1. Webサイトのセキュリティ強化:WAFは、最近行われる様々なWeb攻撃のパターンを分析し、それに適切な対応を行うことができる。
  2. 脆弱性を悪用した攻撃への対応:Webアプリケーションに脆弱性が検知された場合、WAFはその脆弱性を悪用した攻撃に対抗し、完璧に解決できる。

脆弱性の多いWebサイトをしっかりと保護するためにも、WAF導入を検討して導入しなければならない。

 

それでは、中小企業向けの最適のWAFとは?

 

WAFの種類は、ハードウェア型とソフトウェア型、そしてクラウド型がある。この中で、最近多く注目されてのは「クラウド型WAF」である。

「クラウド」とは、機器を利用するユーザが単にインターネットにアクセスすることで、アプリケーションなど様々なサービスの提供を受けられるサービスである。最近企業システムのクラウド化が加速しているが、それはセキュリティ分野でも例外ではない。

既存のハードウェア型WAFは、これまで自主的に保有している電算室のサーバの前に設置され、外部から行われる不正アクセスやウェブ攻撃からWebサーバを保護する方式だった。しかし、クラウド型WAFサービスは、装備の設置に努力をかけなくても良い。進化している仮想化環境に最適なWebセキュリティソリューションだと言えるだろう。

 

クラウド型WAFのメリット

 

クラウド型WAFは、下記の三つの理由で多数の企業から選ばれている。

  1. 低費用で運用・導入可能:既存のハードウェア型WAFに比べ、初期費用も安価で提供され、月額制で行われている。特に負担がないので、企業は気軽に利用できる。
  2. 短期間で導入:クラウド型WAFは、別途にサーバ構築作業を行う必要がない。以下の3ステップで終わる。


    ①アカウント登録 ▶ 
    ②ドメイン入力 ▶ DNS設定

     

    この3ステップで、早速な導入が可能である。他のインフラ調達や複雑な初期設定がないことから、これはクラウド型WAFが持つ強力なメリットだと言える。

  3. システム運用管理の不要:システムの導入及びその後の運用管理は、該当セキュリティ企業ベンダーから提供するため、別途のセキュリティ担当者を配置する必要がない。

 

低コスト・高セキュリティ・ソリューション、クラウドブリック(Cloudbric)

 

クラウドブリックは、ペンタセキュリティのアプライアンス型WAF製品である「WAPPLES(ワップル)」の技術を基盤としたクラウド型WAFである。20年を超えるペンタセキュリティの技術力とノウハウで、もはや全世界に認められているサービスであり、個人ユーザー向けのサービスや企業向けのエンタープライズサービスを提供している。

クラウドブリックは、下記のとおり、三つの特徴を保有している。

  1. 全世界の専門家が認めた最高のソリューション:クラウドブリックは、既に全世界から認められているクラウド型WAFサービスである。2016 SC Awards Europeで最高の中小企業セキュリティソリューションとして受賞しており、その他にも2016 Cyber Defense Magazine AwardsからThe Hot Company in Web Application Security for 2016を受賞した。また、米国のNCSAM Championとしても選定された。
  2. 高度の技術力で外部からのウェブ攻撃遮断:米国のリサーチ専門機関である「Frost & Sullivan」の発表により、2016年アジア・パシフィック地域WAFのマーケットシェア第1位のWebアプリケーションファイアウォールのコア技術である自社開発の論理演算検知エンジン(COCEP™; Contents Classification and Evaluation Processing)を搭載したクラウドブリックは、不明確なWeb攻撃をより効果的に検知し、遮断する。
  3. 直観的なインタフェース画面を提供:ダッシュボードが一般ユーザーでも簡単に運用・管理できるように直観的なインタフェースで構成されている。

 

セキュリティは、その第一歩を踏むことが大切だ。中小企業を狙っているハッカーに立ち向かうべく、中小企業側でも低コストのクラウド型WAFを利用して、セキュリティを強化するべきである。

 

クラウドブリック(Cloudbric)の詳細情報は、こちらから詳しく確認できる。

 


キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

 

 

photo-1453060113865-968cea1ad53a

【コラム】 安全なWebサイトの国際標準とは?

 

Key Conductorsコラム

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データベース暗号化・Webセキュリティに関するものを解説いたします。

このWeb全盛期時代、セキュリティは最も重要ーー。

いくら強調しても、なぜWebセキュリティが重要なのか、その本質まで理解してもらえないケースがよくあります。今回もこの場を借りてWebセキュリティの大切さについて訴えたいと思います。

今の時代、グローバルはインターネットですべてつながっており、インターネットを介しすべてのことが疎通していると言っても過言ではありません。にも関わらず、Webのセキュリティについては、誰も目を向けようとしない。その理由は、「安全なインターネット」は、一体何なのかよく分かっていない人が多いからだと考えます。

 

安全なインターネットとは?

 

皆さんがよく使う言葉で、実はその意味を明瞭に分からずに使っている言葉が案外存在するかと思います。このITの分野でいうと、「ICTセキュリティ」が丁度いい例になります。
「ICT時代」と言われると、普通に肯くかもしれませんが、「ICTセキュリティとは」と訊かれたら、「あれ、何だったっけ?」になる人も多いのではないだろうか。「セキュリティ」は重要であるということは分かっていながらも、何をどうすればいいのか、私たちは明瞭に把握できている人は少ない。実際私たち個人だけがこのICT時代のセキュリティ迷子になっているわけではなく、会社や団体などもセキュリティ迷子になっていると言えます。

しかしながら、この社会は迷える人々のためにきちんとした社会的安全措置を用意してくれています。セキュリティへの悩みを解消できる「国際標準」が、それです。代表的なのは、イギリスBSI(British Standards Institute)が制定したBS 7799をベースに構成されたセキュリティ認証であり、フレームワークである「ISO 27001」が挙げられます。

そして、より経営中心の性質が強い「ISMS(Information Security Management System) 情報セキュリティ経営システム」も重要な基準と言えます。このようなフレームワークを基準に企業側のセキュリティシステムを構築すれば、かなり安全なICTセキュリティポリシーを構築できるということです。

例えば、ある企業がISO 27001フレームワークの評価の11項目の全てに対し、安全という判定を受け認証を取得したとします。これは、ICTセキュリティの危機に対し、全社的に取り組んで総合的に管理を行い、今後持続的に改善していくためのシステムを構築できたということを意味します。

もちろん、認証を取得しているから100%安全になったではなく「相当安全である」ということです。

 

安全なWebサイトの基準になる国際標準は?

 

国際的非営利NGO団体として、オンライン信頼度評価機関である「OTA(Online Trust Alliance)」は、毎年著名なWebサイトを対象にそのセキュリティをチェックし、その結果を以て安全なインターネット文化の形成のために努力したWebサイトを選定する「OTHR(Online Trust Honor Roll、オンライン信頼度優秀)」の企業を発表しています。

OTHRは政府、マスコミ、金融、SNS等、様々な部門にわたり、約1,000以上の世界的に著名なWebサイトを対象にします。2015年の選定結果としては常連の約46%がセキュリティの面で減点されランクインできず、「最も信頼できるWebサイト」として「Twitter」が選定されました。

 

OTAは、どのような基準を以てOTHRを選定しているのか。

 

基準は色々ある中ここで注目すべき点は、去年から「WAF(Web Application Firewall)の採用」が加算項目になっているということです。WAF採用の有無は、OTHRの選定結果を大きく左右しました。

WAFは、Webアプリケーションのセキュリティとして特化して開発されたソリューションです。外部からの攻撃を検出し遮断することで悪意のあるコードをWebサーバに挿入しようとする試みを未然に防ぐ、そして、システムの脆弱性を外部に漏出しないように制御するなど、Webセキュリティにおいて、最もコアで重要な部分を対応しています。

Webサイトのセキュリティは、システム全体に及ぼす影響が大きく、OTAは今後もWAF採用有無によるOTHRの選定への影響を強めていくことを明らかにしました。

 

「じゃ、WAFを購入すればいいわけ?それっていくら?」

 

WAFを導入すれば、セキュリティ問題はいかにも簡単に解決できそうですが、そんな上手い話ではありません。また、生産性のない「セキュリティ」に投資をすることは、営利団体である企業側にとって簡単なことでもありません。第一、WAFはとても高価とはいわないものの、安価でもありません。

ここでコストパフォーマンスを考慮したら、クラウド型WAFサービスの出番となります。簡単な導入の手続きかつ、リーズナブルなサービス価格にて実際のWAFを導入したことと同等のレベルのセキュリティを確保できます。

言い切ってしまうと、Webのサービス開始のための数回のクリックで、全体のICTセキュリティ脅威の90%を占める「Webハッキング攻撃」を防ぐことができるようになります。このようなクラウド型のWAFサービスの場合、ハードウェアを持つ必要がなく、インストール作業は発生しませんし、コーディングなどの必要もありません。

実際、システムの実務者を対象にWebセキュリティにおいて一番重要なことは?と聞いたところ「モニタリング」という回答が多い結果を示したといいます。Web攻撃のトレンド把握や未知の攻撃を予想するよりは、今この時間に自社のWebサイトが狙われている現状を知りたい、といったニーズが高いようです。このような管理者のために必要なのは、持続的、かつ効果的にモニタリングができるインターフェースが重要です。システムにおいては専門家である管理者でもこれがセキュリティになると“話は別”になるのも、よくある話です。

様々なクラウド型WAFサービスがリリースされていますが、弊社では、専門家ではなくても簡単に導入でき、ユーザーフレンドリーなインターフェースに力を入れ、クラウドブリック(cloudbric)を提供しています。一度お試しになることをオススメ致します。体験してみて損はありません。

WebセキュリティにおいてWebアプリケーションに特化したセキュリティとして、まずWAFの導入をご検討して頂きたい。そして、そのスタートとしてクラウド型WAFサービスは、魅力的なソリューションであることを今一度覚えて頂けると幸いです。

 

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

 

hack-813290_1280

【コラム】 ハッカーの6つの行動パターン

Key Conductorsコラム

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

「ハッカー」は、何のためにWebサイトをハッキングしているのでしょうか。

その昔、インターネットが普及していなかった頃のハッカーは、自己顕示欲が強く自分の能力を見せつけるためにWebサイトをハッキングしていたものでした。しかし、社会がWebでつながっていると言っても過言ではない現代のハッキングは、より巧妙に行われ、その被害も膨大になってきています。

技術の進歩により我々の日常生活は便利かつ多様な側面を持つようになりましたが、その技術進歩には裏面も存在します。例えば、ネットバンキングは過去15年の間、関連技術を基盤として進化し、一度のクリックで金融取引ができる便利な世の中を作り上げました。しかし、この利便性の裏には個人情報および銀行取引情報といった重要な情報がネットを介し流れることになります。その重要な情報を欲しがっているのが「ハッカー」です。

ハッカーが欲しがる情報と、その情報を手に入れるための行動には幾つかのパターンがあるのです。今回はそれらのパターンを紹介します。

1.脆弱性スキャン

脆弱性スキャンはその名前からも分かる通り、システムの内部の脆弱性を探るために用いられる手法です。自社システムのセキュリティホールを洗い出し弱い部分を改善、自社のセキュリティを強固にしていくための行為でもあります。しかし、ハッカーらは同手法を用いて、標的のシステムに侵入するための脆弱性を見つけ出すのです。
ハッカーにとっての脆弱性スキャンは、本格的なハッキングを行うための情報収集およびシステムの脆弱性を下調べする行為であり、次の攻撃を行うためのゲートウェイのようなものなのです。

2.サーバー運用妨害

サーバー運用妨害は、Webサイトへのアクセスをブロックし、通常のサービスができないように妨害することです。サーバー運用妨害攻撃で最も知られているのは、分散型サービス拒否攻撃(Distributed Denial of Service attack:DDoS)が挙げられます。
DDoS攻撃を行うためにハッカーが「ボットネット(botnet)」と呼ばれるゾンビコンピュータのネットワークを介しPC端末を制御下に置き、そのボットネットがまるでゾンビ集団のように継続的にWebサイトに負荷をかけることで、サービスをダウンさせます。

3.金銭的損害

ハッカーにより行われる攻撃の中で被害側としては大打撃をうけるパターンが、この金銭的損害です。前述のようにネットの普及によりオンライン化された各種サービスは利便性をもたらしましたが、金銭的被害を及ぼすためのハッカーの狙いにもなります。

4.個人情報漏洩

前述の金銭的損害とともにこの個人情報漏洩はネット世界の課題でもあり、社会全般の問題としても議論されています。個人情報を手に入れたハッカーは、別人へのなりすまし、管理者権限を取得し更なる攻撃を仕掛けたり、奪取した情報を売り捌いたりしています。この前のアシュレイ・マディソンのハッキング事件は記憶に新しいかと思いますが、不倫サイトであるアシュレイ・マディソンの会員情報をWeb上に露出させ、非常に大きな波紋と混乱を引き起こしました。

5.Webサイト改ざん

Webサイトに対し、悪意を持って別の内容で置き換えることをWebサイト改ざんといいます。攻撃後はWebサイトを確認すれば、改ざんされた箇所がすぐ把握できるため、ニュースと同時に人々から「興味を持ってもらえる」攻撃として非常に効果の高い手法と言えます。
政治的な理念により選挙などで有力な候補者のWebサイトを改ざんするという事例が多発しています。この手のハッカーは、自己顕示欲が強い傾向があります。昨今アメリカでは、このようなハッキング行為に対し、処罰するというよりは「倫理的なハッカー」になってもらうよう、若者への「教育」を奨励している傾向にあります。

6.任意コード実行

システム上意図していなかったコードが実行されれば、それは要注意です。ハッカーは、悪意のあるコードを挿入し、コマンドを実行することで標的のシステムを制御し出します。ハッカーは、任意のコードを実行するために前述の1.脆弱性スキャンのように下調べを行い、そのシステムにて最もセキュリティ的に弱い部分を狙い打ちします。次の攻撃のための第一歩になるわけです。
このように、時代の流れと技術の進歩とともに、世の中の必要悪として「ハッカー」と「ハッキング」という言葉は誕生しました。サイバー上の戦いは、非常に恐ろしいものです。しかしながら、このような時代になったからといって、怯えるばかりでは何も解決できません。自社システムの脆弱性を洗い出し、その弱いところを補完できるセキュリティソリューションを検討することが重要です。
このようなコラムを介し、微力ながらもセキュリティにおいての知識や心構えなどを共有できればと思います。Webサイトを保護し不正アクセスを遮断するためには、その専用のセキュリティ対策としてWebアプリケーションファイアウォール(WAF)の導入をオススメします。もし宜しければ下記リンクもご参照下さい。

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。