Posts

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(8月)がリリースされました。

 

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 8月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

Boy Programming On Computer With Multiple Monitors And Laptop On Desk

【コラム】誰しもするハッキング、対策が盲点だ。

17歳の青少年たちが学校のシステムをハッキングした。警視庁や佐賀県警察は、県立中学校と高校の教育行政情報を管理するシステムに侵入し、個人情報を奪取した佐賀市居住中の17歳容疑者を不正アクセス禁止法違反の疑いで逮捕し、共犯と推定される何人の学生たちを調査した。
流出されたファイルの数は21万件で、個人情報が流出された被害者の数は生徒10.741人、父兄1,602人、教職員1,116人、その他が896人などで合わせて14,355人だ。流出された個人情報は、名前が14,355件、IDが6,368件、住所が1,922件、電話番号1,843件、メールアドレス564件、成績情報808件、進路指導情報353件、学生指導情報67件だ。

佐賀県・少年不正アクセス事件の経緯

 

容疑者と彼の友達はただの遊びで学校のハッキングを楽しんだ。17歳の青少年たちが学校システムをハッキングしたという事実自体による社会的な衝撃は非常に大きいが、冷静に言ってこれは確かに大きい意味がある事件ではない。最近は、誰もがインターネット検索だけでも、これぐらいの犯罪は簡単にできるほどのハッキングツールを気軽く手に入れることができるから。もし専門家集団が何らかの目的性を持って繰り広げたことだったら、より巧妙に犯行をばれないようにして、今のように知られていなかったはずだが、そもそもアマチュア集団がただの遊び半分で起こしたものだから、このようにセキュリティの脆弱性が明らかになったのが、かえってよかったと思う。

ハッキングされたシステムは、ウェブ上で教師が学生の成績などの情報を管理したりするもので、学生たちは学校のお知らせなどを見ながら授業の教材をダウンロードするなどの日常的に使用されていた佐賀県の教育情報システムである。ハッキングされたサーバは2種類で、県立学校が共有するクラウド基盤の教育情報システム「SEI-Net」、そして事故が起こった学校の校内LANを使用する教師向けの学習用サーバーである。

「SEI-Net」の場合、Webアプリケーションの脆弱性を狙った侵入だった。最近のハッキング事故のほとんどがWebアプリケーション攻撃であるため、これもあまり特別な事例とは見えないし、このように発生頻度から絶対的多数を占める明白なセキュリティの脆弱性をこのように放置しているという事実がむしろ特異点である。Webアプリケーションセキュリティは電算関係者全員が問題を根本的に分析・診断して確実な対策を講じなければならない時点である。

容疑者は、SEI-Netの学習管理システムの様々な機能の中で学生たちが学校のお知らせを確認するためにアクセスするメッセージ機能を悪用したという。侵入に使われたIDとパスワードをどう確保したかはまだ明らかになっていないが、警察は共犯と推定される学生らの協力を疑っている。

校内LANを使用するサーバーの侵入は、無線LANの隙を狙ったことが明らかになった。マスコミから報道された内容から見ると、容疑者は現在、捜査に協力していない態度を取っているようだが、いまだに具体的な事実は明らかになっていない。当該システムは、WPA2-PSK(AES)方式の暗号認証とMACアドレス認証を組み合わせる方式で、ユーザーのアクセスを統制するものだが、容疑者がMACアドレスを偽装してログインする際に使用した管理者IDとパスワードを入手した経緯もまだ明らかになっていない。警察は、これも学生身分を持っている共犯の協力を疑っている。容疑者と加担者は、学校隅々のセキュリティ管理が厳しくないところを狙い、無線ネットワークのトラフィックを横取りする、いわゆる「War driving」手口を使ったものと推定されている。

経緯を要約すると、今回の事件概要は以下の通りである。

– 青少年のアマチュアハッキング会が面白半分で、

– Webアプリケーション脆弱性を悪用し、学校情報システムに侵入して

– 校内の無線インターネットを通じてサーバーに侵入し、個人情報を奪取したハッキング事件である。

「ハッキング」といえば、専門訓練を受けた専門家だけができる、とても難しくて複雑なことだと思うが、絶対そうではない。今回の事件だけを見ても、ハッキングがどれほど簡単であるかを確実に見せている。誰しでも、本当に誰しでも、インターネット検索が可能な者であれば誰でも、ハッキングをすることができる。

ウェブの大衆化と一般化、そして技術発展の速さと加速度によって、ウェブを悪用する逸脱行為もこれからより頻繁に起きるはずだ。したがって、ウェブ攻撃に対応するために犯罪手口を分析して、診断し、今後の対策を備えることは今も重要だが、これからはますます重要になるはずだ。従来の電算環境全てがウェブに移される「プラットフォームの大移動」が全て完了されてからは、「ITセキュリティ=Webセキュリティ」の等式が完全に成立するようになれるはずだから、これはとても当然の話だ。

それでは、少年不正アクセス事件発生の後、提示された対策の焦点を見てみよう。

 

事件の診断と対策の焦点

 

少年不正アクセス事件の発生後、提示された対策は下のようだ。

-正常的利用者の端末にデジタル認証書を追加的に搭載する。

-教員のコンピューターにデスクトップ仮想化を適用し、不正アクセスを遮断する。

やはり、対策はアクセス統制がほとんどだ。システムへのアクセスを統制することで、事故発生を防ぐという趣旨の対策である。侵入したのが問題だから、侵入ができないようにする?

世の中の全てのことがそんなに簡単で明快に解決できるなら、どれだけ楽だろうか、しかし、そんなはずがないというのは知っているのではないか。本当にもどかしい。事件診断の核心にならなければならにウェブアプリケーション脆弱性に対する悩みが全くないという点だけ見ても、まともな対策と見ることはできないと判断される。

ハッキング技術は、以前のように専門家だけができる特殊な技術ではない、まるで一般事務のためのプログラムのようにありふれた技術になっている。すなわち、潜在的な攻撃者の数が爆発的に増加している意味であり、それによって既存のアクセス統制にだけ集中されていた方法論自体の限界を見直す必要があるという意味でもある。

計画通り、全ての仕事が進むとしても、もし教員や学生が端末機を失うことになると、どうなるのか?紛失に気づき、アクセスを遮断するとしても、一日以上は所要される。これは、システムに侵入し、以後、該当端末がなくても出入りできるバックドア―を設置するには十分な時間である。バックドア―の設置も、先に言ったハッキング技術のようにインターネット検索だけでだれでも簡単にできることである。そして、出入りを厳しく統制してはいるが、教務室への侵入など、物理的な防除失敗は今も時々起こることである。

そもそも、IDとパスワードだけでアクセスを統制する以上、仕方なく存在する限界なので、指紋や虹彩などの生体情報認識などの追加的な認証手段なしには安全を保証できない。それに、このような追加的セキュリティ措置は追加すれば追加するほど、システムの使用が不便になるという問題も決して軽く考える問題ではない。使用が不便になると、こっそりとセキュリティ措置を解除して使わない場合がほとんどだからだ。

上記の対策の限界は、現在セキュリティ戦争の戦況を見ている観点が間違っているからだ。

対策の失敗は、間違っている観点のせいだ。

 

どんな問題においても対策作りの失敗は、だいたい問題の原因をきちんと把握できなかったり、そもそも不可能なことを可能と見る蛮勇を振るうからだ。今回の事件もその一つなので、観点の間違いを調べることで、実際、効果的に作用する対策の基盤を考えて見よう。

1.ウェブアプリケーション脆弱性攻撃はどうせ防ぐことができない?

これは一部、事実だ。全体ITシステムの構成にあたってWebアプリケーションは元々セキュリティ的にとても不安な要素である。Webを通じて、ユーザーとコミュニケーションする最初の目的のせいで、いくら安全に構築しても、つまり、いわゆる「セキュアコーディング」をいくら完璧にするとしても、脆弱性は存在するしかない。もちろん、非常に(?)安全なアプリケーションを作ろうとすると作るのは作れるが、そうなると使用がほとんど不可能なぐらいに便利になる。ユーザーの便利さを無視すれば無視するほど、ユーザー数は急減するので、安全だけ考えることも難しい。だから折衷は必要だ。

そのため、使うのが「Webアプリケーションファイアウォール(WAF、Web Application Firewall)である。WAFは、Webアプリケーション自体の脆弱性や開発者の人間的なミスによる虚点を外部の攻撃から保護し、Webアプリケーションが便利な使用性を維持する状態でも十分な安全性を保障してくれる。「ファイアーウォール」という名前のため、よくハードウェアで認識されるものの、実はソフトウェアであり、ハードウェアはシステムの構築および運営を簡単にし、動作の際、性能を最大限で保障するための装置として機能する。WAFは、人工知能のように作動するソフトウェアの機械的な性能として、Webアプリケーションの人間的な欠点を補完する。

2.一応侵入されると、情報漏えいは避けられないから、侵入を封鎖するのが最優先だ?

これは違う。情報漏えいが避けられないものではなく、侵入が避けられないのだ。最善を尽くして防ごうとしても、侵入事故は結局発生してしまう。これは簡単に言えば、物量の問題だ。ある集団が情報セキュリティに投資できる最大の費用と力量を10としたら、最大値10の力で防いでも、100の力で来るのだ。そして、その数はこれからもだんだん増えるはずだ。アクセス統制にはそもそも限界がある。だから、侵入されてもセキュリティ事故の最悪の事態である情報漏えいおよび漏洩された情報の内容公開だけは防ぐという態度の転換が必要だ。

結局、データ暗号化だけだ。ハッカーが全部持っていこうとしても、盗んだ情報を使用できないようにする必要があるのだ。データ暗号化さえきちんとすると、もし侵入されても情報の内容公開だけは防ぐことができる。使えることもできないし、売ることもできないものをあえて盗む泥棒はいない。言い換えれば、アクセス統制は暗号化の効果を期待できないが、暗号化はアクセス統制の効果を狙うことができるという意味である。

それに、データ暗号化を通じて、より総体的で総合的なセキュリティ効果を期待できる。暗号化と言えば、よくデータベースに保存されている暗号化のみ考えるが、端末機からデータベースに至るまで、データが流れる経路のAからZまで、電算環境を暗号化する「データ暗号プラットフォーム(Data Encryption Platform, DEP)」体系を構築すると、システム全体にわたって完璧なセキュリティ性を達成することができる。

 

そして、対策の根本は、ハッキングに対する認識の変化

 

すべてのハッカーは強力に処罰しなければならない?もちろん、そうしなければならない。情報犯罪を軽く考え、犯罪者に寛大な処分をする場合が結構あるが、情報犯罪は経済犯罪などの犯罪に比べても、罪質が決して軽くない、とても重い犯罪だ。しかし、今回の事件と事件の容疑者集団の性質を調べて見ると、処罰よりは教化がより重要なことであるようだ。情報犯罪の害悪と被害について正確に認知するよう教育することで、以降、犯罪者の道を歩かないように、社会が関心を傾けながら面倒を見なければならない。それによって、今回の事件の容疑者が今後、より悪徳な犯罪を起こす本当のハッカーになるのか、さもなければ自分の関心分野をちゃんと勉強し、社会に貢献する立派な社会人になれるのかが決められるのではないか。結局、これは大人の義務である。

だいたいのハッカーは、自分が起こす犯罪がどれだけ悪いことかを十分に認知できない。今回の事件も面白半分で犯したことではないか。情報犯罪に対する対策の土台は、情報犯罪がどれだけ悪いことなのかを正確に認知するようにすることから始めなければならないと思う。そうしないと、誰しもするハッキングをいったいどうやって防ぐか。

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(7月)がリリースされました。

 

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 7月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

profile

ペンタセキュリティ、シンガポールで自社WebアプリケーションファイアウォールWAPPLESをODMを通じて供給

ペンタセキュリティ、シンガポールで自社Webアプリケーションファイアウォール
WAPPLESをODMを通じて供給

シンガポールでのWebアプリケーションファイアウォール供給を始めて、グローバル市場拡大

データベース暗号化とWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、8月16日、シンガポールのサイバーセキュリティ企業であるQuannとのODM契約を通じて、シンガポールで自社WebアプリケーションファイアウォールのWAPPLES(ワップル)を「Quann WAF」製品として供給開始することを明らかにしました。シンガポール最大の防衛産業会社のCertis Ciscoの子会社であるQuannは、サイバーセキュリティサービスを提供する企業としてサイバー攻撃のリスク評価およびセキュリティ・コンプライアンスに関するコンサルティングを提供する企業です。Quannは、Webアプリケーションファイアウォール技術を顧客に提供する方法を調べる中、ペンタセキュリティとの協力を通じてODM(Original Design Manufacture:開発力を備えている企業が販売網を備えている流通業者に商品やサービスを提供する生産方式)方式でWebアプリケーションファイアウォールを提供することにしました。ペンタセキュリティのWAPPLES(ワップル)は、アジア・パシフィック地域のマーケットシェア1位のWebアプリケーションファイアウォールとしてペンタセキュリティが独自開発した論理演算型エンジン(COCEP™)を活用しており、他社のWebアプリケーションファイアウォールとは違く、別途シグネチャのアップデートが必要ないという特徴を持っています。また、米国の性能測定機関であるTollyグループ(Tolly Group)で施行したテストを通じて、海外の有名Webアプリケーションファイアウォールに比べて、TPS、CPS、誤探率などのWebアプリケーションファイアウォールの主要性能が優れているという評価を受けた履歴があります。今回、ペンタセキュリティとQuannが結んだODM契約を通じて、WAPPLES(ワップル)は「Quann WAF」という名称でシンガポールで提供される予定です。「Quann WAF」は、ペンタセキュリティの初ODMプロジェクトで、東南アジアの主要3大市場であるシンガポール、香港、マレーシアに販売される予定で、その後はWebアプリケーションファイアウォールだけでなく、セキュリティ管理サービス(Managed Security Service)でもQuann WAFを活用する予定だそうです。また、Quannのグローバル・パートナー社を通じて、WAPPLES(ワップル)とQuann WAFをグローバル市場でも供給することで、グローバル市場での立地を固めていく見込みです。

ペンタセキュリティの最高技術責任者であるDS Kimは、「優秀な技術力を認められているWAPPLES(ワップル)を「Quann WAF」としてシンガポールをはじめ、アジア・パシフィック地域で提供することができてとてもうれしい。」とし、「これからもペンタセキュリティのレベルの高い技術力を盛り込んだ製品を様々な国家に提供し、グローバル市場へ事業領域を拡張していく計画である。」述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】 2016年、知っておくべきWeb脆弱性4大項目

 

Key Conductorsコラム

 

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

連日と言っていいほどサイバー犯罪のニュースを耳にするようになったと思うが、この増加傾向は何を表しているんだろうか。

そのベースにあるのは、まさに「脆弱(ぜいじゃく)なWeb」が多いことである。今の時代、悪意のある人間はいとも簡単にWebページにアクセスでき、脆弱な部分を見抜いてしまう。このような行為を手助けするかのように自動化されたツールが出回っているのも事実である。つまり、サイバーテロを試みる者さえいれば「専門的」なハッカーである必要はないのだ。

「安全なWeb」の実現には、努力目標としてセキュリティレベルを上げていくようなさまざまな行動を起こさなければならない。本稿では2016年上半期のWeb脆弱性TOP4を取り上げる。下半期のセキュリティ対策を設けるにあたり、微力ながら参考になればと願っている。

 

1.SQLインジェクション(SQL Injection)

 

Webサイト攻撃の定番ともいえるSQLインジェクションは、アプリケーションプログラムの脆弱性を突き、開発レベルでは想定していなかったSQL文を実行することでデータベースを不正に操作する攻撃手法である。この攻撃が成功すると、ハッカーはデータベースサーバに対してファイルの読み込みや書き込みが可能な状態になり、任意のプログラミングを実行できるようになる。WHO(世界保健機構)のような大きな団体ですらSQLインジェクション攻撃にさらされたことがある。

悪意のある者はWebから簡単に自動化されたツールを入手し、攻撃のための下見に利用している。例えば「sqlmap」という自動化ツールを使用すれば、ターゲットのURLに対してSQLインジェクションが可能となる脆弱性がないかどうかスキャンできる。しかし、Exploit(エクスプロイト)攻撃を通じて、間違ったコードを挿入する場合、MySQLシンタックスエラーが生じることもある。

2014年、ハッキングの被害にあったソニープレイステーションのケースもSQLインジェクションによるもので、この昔ながらの脆弱性を突いた攻撃は現在でも十分すぎるほどの破壊力がある。SQLインジェクションの試みが通ってしまうと、そこから抜かれる情報によって、企業側には計り知れない被害を及ぼすことになる。

 

2.クロスサイトスクリプティング(Cross Site Scripting:XSS)

 

ユーザーの入力に対し適切な措置が設けられていないシステムの脆弱性を突くXSS(クロスサイトスクリプティング)も定番の攻撃だ。

ユーザーに対し入力を許可する部分は、悪意のある者にとっては利用価値が高く、常に攻撃の対象になるのである。実行可能なコードやスクリプトのタグをシステム側に挿入し、意図した行動を起こすようにコントロールできる強力な攻撃の入口となるからだ。

一般ユーザーが、XSSが仕込まれたWebサイトを訪問し、ページを閲覧するために1クリックするだけで悪意のあるコードが実行され、セッションクッキーや個人情報等が何者かに渡されてしまう。実際クレジットカード情報も抜かれ、本人の覚えのない買い物をしてしまうケースも多々ある。

WhiteHat Securityが公開しているホワイトペーパーによれば、どんなWebサイトでも67%はXSSの脆弱性にさらされているという。つまり、XSSを利用したWebハッキングは攻撃を行う側にとってコストパフォーマンスが高い方法であるのだ。セッション・ハイジャック(Session Hijacking)を決行し、政府のWebサイトを改ざんする等、その効果の高さは大したものである。

ただし近年、Webブラウザ側で事前にXSSの試みをチェックする機能が実装されていることは不幸中の幸いである。

 

3.ファイルインクルージョン(File Inclusion)

 

ファイルインクルージョンは、Webサーバ上のデータに対し入力検証の不備を突いて不正なスクリプトを挿入する攻撃手法である。そのパターンとしては、RFI(Remote File Inclusion)とLFI(Local File Inclusion)がある。

RFIは不正なスクリプトをサーバに挿入し、ターゲットのページを介して悪意のあるコードを実行させることで、サーバ側はもちろん、クライアント側にも被害を及ぼすことになる。LFIは、ターゲットのサーバ上のファイルに対し、不正なスクリプトを挿入し、デフォルトファイル名の変更、データのアップロード/ダウンロードの実行等やりたい放題ができる。

この脆弱性をうまく利用できれば、ログファイルからIDとパスワードを洗い出し、他の攻撃と組み合わせてログインジェクション攻撃なども実行できてしまう。このような脆弱性に対応するためには、入力検証の仕組みの脆弱性を把握し、不備を改修していくことを推奨する。

 

4.不完全な認証及びセッション管理(Broken Authentication and Session Management)

 

Webアプリケーションでは、HTTPのリクエストトラッキング機能がない故に認証のリクエストとそのセッションを継続的に管理する必要がある。悪意のある者は、このセッション情報から、ユーザーのタイムアウト、パスワード、ログアウト等さまざまな情報を入手できる。
この脆弱性の記憶に新しい事例は、マイクロソフトが提供するHotmailに悪意のあるスクリプトを挿入し、ユーザーのパスワードを入手しようとする攻撃を改修した際に発覚したものだ。この脆弱性ではユーザーインタフェースにトロイの木馬を仕掛け、ユーザーにパスワードの入力を複数回求めるものだった。そして、その入力データは即座に悪意ある者に送られるというシンプルながら非常によくできたものであった。
この種の脆弱性は、企業側で認証システムをカスタマイズし、セッション管理の不備があらわになってしまった場合に起こり得る。ユーザーがログアウトの処理をせずにそのままサイトを閉じてしまうようなケースでこのような脆弱性にさらされる可能性が高い。
開発者レベルでセッション管理の確認はもちろん、SSLによるセッションの暗号化も基本中の基本の対策であろう。

 

まずは、行動を起こす

 

このコラムで紹介した脆弱性は、Webアプリケーション、Webサーバ、Webページにおける最も有名な攻撃手法である。ありとあらゆる対策は開示されていて対応は進んでいるものの、まだまだ道は長いと言える。開発時における優先順位の上位に「Webセキュリティ」を持ってきてもらえるように認識を変えることも伴わなければならない。

まずは、この4つの脆弱性に対し、企業側で行動を起こすことをお願いしたい。脆弱性を認識しているのか、対策は取っているのか。現実問題として確認してほしい。
次のステップは、WAFなどの適切なソリューションの検討だ。脆弱性はセキュリティホールとも言われる。しかし、この小さい穴を利用して、貴重な情報を盗み出したいと思う者がたくさんいる。

企業としての社会的責任、そして貢献を考える際に、経営側は「セキュリティ」を念頭に置かなければならない。セキュリティホールはしっかりと埋めておかなければならないのである。

 

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

ペンタセキュリティ、WebアプリケーションファイアウォールWAPPLESでシンガポールCWC Forum 2016参加

ペンタセキュリティ、
WebアプリケーションファイアウォールWAPPLESで
シンガポールCWC Forum 2016参加

シンガポール政府機関のサイバーセキュリティフォーラムを通じてグローバル事業を強化

データベース暗号化とWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が7月22日、シンガポールのサイバーセキュリティ企業であるQuannが主催するCyber Watch Centre(以下、CWC)Forumに参加したことを明らかにしました。2007年、シンガポールで設立されたCWCは、サイバー脅威をモニタリングする一方、企業と政府のセキュリティのため、サイバー攻撃と関連している事項を知らせ、予防・防止の技法や製品を提案する組織です。今回、ペンタセキュリティが参加したCWC Forumは、マーケティング、営業やエンジニアたちが政府ITコンサルタントを対象に最新のセキュリティ技術を共有し、議論するイベントとして、このイベントを通じてシンガポールの政府機関の担当者たちは新しいセキュリティ技術について情報を得て、セキュリティ会社とのパートナーシップを強化することができます。シンガポール最大の軍需産業会社であるCertisのサイバーセキュリティの子会社「Quann」が主催した今年のCWC Forumにはペンタセキュリティが唯一な韓国企業として参加しました。

ペンタセキュリティは、CWC Forum 2016でアジア・パシフィック地域シェア1位のWebアプリケーションファイアウォールのWAPPLES(ワッフル)を展示しました。WAPPLESは、論理演算型検知エンジンの(COCEP™)を活用して、シグネチャをアップデートする必要がなく、他社の製品と比べて誤探率が非常に低いWebアプリケーションファイアウォールで、今回のCWC Forumの現場では、訪問者にWAPPLESの技術力を直接経験できるようにデモ試演を行いました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「2016年アジア・パシフィック地域の最高のセキュリティベンダーに選定されてから、ペンタセキュリティのグローバル市場での位相が更に高っていることを改めて実感するようになった。」とし、「今回のCWC Forumイベントを通じて、海外の政府機関及び様々な企業がどんなふうに協力して、セキュリティ技術の研究、開発を進めているかが確認できた。これをもとにして、世界的なセキュリティ企業としてさらに技術開発に力を尽くす予定である。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【情報】最新Web脆弱性トレンドレポートのEDB-Report(6月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 6月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

ペンタセキュリティ、高度道路交通システム(ITS)モデル事業の主管事業者として選定

ペンタセキュリティ、
高度道路交通システム(ITS)モデル事業の主管事業者として選定

独自開発したスマートカーセキュリティソリューションの車両向けの認証システムを本格的に適用する予定

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が7月25日、高度道路交通システム(ITS:Intelligent Transport Systems)のモデル事業向け認証システム構築やテスト運用」の主管事業者として選定されたたことを明らかにしました。

韓国インターネット振興院(KISA)が主管する「ITSモデル事業のための車両向け認証システム構築やテスト運用」事業は、「ITSモデル事業」で使用される認証システムを構築し、テスト運用をする事業です。この事業は、車両が走行中に他の車両又は道路に設置されたインフラと通信しながら周辺の交通状況と急停車、落下物などの危険情報をリアルタイムで確認・警告し、交通事故を予防するITSシステムをテストします。これを通じて、交通安全サービスを構築し、交通事故を予防するための核心機能を開発して、交通安全の効果および経済性を分析します。

車両が他の車両あるいはインフラとコミュニケーションする際、ITSのサービス信頼性を保障し、プライバシーを保護する対策として、PKI基盤の車両認証インフラが必要となります。韓国ではペンタセキュリティがIoT総合セキュリティ技術研究所で8年間研究∙開発したスマートカーセキュリティ技術力を認められ、主管事業者として選定されました。

ペンタセキュリティは、スマートカーセキュリティソリューションであるアウトクリプト(AutoCrypt)に活用された自動車向けのPKI認証システムを2017年2月までにITSモデル事業に適用するようになります。アウトクリプトのPKIを構成するCA(Certificate Authority;認証機関)、RA(Registration Authority:登録機関)、LA(Linkage Authority;匿名化機関)などのサーバ製品と車両と道路通信機器に搭載される認証書管理ソフトウェアを提供し、ITS事業に最適化される予定です。

ペンタセキュリティが昨年発表したアウトクリプトには、車両向けの認証システムだけでなく、外部から車で流入されるハッキング攻撃をアプリケーションレベルで検知する車両用のファイアウォール、車両内部で暗号化鍵を生成して管理する車両向けの鍵管理システム(KMS;Key Management System)などが含まれています。今回受注したITSモデル事業は、昨年、発売した自動車向けの認証システムをITSモデル事業に適用することになったのですが、当該製品は、IEEE 1609.2および米国のCAMP VSC3(Crash Avoidance Metrics Partnership–Vehicle Safety Communications 3)規格などの国際標準技術に従って開発されました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「今回のITSモデル事業向けの認証システム事業受注は、この8年間積み重ねてきた技術力と専門性を認められた結果だと思う。」とし、「発売してから約1年しか経っていないアウトクリプトが公共機関だけでなく、民間の自動車事業者にも多様に使われことができるように技術力を強化していく予定。」と述べました。

AutoCrypt(アウトクリプト)

 

ペンタセキュリティのIoTセキュリティR&Dセンターの「ピックル(PICL; Penta IoT Convergence Lab)」が8年にわたって研究・開発したスマートカーセキュリティソリューションで、世界初の車両用アプリケーションファイアーウォールです。車両の外部から内部に侵入する攻撃トラフィックを検知し、車両内部で使用される様々な暗号キーや証明書、車両外部のセキュリティ通信に使用されるキーのライフサイクルを管理します。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティのクラウドブリック、SC Awards Europe 2016 Finalistに選定

 

ペンタセキュリティのクラウドブリック、SC Awards Europe 2016 Finalistに選定

クラウドWebハッキング遮断サービスで2016年最高中小企業セキュリティソリューション最終候補に選ばれ
データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が5月24日、クラウド基盤のWebハッキング遮断サービスであるCloudbric(クラウドブリック)が情報セキュリティ産業分野でリーダーシップを披露している企業に賞を授与するSC Awards Europe 2016(以下SCアワード)の最終候補に選定されたことを明らかにしました。

SCアワードは、情報セキュリティ産業分野の最新ニュースやリサーチ資料、分析情報を提供するSC Magazine UKで主管する授賞式で、毎年、革新的なセキュリティ技術を保有した専門家や開発業社、供給会社を受賞者として選定してきました。今回のSCアワードの最終受賞者は、情報セキュリティ産業で経験を蓄積し、専門知識を保有している審査委員の評価で選定されます。クラウドブリックは、最高中小企業セキュリティソリューション部門で最終候補に選定されており、2016年6月7日、ロンドンで開かれるSCアワード授賞式で最終受賞者が発表される予定です。

SCマガジンの編集長であるTony Morbin氏は、「ハッカーは絶えずに新たな手口を探し、個人情報を流出しようとしている。そのため、企業はこれに併せたセキュリティサービスを提供しなければならない。」とし、「ペンタセキュリティのWebサイトセキュリティソリューションであるクラウドブリックは、革新的かつ効率的なセキュリティ技術でWebセキュリティサービスのレベルを向上させたため、最終候補に選定された。」と伝えました。

ペンタセキュリティのクラウドブリックは、中小企業向けに開発されたクラウド基盤のWebハッキング遮断サービスです。ITセキュリティ技術の研究開発を始めてから今年で19年目を迎えたペンタセキュリティは、ほとんどの中小企業がWeb攻撃を防御するための製品を購入するには予算と資源が不足していて、重要なセキュリティには弱いという事実に基づいて、2015年クラウドブリックの提供を開始し、エンタープライズレベルのセキュリティサービスを月額サービス方式で提供し始めました。このようなサービス運営方式は、韓国およびグローバル市場において今までセキュリティソリューションの利用が難しかった小規模のオンライン事業者から大きな反響を得ています。

Cloudbric(クラウドブリック)

 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。

 

 

Cloudbricに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【週刊BCN】ペンタセキュリティシステムズ、データベース暗号化を拡販

 

ペンタセキュリティシステムズ、データベース暗号化を拡販

事前予防策と事後対策の重要性強調
データベース(DB)暗号化とWebアプリケーションファイアウォール(WAF)の製品開発・販売を手がけるペンタセキュリティシステムズ(ペンタセキュリティ、陳貞喜・日本法人社長、www.pentasecurity.co.jp、)は今年度(2016年12月期)、DB暗号化製品のラインアップ拡充と拡販を強化する。15年には、DB暗号化の売り上げがWAFを超えたという。マイナンバー制度の導入や個人情報漏えい事件の頻発、巧妙化するサイバー攻撃の増加など、日本国内での潜在ニーズが顕在化したことを受け、パートナー施策を本格化する

ペンタセキュリティは、韓国のDB暗号化とWAFの市場でトップシェアを誇る。韓国政府の認証機関システムや最大手の民間金融機関のセキュリティシステムなど、豊富な導入実績がある。日本進出当初は、DB暗号化製品で市場開拓を試みたが、多くの企業の関心はWAFの「WAPPLES」という製品だった。WAPPLESは攻撃のロジックを解析しているため、攻撃パターンのアップデートがなくても新種と亜種の攻撃を検知、遮断できる。また、国際認証やビジュアル化された統合管理コンソールなどがユーザーに評価され、日本市場では、アプライアンス型で80社、クラウド型で120社の導入実績がある。グローバルでは1万8000ユーザーにのぼる。

しかし昨年度は、「DB暗号化製品に対する手応えを感じ始めた」(陳社長)ことから、今年度は既存環境にアドオンで提供するDB暗号化製品「D’Amo」とMySQLやMariaDB専用に開発されたDB暗号化製品「MyDiamo」の販売を強化している。とくに、MyDiamoは不動産業界や医療、教育分野からの問い合わせが急増している。「韓国では、外部からだけではなく内部からも攻撃を受けることが大前提で、事前情報漏えい対策に加え、事後対策を徹底的に行う。個人情報漏えい被害を最小限に抑える努力をしている」(陳社長)と、韓国の先行例などをもとに、日本国内でも事後対策が重要であることを強調する。今年度は、PostgreSQL向けの暗号化製品のリリースも予定。ラインアップを拡充し、市場の裾野を広げる。

韓国では、情報漏えいで厳しい刑事処罰を受けることへの備えとして、万全なるセキュリティ対策を構築する市場ニーズがあり、日本でも同様のニーズが拡大すると予想している。

直販がメインであったMyDiamoだが、今後、MySQLやMariaDBのサポート・サービスを手がける企業に積極的にアプローチし、パートナー企業の拡大を図る。パートナーが既存のサービスに加え、セキュリティを新たな価値としてユーザーに提案できるようサポート体制も強化していく。(鄭麗花)

関連情報

BCN Bizline http://biz.bcnranking.jp/article/news/1604/160421_142030.html

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

MyDiamo (マイ・ディアモ)

 

MyDiamoは、OSS(Open Source Software)のMySQLとMariaDBに特化したDBMSエンジンレベルの暗号化ソリューションであり、エンジンレベルのカラム暗号化セキュリティとパフォーマンスの両立を実現させるアプリケーションから独立したコンポーネントです。ペンタセキュリティでは、オフィシャルサイトにて個人用の非営利的利用のため、無償ライセンスを提供しています。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201