Posts

ペンタセキュリティ、 2015年下半期の「Web脅威動向解析報告書」公開

 

ペンタセキュリティ、 2015年下半期の「Web脅威動向解析報告書」公開

脆弱性情報を通じたWebサイト攻撃および管理者権限取得をターゲットにした攻撃急増
暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が2015年下半期に収集された情報を基にした「Web脅威動向分析報告書(Web Application Threat Report)」を公開しました。2010年から年2回(上半期/下半期)に公開している「Web脅威動向分析報告書」は、探知ログに対する統計情報の提供に同意した約1,000台のWAPPLES(ワップル)から収集された統計情報を分析した結果を基にして作成されるもので、実際のWeb環境で収集された情報を基にしています。本レポートにより、ペンタセキュリティのWebアプリケーションファイアウォールであるWAPPLESを利用している顧客は効果的にセキュリティ脅威トレンドを把握して攻撃に迅速に備えることができます。

2015年下半期のWeb脅威動向では、脆弱性スキャンを目的にした攻撃が最も多く発生し、攻撃危険度が「深刻」と現れた攻撃が多かったです。特に脆弱性関連情報を通じたWebサイト攻撃や管理者の権限取得をターゲットにした攻撃が頻繁に現れました。このような攻撃は、同年上半期にも約4億万件の攻撃探知件数を記録して1位を占めた攻撃類型です。

また、OWASP(Open Web Application Security Project) Top 10 attacksを基準としてはA1に該当するセキュリティ危険であるInjection攻撃が31%を占めながら最も高い順位を記録しました。当攻撃は、比較的に簡単に攻撃を試みることができるが、攻撃の難易度に比べては技術的な影響度が深刻であり、必ず対応が求められます。Injection攻撃に次いで26%を占めて、2位を記録した攻撃はSecurity Misconfiguration(不適切なセキュリティの設定)で、当攻撃はシステムに対する権限を攻撃者が持つことが可能なので、システム全体がハッキングされる危険がある攻撃です。

今回の下半期Web脅威動向分析報告書からはこのような攻撃動向情報とともにWAPPLESが探知した‘Black List Top 30’情報も一緒に提供されます。

ペンタセキュリティの最高技術責任者であるDS Kimは、「このようなWebサイト攻撃および管理者権限取得をターゲットにした攻撃が成功する場合、Webサイトの脆弱性が露出されることと共に機密情報が流出されたりWebサーバが動作不能状態になる可能性がある。」とし、「各種の攻撃を予防するため、サーバおよびセキュリティ担当者は強力なアクセス制御を通じて、権限管理レベルを管理し、事前にWebアプリケーションファイアウォールソリューションを構築して、Web攻撃脅に備えなければならない。」と述べました。

ICS-Report

 

Webアプリケーション脅威解析報告書:ICS-Report
ペンタセキュリティが年2回(上半期/下半期)発行されるトレンドレポートです。本レポートより全世界のWAPPLESから収集された検知ログの統計情報をもとに解析された実運用上の脅威の情報を確認することができます。

 

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【情報】Webアプリケーション脅威解析報告書のICS-REPORT(2015年下半期)がリリースされました。

ペンタセキュリティのR&DセンターICS(Intelligent Customer Suppert System)をFull活用した、ICS-Report 2015年下半期をリリース
世界各地の実運用中のWAPPLESから収集された検知ログ統計情報から解析したリアル脅威の動向ICS-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、年2回(上半期/下半期)発行されるトレンドレポートです。本レポートより全世界のWAPPLESから収集された検知ログの統計情報をもとに解析された実運用上の脅威の情報を確認することができます。ICS-Reportは、ペンタセキュリティのR&Dセンターが運用しているICSシステム(Intelligent Customer Support System)を採用した検知ログの統計情報の収集および解析を行い、WPPLESを導入しているお客様により高度なセキュリティサービスを提供することを目的としています。

ICS-Report

 

Webアプリケーション脅威解析報告書:ICS-Report
ペンタセキュリティが年2回(上半期/下半期)発行されるトレンドレポートです。本レポートより全世界のWAPPLESから収集された検知ログの統計情報をもとに解析された実運用上の脅威の情報を確認することができます。

 

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティのWAPPLES・MyDiamo、2016 CDM Awardsで受賞

ペンタセキュリティのWAPPLES・MyDiamo、2016 CDM Awardsで受賞

参入障壁の高いアメリカ市場で技術的に認められ

暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が3月2日、WebアプリケーションファイアウォールのWAPPLES(ワッフル)とオープンソース暗号化ソリューションのMyDiamo(マイディアモ)がCDM(Cyber Defense Magazine)Awardsで受賞したことを明らかにしました。CDMは、アメリカ代表の情報セキュリティマガジンとして、北米地域のセキュリティ情報を主に扱っており、2016年RSA Conferenceのパートナー機関です。今回受賞したペンタセキュリティのWAPPLESは、「The Hot Company in Web Application Security for 2016(2016年Webセキュリティソリューション注目企業)」に選定されており、MyDiamoは「Editor’s Choice in Data Leakage Prevention for 2016(2016年データ漏えい防御編集者選定)で受賞しました。 授賞は、2月29日から3月4日にかけて、アメリカで開催された2016 RSA conferenceで行われました。

2013年から始まったCDM Awardsは、CISSP(国際公認情報システム専門家)、CEH(国際公認倫理的ハッカー資格証)を保有した専門家や国土安保省(DHS)の職員が審査することでその公信力を認められています。審査委員らは、約2ヵ月間候補製品の技術的なレベルや市場性を綿密に検討した上、授賞します。

ペンタセキュリティの受賞に対してCDMの編集長であるピエルルイジ・パガニーニは、「今まではアメリカのセキュリティ市場では韓国企業の技術力に対する先入観が存在していて、韓国企業の市場進出が難しかった。しかし、韓国企業であるペンタセキュリティは、今回のCDM Awardsの受賞を通じて技術的な優秀性を立証したため、今後、アメリカ内で高い技術力に基づいて、市場を拡大すれば、最高の情報セキュリティソリューションとして成長すると思う。」と言及しました。

今回のCDMアワードで受賞したWebアプリケーションファイアウォールのWAPPLESは、知能型探知エンジン(COCEP)を基盤にてレベルの高い技術力を認められ、昨年、アジア・パシフィック市場占有率1位を果たした製品です。また、クラウドWebアプリケーションファイアウォールソリューションであるWAPPLES CloudやCloudbric(クラウドブリック)は、既存のWAPPLESの性能をクラウド環境に最適化させて、差別化したクラウドセキュリティサービスを提供しています。これとともに、MyDiamoは、アメリカおよび日本で高い需要を見せているオープンソースデータベース暗号化ソリューションとしてMySQL、MariaDB、PerconaDBを支援するエンジンレベルの暗号化ソリューションです。2013年から現在まで2,000件以上のダウンロードを記録し、オープンソースデータベース暗号化の先頭走者として認められています。

一方、ペンタセキュリティの最高技術責任者であるDS Kimは、「アメリカは、全世界のハッキング事故の50%を占めるハッキング事故最多地域であるため、情報セキュリティに対して高い技術力を要求する国家である。」とし、「アメリカの代表情報セキュリティマガジンであるCDMのAwardsで受賞したことを通じて、市場参入の障壁が高いアメリカ市場でWAPPLESやMyDiamoの優秀な技術水準を認められたと思う。立証された技術力を基にして、現在、アメリカセキュリティ市場に最適化された製品を準備している状況でおり、今後北米市場進出を積極的に展開していく予定である。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティのWebアプリケーションファイアウォールWAPPLES、韓国初ICSA認証獲得

ペンタセキュリティのWebアプリケーションファイアウォールWAPPLES、
韓国初ICSA認証獲得

世界3大セキュリティ認証機関ICSAを通じてWAPPLESの優秀性立証

暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が2月26日、自社のWebアプリケーションファイアウォールWAPPLES(ワップル)が韓国初としてICSA Labs WAF認証を獲得したことを明らかにしました。米ベライゾン(Verizon)傘下のセキュリティテスト機関であるICSA Labは、ITセキュリティ製品の適合性および性能に対するテストを通じて情報セキュリティ製品の品質を立証する機関として、チェックマーク(CheckMark)、VB100と共に世界3大セキュリティ認証機関の一つとして世界的に信頼性や権威を認められています。ICSA認証の中でWebアプリケーションファイアウォール部門であるICSA Labs WAF認証は、ICSA LabがWebアプリケーションファイアウォール製品のHTTP保護およびHTTPSWebベースのアプリケーションに対するセキュリティ政策実行を厳しくテストし、ログ監査や使用性などに対する基準を通過する際、与えられます。現在までペンタセキュリティを含め、Barracuda Networks、F5 Networks、Impervaなど10社のグローバル会社がこの認証を取得していますし、韓国セキュリティ業者ではペンタセキュリティが唯一です。

ICSA Labs WAF認証を獲得したペンタセキュリティのWAPPLESは、韓国やアジア・パシフィックのWebアプリケーションファイアウォール市場占有率1位の製品として、独自開発した知能型探知エンジン(COCEP)を基盤として差別化された性能を持っていて、Webアプリケーション攻撃の探知、セキュリティ規則基盤のWeb攻撃探知など多数の特許を獲得したことがあります。最近高まっているクラウドセキュリティに対する要求に対応し、WAPPLESの機能を仮想化環境に最適化させたWAPPLES Cloudを発売して、クラウドセキュリティ市場を先導しています。

これとともに、昨年、米国の性能測定機関であるTollyグループで施行したテストを通じて、海外の有名Webアプリケーションファイアウォール装備に比べて、TPS、CPS、誤探率、攻撃探知率、過負荷テストなど、Webアプリケーションファイアウォールの主要性能が優れているという評価を受けた履歴があり、今回の認証獲得を通じて、もう一度Webセキュリティー性能の優秀性を認められたわけです。

ペンタセキュリティの最高技術責任者であるDS Kimは「WebアプリケーションファイアウォールのWAPPLESが韓国だけではなく、アジア・パシフィック地域の市場占有率1位を達成することができたのは、グローバルスタンダードを充足させる持続的な認証活動の影響である。」とし、「こういう認証活動が世界的に高度化されているWeb攻撃に対して素早く対応し、安全なWeb環境の構築における基になると確信している。」と述べました。

ペンタセキュリティのICSA Labs WAF認証テストレポートに関する詳しい情報はhttps://www.icsalabs.com/product/wapplesからご確認できます。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティ、ビジネス向けのクラウドWebアプリケーションファイアウォール「WAPPLES Cloud」をリリース

ペンタセキュリティ、ビジネス向けのクラウドWebアプリケーションファイアウォール「WAPPLES Cloud」をリリース

既存のWAPPLES V-Seriesを統合し、クラウド事業者向けのソリューション発売
暗号プラットフォームとWebセキュリティグローバル企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、クラウド事業者のためのWebアプリケーションファイアウォールである「WAPPLES Cloud(ワッフルクラウド)」を1月27日発売したことを明らかにしました。韓国では昨年の9月、「クラウドコンピューティングの発展及び利用者保護に関する法律(以下、クラウド発展法)」が制定され、企業や公共機関におけるクラウドサービス使用率が急速に高まることと同時に、クラウドセキュリティに関する関心も急増しています。2011年、業界初となるクラウド専用のWebアプリケーションファイアウォールであるWAPPLES V-Series(ワッフルブイシリーズ)を発売したペンタセキュリティは、韓国最大のクラウドサービスであるKTのuCloud、日本ソフトバンクのWhiteCloudおよびDSRのStarCloudなどとパートナーシップを結び、クラウドWebアプリケーションファイアウォールサービスを提供してきており、昨年は韓国の政府機関で使用するG-クラウドに適用が可能なWeb API(Application Programming Interface)を提供するなど、大規模なクラウドWebアプリケーションファイアウォールサービスを着実に進行してきました。

今回披露するWAPPLES Cloudは、既存のWAPPLES V-Seriesを利用することができるスタンダードエディション(Standard Edition)と多様なクラウドおよびエンタープライズ環境に適合する拡張バージョンであるビジネスエディション(Business Edition)で構成されています。特に、新たに披露するビジネスエディションはPublic Cloudだけでなく、Private Cloudを構成し、対顧客のWebアプリケーションファイアウォールサービスを展開できるサービスモデルやアーキテクチャを提供します。 大量のトラフィック処理および運営のために、負荷分散、Auto Scaling、そして対顧客向けの統合管理システムなども備えており、Webアプリケーションファイアウォールを利用してビジネスを展開しようとする事業者に対しカスタマイズしたWebセキュリティソリューションを提供するというわけです。

ペンタセキュリティの最高技術責任者であるDS Kimは「クラウドセキュリティに対する要求が高まっている中で、クラウド事業者が安心して対顧客サービスを運用できるようにするためにWAPPLES Cloudをリリースすることになった」とし、「Webハッキング遮断サービスであるクラウドブリック(Cloudbric)とともに、ペンタセキュリティのクラウドセキュリティ戦略がクラウド提供者やWebを利用してビジネスを行う事業者にも提供できるチャンスになり、相乗効果を生み出すと期待される。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティ、WebアプリケーションファイアウォールWAPPLES Cloudで日本のクラウドセキュリティ市場攻略本格化


ペンタセキュリティ、WebアプリケーションファイアウォールWAPPLES Cloudで
日本のクラウドセキュリティ市場攻略本格化

アジア・パシフィック地域のWAF市場シェア1位、
日本クラウドセキュリティ市場も先占に乗り出し

暗号プラットフォームとWebセキュリティグローバル企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、日本ソフトウェア専門企業である大和ソフトウェアリサーチ(以下DSR)とのパートナシップを結び、 去年5月からDSRが運営しているSTAR CloudにWAPPLES Cloud(ワップルクラウド)を適用したクラウド型WAFサービスである「STAR CLOUD Security Service-WAF(SCSS-WAF)」を今年から本格的に拡大することを1月18日に明らかにしました。日本は、2009年からクラウドコンピューティング産業育成政策を実施し、現在、クラウド産業の市場規模は約3831億円に達しており、持続的に高い成長率を見せています。このようなクラウド産業の発展とともに、東京に本社を置いているソフトウェア専門企業であるDSRは独自的にデータセンターを運営しながらホスティングやクラウドサービスを提供しています。一方日本では、去年6月にハッキングにより約125万人もの情報が漏えいされた日本年金機構の情報流出事件をはじめに、情報流出事故が急増したことと共に個人識別番号である「マイナンバー」の導入を控え、日本産業全般にわたって情報セキュリティ脆弱性に対し警戒を求める声が高まっています。特に、日本の経済産業省傘下の情報処理推進機構(IPA)では、去年の10月からサイバー攻撃に脆弱なソフトウェアを締め出すなど、政府レベルで情報セキュリティを進行しています。DSRはこのような市場状況を反映し、顧客に安全なクラウド環境を提供するため、自社のスタークラウドにペンタセキュリティのWAPPLES Cloud(ワップルクラウド)を導入したクラウド型のWAFサービスを発売することにしました。

DSRと提携を結んだ「WAPPLES Cloud」は、国際共通評価基準(CC)認証を獲得した仮想化環境に最適化されたクラウド専用のWebアプリケーションファイアウォールです。ペンタセキュリティの「WAPPLES」は、アジア・パシフィックWebアプリケーションファイアウォールの市場シェア1位の製品として既に日本大手IT企業であるソフトバンクテレコムの「ホワイトクラウド」でもサービスを提供しており、日本クラウド市場に最適化されたクラウドWAFサービスを安定的にリリースすることができました。現在、DSRでは、WAPPLES Cloudの優位性を広め、ペンタセキュリティが発こうするWeb脅威動向の解析レポートであるICSおよびEDBレポートを提供するなど、積極的な広報戦略を展開しています。これを通じたSCSS-WAFの新規利用者も毎月徐々に増加しています。

ペンタセキュリティの最高技術責任者であるDS Kimは「日本は韓国に比べてクラウドの導入率が30%以上高いクラウドコンピューティング先進国であるが、クラウドセキュリティ市場は初期進入段階と見られる」とし、「日本のクラウドコンピューティング産業が医療、金融などの様々な分野に拡大しており、WAPPLES Cloudを導入している顧客も徐々に増えている。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】情報セキュリティの環境変化とWAFの位置づけの変化

 

情報セキュリティの環境変化とWAFの位置づけの変化

 

22ヵ国50社の企業経営者を対象に行ったアンケート調査結果のまとめによると、今日の企業経営における最大のリスクは、「経済の不確実性」が1位で55%を占めており、「サイバー脅威」が50%の2位となっています。

しかし、経営の一線からは、「サイバー脅威」を最大リスクだと訴える声が多数です。経済の不確実性は常に言及されているリスクであるため、水があるのがあたりまえのように当然のこととされますが、新しく登場したサイバー脅威はなじみの薄いものでありながら、その勢いはますます強くなっています。また一度事故が起きたらすべてのメディアが先を争って報道しており、事後処理も困難でどうしたらいいのかという困惑の声も多くなっています。

サイバー脅威における最も深刻な問題は、その概念自体があまりにも難しくて何を言っているか解らないということです。関連書籍を探してみても熟練された技術者向けの技術書か理論とは言えないでたらめな経営書かであるため、学びたくても学べないのが現実です。そのため、経営と技術の間のギャップはさらに広がり、その隙間を狙う犯罪者や詐欺師によるICTに関する各種事件が相次いでいます。経営者とエンジニア、生産者と消費者、両方とも問題の解決策が全く見つけられません。恐らく、今日の企業経営における最大のリスクは「サイバー脅威の不確実性」かもしれません。

「サイバー脅威に対する対応ガイドが必要!」という現場からの要求が強く求められます。要求があれば、その解決策も出てくるはずですので、世界有数の経営諮問機関から定期的に発行されるICTの市場分析レポートが大変役に立ちます。

「ガートナー(Gartner, Inc.)」は、米国コネチカット州スタンフォードにあるICTの研究・助言を行う企業です。1979年に設立され、それならではの鋭利な分析力を武器として目覚ましい成長を成し遂げ、今や全体従業員5,700人のうち1,500人余りがリサーチアナリストとコンサルタントという世界最高で最大の研究集団です。

 

不確実性という海の灯台、ハイプサイクルとマジッククアドラント
「ガートナー」レポートのクオリティは、昨今の市場分析の象徴のように広く通用している2つのグラフだけでも十分証明できます。「ハイプサイクル」と「マジッククアドラント」、企業経営の意思決定に重要な資料であるだけに、簡単にそれについて探ってみましょう。

図1) Gartner’s 2015 Hype Cycle for Emerging Technologies

「ハイプサイクル(Hype Cycle)」は、特定技術の成熟度を視覚的に表現するためのツールです。当該技術の研究開発水準や市場の反応など様々な条件によって各項目を下記の5つに分類しグラフ上に表示します。

1)黎明期(技術の引き金、Technology Trigger)

2)流行期(過剰期待の頂、Peak of Inflated Expectations)

3)幻滅期(幻滅のくぼ地、Trough of Disillusionment)

4)回復期(啓蒙の坂、Slope of Enlightenment)

5)安定期(生産性の台地、Plateau of Productivity)

1)成長の可能性を秘めている技術に対する世間の関心が高まり、2)概念-モデルへの過度な注目のおかげで製品も造ってみるものの、その殆どは失敗になり、3)数多くの失敗でその関心が失われます。そこから生き残ったわずかの企業から成功事例が出はじめ、4)利益を設ける製品が生産されることにより、再び注目を集め、, 5)市場に一定のポジションを占めるようになり、品質を争っていく一連の過程です。殆どの技術がこのプロセスで進められます。

それを基にグラフを見てみますと、非常に面白いです。世の中に新しい用語が登場し、メディアでも大話題になるものの、すぐ冷めてしまいます。激しい競争の中で極わずかがやっと生き残り、成功していく過程が目に見えませんか。実に面白いですね。要するに、よくできたグラフです。ハイフサイクルの変化像を参考にすると、複雑なIT業界の不確実性もある程度消えていきます。冬場に車のフロントガラスの曇りをとるワイパーのように。

次は「マジッククアドラント(Magic Quadrant)」を探ってみましょう。「ガートナー」に負けないぐらい有名な研究集団である「フロスト・アンド・サリバン(Frost & Sullivan)」のグラフを探ってみましょう。「フロスト・アンド・サリバン」は40年の歴史を持つ企業成長のコンサルティング会社です。世界各国にある現地支社ネットワークを通じて、800人余りのアナリストから収集した情報を基に作成された市場分析レポートは、バランスのよい国際的視点と鋭利な解析力が高い評価を受けています。

図2) Frost & Sullivan’s Asia Pacific Web Application Firewall Vendors 2015

縦軸は現在ンの市場分布状況を意味し、横軸は将来に向いた成長戦略の優秀性と実行可能性を意味します。消費者の立場からは、アーリーアダプターの戦略にするか、レイトアダプターの戦略にするかなど、自社の意思決定基準により、グラフの4分割面上の候補群の位置と変化から異なるインサイトを得られます。もちろん、最終意思決定の段階ではなく初期検討の段階でそれを活用することが賢明でしょう。

グラフ上の企業の位置は、売上、流通ネットワークの規模と品質、従業員数、特に開発者の数とそのレベル、販売、サポートといった各事業分野別における従業員の割合などによって決定されます。最終結果物が単純な絵の形になっただけで、その裏にはなぜこのようなグラフを描いたかその理由を説明する読み終えるのが困難なほど分厚いレポートがあります。重要なのはグラフではなく、その分厚いレポートです。そのため、ハイプサイクルやマジッククアドラントなど簡単に描かれたグラフは、あまりにも忙しくてその分厚いドキュメントを読む時間のない役員などいわゆる「重役用のサマリー(Executive summary)」とみてもかまいません。

要するに、グラフは非常に主観的にみえますが、それを裏付ける普遍性は備えているため、客観性まで認められているのです。 「ガートナー」や「フロストアンドサリバン」など誰もが知っている有名なコンサルティング会社のアナリストは、実情は何も知らずただ机の前に座って難しい言葉だけを言っているわけではありません。現場の傾向を実質的に把握するための研究体制も充実していることも、業界を問わず彼らの分析結果を認める理由です。皆一応その専門性を認めてから見ているのです。

「その会社のアナリストより私の方がより詳しい!」 社内の当該専門家がアナリストより優れたエンジニアではあるものの、彼らのように業界全体を把握することはできず、業界内の人的ネットワークなどのため、客観性を失う場合も度々あります。簡単に言うと、アナリストの方がはるかにスマートです。不愉快でも仕方がありません。それは、彼らの「仕事」であり、彼らは公的に認められた専門家ですので、むしろ詳しくないのがおかしなことではないでしょうか。

したがって、経営陣はこれらのレポートを閲覧し沈思熟考したうえで、意思決定の過程でそれを参考にすると、大変役に立ちます。技術は、特にICT関連技術は、新陳代謝が非常に活発な生物で常に変化しているので、一度見たから十分理解したと思ってはいけません。 定期的かつ持続的な観察が必要です。少なくとも毎年更新されるグラフだけでもみましょう。

問題は常に新たに発生し、技術的判断の基準も常に変化しているため、その解決策も常に異なっていきます。実際に重要なのはある要素のグラフ上の位置ではなく、状況の変化によってその要素がどこからどこへと移動していくかです。つまり変化や、その変化の理由と根拠です。その一例を挙げてみます。

 

企業情報セキュリティ環境の変化とWAFの位置づけの変化
最近「ガートナー」のレポート上のWAFの位置づけが変わりました。去年までは、WAFを「クレジットカードのデータセキュリティ標準(PCI DSS: Payment Card Industry Data Security Standard)」など法的規制のため、仕方なく導入するものでしたが、その効用性を疑い、適者生存のルールにより市場からすぐ姿を消す商品」と定義しました。しかしながら、最近のレポートを見ると、「WAFは企業の情報セキュリティに必須不可欠な要素」へとその内容が変化しました。

文章表現からみても、「Hype Cycle for Application Security, Gartner 2013」では、「WAFは、他の競合製品に比べ、その効用性や拡張性が低いため、いまだにも小市場をせいぜい維持している」と評価を格下げしましたが、「Hype Cycle for Application Security, Gartner 2014」では、「規制対象に該当しないという理由でWAFを導入していなかった企業も、今はWebアプリケーションセキュリティの重要性に気づき、WAF導入がただ規制を充実させるための決定ではないことに気付いている。」とより現実的な評価をしています。WAFに対する態度が完全に変わりました。

何よりも、ある要素の位置づけがどう変化したか、その理由と根拠は何かが重要です。WAFの位置づけの変化の理由を類推してみると、

● 法的規制があるので嫌々買うのではなく、導入してみたら実際にセキュリティ効果が高かった。

● WAFの代案として挙げられている「セキュアコーデイング」は、結果的に非現実な希望にすぎなかった。

● 確実にセキュアなコーデイングを行って、管理・維持することはWAF導入より、多くのコストがかかる。

それで、WAFの位置づけが急速に上がったのです。このように変化そのものより、変化の理由に焦点を合わせてみる必要があります。

企業の情報セキュリティ環境は常に変化しており、そのリスクは日々高まっています。相次いでいるセキュリティ侵害事故をみてもICTリスクは、ビジネスの連続性を損ない、投資家の投資心理にも悪影響を与え、深刻な場合は社会混乱を招いて災害災難レベルの経済活動のマヒや企業活動の停止という結果につながる恐れがあります。それでも企業現場では、情報セキュリティに対する総合的な理解不足による意思決定の難しさを訴えています。

その時、「ガートナー」や「フロストアンドサリバン」のレポートを活用してください。不確実性という海の灯台のように、企業の意思決定に大変役に立ちます。

 

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティのWAF,WAPPLESがアジア・パシフィック地域で市場シェア1位に

ペンタセキュリティのWAF、

WAPPLESがアジア・パシフィック地域で市場シェア1位に

9月の「今年のWAF」選定に次ぐ快挙

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ)は、グローバルマーケットリサーチおよびコンサルティングの専門機関であるフロスト・アンド・サリバン社(Frost & Sullivan)がまとめた報告書「Frost IQ (Industry Quotient): アジア・パシフィック地域におけるWebアプリケーションファイアウォールのベンダー2015」でWebアプリケーションファイアウォール(WAF)のWAPPLESがアジア・パシフィック地域で市場シェアトップとなったことを明らかにしました。フロスト・アンド・サリバン社は、米国に本社を置く50年にわたる歴史を持つ世界的なグローバルリサーチおよびコンサルティング専門機関で、毎年「Frost IQ 報告書」を発表し産業別の客観的な評価資料を提示しています。
今年まとめた報告書によると、アジア・パシフィック市場では、韓国のペンタセキュリティが市場シェアトップとなりました。次いで中国の情報セキュリティベンダーのNSFOCUS、グローバル企業のインパーバ(Imperva)およびF5ネットワークスの順となっています。当該報告書では、論理演算検知エンジンによる優秀な性能を売り物とし圧倒的な市場シェアでWAF市場をリードしていることやパートナー向けの定期的なセミナーと教育を通じて市場と顧客のニーズに応えようと持続的に取り組んでいることを高く評価しています。

Frost IQ Asia-Pacific WAF Vendors 2015 Report

 

フロスト・アンド・サリバン社が毎年WAFのマーケットを調査および分析をし各ベンダーのマーケットシェアおよび成長性を評価し作成するレポートです。

 

 

ペンタセキュリティは韓国国内で長年築いてきたネットワークを基に、日本をはじめアジア各国でその地域の特性に合わせたパートナーシップや運用システムズを適用し、速いスピードで海外ビジネスを拡大しています。それと共に論理演算検知エンジン基盤とした多様なパフォーマンスのWAPPLESラインアップと、クラウド仮想化バージョン、マネージメントシステムズなどを弾力的に運用しています。それに加え、年に2回(上下半期)、日韓英3ヶ国語でWebアプリケーション脅威解析報告書を提供し、最新Web脆弱性トレンドを効果的に把握できるようにするなど、海外顧客にも対応しています。 このようなペンタセキュリティならではのサービスがアジア・パシフィック市場シェアトップを可能にしました。ペンタセキュリティのWAF、WAPPLESは、今年9月にはフロスト・アンド・サリバン社が選定する「今年のWAF」にも選ばれました。

ペンタセキュリティCTOのDS Kimは、「リリース10周年を迎えた年にアジア・パシフィック地域で市場シェアトップとなり、より意味深く感じます。この10年間の苦労が無駄にはならなかったようで、誇らしく思います。 」とし、「韓国市場シェア1位、アジア・パシフィック市場シェア1位を超え、世界市場シェア1位になるまで製品開発に絶えず努力していきます」と述べました。

 

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【コラム】みんなに必要な「安全なWebアプリケーションのセキュリティ」

韓国でネットサイトの取引価格情報を1万3千ウォンから44億ウォンに改ざんし、多額の利益を不正取得した容疑者らが逮捕される事件がありました。Webサイトの脆弱性を狙ったこの事件は、一見巧妙な手口のハッキング攻撃のように見えますが、実際には、価格に関わるパラメータ(Parameter:媒介変数)を修正して利益を奪取する「パラメータ・タンパリング(Parameter Tampering)」攻撃関連の犯罪です。

このパラメータ・タンパリング攻撃は、Webセキュリティ、その中でもアプリケーションのセキュリティに関わる基礎的な攻撃にも関わらず、未だにもそのようなWeb攻撃の脆弱性による被害が起きていることに大変残念なばかりです。

前回の「Webアプリケーションのセキュリティを強調する理由」にも言及した通り、アプリケーションのセキュリティはWebセキュリティにおいて最重要項目です。私たちが普段使っているWebは、全てアプリケーションで構成されています。Webサイト、モバイルアプリなどは全てアプリケーションで構成されており、上記のパラメータ・タンパリングのようなWeb攻撃の大多数がアプリケーション関連の攻撃です。

企業のセキュリティ管理者は、多様なWebセキュリティソリューションを導入し、Web攻撃に備えています。しかし、自社が購入し管理するWebセキュリティソリューションの役割は何か、その中でアプリケーションのセキュリティに関わるソリューションは何かを正確に区別できるセキュリティ管理者はわずかであります。

要するに、基本的なネットワークセキュリティソリューションを除き、アプリケーションのセキュリティにおいて適切なWebセキュリティソリューションを適用・運用している企業は少ないということです。こうしたアプリケーションの環境は、企業のセキュリティにおける全体レベルを格下げし、さらにはハッカーの狙う潜在的な標的になる恐れがあります。なお、Web攻撃は、企業の個人情報漏えいといった多大な被害を及ぼします。

今回は、Webアプリケーションのセキュリティについて探ってみましょう。アプリケーションのセキュリティ構築において実質的に必要かつ重要なWebセキュリティソリューションの役割や機能に焦点を合わせて話します。

■ Webアプリケーションのセキュリティとセキュリティソリューション
アプリケーションの構築は、家造りに例えると解かりやすいです。家をどうやって造るかによってその家の安全性が決まるように、アプリケーションもどうやって構築するかによってアプリケーションの安全性が決まります。

したがって、アプリケーションのセキュリティは、構築初期の開発段階から構築後のメンテナンスに至るまで、全ての段階にわたって念を入れる必要があります。ただし、その実践が難しいのが現実です。適切なガイドラインがないことも一つの理由として考えられますが、Webアプリケーションのセキュリティに対する理解が十分できていないことも無視できません。

Webスキャナ(Web Scanner), Webアプリケーションファイアウォール(Web Application Firewall;WAF)といった言葉自体の意味は解かっても、それらの正確な機能や作動位置などは解かり難いです。しかし、Webアプリケーションのセキュリティや、それぞれのソリューションが作動する位置を家造りに例えれば、簡単に理解できます。


私たちは、一般的にPCやノートパソコン、モバイルデバイスを利用してWebに接続します。IT用語としては、Webに接続するために利用するPCやノートパソコン、モバイルデバイスを「クライアント」といい、Webサイトやモバイルアプリケーションの画面のようにWebコンテンツを保存しておき、クライアントが接続したらコンテンツを表示するシステムを「サーバ」といいます(ITシステムにおけるサーバが全てWebサーバではありませんが、ここではWebセキュリティに関してのことですので、Webサーバを例えて説明します)。そして、クライアントとWebサーバを繋ぐ連結網を「Web」といいます。

セキュリティの観点からみると、一般的にクライアントのセキュリティは個別システムの安全と関係があり、サーバのセキュリティは企業システムの安全と関係があります。企業内部にあるクライアントのセキュリティもありますが、今回は、企業内におけるWebセキュリティの核心となるサーバのセキュリティについて探ってみましょう。

セキュアコーディング
まず、開発段階は、家を造るプロセスと言えます。家は、堅固な地盤に丈夫で安全なレンガで造らなければなりません。それをアプリケーションになぞらえて考えると、脆弱性が残存するリスクがあるコードは排除し、安全なソースやプログラムを利用したセキュアコーディングがレンガに当たります。

セキュアコーディングとは、開発プロセスにおいて開発者の知識不足やミス、又は各プログラミング言語の固有の弱点など様々な原因によって生じえる脆弱性を最小化するために、設計の段階からセキュリティを考慮してコードを作成する製作方式を意味します。

ネットワーク階層は、データの送受信にかかわる通信を担当する役割をし、システム階層は私たちがよく知っているWindows、Linuxといったオペレーティングシステム(OS)のように、様々なアプリケーションが作動できるようにするプラットフォームの役割を行います。アプリケーションは、最上位の階層であり、多様な機能を行うプロトコル(HTTP、FTP等)及び応用サービスを提供します。

アプリケーションの開発には構築のスピードも考慮すべきですが、安全かつ体系的に開発することが、さらに重要です。安全ではない開発環境に、他のWebセキュリティソリューションを導入することは、場当たり的な対策にすぎません。

Webスキャナ
家造りの完了後、罅が入っているところはないか、傾いているところはないかなどのチェックが必要です。家をチェックすることのように、外部からアプリケーションを点検するWebスキャナを定期的に行う必要があります。

Webスキャナは、Web脆弱性診断ツールとも呼ばれ、Webアプリケーションの外部から通信を介して潜在的脆弱性や設計上の脆弱性を分析するプログラムです。

現在、多様な種類のWebスキャナが市販されており、その中には、非商業用として提供されているものもあります。Webスキャナのパフォーマンスはそれぞれですが、その核心は、効果を得るためには、地道な点検でアプリケーションを定期的かつ持続的な確認が必要であるということです。

マルウェアの検知
家の外部だけでなく、内部も虫などが入り込める穴とかはないか、チェックする必要があります。アプリケーションの内部を点検するソリューションには、マルウェアの検知ソリューションがあります。マルウェア(Web-Based Malware)は、一般的にWebシェル(Web Shell)と呼ばれ、アプリケーションの内部で動作する悪性コードです。

ハッカーは、Webシェルを介してセキュリティシステムをバイパスして別途の認証を行わずシステムに接続することができます。それを点検するためには、Webシェルだけを専門的に検知するソリューションを活用し、サーバの内部から検知する必要があります。Webスキャナと同様に、マルウェアの検知ソリューションも定期的な点検や実行が不可欠です。

Webアプリケーションファイアウォール(Web Application Firewall;WAF)
もうアプリケーションという家を安全なレンガで造り、内外部も点検しました。それで終わりでしょうか。家造りを完了したら、次は、外部からの予期せぬアクセスを遮断し、点検の際に見つけなかった内部リスクを補完するために垣根を作ります。アプリケーションのセキュリティおいては、Webアプリケーションファイアウォール(Web Application Firewall;WAF)がこの垣根に該当します。

WAFは、Webを介した外部からの侵入やWeb攻撃を検知し、対応する役割を果たします。特に、セキュアコーディング、Webスキャナが検知したWebセキュリティの脆弱性が外部にさらされないように保護するだけではなく、それらのソリューションに至る前に外部で遮断する役割を行います。

また、マルウェアがWebサーバにアップロードされることも遮断します。一般的なファイアウォール(Firewall)とは違って、Webアプリケーションに特化して開発されたからこそ、可能なことです。さらに、他のソリューションと異なり、サーバへの構築・適用にコストがかからず、外部に便利にインストールできます。最新のWAFは広範囲で多様なWeb攻撃をリアルタイムで遮断し、学習モードによるルールの適用も可能という特徴があります。

データセキュリティ(Data Security)
最後に、家の中に置く現金や通帳のような財産をどうやって保管するかも重要です。アプリケーションでは、個人情報やクレジットカード情報、口座情報といった重要データなどがこの財産に該当します。一般的なWebアプリケーション環境では、データベースを構築し、データを保管及び管理します。

安全なデータ管理のためには、データセキュリティ関連のWebセキュリティソリューションを導入する必要があります。データを暗号化することにより、ハッカーがデータを解読できないようにするデータ暗号化ソリューションをド導入することが一般的です。

しかし、暗号化だけで済むわけではありません。誰がいつアクセスしたかが確認できるアクセス制御や監査ログにも注意を払わなければなりません。データ暗号化においては、暗号化されたデータを復号できる鍵(Key)の管理が非常に重要になるため、鍵管理にも特別な注意が必要となります。

Webセキュリティの定石
まさにWebセキュリティ時代の到来です。数多くのWeb攻撃が存在し、そのWeb攻撃は、今この瞬間にも新しいタイプの攻撃が現れ、トライされています。2回にわたり、Webセキュリティの重要性を訴え、Webセキュリティに対する理解を深めようと、ITシステムをネットワーク、システム、アプリケーションの3つの階層に分けて探ってみました。これまで言及したWebセキュリティソリューションを各階層別にまとめると、下記の図になります。

安全なWebセキュリティを実現するためには、各階層別の特長を理解し、適材適所にWebセキュリティソリューションを導入することが求められます。アプリケーションのセキュリティがWebセキュリティにおいて最も大きい比重を占めているものの、基本的にネットワークとシステムの安定性が保障されていなければ安全なWebセキュリティは確保できません。

“An organization’s overall Security is only as strong as its weakest Link”

という言葉があります。複数のセキュリティ要素のうち、最も弱い要素がその会社全体のセキュリティレベルの決め手になるという意味です。一方に偏らず、バランス良くセキュリティ対策を立てることが求められます。各階層にはそれぞれの問題を抱えており、その問題毎に最適なソリューションがあるということを認識する必要があります。

Webセキュリティソリューションの市場は、年々拡大しています。2012年にプロスト・アンド・サリバンがまとめた報告書によりますと、アジア太平洋地域におけるコンテンツセキュリティ市場は、2017年には、その規模が15億7千ドルに達し、年間成長率も約17.9%に迫ると見込んでいます。IT産業の一般的な成長率が7~9%というのだから、非常に高い数値であります。

Webセキュリティソリューションがあふれているこの時代に、それぞれの機能や動作位置をスマートに判断し、適材適所にWebセキュリティソリューションを配置することで、安全なWebセキュリティを実現することを願います。