Posts

4Q

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(第4四半期)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 第4四半期バージョンをリリース

2018年第4四半期の最新Web脆弱性トレンド情報

2018年10月から12月まで公開されたExploit‐DBの脆弱性報告件数は、188件でした。最も多くの脆弱性が公開された攻撃はSQLインジェクション(SQL Injection)です。また、多数の脆弱性が公開されたソフトウェアは、DomainMOD、Webiness Inventoryで、各7個、3個の脆弱性が公開されました。その中で最も多い脆弱性が公開されたDomainMODソフトウェアで修行された攻撃はクロスサイトスクリプティング(Cross-Site Scripting)で、この攻撃はユーザに意図しない攻撃を修行させたり、クッキーやセッショントークンなどの敏感な情報を奪取することが可能です。特に公開されたDomainMODでは、Assets/add/registar accounts.php ファイルやUser/Profile/Display Nameなどの同じFieldを利用した脆弱性が発見されました。クロスサイトスクリプティング(Cross-Site Scripting)攻撃は、ウイルスの配布、ユーザセッション情報の奪取、CSRF攻撃などの2次、3次被害に繋がる可能性があるので、注意が必要です。

当脆弱性を予防するためには、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが四半期ごとに提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。


profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(5月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 5月号をリリース

5月の最新Web脆弱性トレンド情報

2018年5月に公開されたExploit‐DBの脆弱性報告件数は、95件でした。そして、最も多くの脆弱性が公開された攻撃はSQLインジェクション(SQL Injection)です。特に、EasyService Billing, MySQL BlobUploaderから各5個の脆弱性が公開されました。ここで、注目すべき脆弱性は、”EasyService Billing”と”MySQL Blob Uploader”脆弱性です。当脆弱性は、SQLインジェクション(SQL Injection)とクロスサイトスクリプティング(Cross‐Site Scripting)が複合的に修行されるMultiple Vulnerabilitiesです。当脆弱性を予防するためには最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。


profile

「2018年04月号」暗号通貨を最も安全に保護する方法は何?クレジットカード情報から教育業界の情報まで全ての情報はハッカーのターゲット!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□■   ペンタセキュリティシステムズ メールマガジン 2018/04/27    ■□■
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【01】【プレスリリース】 暗号通貨ウォレット「ペンタ・クリプトウォレット」発売を発表
【02】【プレスリリース】 クラウドブリック、「IP評価サービス・ウェブ脆弱性情報DB・WAF性能

評価ツール」3種のサービスを提供開始
【03】【月間レポート】 最新Web脆弱性トレンドレポート2018年03月号公開
【04】【ペンタソリューション】 PCI DSSの完璧な準拠のためのデータ暗号化とサイバーセキュリティ
【05】【コラム】 教育情報セキュリティポリシーに関するガイドラインに対応しなければならない理由
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【01】【プレスリリース】 暗号通貨ウォレット「ペンタ・クリプトウォレット」発売を発表

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
今年の1月、日本最大の暗号通貨取引所の「コインチェック」で史上最大規模のハッキング事故が発生し、

約580億円の暗号通貨が盗難される事件がありました。当取引所では、いわゆる「ホットウォレット」に

暗号通貨を保管していましたが、コインチェックではこの「ホットウォレット」用の個人鍵が奪取され、

コインチェックのNEM(ニュー・エコノミー・ムーブメント)の口座から約580億円のNEMが流出されたと

説明しました。この事件により、ホットウォレットより安全性が保障されるコールドウォレットが注目を

集めている中、ペンタセキュリティで暗号通貨ウォレットの「ペンタ・クリプトウォレット(Penta Crypto

Wallet)」を新たに発売しました。
ペンタ・クリプトウォレット(Penta CryptoWallet)は、暗号通貨取引のための鍵生成から取引プロセス全般

にわたってEnd-to-Endセキュリティを具現して、既存の暗号通貨セキュリティが持っていた脆弱性問題を

解消するための暗号通貨セキュリティ・トータルソリューションとして、6月から公式発売を予定しており、

現在はCBT(Closed Beta Test)を実施しています。

 

より詳しい内容は、プレスリリース全文をご確認ください。

 

>> 「暗号通貨ウォレット「ペンタ・クリプトウォレット」発売を発表」プレスリリース全文はこちら
https://bit.ly/2qLTssc

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【02】【プレスリリース】 クラウドブリック、「IP評価サービス・ウェブ脆弱性情報DB・WAF性能

評価ツール」3種のサービスを提供開始 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

クラウド基盤のウェブセキュリティサービス提供会社クラウドブリックが「IP評価サービス・ウェブ脆弱

性情報データベース・ウェブアプリケーションファイアウォールの性能評価ツール」の各種のウェブセキュ

リティリソースを無償提供するCloudbric Labsサービスを日本で新たに提供開始いたしました。
クラウドブリックは、別途ソフトウェアのインストールなしで、DNS変更だけでサービス利用が可能なクラ

ウド型WAFとして、独自開発した論理基盤検知エンジンを活用し、ID奪取を狙ったサイバー攻撃及びDDoS

攻撃を検知し、保護するウェブサイトセキュリティソリューションです。
今回提供を開始するCloudbric Labsサービスを通じて、Cybersecurity Insidersが主催する2018Cybersecurity

Excellence Awardsで「今年のサイバーセキュリティプロジェクトでアジア・パシフィック(Cybersecurity

Project of the Year-Asia/Pacific)部門を受賞しました。

 

サービスの詳しい情報は、下記のプレスリリースをご参考ください。

 

>> 「クラウドブリック、“IP評価サービス・ウェブ脆弱性情報DB・WAF性能評価ツール”3種サービス

提供開始」プレスリリース全文はこちら

https://bit.ly/2Hzrw5n
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】【月間レポート】 最新Web脆弱性トレンドレポート2018年03月号公開
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにした トレンド

レポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオープン情報であるExploit-DB

より公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティ

チームの専門的知識と経験を活かし作成されています。

【概要】

2018年3月に公開されたExploit‐DBの脆弱性報告件数は、26件でした。この中で最も多くの脆弱性が公開

された攻撃は、SQL Injection(SQLインジェクション)です。特に、Joomla Componentで51つの脆弱性が

公開されました。注目すべきことは””ClipBucket < 4.0.0 – Release 4902″”脆弱性です。当脆弱性は、それ

ぞれCommand Injection, File Upload, SQL Injection脆弱性を利用して攻撃が行なわれました。このように

様々な脆弱性を利用した攻撃に対しては注意する必要があります。
当脆弱性を予防するためには、最新パッチとセキュアコーディングをおすすめします。しかし、完璧な

セキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはウェブアプリケーシ

ョンファイアウォールを活用した深層防御(Defense indepth)実装を考慮しなければなりません。

 

>> 最新Web脆弱性トレンドレポート3月号まとめはこちら

https://bit.ly/2HhWQ51

>> 最新Web脆弱性トレンドレポート(PDF)ダウンロードはこちら
https://bit.ly/2vAWENb (PDF / 869kb)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【04】【ペンタソリューション】 PCI DSSの完璧な準拠のためのデータ暗号化とサイバーセキュリティ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【概要】
PCI DSSという言葉、聞いたことがありますか?クレジットカード取引が増えることによってサイバー攻撃

を通じて違法にクレジットカード情報を取得し、これを悪用する事件が相次いで発生しています。このよう

なカード情報流出を防ぐために「クレジットカード情報を取り扱うためのセキュリティ標準」がまさに

PCI DSSです。
最近、ECサイトなどのインターネットと電子商取引を通じた取引が増えながら、自然に決済のためのカード

情報などの個人情報をインターネット上に登録することが増えています。しかし、問題は、このような

サイトがハッカーによって攻撃を受け、サイトに保存されていた顧客の個人情報が流出される事件も徐々に

増えているということです。
それで、今回はPCI DSSについて調べて、PCI DSSを準拠するために不可欠な2つの方法、データ暗号化と

サイバーセキュリティについて詳しく調べます。また、日本のPCI DSS準拠のためのガイドラインについ

ても解説いたします。

 

>>「PCI DSSの完璧な準拠のためのデータ暗号化とサイバーセキュリティ」全文はこちら
https://bit.ly/2F1Yt53

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【05】【コラム】 教育情報セキュリティポリシーに関するガイドラインに対応しなければならない理由
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【概要】
2016年7月、文部科学省では「教育情報セキュリティのための緊急提言」を公表し、公務系や学習システム

の分離など、8項目の情報セキュリティ対策を設けることを促しました。そして、約1年後の2017年10月には

「教育情報セキュリティポリシーに関するガイドライン」が公表されました。

今までニュースポータルのメインを飾ったサイバー攻撃とこれに対する被害事例をみると、2017年米国の

信用情報会社エクイファックスからアメリカ全体人口の40%の個人情報が流出された事件や日本最大の

暗号通貨取引所のコインチェックが不正アクセスを受け、約580億円を盗まれたことなどの金融業界で起き

た事件が殆どでした。それで、教育業界において情報セキュリティの必要性に対しては認知していなかった

かもしれませんが、実は、教育業界もハッカーたちの目標としてよく狙われる市場です。
2016年佐賀県教育委員会の不正アクセス事件や大阪大学の情報流出事件などが続けて発生しながら、教育

業界も狙われる可能性があるという認識が生じているが、なぜ狙われるか、またどのような情報が狙われる

かについてはまだよくわからない方々もいるはずです。
果たして、なぜハッカーは教育関連の情報を狙うのでしょうか。そして教育機関で教育情報のセキュリティ

政策ガイドラインに従って、セキュリティ政策を樹立するためには何をすればいいのでしょうか。

 

詳しい内容は、コラム全文をご参照ください。

 

>>「教育情報セキュリティポリシーに関するガイドラインに対応しなければならない理由」全文はこちら
https://bit.ly/2Hekhw1

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 製品・パートナシップに関するお問い合わせ
ペンタセキュリティシステムズ株式会社 日本法人
Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

■ 本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

201802021929_6

週刊BCN主催のセミナー・キャラバン2018 In名古屋

201802021929_6

名古屋を皮切りに週刊BCN主催のセミナー・キャラバン始動、IT商材満載!

 

週刊BCNは2月2日、今年初の全国キャラバン「業界の“今”がわかる!有力商材が見つかる!SIer・リセラーのためのITトレンドセミナー」を愛知県名古屋市のミッドランドホールで開いた。キャラバンは本日の名古屋を皮切りに、1年かけて全国12か所を巡回し、各地域のITベンダーに最新情報を提供する。今回は、協賛企業として、ラリタン・ジャパン、サイバーソリューションズ、キングソフト、NTTPCコミュニケーションズ、ペンタセキュリティシステムズ、ビーブレイクシステムズの6社がソリューションやサービスを披露したほか、展示ブースを設け、具体的な部分を個別に解説した。

基調講演では、元日経システムプロバイダ編集長でIT産業ジャーナリスト、ITビジネス研究会の田中克己・代表理事が「変わるIT産業、変わらぬIT企業」をテーマに持論を展開した。受託ソフト開発が縮むなか、中小SIerがビジネスを転換する方法などを伝授した。(敬称略)

 

「セッション5」は、ペンタセキュリティシステムズの陳貞喜・グローバルビジネス本部日本セキュリティビジネス戦略部門ゼネラルマネージャーが「今こそ、Webサイトを守るWAFを再認識!~4Hから見るWAFを選ぶ基準と日本に上陸した進化したクラウド型WAFサービスのご提案~」をテーマに解説した。Webサイトを守るWAFは、箱ものやクラウド型サービスなどで、すでに数々が市場に出ている。同社は、21年間アプリケーションに特化したセキュリティを研究・開発してきた専門企業として、WAFを選ぶ基準を4H(高視認性、高セキュリティ、高コスパ、高信頼性)として説明した。

陳マネージャーは、「WAFに加え、認証、暗号化の3つのコア技術がある」とした上で、IoT関連のソリューションなどを紹介した。「企業側でハッキングを認知するまでの時間は、アジア・パシフィックエリアでは、6か月程度かかっている。ハッカーはその間、企業システムの重要データを持ち逃げしたいので、権限・ターゲット確認をしている。そこで、いまこそウェブサイトを守るWAFに注目してほしい」と呼びかけた。さらに、「ネットワークレイヤの第一次攻撃に対し、ファイアウォールがあり、システムセキュリティではアンチウイルス製品などがある。だが、最近では、ウェブサイトが改ざんされ不正プログラム実行の踏み台になるケースがある」と述べ、幻冬舎の個人情報漏えい事件などに触れた。

その上で、低コストですぐに導入できるクラウド型WEFサービスを提案。「保護状況をいつでも直感的に把握でき、攻撃検出エンジンの仕組みと運営会社のセキュリティ専門性を確認でき、箱モノを買わず、導入実績があるか、といった4Hをクリアしていることが重要だ」と述べた。

 

全文は下のリンクからご確認できます。

BCN Bizline   https://www.weeklybcn.com/journal/news/detail/20180202_160882.html


D’Amo(ディアモ)

2004年リリースされたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,800ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(8月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 8月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

8月の最新Web脆弱性トレンド情報

2017年8月に公開されたExploit-DBの脆弱性報告件数は、総90件であり、その中でSQLインジェクションが70件で最も多い件数で発見されました。公開された70件のSQLインジェクション脆弱性の中で26件はJoomla CMSで発見されたものでした。したがって、Joomlaを使用しているユーザーは特に主要コンポーネントに対する最新パッチで脆弱性に対応する必要があります。その他にも、ほとんどの脆弱性は、ウェブアプリケーション攻撃から発生しています。よって、持続的なセキュリティを維持するためにはウェブアプリケーションファイアウォール(WAF)とセキュアコーディングを活用した深層防護(Defense indepth)を具現しなければなりません。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

 

profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(7月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 7月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

ペンタセキュリティ、 創立20周年を迎え未来のセキュリティ・ビジョンを宣言

 

ペンタセキュリティ、 創立20周年を迎え

企業顧客向けの未来のセキュリティ・ビジョンを宣言

    IoT・クラウド時代には    
「先セキュリティ、後の連結(Secure First, then Connect)」原則が重要

データ暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、7月21日、未来のセキュリティ・ビジョンである「先セキュリティ、後の連結(Secure First, then Connect)」を宣言する20周年記念イベントを開催したことを明らかにしました。

 

 

ペンタセキュリティは、1997年に創立された以来「Trust for an Open Society」、つまり「信頼できるオプーン化された社会」を目標として企業向けの情報セキュリティソリューションの研究や開発に集中しました。これを通じて、ペンタセキュリティだけの独自的な暗号技術を基盤にWeb及びデータ、または安全な認証を実装する製品を発売し、特にWebアプリケーションファイアウォールである「WAPPLES(ワップル)」はアジア・パシフィック地域市場シェア1位とともに、韓国市場で10年近く1位を維持しています。

 

最近は企業情報セキュリティだけでなく、安全なクラウド及びIoT環境のためのセキュリティソリューションを通じてセキュリティ領域をさらに拡張しています。2011年から先導的に開始してきたクラウドセキュリティ事業は、現在クラウド環境でも3つの企業情報セキュリティ要素であるWebアプリケーションファイアウォール「WAPPLES(ワップル)」、データ暗号化ソリューション「D’Amo(ディアモ)」、認証プラットフォーム「ISign+(アイサイン・プラス、日本では未発売)」を全て提供している。また、コネクティッドカー・セキュリティソリューション「AutoCrypt(アウトクリプト)」をはじめ、工場、エネルギー、ホームまで計4つの領域に対するIoTセキュリティソリューションを基盤として専門企業と業務協力を結んでおり、クラウド型WAFである「Cloudbric(クラウドブリック)」はグローバル市場で先に好評を受け、グローバルサービスとして位置づけられています。

 

ペンタセキュリティは現在「先セキュリティ、後の連結(Secure First, then Connect)」を新しいビジョンとしてインダストリー4.0に基盤した、高度に連結されている社会に対応しています。インターネット環境だけでなく、実生活の領域まで連結された一つの巨大なインフラストラクチャーをより高度化し、発展させるための最初の段階が「セキュリティ」ということが、このビジョンの核心です。既存のIT産業が連結された後セキュリティを適用したとしたら、これからは先に我々の生活に最適化されたセキュリティを適用した後、連結を承認することで高いレベルの高度に連結されている社会に至ることができます。来る高度に連結されている社会では、セキュリティが必須要素である上に、連結を可能にする要素です。ペンタセキュリティは、連結と共有が大衆化される世界でIoT・クラウドセキュリティを中心として「先セキュリティ、後の連結(Secure First, then Connect)」を実装し、信頼できるオプーン化された社会に向け、新たな一歩を踏み出すことを決心しました。

 

ペンタセキュリティのCEOの李錫雨氏は「この20年間、セキュリティに対する認識と重要度は比較できないほどに成長してきた。もう日常生活でも必要不可欠で、その存在感が高まった。」とし、「連結と共有という価値を大事に思う産業だけが持続的に成長している。連結と共有が大衆化される世の中で、先セキュリティ、後の連結原則を実装することがペンタセキュリティの役割だ。これを通じて、目の前に迫ったIoTとクラウドが普遍的道具になる社会をより強固に発展させることができる。」と言及しました。

 

今回のイベントに関する詳しい内容はこちらで確認できます。

 

Cloudbric(クラウドブリック) 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。


製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

profile

クラウドブリック、企業顧客向けのエンタープライズWAFサービスをリリース

 

cloudbric

クラウドブリック、

企業顧客向けのエンタープライズWAFサービスをリリース

グローバルで好評のクラウド型WAFで、
各種Web攻撃・DDoS攻撃遮断及びセキュリティ・カスタマイズ提供

データ暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、8月1日、クラウド型WAFサービスである「クラウドブリック(Cloudbric)」を企業顧客向けのエンタープライズサービスで新規リリースを開始したことを明らかにしました。

 

クラウドブリック(Cloudbric)は、アジア・パシフィック地域のマーケットシェア1位のWebアプリケーションファイアウォールであるペンタセキュリティのワップル(WAPPLES)の技術を基盤として実装されたクラウド型WAFサービスで、独自開発した論理演算検知エンジン(COCEP™;Contents Classification and Evaluation Processing)を活用しており、シグネチャ検知基盤のWAFとは違って、頻繁なシグネチャのアップデートが必要なく、新種・亜種の攻撃に対応が可能です。米国の性能測定機関である「トリーグループ(Tolly Group)」で施行したシグネチャ基盤WAFとの比較テスト結果、検知率及び誤検知率など、WAFの主要性能が優れているという評価を受けました。

 

データセンター、Web及びドメインホスティング企業、インフラ提供企業など全世界13カ国のグローバルパートナー約40社とセキュリティサービスの大衆化及び拡散に先立ってきたクラウドブリック(Cloudbric)は、中小事業者のセキュリティレベルを画期的に向上させ、グローバル市場で先に好評を得て、2016 SC Awards Europeで世界的セキュリティ企業を抜いて「最高の中小企業セキュリティ・ソリューション(The WINNER in BEST SME SECURITY Solution)」として選定されました。ペンタセキュリティでは、グローバル市場での経験とノウハウを活かして、合理的な価格でグローバルレベルの安定性とセキュリティを提供する差別化されたサービスで市場を攻略し始めました。

 

今回新規リリースした「クラウドブリック・エンタープライズWAFサービス」は、従来のWAFサービスとは違ってWeb攻撃遮断とCDNサービス、DDoS攻撃対応及び無料SSL認証書の発行サービスを基本的に提供するだけでなく、各企業顧客のために独立したサービス環境を構築し、安定性を確保しながら各顧客に合わせたカスタマイズ・セキュリティ・ポリシーを提供するのが特徴です。また、100Mbps以上のトラフィック帯域においてもサポートできる様々な料金政策を通じて、中小企業及びハイエンドユーザーも合理的な価格でサービスの導入・運用・サポートが可能です。

 

最近ペンタセキュリティは、グローバルパートナー社とセキュリティサービスの拡散を推進してきた実績に基づき、日本市場でもセキュリティ・コンサルティング企業、Web脆弱性診断サービス企業などのセキュリティ専門企業はもちろん、セキュリティ商品を提案する企業との戦略的な連携を目標として、パートナー社募集活動を活発に進めています。

 

ペンタセキュリティのCSOのDSKimは「最近のセキュリティ脅威は特定国家に限らず、攻撃手法やパターンが世界的に似ている様相を見せながら、急増している。これに対して、日本政府でも2020年の東京オリンピック・パラリンピック競技大会の開催を控え「内閣サイバーセキュリティセンター(NISC)」を通じてサイバーセキュリティ対策準備に取り組んでいる。」とし、「Web攻撃は、全世界的に似ているパターンを見せるだけでなく、公共・民間機関を問わず、企業規模に関係なく幅広く発生している。そのため、全世界で通用される技術がさらに必要であり、グローバル・スタンダードな技術を実質的に選択し、正しく対応しなければならない。」と言及しました。

 

Cloudbric(クラウドブリック) 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。


 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

radek-grzybowski-66457

【コラム】 クラウド時代のセキュリティ、核心だけ簡単に

ITセキュリティ、難しい。簡単なことだって、きちんとやりきれないことだが、難しいことだからさらに難しいし大変だ。

 

わずかサーバ一つ運営しようとしても、しなければならない仕事があまりにも多い。さらに最近はクラウドが人気だ。企業のコンピューティング環境を企業が直接管理しないから、従来のあらゆるセキュリティ問題から自由になったわけかというと、そうではない。クラウドサービス提供者は、ハードウェアレベルでのセキュリティは提供するが、アプリケーションやデータセキュリティは相変わらずサービス利用者の役目だ。それで、最近ITセキュリティの核心、本当に必須的な核心だけを簡単に書こうとしている。もちろん、これがITセキュリティの全部ではない。しかし、この程度だけしたら、ITセキュリティ事故の90%ぐらいは軽く防ぐことができる。

 

防げた事故: WAF?

セキュリティ事故の種類は様々である。ニュースを見ても毎日様々な事故が絶え間なく起きるから。数えきれないほど多くの攻撃をどうやって一々防げるか、と最初からあきらめた方がいいんじゃないかと思うほどだ。しかし、最近起きたセキュリティ事故の90%以上はウェブアプリケーションを通じて起きた事故だ。事故の種類はさまざまだが、その始まりはウェブアプリケーション、特にウェブコンテンツレベルでの脆弱性からスタートし、その後、様々な種類の事故につながったものだ。つまり、とっくにウェブアプリケーションファイアーウォール(Web application firewall、WAF)でも稼動していたら充分に阻止できたはずの事故がほとんどである。

 

それにも関わらず、防げなかったら?: 暗号化

にもかかわらず、事故は必ず発生してしまう。これはとても重要な見方であり、認識である。よくITセキュリティというのは、事故が全く起こらないことを前提にしてすることだと思う。
しかし、そうではない。むしろ、ITセキュリティは事故が起こることを前提にしにやることだ。無条件的に完全な防御のみを前提するなら、万一、事故が発生した後、原状での回復力が著しく落ちるため、企業において最も重要なことであるビジネスの連続性を維持することはできない。したがって、事故発生を前提したまま、「問題は回復力」、これが最近のITセキュリティのパラダイムである。世の中のすべての防御網は、開かれる可能性を持っていて、全てのデータは流出される可能性を持っている。それがデータというものの当初の性質である。したがって、データ流出を防ぐために最善を尽くすものの、同時にデータが流出する事態に備えなければならない。そんなことが起きた際にも最悪の状況、つまりデータ内容の流出を防ぐ方法はデータ暗号化だけだ。犯罪者らがデータを盗むことはもし成功するとしても、データの内容を見ることはできないように、つまり盗んだデータを使うことはできないようにしてこそ、被害を最小化することができる。

 

クラウドはクラウドで: クラウドセキュリティ

クラウドコンピューティングに対する疑いは、まだ完全に消えていないようだ。クラウドはまだ完成度の低い技術であり、既存システムの使用と比べて無駄に複雑なだけで、何だか安全ではないようだという否定的偏見が依然としてある。しかし、これはまだクラウドを使ったことのない人々の誤解であるだけで、実際にクラウドを導入し、使用してみた企業は態度が完全に反対に変わり、ほめ言葉ばかり言う。特にクラウドを通じて新規アプリケーションやサービス適用にかかる時間は前と比べることができない程度に短縮され、維持・保守費用も大きく削減されたと満足する。そしてまだクラウドに転換していない企業は、既にクラウドに転換した企業のビジネス速度に追いつくことができないだろうと大声で話す。やはり、今の時代はクラウドだ。

それで、最近はサーバなどの電算システムを直接管理しない企業が多い。そして世界的にとても有名で巨大なクラウド会社が代わりに引き受けて処理してくれるからセキュリティ問題も絶対ないだろうと信じている。しかし、これはとても深刻な誤解である。クラウドサービス提供者(プロバイダー)は、ハードウェア及びネットワークレベルのセキュリティだけ提供する。アプリケーションやデータセキュリティに対する責任はサービス使用者の役目だ。これは真っ暗な秘密でもなく、サービス製品説明書にも明確に書かれている事実である。それでは、一体何をどうすれば良いか。例えば、ウェブアプリケーションの保護のため、以前のようにWAFハードウェアを直接設置して運用できない時にどうすれば良いのだろうか。

クラウドはクラウドで防ぐ。クラウド環境に合致するクラウドセキュリティシステムを適用することができるし、複雑なインストールプロセスなしにただ何回かクリックで、既存のハードウェアWAFと同一のクラウド・セキュリティ・サービスを提供してもらうこともできる。

 

スタートアップのセキュリティ: クラウド・セキュリティ・サービス

とても重要なテーマがまた一つある。スタートアップである。スタートアップは破壊的な革新とアイデアを通じて、短期間で超高速の成長を志向する新生企業であり、たいてい自由な企業文化を誇る。これはすなわち、セキュリティや安全にあまり気にしていないかもしれないという認識と繋がっている。実際、スタートアップでのセキュリティ事故は絶えず起きている。事業拡張とマーケティングに集中しているため、セキュリティの問題を考える時間がないかもしれない。その後、他のスタートアップがセキュリティ事故のせいで崩れる姿を見てからやっとセキュリティの必要を悟ったりする。

しかし、悟ってばかりいる。

しかし、規模が小さなスタートアップが大手企業レベルのセキュリティシステムを整備する方法がないという訴えも無視できない。大手企業レベルのセキュリティシステムはお金がとてもかかる仕事なのに、事業を始める時からお金をたくさん持っているスタートアップはほとんどないから。しかし、方法はある。クラウド時代なので、ITセキュリティもまたクラウドサービスで提供される。クラウドサービスとは、ネットワークを通じてコンピューティング環境と機能を提供するサービスだ。技術的な言葉で言うと「弾力的オンデマンド仮想マシン」であり、したがって、使用量によって資源量が増えたり減たりする柔軟性を持つため、サービスを使用した量だけ費用を支払えば良い。最近は、企業情報セキュリティの最も重要な3大要素であるウェブセキュリティ・データ暗号化・認証セキュリティ全部クラウドサービス形態で提供されるため、スタートアップであっても大手企業レベルのセキュリティの力量を持つことができる。

 

クラウド時代のセキュリティ?

要約すると、

-事故は、ほとんどがウェブアプリケーションで起きる。WAFを利用して防止しよう。
-にもかかわらず、事故が起きた場合、データ暗号化を通じて最悪の状況を避ける。
-ITセキュリティシステムを直接運営できない状況なら、クラウドセキュリティを適用しよう。
-費用のせいでセキュリティを十分にできないスタートアップであれば、クラウド型WAFサービスを使おう。
クラウド時代のセキュリティ、こうすれば良い。

watt

ペンタセキュリティ、「2016年Webアプリケーション脅威解析報告書」公開

ペンタセキュリティ、「2016Webアプリケーション脅威解析報告書」公開

セキュリティ脅威に效果的に対応するためのウェブ攻撃タイプ及び産業別国家別時間帯別攻撃の動向分析拡大
金融・教育分野はランサムウェアと同様の不正プログラムのアップロード攻撃が50%以上

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、2016年の一年間、全世界で発生したウェブ攻撃の動向を分析した「Webアプリケーション脅威解析報告書(Web Application Threat Trend Report)」を公開しました。

2010年から発表しているWebアプリケーション脅威解析報告書は、アジア・パシフィック地域の市場占有率1位のウェブアプリケーションファイアウォール製品「WAPPLES(ワップル)」が収集した実際のデータを基盤としたもので、収集に同意した検知ログをペンタセキュリティの「ICS(Intelligent Customer Support)システム」で分析し、作成します。これによって、セキュリティ管理者たちはウェブ攻撃タイプ、産業別の攻撃の動向、国家別の動向など、様々な分析結果を理解し、セキュリティ脅威のトレンドを把握してハッカーの攻撃に効果的に対応することができます。

レポートの概要は以下のとおり。

1.2016年ウェブ攻撃の動向では、「SQLインジェクション(SQL Injection)攻撃」*が45%で最も高く、ウェブページに悪性コードを挿入する「クロスサイトスクリプティング(Cross Site Scripting)攻撃」**が30%で第2位を占めました。両方どちらも一度で内部情報流出が可能であり、これを通じて深刻なレベルの脅威につながるため、使用者の格別な注意が必要です。

2.2016年ウェブ攻撃の動向では、産業別に他の攻撃の様相を確認することができました。個人や団体の私設サイトには、クロスサイトスクリプティング攻撃が主に行われました。金融・教育産業では、悪性ファイルをアップロードしてシステム権限を得る「ファイルアップロード(File Upload)攻撃」***、運送・製造・建設業などには「SQLインジェクション攻撃」が目立っており、コミュニティのような攻撃が50%以上を占めました。コミュニティのような私設団体の場合、相対的にセキュリティ措置がきちんと行われず、様々な個人情報を含んでおり、ハッカーたちの主なターゲットになる場合が多いです。したがって、各産業による攻撃の動向に合わせたセキュリティ対策を樹立し、より効果的にハッキング被害を防ぐことができます。

3.2016年ウェブ攻撃の動向では、特定の大陸別で頻繁に見える攻撃パターンが存在しました。主にアジア地域ではクロスサイトスクリプティング攻撃が、ヨーロッパや北・南アメリカではSQLインジェクション攻撃が目立っており、アジアで開始される攻撃が増加している傾向です。したがって、特定の大陸・国家のトラフィックに対するセキュリティ政策を強化する方法を悩まなければなりません。

ペンタセキュリティのCSOのDSKimは「2010年から発刊されたウェブ攻撃の脅威解析報告書では、WAPPLES運営関連技術的な報告書だったとすれば、今年からセキュリティ政策の立案過程で必要な情報を含め、セキュリティ管理の役に立てるように産業別、国家別、時間帯別のウェブ攻撃の動向を追加した。」とし、「全てがインターネットで結ばれている時代にウェブセキュリティ措置は必須的だ。重要な情報を保有した機関および団体がウェブハッキング攻撃に効果的に対応するに当たって、この報告書が少しでも役になることを願う。」と言及しました。

2016年Webアプリケーション脅威解析報告書は、ペンタセキュリティのホームページ(https://www.pentasecurity.co.jp/セキュリティ脅威トレンド解析レポートのダウン/)でダウンロードできます。

 

【技術用語説明】

*SQLインジェクション(SQL Injection)攻撃とは、ウェブアプリケーションの隙を悪用し、アプリケーションの開発者が予想できなかったSQL文章が実行させることで、データベースを非正常的に操作する攻撃です。

**クロスサイトスクリップティング(Cross Site Scripting)攻撃とは、ユーザアクセスの際に表示内容が生成される「動的ウェブページ」の脆弱性、またはその脆弱性を利用した攻撃方法を意味します。動的ウェブページの表示内容の生成処理の際、ウェブページに任意のスクリプトが侵入して、ウェブサイトを閲覧したユーザ環境に侵入したスクリプトが実行されます。

***ファイルアップロード(File Upload)攻撃とは、攻撃者が攻撃プログラムを当該システムにアップロードして攻撃する方法を意味します。攻撃方法は、攻撃者がシステム内部の命令を実行できるウェブプログラム(ASP、JSP、PHP)を製作し、資料室と共にファイルをアップロードできる処に攻撃用プログラムをアップロードする形式です。

 

WAPPLES(ワップル)

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。


製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201