Posts

photo-1453060113865-968cea1ad53a

【コラム】 安全なWebサイトの国際標準とは?

 

Key Conductorsコラム

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データベース暗号化・Webセキュリティに関するものを解説いたします。

このWeb全盛期時代、セキュリティは最も重要ーー。

いくら強調しても、なぜWebセキュリティが重要なのか、その本質まで理解してもらえないケースがよくあります。今回もこの場を借りてWebセキュリティの大切さについて訴えたいと思います。

今の時代、グローバルはインターネットですべてつながっており、インターネットを介しすべてのことが疎通していると言っても過言ではありません。にも関わらず、Webのセキュリティについては、誰も目を向けようとしない。その理由は、「安全なインターネット」は、一体何なのかよく分かっていない人が多いからだと考えます。

 

安全なインターネットとは?

 

皆さんがよく使う言葉で、実はその意味を明瞭に分からずに使っている言葉が案外存在するかと思います。このITの分野でいうと、「ICTセキュリティ」が丁度いい例になります。
「ICT時代」と言われると、普通に肯くかもしれませんが、「ICTセキュリティとは」と訊かれたら、「あれ、何だったっけ?」になる人も多いのではないだろうか。「セキュリティ」は重要であるということは分かっていながらも、何をどうすればいいのか、私たちは明瞭に把握できている人は少ない。実際私たち個人だけがこのICT時代のセキュリティ迷子になっているわけではなく、会社や団体などもセキュリティ迷子になっていると言えます。

しかしながら、この社会は迷える人々のためにきちんとした社会的安全措置を用意してくれています。セキュリティへの悩みを解消できる「国際標準」が、それです。代表的なのは、イギリスBSI(British Standards Institute)が制定したBS 7799をベースに構成されたセキュリティ認証であり、フレームワークである「ISO 27001」が挙げられます。

そして、より経営中心の性質が強い「ISMS(Information Security Management System) 情報セキュリティ経営システム」も重要な基準と言えます。このようなフレームワークを基準に企業側のセキュリティシステムを構築すれば、かなり安全なICTセキュリティポリシーを構築できるということです。

例えば、ある企業がISO 27001フレームワークの評価の11項目の全てに対し、安全という判定を受け認証を取得したとします。これは、ICTセキュリティの危機に対し、全社的に取り組んで総合的に管理を行い、今後持続的に改善していくためのシステムを構築できたということを意味します。

もちろん、認証を取得しているから100%安全になったではなく「相当安全である」ということです。

 

安全なWebサイトの基準になる国際標準は?

 

国際的非営利NGO団体として、オンライン信頼度評価機関である「OTA(Online Trust Alliance)」は、毎年著名なWebサイトを対象にそのセキュリティをチェックし、その結果を以て安全なインターネット文化の形成のために努力したWebサイトを選定する「OTHR(Online Trust Honor Roll、オンライン信頼度優秀)」の企業を発表しています。

OTHRは政府、マスコミ、金融、SNS等、様々な部門にわたり、約1,000以上の世界的に著名なWebサイトを対象にします。2015年の選定結果としては常連の約46%がセキュリティの面で減点されランクインできず、「最も信頼できるWebサイト」として「Twitter」が選定されました。

 

OTAは、どのような基準を以てOTHRを選定しているのか。

 

基準は色々ある中ここで注目すべき点は、去年から「WAF(Web Application Firewall)の採用」が加算項目になっているということです。WAF採用の有無は、OTHRの選定結果を大きく左右しました。

WAFは、Webアプリケーションのセキュリティとして特化して開発されたソリューションです。外部からの攻撃を検出し遮断することで悪意のあるコードをWebサーバに挿入しようとする試みを未然に防ぐ、そして、システムの脆弱性を外部に漏出しないように制御するなど、Webセキュリティにおいて、最もコアで重要な部分を対応しています。

Webサイトのセキュリティは、システム全体に及ぼす影響が大きく、OTAは今後もWAF採用有無によるOTHRの選定への影響を強めていくことを明らかにしました。

 

「じゃ、WAFを購入すればいいわけ?それっていくら?」

 

WAFを導入すれば、セキュリティ問題はいかにも簡単に解決できそうですが、そんな上手い話ではありません。また、生産性のない「セキュリティ」に投資をすることは、営利団体である企業側にとって簡単なことでもありません。第一、WAFはとても高価とはいわないものの、安価でもありません。

ここでコストパフォーマンスを考慮したら、クラウド型WAFサービスの出番となります。簡単な導入の手続きかつ、リーズナブルなサービス価格にて実際のWAFを導入したことと同等のレベルのセキュリティを確保できます。

言い切ってしまうと、Webのサービス開始のための数回のクリックで、全体のICTセキュリティ脅威の90%を占める「Webハッキング攻撃」を防ぐことができるようになります。このようなクラウド型のWAFサービスの場合、ハードウェアを持つ必要がなく、インストール作業は発生しませんし、コーディングなどの必要もありません。

実際、システムの実務者を対象にWebセキュリティにおいて一番重要なことは?と聞いたところ「モニタリング」という回答が多い結果を示したといいます。Web攻撃のトレンド把握や未知の攻撃を予想するよりは、今この時間に自社のWebサイトが狙われている現状を知りたい、といったニーズが高いようです。このような管理者のために必要なのは、持続的、かつ効果的にモニタリングができるインターフェースが重要です。システムにおいては専門家である管理者でもこれがセキュリティになると“話は別”になるのも、よくある話です。

様々なクラウド型WAFサービスがリリースされていますが、弊社では、専門家ではなくても簡単に導入でき、ユーザーフレンドリーなインターフェースに力を入れ、クラウドブリック(cloudbric)を提供しています。一度お試しになることをオススメ致します。体験してみて損はありません。

WebセキュリティにおいてWebアプリケーションに特化したセキュリティとして、まずWAFの導入をご検討して頂きたい。そして、そのスタートとしてクラウド型WAFサービスは、魅力的なソリューションであることを今一度覚えて頂けると幸いです。

 

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

 

hack-813290_1280

【コラム】 ハッカーの6つの行動パターン

Key Conductorsコラム

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

「ハッカー」は、何のためにWebサイトをハッキングしているのでしょうか。

その昔、インターネットが普及していなかった頃のハッカーは、自己顕示欲が強く自分の能力を見せつけるためにWebサイトをハッキングしていたものでした。しかし、社会がWebでつながっていると言っても過言ではない現代のハッキングは、より巧妙に行われ、その被害も膨大になってきています。

技術の進歩により我々の日常生活は便利かつ多様な側面を持つようになりましたが、その技術進歩には裏面も存在します。例えば、ネットバンキングは過去15年の間、関連技術を基盤として進化し、一度のクリックで金融取引ができる便利な世の中を作り上げました。しかし、この利便性の裏には個人情報および銀行取引情報といった重要な情報がネットを介し流れることになります。その重要な情報を欲しがっているのが「ハッカー」です。

ハッカーが欲しがる情報と、その情報を手に入れるための行動には幾つかのパターンがあるのです。今回はそれらのパターンを紹介します。

1.脆弱性スキャン

脆弱性スキャンはその名前からも分かる通り、システムの内部の脆弱性を探るために用いられる手法です。自社システムのセキュリティホールを洗い出し弱い部分を改善、自社のセキュリティを強固にしていくための行為でもあります。しかし、ハッカーらは同手法を用いて、標的のシステムに侵入するための脆弱性を見つけ出すのです。
ハッカーにとっての脆弱性スキャンは、本格的なハッキングを行うための情報収集およびシステムの脆弱性を下調べする行為であり、次の攻撃を行うためのゲートウェイのようなものなのです。

2.サーバー運用妨害

サーバー運用妨害は、Webサイトへのアクセスをブロックし、通常のサービスができないように妨害することです。サーバー運用妨害攻撃で最も知られているのは、分散型サービス拒否攻撃(Distributed Denial of Service attack:DDoS)が挙げられます。
DDoS攻撃を行うためにハッカーが「ボットネット(botnet)」と呼ばれるゾンビコンピュータのネットワークを介しPC端末を制御下に置き、そのボットネットがまるでゾンビ集団のように継続的にWebサイトに負荷をかけることで、サービスをダウンさせます。

3.金銭的損害

ハッカーにより行われる攻撃の中で被害側としては大打撃をうけるパターンが、この金銭的損害です。前述のようにネットの普及によりオンライン化された各種サービスは利便性をもたらしましたが、金銭的被害を及ぼすためのハッカーの狙いにもなります。

4.個人情報漏洩

前述の金銭的損害とともにこの個人情報漏洩はネット世界の課題でもあり、社会全般の問題としても議論されています。個人情報を手に入れたハッカーは、別人へのなりすまし、管理者権限を取得し更なる攻撃を仕掛けたり、奪取した情報を売り捌いたりしています。この前のアシュレイ・マディソンのハッキング事件は記憶に新しいかと思いますが、不倫サイトであるアシュレイ・マディソンの会員情報をWeb上に露出させ、非常に大きな波紋と混乱を引き起こしました。

5.Webサイト改ざん

Webサイトに対し、悪意を持って別の内容で置き換えることをWebサイト改ざんといいます。攻撃後はWebサイトを確認すれば、改ざんされた箇所がすぐ把握できるため、ニュースと同時に人々から「興味を持ってもらえる」攻撃として非常に効果の高い手法と言えます。
政治的な理念により選挙などで有力な候補者のWebサイトを改ざんするという事例が多発しています。この手のハッカーは、自己顕示欲が強い傾向があります。昨今アメリカでは、このようなハッキング行為に対し、処罰するというよりは「倫理的なハッカー」になってもらうよう、若者への「教育」を奨励している傾向にあります。

6.任意コード実行

システム上意図していなかったコードが実行されれば、それは要注意です。ハッカーは、悪意のあるコードを挿入し、コマンドを実行することで標的のシステムを制御し出します。ハッカーは、任意のコードを実行するために前述の1.脆弱性スキャンのように下調べを行い、そのシステムにて最もセキュリティ的に弱い部分を狙い打ちします。次の攻撃のための第一歩になるわけです。
このように、時代の流れと技術の進歩とともに、世の中の必要悪として「ハッカー」と「ハッキング」という言葉は誕生しました。サイバー上の戦いは、非常に恐ろしいものです。しかしながら、このような時代になったからといって、怯えるばかりでは何も解決できません。自社システムの脆弱性を洗い出し、その弱いところを補完できるセキュリティソリューションを検討することが重要です。
このようなコラムを介し、微力ながらもセキュリティにおいての知識や心構えなどを共有できればと思います。Webサイトを保護し不正アクセスを遮断するためには、その専用のセキュリティ対策としてWebアプリケーションファイアウォール(WAF)の導入をオススメします。もし宜しければ下記リンクもご参照下さい。

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

【コラム】 2016年、知っておくべきWeb脆弱性4大項目

 

Key Conductorsコラム

 

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

連日と言っていいほどサイバー犯罪のニュースを耳にするようになったと思うが、この増加傾向は何を表しているんだろうか。

そのベースにあるのは、まさに「脆弱(ぜいじゃく)なWeb」が多いことである。今の時代、悪意のある人間はいとも簡単にWebページにアクセスでき、脆弱な部分を見抜いてしまう。このような行為を手助けするかのように自動化されたツールが出回っているのも事実である。つまり、サイバーテロを試みる者さえいれば「専門的」なハッカーである必要はないのだ。

「安全なWeb」の実現には、努力目標としてセキュリティレベルを上げていくようなさまざまな行動を起こさなければならない。本稿では2016年上半期のWeb脆弱性TOP4を取り上げる。下半期のセキュリティ対策を設けるにあたり、微力ながら参考になればと願っている。

 

1.SQLインジェクション(SQL Injection)

 

Webサイト攻撃の定番ともいえるSQLインジェクションは、アプリケーションプログラムの脆弱性を突き、開発レベルでは想定していなかったSQL文を実行することでデータベースを不正に操作する攻撃手法である。この攻撃が成功すると、ハッカーはデータベースサーバに対してファイルの読み込みや書き込みが可能な状態になり、任意のプログラミングを実行できるようになる。WHO(世界保健機構)のような大きな団体ですらSQLインジェクション攻撃にさらされたことがある。

悪意のある者はWebから簡単に自動化されたツールを入手し、攻撃のための下見に利用している。例えば「sqlmap」という自動化ツールを使用すれば、ターゲットのURLに対してSQLインジェクションが可能となる脆弱性がないかどうかスキャンできる。しかし、Exploit(エクスプロイト)攻撃を通じて、間違ったコードを挿入する場合、MySQLシンタックスエラーが生じることもある。

2014年、ハッキングの被害にあったソニープレイステーションのケースもSQLインジェクションによるもので、この昔ながらの脆弱性を突いた攻撃は現在でも十分すぎるほどの破壊力がある。SQLインジェクションの試みが通ってしまうと、そこから抜かれる情報によって、企業側には計り知れない被害を及ぼすことになる。

 

2.クロスサイトスクリプティング(Cross Site Scripting:XSS)

 

ユーザーの入力に対し適切な措置が設けられていないシステムの脆弱性を突くXSS(クロスサイトスクリプティング)も定番の攻撃だ。

ユーザーに対し入力を許可する部分は、悪意のある者にとっては利用価値が高く、常に攻撃の対象になるのである。実行可能なコードやスクリプトのタグをシステム側に挿入し、意図した行動を起こすようにコントロールできる強力な攻撃の入口となるからだ。

一般ユーザーが、XSSが仕込まれたWebサイトを訪問し、ページを閲覧するために1クリックするだけで悪意のあるコードが実行され、セッションクッキーや個人情報等が何者かに渡されてしまう。実際クレジットカード情報も抜かれ、本人の覚えのない買い物をしてしまうケースも多々ある。

WhiteHat Securityが公開しているホワイトペーパーによれば、どんなWebサイトでも67%はXSSの脆弱性にさらされているという。つまり、XSSを利用したWebハッキングは攻撃を行う側にとってコストパフォーマンスが高い方法であるのだ。セッション・ハイジャック(Session Hijacking)を決行し、政府のWebサイトを改ざんする等、その効果の高さは大したものである。

ただし近年、Webブラウザ側で事前にXSSの試みをチェックする機能が実装されていることは不幸中の幸いである。

 

3.ファイルインクルージョン(File Inclusion)

 

ファイルインクルージョンは、Webサーバ上のデータに対し入力検証の不備を突いて不正なスクリプトを挿入する攻撃手法である。そのパターンとしては、RFI(Remote File Inclusion)とLFI(Local File Inclusion)がある。

RFIは不正なスクリプトをサーバに挿入し、ターゲットのページを介して悪意のあるコードを実行させることで、サーバ側はもちろん、クライアント側にも被害を及ぼすことになる。LFIは、ターゲットのサーバ上のファイルに対し、不正なスクリプトを挿入し、デフォルトファイル名の変更、データのアップロード/ダウンロードの実行等やりたい放題ができる。

この脆弱性をうまく利用できれば、ログファイルからIDとパスワードを洗い出し、他の攻撃と組み合わせてログインジェクション攻撃なども実行できてしまう。このような脆弱性に対応するためには、入力検証の仕組みの脆弱性を把握し、不備を改修していくことを推奨する。

 

4.不完全な認証及びセッション管理(Broken Authentication and Session Management)

 

Webアプリケーションでは、HTTPのリクエストトラッキング機能がない故に認証のリクエストとそのセッションを継続的に管理する必要がある。悪意のある者は、このセッション情報から、ユーザーのタイムアウト、パスワード、ログアウト等さまざまな情報を入手できる。
この脆弱性の記憶に新しい事例は、マイクロソフトが提供するHotmailに悪意のあるスクリプトを挿入し、ユーザーのパスワードを入手しようとする攻撃を改修した際に発覚したものだ。この脆弱性ではユーザーインタフェースにトロイの木馬を仕掛け、ユーザーにパスワードの入力を複数回求めるものだった。そして、その入力データは即座に悪意ある者に送られるというシンプルながら非常によくできたものであった。
この種の脆弱性は、企業側で認証システムをカスタマイズし、セッション管理の不備があらわになってしまった場合に起こり得る。ユーザーがログアウトの処理をせずにそのままサイトを閉じてしまうようなケースでこのような脆弱性にさらされる可能性が高い。
開発者レベルでセッション管理の確認はもちろん、SSLによるセッションの暗号化も基本中の基本の対策であろう。

 

まずは、行動を起こす

 

このコラムで紹介した脆弱性は、Webアプリケーション、Webサーバ、Webページにおける最も有名な攻撃手法である。ありとあらゆる対策は開示されていて対応は進んでいるものの、まだまだ道は長いと言える。開発時における優先順位の上位に「Webセキュリティ」を持ってきてもらえるように認識を変えることも伴わなければならない。

まずは、この4つの脆弱性に対し、企業側で行動を起こすことをお願いしたい。脆弱性を認識しているのか、対策は取っているのか。現実問題として確認してほしい。
次のステップは、WAFなどの適切なソリューションの検討だ。脆弱性はセキュリティホールとも言われる。しかし、この小さい穴を利用して、貴重な情報を盗み出したいと思う者がたくさんいる。

企業としての社会的責任、そして貢献を考える際に、経営側は「セキュリティ」を念頭に置かなければならない。セキュリティホールはしっかりと埋めておかなければならないのである。

 

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

【情報】最新Web脆弱性トレンドレポートのEDB-Report(6月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 6月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

ペンタセキュリティのクラウドブリック、AWS Innovate Online Conference 2016参加

ペンタセキュリティのクラウドブリック、
AWS Innovate Online Conference 2016参加

韓国企業で初めてブース運営、AWS上のWebセキュリティ対策の講演
データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が7月14日、韓国のセキュリティ企業としては初めてAWS Innovate Online Conference 2016で仮想ブースを運営したことを明らかにしました。

AWS Innovate Online Conferenceはアマゾンウェブサービス(AWS)の多様なプログラムと情報及びメリットについて具体的に知らせるオンラインでのカンファレンスであり、AWS Cloudおよびクラウドコンピューティングに興味があれば、誰でも無料で参加が可能であり、2015年にはインド、香港、オーストラリア、ニュージーランドなどアジア全域で約6,000人が参加しました。簡単な登録手続きを通じて、参加者はクラウドへの移転、アプリケーション拡張などのようなAWS適用方法や事例を見ることができます。

AWSのAPN(Amazon Partner Network)技術パートナーであるペンタセキュリティは、11年間アプライアンスタイプのWebアプリケーションファイアウォールソリューションであるワップル(WAPPLES)をアジア市場に提供し、 蓄積した技術やノウハウを基にし、クラウド基盤のWebアプリケーションファイアウォールのクラウドブリック(Cloudbric)ビジネス・エディション(Business Edition)を開発しました。AWSのデータセンタインフラを活用するクラウドブリックは、Amazon CloudFront、ELB(Elastic Load Balancing)、Auto ScalingなどのAWSサービスと完璧に互換されて、AWS利用者には適合なソリューションと言えます。また、ワップル(WAPPLES)とクラウドブリック(Cloudbric)に搭載されている論理演算検知エンジン(COCEP)は、Web攻撃の特性により探知するアルゴリズムが搭載されており、定期的なシグネチャのアップデートがいりません。最初設定の時、自動的に最適のセキュリティ設定が適用されるため、セキュリティがよく分からない一般の方であっても適用及び管理が容易であるのが特徴です。

クラウドブリック(Cloudbric)は、韓国企業としては初めてブースを運営しました。仮想のブースを訪問する参加者は、AWS上のWebアプリケーションを安全に保護する方法と性能が優れたWebアプリケーションファイアウォールを選ぶ基準に対する講演を聞いて、クラウドブリックの適用方法について詳しく説明を聞くことができました。7月14日の現地時間午前9時から午後7時まではリアルタイムでライブチャットを通じてお問い合わせに対する回答も聞くことができました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「AWSクラウドは、企業規模、事業分野に関係なく同一のプラットフォームとインフラを使用することで、ITインフラの平等化に貢献している。」とし、「これは誰もが高いレベルのセキュリティサービスを簡単に使用できるように作られたクラウドブリックのビジョンと同じく、このような点からAWSとクラウドブリックは相乗効果を発揮できると思う。今後、AWSクラウドだけでなくさまざまな環境でも、誰でも適用できる「セキュリティの平等化」のためのサービス最適化にもっと集中する予定だ。」と述べました。

AWS Innovate Online Conferenceに対する情報は下記のリンクで確認できます。
http://aws.amazon.com/jp/events/aws-innovate/

Cloudbric(クラウドブリック)

 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。

 

 

Cloudbricに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティのクラウドブリックがSC Awards Europe 2016で受賞

 

ペンタセキュリティのクラウドブリックがSC Awards Europe 2016で受賞

中小企業のための代表セキュリティソリューションとしてヨーロッパで認められ

データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)のクラウド基盤Webハッキング遮断サービスである「クラウドブリック(Cloudbric)」が6月7日、情報セキュリティ産業分野でリーダーシップを披露している企業に賞を授与するSC Awards Europe 2016(以下SCアワード)の「最高中小企業セキュリティソリューション(Best SME Security Solution)」部門で受賞したことを明らかにしました。

SCアワードは、情報セキュリティ産業分野の最新ニュースやリサーチ資料、分析情報を提供するSC Magazine UKで主管する授賞式で、毎年革新的なセキュリティ技術を保有した専門家や開発業社、供給会社を受賞者として選定してきました。SCアワードの最終受賞者は、情報セキュリティ産業で経験を蓄積し、専門知識を保有している審査委員の評価で選定されます。クラウドブリックは、5月「最高中小企業セキュリティソリューション」部門で最終候補として選定され、6月7日、ロンドンで開かれたSCアワード授賞式でSophos, Barracudaなどのグローバル企業の勝ち抜いて受賞企業として選定されました。

SCマガジンの編集長であるTony Morbin氏は、「グローバルセキュリティ企業を勝ち抜いて韓国の企業が受賞したことはとても意味深いことで、クラウドブリックは中小事業者のためのセキュリティサービスとして彼らの全般的なセキュリティレベルを向上させたことに貢献したため、受賞者として十分な資格を持っていると判断した。」と言及しました。

クラウドブリックは、小商工業主および中小企業のために開発されたクラウド基盤のWebハッキング遮断サービスとして、約19年間蓄積されたペンタセキュリティのITセキュリティ技術を基にして、中小事業者のためにエンタープライズ級のセキュリティサービスを月額サービス方式で提供しています。レベルの高いセキュリティサービスとともに使用方式が簡単なことから国内だけでなく、グローバル市場の小規模オンライン事業者から大きな反響を得ています。

ペンタセキュリティの最高技術責任者であるDS Kimは、「この3月、米国のCyber Defense Magazine Awardsで、自社のWebアプリケーションファイアウォールのWAPPLES(ワップル)とオープンソース暗号化ソリューションであるMyDiamo(マイディアモ)が受賞したことに引き続き、今年海外での受賞をすることになり、非常に嬉しく思う。」とし、「特に、世界的にクラウド基盤のセキュリティサービスが商用化されたことによって、ペンタセキュリティだけが持っている高いレベルのセキュリティ技術で海外市場でクラウドブリックの立地を固めていく予定」と述べました。

Cloudbric(クラウドブリック)

 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。

 

 

Cloudbricに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティのクラウドブリック、米国の中小企業庁NSBWの公式スポンサーに選定

 

ペンタセキュリティのクラウドブリック、
米国の中小企業庁NSBWの公式スポンサーに選定

米国中小事業者にWeb攻撃の動向情報およびセキュリティサービス提供

データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、クラウド基盤のWebハッキング遮断サービスであるクラウドブリック(Cloudbric、www.cloudbric.co.kr)が5月1日から7日までの一週間にわたって行われた米国の「全国小企業週間(National Small Business Week、NSBW)」で公式スポンサーに指定されたことを明らかにししました。

1963年から歴代アメリカ大統領は、毎年全国小企業週間(National Small Business Week)を指定し、中小企業を広報する様々なキャンペーンを行い、米国経済の発展に貢献した中小企業の功労を認めていました。米国の中小企業庁(Small Business Administration、SBA)の主催で開かれた同イベントは、雇用創出及び経済成長において中小企業が重要な役割をしていることを知らせるために開始され、毎年優秀な企業家と中小企業に対して授賞する時間を持つイベントです。

これとともに「Supporting co-sponsor」の資格で多くの分野の企業を選定することになるが、選定された企業はイベント期間中、中小企業を広報して企業経営に必要な諸般事項を広く知らせるキャンペーンを行うことになります。グーグル、コードフォーアメリカ、ツイッター、Yelp、Wixなどのような企業とともに公式スポンサーに選定されたクラウドブリックは、中小事業者に特化したクラウド基盤のWebアプリケーションファイアウォールサービスとして、手軽な会員加入方式とともにセキュリティ機能別の課金ではなく、Webサイトやビジネス規模別として課金する合理的な価格体系を持っています。このような特長で、中小事業者もエンタープライズレベルのセキュリティサービスを受けらるるため、NSBWの公式スポンサーに選ばれことができました。

クラウドブリックは、イベント期間中、一般の人でも理解しやすいセキュリティコラムと中小企業とエンタープライズ企業のWeb攻撃トレンドを比較・分析したインフォグラフィックを配布しました。また、情報セキュリティが必須的な要素であることを実質的な事例を通じて紹介するため、去年NSBWで優秀企業に選定された企業をインタビューし、中小事業者が成功するためには様々なマーケティングおよび広報活動も重要である一方、最も重要な点はリスク管理の側面で情報セキュリティであることを知らせました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「今回のNSBW公式スポンサー活動を通じて、中小企業が接近し難い情報セキュリティについて紹介し、具体的なセキュリティ方策を提示することができた。」とし、「クラウドブリックの需要が最も大きいアメリカ市場で昨年行われた「国際サイバーセキュリティー認識の月(NCSAM)」の広報大使とともにNSBWスポンサー活動を通じて単なる製品広報だけではなく、アジア・パシフィック市場のWebアプリケーションファイアウォール1位企業としてセキュリティの大衆化をリードしていく予定だ。」と述べました。

Cloudbric(クラウドブリック)

 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。

 

 

Cloudbricに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティ、AWS Summit Seoul 2016でクラウドセキュリティソリューション紹介

ペンタセキュリティ、AWS Summit Seoul 2016で
クラウドセキュリティソリューション紹介

APN技術パートナーとしてクラウド基盤のデータ暗号、Webセキュリティ技術紹介し

データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は5月17日、ソウルのCOEXで開催されたAWS Summit Seoul2016でAWS(Amazon Web Services)環境に特化したデータベース暗号化ソリューションD’Amo(ディアモ) for AWSと仮想化Webアプリケーションファイアウォール WAPPLES V-Series(ワップルブイシリーズ)を紹介したことを明らかにしました。

AWS Summitは、既存の顧客にはAWSを通じてより成功できるように深みのある技術コンテンツを提供し、新規の顧客には、AWSプラットフォームに対する教育を提供することを目的とするイベントであり、2016年には、ソウルをはじめ、東京、シンガポール、パリ、サンティアゴなど総37の都市で開催されています。

ソウルで開催されたAWS Summit Seoul 2016には約3,000人が参加し、ペンタセキュリティは、展示ブースを運営してアジア・パシフィック地域のマーケットシェア1位のWebアプリケーションファイアウォールであるWAPPLESをAWS環境に最適化したWAPPLESの仮想化バージョン「WAPPLES V-Series」と韓国データベース暗号化ソリューション市場1位のD’AmoをAWSのクラウド環境に最適化した「D’Amo for AWS」を紹介して、AWS環境での適用方法を教える時間を持ちました。

ペンタセキュリティは、2014年からAWS基盤の鍵管理サーバ製品であるD’Amo SG-KMSと仮想化WebアプリケーションファイアウォールWAPPLES V-SeriesをAMI(Amazon Machine Image)の形で提供しながら、APN(Amazon Partner Network)技術パートナーに登録されました。APN技術パートナーとは、AWSプラットフォームでホスティングや統合できるソフトウェアソリューションを提供する正式パートナーとして、他の企業より効率的にAWS基盤のソリューションを構築することができます。

ペンタセキュリティの最高技術責任者であるDS Kimは、「昨年と比べてAWSクラウドを利用する顧客の割合が高まり、AWS環境で適用可能なセキュリティソリューションに関するお問い合わせも増加した。」とし、「データベース暗号化ソリューションおよび仮想化Webアプリケーションファイアウォールを韓国市場では最初に発売してセキュリティ技術をリードしてきた経験を基にして、Microsoft Azure、IBM Softlayer、Google Cloud Platformなどの様々なクラウド環境でも誰もが簡単にセキュリティソリューションを適用できるように製品を最適化することに集中する予定である。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【コラム】PCI DSSの核心、Webセキュリティとデータ暗号化

情報セキュリティ製品の広告を見てみると、製品導入を決める基準としてさまざまな「標準」を羅列する。その中でも「PCI DSS」は、特によく登場する主人公である。

「自社のWebアプリケーションファイアウォールWAPPLESは、PCI DSS要求事項を満たし、PCI-DSS基準の適合認証を保有しています!」とか「オープンソースデータベース暗号化ソリューションMyDiamoは、クレジットカード番号のマスキング機能など、PCI DSSの要求事項を全て遵守しています!」とか。

いったい何の話なんだろう。難しい。こんなに強調しているのを見ると、何かとても重要なものには違いないだが…。

「それでいったいPCI DSSが何だ?」

「PCI DSS」とは、クレジットカード会社の会員のカード情報および取引情報を安全に管理するため、クレジットカード決済の全過程にわたって関連されている人はみんなが遵守しなければならないクレジット産業界のセキュリティ標準である。

PCI DSSが登場する前には、クレジットカードの会社ごとにそれぞれ異なるセキュリティ基準を要求していたので、一般事業者は、お互いに違う数多くの基準を充足しようとした。すると、費用もたくさんかかるし、とても不便だった。このような不便さを解消するためにJCB、アメリカンエキスプレス、Discover、MasterCard、VISAなどの国際的なクレジットカードの大手企業が共同で委員会を組織して「PCI DSS」という、事実的には「標準」となるのを策定したものだ。これは、「私たちと取引するためには、この標準に従わなければならない。」というように感じれるかもしれない。ところが、あまりにも大きな会社の連合だから、従わざるをえない。拒否したら、商売ができないから。

ところが、NIST、ANSI、ASA、ISOなどの国際的に通用される標準制定機関ではない民間企業が作り出した規格を「標準」と言えるだろうか。そもそも標準とは、ある物事を判断するための根拠や基準なのに、それを営利を目的にして運営される民間企業が決めても良いのだろうか。疑いの目で見る人もいるだろう。しかし、「PCI DSS」の内容を詳しく見ると、これは標準だと十分言える。かなり立派で、詳細かつ緻密な規格である。

全般的、細部的なセキュリティ状態の診断及び審査過程、アプリケーションやシステム、そしてネットワークなどの領域ごとに実施する浸透テストの回数や時期などのセキュリティ政策だけでなく、何回不正ログイン試行を繰り返すとロック処理されるのか、またはクライアントPCに個人アプリケーションファイアウォールのインストール状況の確認など、細かい基準まで完備している規格である。このように具体的で厳格な基準を提示するため、クレジットカードの取引と関係のない企業や組織でもPCI DSSを情報セキュリティ基準として採択する場合も多い。

それでは、PCI DSSがいったい何なのか、その内容をより詳しく調べてみよう。本質をちゃんと把握するためには、周りからの話を聞くのよりも当事者が説明したものを見たほうが良い。それで、「PCIセキュリティ標準委員会(PCI Security Standards Council)」が言うPCI DSSの認証仕組みを見ると…

 

KakaoTalk_20170412_150820812

図1)PCI DSSの認証仕組み
PCI DSSの認証仕組みは「PCI PTS」、「PCI PA-DSS」、「PCI DSS」、「PCI P2PE」など、4つのカテゴリーに分類されている。一つ一つ見る前に知っておくべき点は、PCI DSSが究極的に目的することは2種の情報を安全に守ることだ。2種の情報とは、クレジットカードの持ち主の個人情報やクレジットカードの番号や追加的な情報を含めた取引情報を示すが、これを合わせて「敏感情報」としよう。PCI DSSの全仕様は、まさにその「敏感情報」をどう扱うかについての内容である。

1)PCI PTS(PIN Transaction Security)
クレジットカード端末機などのハードウェア設計および検証の基準である。物理的装備やネットワークトランザクションを通じて、敏感情報が流出されることを防ぐための通信セキュリティ及びデータ暗号化などセキュリティ標準の遵守可否を確認する。

2)PCI PA-DSS(Payment Application Data Security Standard)
アプリケーション開発会社を対象とする認証基準である。カード会社及び会員会社そしてクレジットカードの会員が使う業務用ソフトウェアで敏感情報が伝送、処理、保存される過程での通信セキュリティ及び暗号化可否などを確認する。

3)PCI DSS(Data Security Standard)
クレジットカードインフラ全般にわたってネットワークとシステム構成が安全なのかなどを総合的に判断する基準である。アカウント統制及びアクセス制御を通じて、業務環境の厳しい管理はもちろん、定期的なセキュリティ監査実施有無などのセキュリティ政策まで含むとても広い概念である。技術的には、主にアプリケーション内部と通信区間での敏感情報の安全性および暗号化可否を検討し、安全性を判断する。

4)PCI P2PE(Point to Point Encryption)
PCI DSS全体の基になるのは、暗号化である。ただの暗号化ではなく、P2P暗号化、すなわちクレジットカード端末機からカード会社のアプリケーションを経てデータベースに保存されるまで、データが移動する全過程にわたった暗号化である。敏感情報は必ず最初から最後まで暗号化されていなければならない。

上記の内容をより簡単にまとめると、

1)PCI PTS=ハードウェア設計者が注意すべきの点
2)PCI PA-DSS=ソフトウェア開発者が注意すべきの点
3)PCI DSS=敏感情報を取り扱うすべての人が注意すべきの点
4)PCI P2PE=敏感情報は必ず最初から最後まで暗号化

こう説明できる。つまり、PCI DSS全体の基になる 4)を除いて見たら、1、2、3は業務分野に従う分類である。では、分野ではなく、内容そのものだけを見たらどうだろう?

PCI DSS、核心は、Webセキュリティとデータ暗号化

まず、「PCI PTS」を見ると、クレジットカード端末機とネットワークなど、主にハードウェアと関連している分類だが、その内容を見ると、純粋なハードウェア設計のほか、内容のほとんどがデータ暗号化、そしてトランザクション通信セキュリティ関連の内容となっている。ちゃんと暗号化しているのか、暗号化したデータを安全にやり取りしているのかなど。

ところが、データが移動してアプリケーションに到達してからは、その内容はアプリケーションが扱う対象になる。ところが、最近のアプリケーションは、ほとんどがWebアプリケーションである。実際に起きているアプリケーション関係のセキュリティ侵害事故のほとんどがWebセキュリティ事故だ。したがって、Webアプリケーション開発プロセスの基準となる「PCI PA-DSS」の内容のほとんどはWebセキュリティ関連の内容であり、内容の核心はデータ暗号化になる。

敏感情報を扱う全般的なセキュリティ政策とも言える「PCI DSS」もまた、内容を見れば、ほとんどがWebセキュリティとデータ暗号化関連の内容だ。そして「PCI P2PE」は別に言うまでも無く、用語自体が区間全体にわたった暗号化という意味だからやっぱりWebセキュリティとデータ暗号化が主な内容だ。

ところで、なぜWebセキュリティとデータ暗号化の内容が主になるのだろう。

最近の通信はほとんどがWebだし、最近のアプリケーションはほとんどがWebアプリケーションである。本格Web時代と言えるのだ。IoT、フィンテック(FinTech)などの技術が登場することによって、Webはますます私たちの日常になっているのだ。データは、アプリケーションを通じて移動する。そしてアプリケーションの主要環境はWebである。通信技術だけでなく、システム環境からユーザインタフェースに至るまで、すべてのIT技術がWebに統合されている。これからは、すべてのアプリケーションがWeb環境で開発され、運用されることに間違いない。したがって、分野とか分類に関係なく、最も重要なセキュリティは「Webセキュリティ」になるしかない。

そして先に述べたように、PCI DSSの究極的な目的は敏感情報を安全に守ることだ。用語も複雑だし、やるべきのこともすごく多いだが、結局言いたいのは「データを守りましょう。」ということだ。これは、覚えておくべきの非常に重要なポイントである。今日、情報セキュリティの中心は、過去に集中したネットワークやサーバーなどのインフラを保護するセキュリティからデータとアプリケーションを保護するセキュリティへ移動している。これは、結局本当に重要な価値が何かに気づく過程とも言える。本当に守らなければならない価値とは?当然、データだ。そして、データを最も安全に守る唯一の方法は「暗号化」だ。なぜ?暗号化以外には、別の方法がないから!

それでは、また最初に戻って、下の文章を読んでみよう。

「自社のWebアプリケーションファイアウォールWAPPLESは、PCI DSS要求事項を満たし、PCI-DSS基準の適合認証を保有しています!」
「オープンソースデータベース暗号化ソリューションMyDiamoは、クレジットカード番号のマスキング機能など、PCI DSSの要求事項を全て遵守しています!」

上の文章が少しは違く見えないのか。難しくて複雑な言葉も、言葉の核心を把握すると、すごく簡単に理解できるのだ。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そしてカード情報保護研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

MyDiamo (マイ・ディアモ)

 

MyDiamoは、OSS(Open Source Software)のMySQLとMariaDBに特化したDBMSエンジンレベルの暗号化ソリューションであり、エンジンレベルのカラム暗号化セキュリティとパフォーマンスの両立を実現させるアプリケーションから独立したコンポーネントです。ペンタセキュリティでは、オフィシャルサイトにて個人用の非営利的利用のため、無償ライセンスを提供しています。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティのクラウドブリック、WorldHostingDays Global 2016に出展

 

ペンタセキュリティのクラウドブリック、WorldHostingDays Global 2016に出展

クラウドブリックのBusiness Editionを通じて欧州市場への本格的攻略
暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウ