Posts

profile

「2018年04月号」暗号通貨を最も安全に保護する方法は何?クレジットカード情報から教育業界の情報まで全ての情報はハッカーのターゲット!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□■   ペンタセキュリティシステムズ メールマガジン 2018/04/27    ■□■
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【01】【プレスリリース】 暗号通貨ウォレット「ペンタ・クリプトウォレット」発売を発表
【02】【プレスリリース】 クラウドブリック、「IP評価サービス・ウェブ脆弱性情報DB・WAF性能

評価ツール」3種のサービスを提供開始
【03】【月間レポート】 最新Web脆弱性トレンドレポート2018年03月号公開
【04】【ペンタソリューション】 PCI DSSの完璧な準拠のためのデータ暗号化とサイバーセキュリティ
【05】【コラム】 教育情報セキュリティポリシーに関するガイドラインに対応しなければならない理由
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【01】【プレスリリース】 暗号通貨ウォレット「ペンタ・クリプトウォレット」発売を発表

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
今年の1月、日本最大の暗号通貨取引所の「コインチェック」で史上最大規模のハッキング事故が発生し、

約580億円の暗号通貨が盗難される事件がありました。当取引所では、いわゆる「ホットウォレット」に

暗号通貨を保管していましたが、コインチェックではこの「ホットウォレット」用の個人鍵が奪取され、

コインチェックのNEM(ニュー・エコノミー・ムーブメント)の口座から約580億円のNEMが流出されたと

説明しました。この事件により、ホットウォレットより安全性が保障されるコールドウォレットが注目を

集めている中、ペンタセキュリティで暗号通貨ウォレットの「ペンタ・クリプトウォレット(Penta Crypto

Wallet)」を新たに発売しました。
ペンタ・クリプトウォレット(Penta CryptoWallet)は、暗号通貨取引のための鍵生成から取引プロセス全般

にわたってEnd-to-Endセキュリティを具現して、既存の暗号通貨セキュリティが持っていた脆弱性問題を

解消するための暗号通貨セキュリティ・トータルソリューションとして、6月から公式発売を予定しており、

現在はCBT(Closed Beta Test)を実施しています。

 

より詳しい内容は、プレスリリース全文をご確認ください。

 

>> 「暗号通貨ウォレット「ペンタ・クリプトウォレット」発売を発表」プレスリリース全文はこちら
https://bit.ly/2qLTssc

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【02】【プレスリリース】 クラウドブリック、「IP評価サービス・ウェブ脆弱性情報DB・WAF性能

評価ツール」3種のサービスを提供開始 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

クラウド基盤のウェブセキュリティサービス提供会社クラウドブリックが「IP評価サービス・ウェブ脆弱

性情報データベース・ウェブアプリケーションファイアウォールの性能評価ツール」の各種のウェブセキュ

リティリソースを無償提供するCloudbric Labsサービスを日本で新たに提供開始いたしました。
クラウドブリックは、別途ソフトウェアのインストールなしで、DNS変更だけでサービス利用が可能なクラ

ウド型WAFとして、独自開発した論理基盤検知エンジンを活用し、ID奪取を狙ったサイバー攻撃及びDDoS

攻撃を検知し、保護するウェブサイトセキュリティソリューションです。
今回提供を開始するCloudbric Labsサービスを通じて、Cybersecurity Insidersが主催する2018Cybersecurity

Excellence Awardsで「今年のサイバーセキュリティプロジェクトでアジア・パシフィック(Cybersecurity

Project of the Year-Asia/Pacific)部門を受賞しました。

 

サービスの詳しい情報は、下記のプレスリリースをご参考ください。

 

>> 「クラウドブリック、“IP評価サービス・ウェブ脆弱性情報DB・WAF性能評価ツール”3種サービス

提供開始」プレスリリース全文はこちら

https://bit.ly/2Hzrw5n
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】【月間レポート】 最新Web脆弱性トレンドレポート2018年03月号公開
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにした トレンド

レポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオープン情報であるExploit-DB

より公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティ

チームの専門的知識と経験を活かし作成されています。

【概要】

2018年3月に公開されたExploit‐DBの脆弱性報告件数は、26件でした。この中で最も多くの脆弱性が公開

された攻撃は、SQL Injection(SQLインジェクション)です。特に、Joomla Componentで51つの脆弱性が

公開されました。注目すべきことは””ClipBucket < 4.0.0 – Release 4902″”脆弱性です。当脆弱性は、それ

ぞれCommand Injection, File Upload, SQL Injection脆弱性を利用して攻撃が行なわれました。このように

様々な脆弱性を利用した攻撃に対しては注意する必要があります。
当脆弱性を予防するためには、最新パッチとセキュアコーディングをおすすめします。しかし、完璧な

セキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはウェブアプリケーシ

ョンファイアウォールを活用した深層防御(Defense indepth)実装を考慮しなければなりません。

 

>> 最新Web脆弱性トレンドレポート3月号まとめはこちら

https://bit.ly/2HhWQ51

>> 最新Web脆弱性トレンドレポート(PDF)ダウンロードはこちら
https://bit.ly/2vAWENb (PDF / 869kb)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【04】【ペンタソリューション】 PCI DSSの完璧な準拠のためのデータ暗号化とサイバーセキュリティ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【概要】
PCI DSSという言葉、聞いたことがありますか?クレジットカード取引が増えることによってサイバー攻撃

を通じて違法にクレジットカード情報を取得し、これを悪用する事件が相次いで発生しています。このよう

なカード情報流出を防ぐために「クレジットカード情報を取り扱うためのセキュリティ標準」がまさに

PCI DSSです。
最近、ECサイトなどのインターネットと電子商取引を通じた取引が増えながら、自然に決済のためのカード

情報などの個人情報をインターネット上に登録することが増えています。しかし、問題は、このような

サイトがハッカーによって攻撃を受け、サイトに保存されていた顧客の個人情報が流出される事件も徐々に

増えているということです。
それで、今回はPCI DSSについて調べて、PCI DSSを準拠するために不可欠な2つの方法、データ暗号化と

サイバーセキュリティについて詳しく調べます。また、日本のPCI DSS準拠のためのガイドラインについ

ても解説いたします。

 

>>「PCI DSSの完璧な準拠のためのデータ暗号化とサイバーセキュリティ」全文はこちら
https://bit.ly/2F1Yt53

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【05】【コラム】 教育情報セキュリティポリシーに関するガイドラインに対応しなければならない理由
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【概要】
2016年7月、文部科学省では「教育情報セキュリティのための緊急提言」を公表し、公務系や学習システム

の分離など、8項目の情報セキュリティ対策を設けることを促しました。そして、約1年後の2017年10月には

「教育情報セキュリティポリシーに関するガイドライン」が公表されました。

今までニュースポータルのメインを飾ったサイバー攻撃とこれに対する被害事例をみると、2017年米国の

信用情報会社エクイファックスからアメリカ全体人口の40%の個人情報が流出された事件や日本最大の

暗号通貨取引所のコインチェックが不正アクセスを受け、約580億円を盗まれたことなどの金融業界で起き

た事件が殆どでした。それで、教育業界において情報セキュリティの必要性に対しては認知していなかった

かもしれませんが、実は、教育業界もハッカーたちの目標としてよく狙われる市場です。
2016年佐賀県教育委員会の不正アクセス事件や大阪大学の情報流出事件などが続けて発生しながら、教育

業界も狙われる可能性があるという認識が生じているが、なぜ狙われるか、またどのような情報が狙われる

かについてはまだよくわからない方々もいるはずです。
果たして、なぜハッカーは教育関連の情報を狙うのでしょうか。そして教育機関で教育情報のセキュリティ

政策ガイドラインに従って、セキュリティ政策を樹立するためには何をすればいいのでしょうか。

 

詳しい内容は、コラム全文をご参照ください。

 

>>「教育情報セキュリティポリシーに関するガイドラインに対応しなければならない理由」全文はこちら
https://bit.ly/2Hekhw1

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 製品・パートナシップに関するお問い合わせ
ペンタセキュリティシステムズ株式会社 日本法人
Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

■ 本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

201802141831_5

週刊BCN主催のセミナー・キャラバン2018 In広島

冬の広島で週刊BCNがセミナー、勤怠管理やメール製品など多数紹介!

 

週刊BCNは2月14日、今年第二弾となる全国キャラバン「業界の“今”がわかる!有力商材が見つかる!SIer・リセラーのためのITトレンドセミナー」を、広島市のTKP広島平和大通りカンファレンスセンターで開いた。全国キャラバンは、名古屋を皮切りに今回の広島を含め、1年かけて全国12か所を巡回し、各地域のITベンダーに最新情報を提供する。協賛企業は、NTTデータウェーブ、サイバーソリューションズ、キングソフト、ペンタセキュリティシステムズ、ビーブレイクシステムズの5社。各社はソリューションやサービスを披露したほか、展示ブースを設けて具体的に解説した。

基調講演では、国際大学グローバル・コミュニケーション・センターの砂田薫・主幹研究員が「情報革命がもたらすパラダイムシフト」と題し、デンマーク、フィンランド、エストニアなどのIT先進国の事例をもとに、最新デジタルが起こすイノベーションとデジタルトランスフォーメーション(DX)について触れ、日本の課題を考察した。(略)

 

「セッション4」では、ペンタセキュリティシステムズの陳貞喜・グローバルビジネス本部日本セキュリティビジネス戦略部門ゼネラルマネージャーが「今こそ、Webサイトを守るWAFを再認識!~4Hから見るWAFを選ぶ基準と日本に上陸した進化したクラウド型WAFサービスのご提案~」をテーマに登壇した。Webサイトを守るWAFは、箱ものやクラウド型サービスなど、すでに数々が市場に出ている。同社は、21年間アプリケーションに特化したセキュリティを研究・開発してきた専門企業として、WAFを選ぶ基準を4H(高視認性、高セキュリティ、高コスパ、高信頼性)で説明した。

陳マネージャーは「当社のコア技術としては、Web、認証、データ暗号化のセキュリティをもっている。いまは、この3つの技術を生かし、IoT関連のセキュリティ・ソリューションを提供している。主力製品としては、シグネチャベースでなくロジックベースのアプライアンスのWAF製品を出している。企業システムは、7つあるレイヤのうち、ネットワーク、システム、アプリを守る必要がある。ハッカーがまず狙うのはアプリレイヤでWAFが必要だ」とした。

全文は下のリンクからご確認できます。

週刊BCN   https://www.weeklybcn.com/journal/news/detail/20180214_161040.html&pno=1


WAPPLES(ワップル)

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

201802021929_6

週刊BCN主催のセミナー・キャラバン2018 In名古屋

201802021929_6

名古屋を皮切りに週刊BCN主催のセミナー・キャラバン始動、IT商材満載!

 

週刊BCNは2月2日、今年初の全国キャラバン「業界の“今”がわかる!有力商材が見つかる!SIer・リセラーのためのITトレンドセミナー」を愛知県名古屋市のミッドランドホールで開いた。キャラバンは本日の名古屋を皮切りに、1年かけて全国12か所を巡回し、各地域のITベンダーに最新情報を提供する。今回は、協賛企業として、ラリタン・ジャパン、サイバーソリューションズ、キングソフト、NTTPCコミュニケーションズ、ペンタセキュリティシステムズ、ビーブレイクシステムズの6社がソリューションやサービスを披露したほか、展示ブースを設け、具体的な部分を個別に解説した。

基調講演では、元日経システムプロバイダ編集長でIT産業ジャーナリスト、ITビジネス研究会の田中克己・代表理事が「変わるIT産業、変わらぬIT企業」をテーマに持論を展開した。受託ソフト開発が縮むなか、中小SIerがビジネスを転換する方法などを伝授した。(敬称略)

 

「セッション5」は、ペンタセキュリティシステムズの陳貞喜・グローバルビジネス本部日本セキュリティビジネス戦略部門ゼネラルマネージャーが「今こそ、Webサイトを守るWAFを再認識!~4Hから見るWAFを選ぶ基準と日本に上陸した進化したクラウド型WAFサービスのご提案~」をテーマに解説した。Webサイトを守るWAFは、箱ものやクラウド型サービスなどで、すでに数々が市場に出ている。同社は、21年間アプリケーションに特化したセキュリティを研究・開発してきた専門企業として、WAFを選ぶ基準を4H(高視認性、高セキュリティ、高コスパ、高信頼性)として説明した。

陳マネージャーは、「WAFに加え、認証、暗号化の3つのコア技術がある」とした上で、IoT関連のソリューションなどを紹介した。「企業側でハッキングを認知するまでの時間は、アジア・パシフィックエリアでは、6か月程度かかっている。ハッカーはその間、企業システムの重要データを持ち逃げしたいので、権限・ターゲット確認をしている。そこで、いまこそウェブサイトを守るWAFに注目してほしい」と呼びかけた。さらに、「ネットワークレイヤの第一次攻撃に対し、ファイアウォールがあり、システムセキュリティではアンチウイルス製品などがある。だが、最近では、ウェブサイトが改ざんされ不正プログラム実行の踏み台になるケースがある」と述べ、幻冬舎の個人情報漏えい事件などに触れた。

その上で、低コストですぐに導入できるクラウド型WEFサービスを提案。「保護状況をいつでも直感的に把握でき、攻撃検出エンジンの仕組みと運営会社のセキュリティ専門性を確認でき、箱モノを買わず、導入実績があるか、といった4Hをクリアしていることが重要だ」と述べた。

 

全文は下のリンクからご確認できます。

BCN Bizline   https://www.weeklybcn.com/journal/news/detail/20180202_160882.html


D’Amo(ディアモ)

2004年リリースされたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,800ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(10月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 10月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

10月の最新Web脆弱性トレンド情報

2017年10月に公開されたExploit-DBの脆弱性報告件数は、総67件であり、その中でSQLインジェクションが51件で最も多い件数で発見されました。10月の攻撃の中で最も危険度の高い攻撃は、コマンド・インジェクション(Command Injection)攻撃でした。コマンド・インジェクション(Command Injection)攻撃は、意図しないシステムコマンドを実行することができる攻撃で、今月に公開された攻撃は主に1)multipart/form-dataを活用した方式、2)JSON形式でコマンドを挿入する方式、3)コマンドをbase64とhashで変調する方式、4)コマンドが挿入されたxmlファイルを参考する方式などがありました。該当脆弱性を予防し、持続的なセキュリティを維持するためにはWebアプリケーションファイアウォールとセキュアコーディング、最新パッチを通じて深層防御(Defense in depth)実装を考慮しなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

 

profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(7月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 7月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

watt

ペンタセキュリティ、「2016年Webアプリケーション脅威解析報告書」公開

ペンタセキュリティ、「2016Webアプリケーション脅威解析報告書」公開

セキュリティ脅威に效果的に対応するためのウェブ攻撃タイプ及び産業別国家別時間帯別攻撃の動向分析拡大
金融・教育分野はランサムウェアと同様の不正プログラムのアップロード攻撃が50%以上

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、2016年の一年間、全世界で発生したウェブ攻撃の動向を分析した「Webアプリケーション脅威解析報告書(Web Application Threat Trend Report)」を公開しました。

2010年から発表しているWebアプリケーション脅威解析報告書は、アジア・パシフィック地域の市場占有率1位のウェブアプリケーションファイアウォール製品「WAPPLES(ワップル)」が収集した実際のデータを基盤としたもので、収集に同意した検知ログをペンタセキュリティの「ICS(Intelligent Customer Support)システム」で分析し、作成します。これによって、セキュリティ管理者たちはウェブ攻撃タイプ、産業別の攻撃の動向、国家別の動向など、様々な分析結果を理解し、セキュリティ脅威のトレンドを把握してハッカーの攻撃に効果的に対応することができます。

レポートの概要は以下のとおり。

1.2016年ウェブ攻撃の動向では、「SQLインジェクション(SQL Injection)攻撃」*が45%で最も高く、ウェブページに悪性コードを挿入する「クロスサイトスクリプティング(Cross Site Scripting)攻撃」**が30%で第2位を占めました。両方どちらも一度で内部情報流出が可能であり、これを通じて深刻なレベルの脅威につながるため、使用者の格別な注意が必要です。

2.2016年ウェブ攻撃の動向では、産業別に他の攻撃の様相を確認することができました。個人や団体の私設サイトには、クロスサイトスクリプティング攻撃が主に行われました。金融・教育産業では、悪性ファイルをアップロードしてシステム権限を得る「ファイルアップロード(File Upload)攻撃」***、運送・製造・建設業などには「SQLインジェクション攻撃」が目立っており、コミュニティのような攻撃が50%以上を占めました。コミュニティのような私設団体の場合、相対的にセキュリティ措置がきちんと行われず、様々な個人情報を含んでおり、ハッカーたちの主なターゲットになる場合が多いです。したがって、各産業による攻撃の動向に合わせたセキュリティ対策を樹立し、より効果的にハッキング被害を防ぐことができます。

3.2016年ウェブ攻撃の動向では、特定の大陸別で頻繁に見える攻撃パターンが存在しました。主にアジア地域ではクロスサイトスクリプティング攻撃が、ヨーロッパや北・南アメリカではSQLインジェクション攻撃が目立っており、アジアで開始される攻撃が増加している傾向です。したがって、特定の大陸・国家のトラフィックに対するセキュリティ政策を強化する方法を悩まなければなりません。

ペンタセキュリティのCSOのDSKimは「2010年から発刊されたウェブ攻撃の脅威解析報告書では、WAPPLES運営関連技術的な報告書だったとすれば、今年からセキュリティ政策の立案過程で必要な情報を含め、セキュリティ管理の役に立てるように産業別、国家別、時間帯別のウェブ攻撃の動向を追加した。」とし、「全てがインターネットで結ばれている時代にウェブセキュリティ措置は必須的だ。重要な情報を保有した機関および団体がウェブハッキング攻撃に効果的に対応するに当たって、この報告書が少しでも役になることを願う。」と言及しました。

2016年Webアプリケーション脅威解析報告書は、ペンタセキュリティのホームページ(https://www.pentasecurity.co.jp/セキュリティ脅威トレンド解析レポートのダウン/)でダウンロードできます。

 

【技術用語説明】

*SQLインジェクション(SQL Injection)攻撃とは、ウェブアプリケーションの隙を悪用し、アプリケーションの開発者が予想できなかったSQL文章が実行させることで、データベースを非正常的に操作する攻撃です。

**クロスサイトスクリップティング(Cross Site Scripting)攻撃とは、ユーザアクセスの際に表示内容が生成される「動的ウェブページ」の脆弱性、またはその脆弱性を利用した攻撃方法を意味します。動的ウェブページの表示内容の生成処理の際、ウェブページに任意のスクリプトが侵入して、ウェブサイトを閲覧したユーザ環境に侵入したスクリプトが実行されます。

***ファイルアップロード(File Upload)攻撃とは、攻撃者が攻撃プログラムを当該システムにアップロードして攻撃する方法を意味します。攻撃方法は、攻撃者がシステム内部の命令を実行できるウェブプログラム(ASP、JSP、PHP)を製作し、資料室と共にファイルをアップロードできる処に攻撃用プログラムをアップロードする形式です。

 

WAPPLES(ワップル)

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。


製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

sslcolumn

【コラム】 まだ有料SSL認証書を使用中のあなたに今、必要なのは?

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットで連載しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

ウェブを利用したサービスが多様になり、情報のやり取りが簡単になっただけに、ハッキング攻撃にさらされる危険性も高まっており、暗号化通信は不可欠な要素になった。暗号化通信は、HTTPSプロトコルを使用することにより、実現できるが、HTTPSプロトコルを使用するためには、認証機関(CA:Certificate Authority)からSSL認証書の発行をしなければならない。しかし、費用に対する負担と複雑な認証プロセスなどによって、発行率は低いのが現実である。
日本のWebソリューション会社であるAtlas21が2016年5月に東京証券取引所市場第1部に上場した主要企業を対象に実施した調査によると、Webサイトの全ページに暗号化通信を適用するHTTPS完全対応率は1%で、世界の主要企業が約17%であることに比べ、かなり低い数値を記録した。
つまり、ほとんどのWebサイトがSSL/TLSが適用されず、セキュリティの最も基本である暗号化通信も保障できていない状況ということだ。

[ 世界及び日本の主要企業WebサイトのSSL対応現況 ]
(参考:世界主要企業サイトの約4割が常時SSLに対応–あとらす二十一調査(ZDNet Japan)

 

Let’s Encryptの登場

SSL認証書の発行には認証機関によって少しずつ差があるが、年間約$80~$400の費用を支払わなければならない。EV、Wildcardなどのオプションを追加することになれば、費用はさらに上がる。コスト的な負担以外にも、複雑なドメイン認証作業がSSL認証書の発行率が低い理由の一つである。該当ドメインに対して、認証機関から認証を受けるためにはメール認証、DNSレコードの追加などの作業が必要になる。また、認証作業が終わった後、SSL認証書を発行してもらったら、直接ウェブサーバにアップロードしなければならず、認証書を更新するたびに同じ作業が必要だ。
それで、SSL使用の参入障壁になるこのような問題を解決し、誰もが安全な暗号化通信を使えるような環境を作るために、Mozilla、Cisco、Akamai、Electronic Frontier Foundation(EFF)、IdenTrust、などの様々なグローバルの主要IT企業がISRG(Internet Security Research Group)という認証機関を作り、Let’s Encryptというプロジェクトを開始するようになった。

Let’s Encryptの特徴

Let’s Encryptの登場により、SSL認証書を無料、手軽に、自動的に発行することができるようになったが、この内容について少し詳しく調べてみよう。

  • 1.無料発行
    SSL認証書発行の際、費用が発生しない。ルートドメイン当たりに発行数に制限はあるが、最大2000個/1週なので、無制限と見ても過言ではない。
  • 2.簡単なドメイン認証
    Cert botというソフトウェアをウェブサーバに設置すれば、認証作業が自動的に行われる。メール認証、DNSレコードの追加などの作業が必要ない。
  • 3.自動認証書発行/更新
    ドメインが認証されると、Let’s Encryptから自動的に認証書が発行され、ウェブサーバに保存され、90日単位で自動更新される。認証書の発行、更新のための作業が必要ない。

無料SSL認証書のセキュリティ

無料で使うことができるし、認証作業も簡単で、更新も自動的に行われるから便利だが、何より重要なのはセキュリティが保障されるかどうかであろう。

Let’s Encryptは安全なのか。
結論から言えば、安全だ。

Let’s EncryptはGlobal Sign、GeoTrustなどのルート認証機関で発行する商用SSL認証書と同じレベルのセキュリティを確保する。
SSL認証書は、各OSやウェブブラウザから信頼されたルート認証機関だけが発行できる。信頼できるルート認証機関と言えば、Internet Explorerの場合は、[設定→インターネットオプション→内容→認証書]から確認することができる。

[Internet Explorerの信頼できるルート認証機関]

Let’s Encryptの場合は、どうやって発行されるのだろうか。

Let’s Encryptは、ウェブブラウザから信頼されたルート認証機関であるIdenTrust(DST Root CA X3)が相互認証(Cross-Sign)する形でSSL認証書を発行する。

下の例から見られるようにLet’s EncryptのSSL認証書も商用SSL認証書のように信頼されたルート認証機関から同一の段階を経て発行される。

[上:商用SSL認証書の例 /下:Let’s Encrypt SSL認証書の例]
[商用SSL認証書とLet’s Encrypt SSL認証書のルート認証機関]

したがって、Let’s Encryptの無料SSL認証書は、商用SSL認証書と同様なレベルのセキュリティを確保すると言えるだろう。

Let’s Encryptの使い方

従来の商用SSL認証書の場合、メール認証、DNSレコードの追加などの方法を通じてドメインを認証するが、Let’s Encryptは、cert botというソフトウェアを通じて自でドメインを認証するため、使用のためには、当該ソフトウェアをインストールする必要がない。設置方法は、設置環境のOSによって違うが、一般的には、以下の手順による。

  • 1. git packageの設置

Let’s Encryptは、基本的にgitを通じてソフトウェアを配布するため、ソフトウェアをダウンロードするためには、まずgit packageを設置する必要がある。gitは、様々な人々がプログラミングをする時、ソースコードなどの変更履歴を記録、追跡するバージョン管理ツールで、gitのホームページからWindows、Macなどの設置環境のOSによってダウンロードする。Linux系のOSの場合には、gitホームページの案内に従って、コマンド入力をし、設置することができる。

  • 2. ソフトウェア(Cert bot)の設置および

Electronic Frontier Foundation(EFF)のCer tbotのホームページ(https://certbot.eff.org)で使用中のWebserverおよびOSを指定した後、表示されるマニュアルに従ってCert botを設置、実行する。設置および実行方法は、Let’s Encrypt総合ポータルサイトの「Let’s Encryptの使い方」で確認できる。

[cert botホームページの使用中のWebserverおよびOS指定画面]
[Debian 8を使用するApacheウェブサーバのマニュアルの例]
  • 3. ドメインの入力

Cert botの実行後、表示されるウィンドウでYESを押すと、Server Nameを設定する画面が表示される。当該画面にHTTPSを適用するドメインを入力する。

[Cert botの実行後、表示画面]
[HTTPSを適用させるドメインの入力画面]
  • 4. SSL認証書の発行確認

入力したドメインに対する認証が完了されたら、自動的にLet’s Encrypt CAと通信し、SSL認証書が発行される。発行された認証書は、etc/letsencryptディレクトリに自動保存され、下記のようなメッセージが表示される。「example.jp」には、HTTPSを適用したドメイン名が、「YYYY-MM-DD」には、SSL認証書の有効期間が表示される。

[SSL認証書発行の完了画面]

上記の全てのプロセスをユーザーが直接しなければならないが、誰でも簡単にできることではない。ウェブサーバーの種類及び設置環境のOSによって、事前作業や追加設定作業が要求されるなど、Let’s Encryptを導入するためには、ITに対する知識やある程度の技術力が要求されることが実情である。

Let’s Encryptを簡単に適用する方法

しかし、ITに対する知識がなかったり、生活が忙しい現代人がいるため、さらに簡単にLet’s Encryptを導入させるサービスが登場した。Free Website Security Serviceのクラウドブリック(Cloudbric)に加入すれば、git packageを設置する必要も、cert botソフトウェアをダウンロードする必要も、コマンドを入力する必要もない。ユーザーは、Cloudbric加入後、HTTPSを適用するウェブサイトだけ登録すれば終わり。 (さらに簡単にこの3つのステップを確認したいなら、クリックしてください。)

無料で追加的なWebセキュリティサービスも利用することができて、企業のWebサービス担当者、オンラインショッピングモールの運営者や個人ホームページ運営者にとっては、なかなか良い機会ではないかと思う。

 

まだお金を払って、SSL認証書を使っているなら、今からは、クラウドブリックで無料でSSL認証書を使うのはどうだろう。

 

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(9月)がリリースされました。

 

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 9月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

profile

ペンタセキュリティのクラウドブリック、米国NCSAMチャンピオンに2年連続選定

 

 

ペンタセキュリティのクラウドブリック、

米国NCSAMチャンピオンに2年連続選定

 

「国際サイバーセキュリティ認識向上月間(NCSAM)」キャンペーンを通じて情報セキュリティ大衆化をリード

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)のWebハッキング遮断サービスであるクラウドブリック(Cloudbric、http://www.cloudbric.jp/)が10月11日、去年に続き2年連続で米国の「国家サイバーセキュリティ意識向上月間(National Cyber Security Awareness Month, NCSAM)」でセキュリティサービス部門のチャンピオン企業として選定され、広報大使の役割を果たすことを明らかにしました。
米国は、2004年から10月を「国家サイバーセキュリティー意識向上月間(National Cyber Security Awareness Month、以下NCSAM)」として記念しています。NCSAMは、米国の国家サイバーセキュリティ協議会(NCSA:National Cyber Security Alliance)と国土安全保障省(Department of Homeland Security)が主催するキャンペーンであり、情報資産を保護することが国家安保の優先になるという認識を高めるために始まりました。このキャンペーンを通じて、国際的に情報セキュリティの重要性を知らせて、セキュリティ事故発生の際、国家のリスク管理能力を培うことを目指としています。

特に、今年のテーマは「Our Shared Responsibility」であり、全世界が繋がっている「Connected world」になっているだけに、IoT、クラウドの導入が拡大されていて、私企業・教育機関・政府機関などのチャンピオンが協力し、セキュリティの重要性を強調し、企業と個人のセキュリティ義務を想起させるメッセージを伝播する予定です。

クラウドブリックは、昨年グローバル市場で初披露された簡単で賢いWebハッキング遮断サービスとして、Webアプリケーションファイアウォールだけでなく、DDoS防御、SSLなどのウェブサイトの保護に必要な機能を全て提供しながら、ITに関する知識がなくても簡単に適用できるという点が高く評価されたため、昨年に続き、2年連続で唯一なクラウドWebアプリケーションファイアウォールソリューションとしてNCSAMの広報大使に選定されました。クラウドブリックは、今後大手企業のセキュリティ担当者だけでなく、一般人・個人事業者も簡単にセキュリティ事故を防止できるようにSNSを通じて「簡単に学ぶセキュリティノウハウ」とセキュリティコラムを共有しながら、広報大使の役割を担う予定を明らかにしました。

ペンタセキュリティのCTOのDSKimは、「2年連続NCSAMのチャンピオンとして選定され、グローバルサービスとしての地位を認められたようでとても嬉しい。」とし、「情報セキュリティの義務は、企業だけでなく我々が一緒に認知していなければならない文化の一つだと思うので、NCSAMの「Our Shared Responsibility」という趣旨にとても共感し、簡単かつ充実したコンテンツを通じてセキュリティ分野に対する感心をさらに高めることに貢献したい。」と言及しました。

Cloudbric(クラウドブリック) 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

technology-code-computer-1920x1080

【コラム】 ハッカーはなぜ中小企業をターゲットにするのか

 

Key Conductorsコラム

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

今回の話をする前に、「ハッカーは大手企業のみを攻撃のターゲットにしている」という固定観念は、捨てた方がいいと言っておきたい。「どうせ盗みに入るなら、お金持ちを狙う」という一般的な認識から、「ハッキングするなら価値のある情報を「たくさん」保有していそうな大手を狙うもの」といった考えに至るだろう。

しかし、ここが穴場である。大手を狙うコストを考えると、いくら成功した時に得られる情報が「たくさん」あってもハッキング自体、割に合わない仕事になってしまうのだ。最近では、大手に比べIT予算が豊富にないことから、セキュリティ対策が十分でない可能性の高い中小企業をターゲットにする傾向が見られているのである。

先日、シマンテック(Symantec)が公開したインターネットセキュリティ脅威レポート(Internet Security Threat Report 2016)によると、サイバー攻撃の約6割は中小企業やスタートアップ企業をターゲットとする攻撃と記述している。当事者の立場から考えると驚く程の数値である。今回このコラムを借りて、なぜハッカーは、中小企業を狙うのかを簡単に説明したいと思う。

 

中小企業は狙われやすい

 

本来なら、価値のある情報が多そうなところを狙うと思われていたハッカーは、なぜ中小企業にそのターゲットを定めてきているのか。実は、かなり論理的な考え方に基づいた賢い(?)選択だと筆者は思う。

中小企業の場合、この「サイバーセキュリティ」についてかなり誤解している部分がある。まず、ホスティング業者やシステム委託先にセキュリティは考えて(対策して)もらっていると勝手に思い込んでいるのである。サイバーセキュリティは、当事者の責任の下対応していかなければならないものである。

2つ目は、「ハッキングされたら、その時に対応策を考えれば良い」と認識していることである。つまり事後対応すれば良いと考えているのである。セキュリティへの投資は、リターンのない投資だ。予算や人に限りのある中小では、やっぱり後回しにされがち。最近のIncマガジン(The Big Business of Hacking Small Businesses, 2015)でも、71%のデータ漏洩事故は会社規模100人以下の中小を対象に行われていると言っている。サイバー攻撃による各企業側の被害額を平均すると約3万6,000ドルを上回るそうだ。大企業としては大した金額でないかもしれないが、中小企業には死活問題に陥る危険性もあるだろう。

中小企業は、サイバーセキュリティに目を向けられないという現状を、ハッカーらは把握しているのである。

その他、理由は色々とあるものの、いまだにセキュリティ対策について全社的に真剣に取り組む中小企業は数少ないのが現状である。重要な個人情報や企業機密等を安全に管理しなければならないのは、大企業でも中小企業でも差はない。よってハッカーらも、「たくさん」情報を持っている大手を狙うコストとセキュリティのスカスカな中小を狙うコストを天秤にかけるだろうし、非常に合理的な判断として、中小企業を狙う方にシフトしていくのである。

 

それでは、中小のセキュリティ対策は、どうすればいいのか。

 

ここで言っておきたいが、セキュリティ対策は、継続的に取り組んでいかなければならないということである。つまり、一回の投資ですべてが万々歳ではないということ。

そして、外部からの攻撃は知られているが、内部者による情報漏洩にも気をつけるべきだ。攻撃者がサイバー攻撃を試みる際、45%が試験的に自社に攻撃を仕掛けてみており、そのうちの29%は成功しているそうだ。

 

中小企業のセキュリティ、どのようにアプローチすべきなのか。

 

まず、自社のWebサイトが脆弱(ぜいじゃく)であることを認めることから始まる。Webサイトの脆弱性を突いた攻撃は、場所を問わず起こり得る。サイバーセキュリティについて考え方を変えることが、サイバーセキュリティのための第一歩である。

次に、重要情報に対してのアクセスポリシーを策定することである。これは、サイバーセキュリティを考慮する際には必須だ。内部者による犯行を未然に防ぐ、そして、社内にて情報管理の担当者としても、万が一の事故があっても本人を守ることができるのである。そして攻撃ターゲットにある対象を守るためのソリューションを導入することである。例えば、Webサイトのセキュリティであれば、Webアプリケーションファイアウォール(WAF)が考えられるだろう。

では、Web攻撃対策として必須的な「Webアプリケーションファイアウォール(WAF)」とは何だろうか。

WAF(ワフ)は、Webアプリケーションファイアウォール(Web Application Firewall)の略で、脆弱性を悪用した攻撃からWebアプリケーションを保護するものである。

中小企業に対してWAF導入が必須的であることは、下記の二つの理由で説明できる。

  1. Webサイトのセキュリティ強化:WAFは、最近行われる様々なWeb攻撃のパターンを分析し、それに適切な対応を行うことができる。
  2. 脆弱性を悪用した攻撃への対応:Webアプリケーションに脆弱性が検知された場合、WAFはその脆弱性を悪用した攻撃に対抗し、完璧に解決できる。

脆弱性の多いWebサイトをしっかりと保護するためにも、WAF導入を検討して導入しなければならない。

 

それでは、中小企業向けの最適のWAFとは?

 

WAFの種類は、ハードウェア型とソフトウェア型、そしてクラウド型がある。この中で、最近多く注目されてのは「クラウド型WAF」である。

「クラウド」とは、機器を利用するユーザが単にインターネットにアクセスすることで、アプリケーションなど様々なサービスの提供を受けられるサービスである。最近企業システムのクラウド化が加速しているが、それはセキュリティ分野でも例外ではない。

既存のハードウェア型WAFは、これまで自主的に保有している電算室のサーバの前に設置され、外部から行われる不正アクセスやウェブ攻撃からWebサーバを保護する方式だった。しかし、クラウド型WAFサービスは、装備の設置に努力をかけなくても良い。進化している仮想化環境に最適なWebセキュリティソリューションだと言えるだろう。

 

クラウド型WAFのメリット

 

クラウド型WAFは、下記の三つの理由で多数の企業から選ばれている。

  1. 低費用で運用・導入可能:既存のハードウェア型WAFに比べ、初期費用も安価で提供され、月額制で行われている。特に負担がないので、企業は気軽に利用できる。
  2. 短期間で導入:クラウド型WAFは、別途にサーバ構築作業を行う必要がない。以下の3ステップで終わる。


    ①アカウント登録 ▶ 
    ②ドメイン入力 ▶ DNS設定

     

    この3ステップで、早速な導入が可能である。他のインフラ調達や複雑な初期設定がないことから、これはクラウド型WAFが持つ強力なメリットだと言える。

  3. システム運用管理の不要:システムの導入及びその後の運用管理は、該当セキュリティ企業ベンダーから提供するため、別途のセキュリティ担当者を配置する必要がない。

 

低コスト・高セキュリティ・ソリューション、クラウドブリック(Cloudbric)

 

クラウドブリックは、ペンタセキュリティのアプライアンス型WAF製品である「WAPPLES(ワップル)」の技術を基盤としたクラウド型WAFである。20年を超えるペンタセキュリティの技術力とノウハウで、もはや全世界に認められているサービスであり、個人ユーザー向けのサービスや企業向けのエンタープライズサービスを提供している。

クラウドブリックは、下記のとおり、三つの特徴を保有している。

  1. 全世界の専門家が認めた最高のソリューション:クラウドブリックは、既に全世界から認められているクラウド型WAFサービスである。2016 SC Awards Europeで最高の中小企業セキュリティソリューションとして受賞しており、その他にも2016 Cyber Defense Magazine AwardsからThe Hot Company in Web Application Security for 2016を受賞した。また、米国のNCSAM Championとしても選定された。
  2. 高度の技術力で外部からのウェブ攻撃遮断:米国のリサーチ専門機関である「Frost & Sullivan」の発表により、2016年アジア・パシフィック地域WAFのマーケットシェア第1位のWebアプリケーションファイアウォールのコア技術である自社開発の論理演算検知エンジン(COCEP™; Contents Classification and Evaluation Processing)を搭載したクラウドブリックは、不明確なWeb攻撃をより効果的に検知し、遮断する。
  3. 直観的なインタフェース画面を提供:ダッシュボードが一般ユーザーでも簡単に運用・管理できるように直観的なインタフェースで構成されている。

 

セキュリティは、その第一歩を踏むことが大切だ。中小企業を狙っているハッカーに立ち向かうべく、中小企業側でも低コストのクラウド型WAFを利用して、セキュリティを強化するべきである。

 

クラウドブリック(Cloudbric)の詳細情報は、こちらから詳しく確認できる。

 


キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。