Posts

profile

ペンタセキュリティ、WebアプリケーションファイアウォールWAPPLESとの相互運用のため、HPE Securityとパートナーシップ

 

WebアプリケーションファイアウォールWAPPLESとの相互運用のため、

HPE Securityとパートナーシップ

 

HPE Securityソリューションの需要が高いアジア・パシフィック地域のIT市場攻略本格化


データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、02月06日Hewlett Packard Enterprise が提供するパートナープログラム、HPE Security Technology Alliances Partner(以下TAP)登録により、ペンタセキュリティのWebアプリケーションファイアフォールのWAPPLES(ワップル)とHPESecurity ArcSightとの相互運用が可能になることを明らかにしました。

 

最近、アジア・パシフィック地域の多くのArcSightの顧客からペンタセキュリティのWebアプリケーションファイアフォールのWAPPLESを使用し、両製品を統合し、活用しようとするニーズが高まっていました。これにより、両製品の相互運用のため、HPE Securityとのパートナーシップを進めることになりました。HPE Securityのパートナー制度であるTAPは、HPEセキュリティソリューションやパートナー製品間の相互運用性に基盤した標準をサポートします。パートナーシップを通じて、脅威検知および対応速度を高め、精巧な脅威の範囲や程度評価機能を向上させることで、顧客にはより優秀なセキュリティを安定的に提供すことができます。

 

これに対して、韓国HPEソフトウェア事業部を統括するイ・テヨン専務は、「パートナー社に必要なリソースを提供し、相互運用可能な認証された共同ソリューションを提供することで、HPE TAPプログラムは、顧客がサイバー犯罪の主な攻撃方法として、ますます高度化されるアプリケーションのセキュリティ脅威を迅速に検知して対応できるようにサポートする。」と言及しました。

 

加えて、WebアプリケーションファイアウォールのWAPPLESは、論理演算検知エンジン(COCEP™)を活用して、シグネチャのアップデートがなくても攻撃対応ができ、他社製品に比べて低い誤探率が特長で、2015アジア∙パシフィック地域のマーケットシェア1位に選ばれました。また、ペンタセキュリティは、2016アジア∙パシフィック地域最高のセキュリティベンダーとして選定され、ブランドや製品に対してグローバル競争力を認められており、HPE Securityとのパートナーシップを通じて、一層高いシナジーを得ることを期待しています。

 

ペンタセキュリティのCTOのDSKimは、「HPE Arcsightプラットフォームとの技術連携を通じて、アジア・パシフィック地域の市場支配力をより強化する計画だ。」とし、「アジア・パシフィック地域だけではなく、世界的にペンタセキュリティのソリューションの相互運用性を高めるため、持続的にグローバル企業とのパートナーシップを進んでいく予定だ。」と言及しました。

 

HPESecurityのセキュリティ情報・イベント管理(SIEM)(Security Information&Event Management)プラットフォームである「HPE ArcSight」は、多様なセキュリティ機器からのさまざまなログを収集・保存する機能を保持しています。同ソリューションは、システムログ(syslog)、DB、ファイルなどのログ形式に関係なく、データを収集・保存でき、高度の相関関係解析機能を含んでいて、グローバル市場、特にアジア∙パシフィック市場で需要が高まっています。

 

WAPPLES(ワップル)

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。


 


本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

E-mail : japan@pentasecurity.com

TEL : 03-5361-8201

 

photo-1453060113865-968cea1ad53a

【コラム】 安全なWebサイトの国際標準とは?

 

Key Conductorsコラム

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データベース暗号化・Webセキュリティに関するものを解説いたします。

このWeb全盛期時代、セキュリティは最も重要ーー。

いくら強調しても、なぜWebセキュリティが重要なのか、その本質まで理解してもらえないケースがよくあります。今回もこの場を借りてWebセキュリティの大切さについて訴えたいと思います。

今の時代、グローバルはインターネットですべてつながっており、インターネットを介しすべてのことが疎通していると言っても過言ではありません。にも関わらず、Webのセキュリティについては、誰も目を向けようとしない。その理由は、「安全なインターネット」は、一体何なのかよく分かっていない人が多いからだと考えます。

 

安全なインターネットとは?

 

皆さんがよく使う言葉で、実はその意味を明瞭に分からずに使っている言葉が案外存在するかと思います。このITの分野でいうと、「ICTセキュリティ」が丁度いい例になります。
「ICT時代」と言われると、普通に肯くかもしれませんが、「ICTセキュリティとは」と訊かれたら、「あれ、何だったっけ?」になる人も多いのではないだろうか。「セキュリティ」は重要であるということは分かっていながらも、何をどうすればいいのか、私たちは明瞭に把握できている人は少ない。実際私たち個人だけがこのICT時代のセキュリティ迷子になっているわけではなく、会社や団体などもセキュリティ迷子になっていると言えます。

しかしながら、この社会は迷える人々のためにきちんとした社会的安全措置を用意してくれています。セキュリティへの悩みを解消できる「国際標準」が、それです。代表的なのは、イギリスBSI(British Standards Institute)が制定したBS 7799をベースに構成されたセキュリティ認証であり、フレームワークである「ISO 27001」が挙げられます。

そして、より経営中心の性質が強い「ISMS(Information Security Management System) 情報セキュリティ経営システム」も重要な基準と言えます。このようなフレームワークを基準に企業側のセキュリティシステムを構築すれば、かなり安全なICTセキュリティポリシーを構築できるということです。

例えば、ある企業がISO 27001フレームワークの評価の11項目の全てに対し、安全という判定を受け認証を取得したとします。これは、ICTセキュリティの危機に対し、全社的に取り組んで総合的に管理を行い、今後持続的に改善していくためのシステムを構築できたということを意味します。

もちろん、認証を取得しているから100%安全になったではなく「相当安全である」ということです。

 

安全なWebサイトの基準になる国際標準は?

 

国際的非営利NGO団体として、オンライン信頼度評価機関である「OTA(Online Trust Alliance)」は、毎年著名なWebサイトを対象にそのセキュリティをチェックし、その結果を以て安全なインターネット文化の形成のために努力したWebサイトを選定する「OTHR(Online Trust Honor Roll、オンライン信頼度優秀)」の企業を発表しています。

OTHRは政府、マスコミ、金融、SNS等、様々な部門にわたり、約1,000以上の世界的に著名なWebサイトを対象にします。2015年の選定結果としては常連の約46%がセキュリティの面で減点されランクインできず、「最も信頼できるWebサイト」として「Twitter」が選定されました。

 

OTAは、どのような基準を以てOTHRを選定しているのか。

 

基準は色々ある中ここで注目すべき点は、去年から「WAF(Web Application Firewall)の採用」が加算項目になっているということです。WAF採用の有無は、OTHRの選定結果を大きく左右しました。

WAFは、Webアプリケーションのセキュリティとして特化して開発されたソリューションです。外部からの攻撃を検出し遮断することで悪意のあるコードをWebサーバに挿入しようとする試みを未然に防ぐ、そして、システムの脆弱性を外部に漏出しないように制御するなど、Webセキュリティにおいて、最もコアで重要な部分を対応しています。

Webサイトのセキュリティは、システム全体に及ぼす影響が大きく、OTAは今後もWAF採用有無によるOTHRの選定への影響を強めていくことを明らかにしました。

 

「じゃ、WAFを購入すればいいわけ?それっていくら?」

 

WAFを導入すれば、セキュリティ問題はいかにも簡単に解決できそうですが、そんな上手い話ではありません。また、生産性のない「セキュリティ」に投資をすることは、営利団体である企業側にとって簡単なことでもありません。第一、WAFはとても高価とはいわないものの、安価でもありません。

ここでコストパフォーマンスを考慮したら、クラウド型WAFサービスの出番となります。簡単な導入の手続きかつ、リーズナブルなサービス価格にて実際のWAFを導入したことと同等のレベルのセキュリティを確保できます。

言い切ってしまうと、Webのサービス開始のための数回のクリックで、全体のICTセキュリティ脅威の90%を占める「Webハッキング攻撃」を防ぐことができるようになります。このようなクラウド型のWAFサービスの場合、ハードウェアを持つ必要がなく、インストール作業は発生しませんし、コーディングなどの必要もありません。

実際、システムの実務者を対象にWebセキュリティにおいて一番重要なことは?と聞いたところ「モニタリング」という回答が多い結果を示したといいます。Web攻撃のトレンド把握や未知の攻撃を予想するよりは、今この時間に自社のWebサイトが狙われている現状を知りたい、といったニーズが高いようです。このような管理者のために必要なのは、持続的、かつ効果的にモニタリングができるインターフェースが重要です。システムにおいては専門家である管理者でもこれがセキュリティになると“話は別”になるのも、よくある話です。

様々なクラウド型WAFサービスがリリースされていますが、弊社では、専門家ではなくても簡単に導入でき、ユーザーフレンドリーなインターフェースに力を入れ、クラウドブリック(cloudbric)を提供しています。一度お試しになることをオススメ致します。体験してみて損はありません。

WebセキュリティにおいてWebアプリケーションに特化したセキュリティとして、まずWAFの導入をご検討して頂きたい。そして、そのスタートとしてクラウド型WAFサービスは、魅力的なソリューションであることを今一度覚えて頂けると幸いです。

 

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

 

hack-813290_1280

【コラム】 ハッカーの6つの行動パターン

Key Conductorsコラム

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

「ハッカー」は、何のためにWebサイトをハッキングしているのでしょうか。

その昔、インターネットが普及していなかった頃のハッカーは、自己顕示欲が強く自分の能力を見せつけるためにWebサイトをハッキングしていたものでした。しかし、社会がWebでつながっていると言っても過言ではない現代のハッキングは、より巧妙に行われ、その被害も膨大になってきています。

技術の進歩により我々の日常生活は便利かつ多様な側面を持つようになりましたが、その技術進歩には裏面も存在します。例えば、ネットバンキングは過去15年の間、関連技術を基盤として進化し、一度のクリックで金融取引ができる便利な世の中を作り上げました。しかし、この利便性の裏には個人情報および銀行取引情報といった重要な情報がネットを介し流れることになります。その重要な情報を欲しがっているのが「ハッカー」です。

ハッカーが欲しがる情報と、その情報を手に入れるための行動には幾つかのパターンがあるのです。今回はそれらのパターンを紹介します。

1.脆弱性スキャン

脆弱性スキャンはその名前からも分かる通り、システムの内部の脆弱性を探るために用いられる手法です。自社システムのセキュリティホールを洗い出し弱い部分を改善、自社のセキュリティを強固にしていくための行為でもあります。しかし、ハッカーらは同手法を用いて、標的のシステムに侵入するための脆弱性を見つけ出すのです。
ハッカーにとっての脆弱性スキャンは、本格的なハッキングを行うための情報収集およびシステムの脆弱性を下調べする行為であり、次の攻撃を行うためのゲートウェイのようなものなのです。

2.サーバー運用妨害

サーバー運用妨害は、Webサイトへのアクセスをブロックし、通常のサービスができないように妨害することです。サーバー運用妨害攻撃で最も知られているのは、分散型サービス拒否攻撃(Distributed Denial of Service attack:DDoS)が挙げられます。
DDoS攻撃を行うためにハッカーが「ボットネット(botnet)」と呼ばれるゾンビコンピュータのネットワークを介しPC端末を制御下に置き、そのボットネットがまるでゾンビ集団のように継続的にWebサイトに負荷をかけることで、サービスをダウンさせます。

3.金銭的損害

ハッカーにより行われる攻撃の中で被害側としては大打撃をうけるパターンが、この金銭的損害です。前述のようにネットの普及によりオンライン化された各種サービスは利便性をもたらしましたが、金銭的被害を及ぼすためのハッカーの狙いにもなります。

4.個人情報漏洩

前述の金銭的損害とともにこの個人情報漏洩はネット世界の課題でもあり、社会全般の問題としても議論されています。個人情報を手に入れたハッカーは、別人へのなりすまし、管理者権限を取得し更なる攻撃を仕掛けたり、奪取した情報を売り捌いたりしています。この前のアシュレイ・マディソンのハッキング事件は記憶に新しいかと思いますが、不倫サイトであるアシュレイ・マディソンの会員情報をWeb上に露出させ、非常に大きな波紋と混乱を引き起こしました。

5.Webサイト改ざん

Webサイトに対し、悪意を持って別の内容で置き換えることをWebサイト改ざんといいます。攻撃後はWebサイトを確認すれば、改ざんされた箇所がすぐ把握できるため、ニュースと同時に人々から「興味を持ってもらえる」攻撃として非常に効果の高い手法と言えます。
政治的な理念により選挙などで有力な候補者のWebサイトを改ざんするという事例が多発しています。この手のハッカーは、自己顕示欲が強い傾向があります。昨今アメリカでは、このようなハッキング行為に対し、処罰するというよりは「倫理的なハッカー」になってもらうよう、若者への「教育」を奨励している傾向にあります。

6.任意コード実行

システム上意図していなかったコードが実行されれば、それは要注意です。ハッカーは、悪意のあるコードを挿入し、コマンドを実行することで標的のシステムを制御し出します。ハッカーは、任意のコードを実行するために前述の1.脆弱性スキャンのように下調べを行い、そのシステムにて最もセキュリティ的に弱い部分を狙い打ちします。次の攻撃のための第一歩になるわけです。
このように、時代の流れと技術の進歩とともに、世の中の必要悪として「ハッカー」と「ハッキング」という言葉は誕生しました。サイバー上の戦いは、非常に恐ろしいものです。しかしながら、このような時代になったからといって、怯えるばかりでは何も解決できません。自社システムの脆弱性を洗い出し、その弱いところを補完できるセキュリティソリューションを検討することが重要です。
このようなコラムを介し、微力ながらもセキュリティにおいての知識や心構えなどを共有できればと思います。Webサイトを保護し不正アクセスを遮断するためには、その専用のセキュリティ対策としてWebアプリケーションファイアウォール(WAF)の導入をオススメします。もし宜しければ下記リンクもご参照下さい。

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(8月)がリリースされました。

 

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 8月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

 

Boy Programming On Computer With Multiple Monitors And Laptop On Desk

【コラム】誰しもするハッキング、対策が盲点だ。

17歳の青少年たちが学校のシステムをハッキングした。警視庁や佐賀県警察は、県立中学校と高校の教育行政情報を管理するシステムに侵入し、個人情報を奪取した佐賀市居住中の17歳容疑者を不正アクセス禁止法違反の疑いで逮捕し、共犯と推定される何人の学生たちを調査した。
流出されたファイルの数は21万件で、個人情報が流出された被害者の数は生徒10.741人、父兄1,602人、教職員1,116人、その他が896人などで合わせて14,355人だ。流出された個人情報は、名前が14,355件、IDが6,368件、住所が1,922件、電話番号1,843件、メールアドレス564件、成績情報808件、進路指導情報353件、学生指導情報67件だ。

佐賀県・少年不正アクセス事件の経緯

 

容疑者と彼の友達はただの遊びで学校のハッキングを楽しんだ。17歳の青少年たちが学校システムをハッキングしたという事実自体による社会的な衝撃は非常に大きいが、冷静に言ってこれは確かに大きい意味がある事件ではない。最近は、誰もがインターネット検索だけでも、これぐらいの犯罪は簡単にできるほどのハッキングツールを気軽く手に入れることができるから。もし専門家集団が何らかの目的性を持って繰り広げたことだったら、より巧妙に犯行をばれないようにして、今のように知られていなかったはずだが、そもそもアマチュア集団がただの遊び半分で起こしたものだから、このようにセキュリティの脆弱性が明らかになったのが、かえってよかったと思う。

ハッキングされたシステムは、ウェブ上で教師が学生の成績などの情報を管理したりするもので、学生たちは学校のお知らせなどを見ながら授業の教材をダウンロードするなどの日常的に使用されていた佐賀県の教育情報システムである。ハッキングされたサーバは2種類で、県立学校が共有するクラウド基盤の教育情報システム「SEI-Net」、そして事故が起こった学校の校内LANを使用する教師向けの学習用サーバーである。

「SEI-Net」の場合、Webアプリケーションの脆弱性を狙った侵入だった。最近のハッキング事故のほとんどがWebアプリケーション攻撃であるため、これもあまり特別な事例とは見えないし、このように発生頻度から絶対的多数を占める明白なセキュリティの脆弱性をこのように放置しているという事実がむしろ特異点である。Webアプリケーションセキュリティは電算関係者全員が問題を根本的に分析・診断して確実な対策を講じなければならない時点である。

容疑者は、SEI-Netの学習管理システムの様々な機能の中で学生たちが学校のお知らせを確認するためにアクセスするメッセージ機能を悪用したという。侵入に使われたIDとパスワードをどう確保したかはまだ明らかになっていないが、警察は共犯と推定される学生らの協力を疑っている。

校内LANを使用するサーバーの侵入は、無線LANの隙を狙ったことが明らかになった。マスコミから報道された内容から見ると、容疑者は現在、捜査に協力していない態度を取っているようだが、いまだに具体的な事実は明らかになっていない。当該システムは、WPA2-PSK(AES)方式の暗号認証とMACアドレス認証を組み合わせる方式で、ユーザーのアクセスを統制するものだが、容疑者がMACアドレスを偽装してログインする際に使用した管理者IDとパスワードを入手した経緯もまだ明らかになっていない。警察は、これも学生身分を持っている共犯の協力を疑っている。容疑者と加担者は、学校隅々のセキュリティ管理が厳しくないところを狙い、無線ネットワークのトラフィックを横取りする、いわゆる「War driving」手口を使ったものと推定されている。

経緯を要約すると、今回の事件概要は以下の通りである。

– 青少年のアマチュアハッキング会が面白半分で、

– Webアプリケーション脆弱性を悪用し、学校情報システムに侵入して

– 校内の無線インターネットを通じてサーバーに侵入し、個人情報を奪取したハッキング事件である。

「ハッキング」といえば、専門訓練を受けた専門家だけができる、とても難しくて複雑なことだと思うが、絶対そうではない。今回の事件だけを見ても、ハッキングがどれほど簡単であるかを確実に見せている。誰しでも、本当に誰しでも、インターネット検索が可能な者であれば誰でも、ハッキングをすることができる。

ウェブの大衆化と一般化、そして技術発展の速さと加速度によって、ウェブを悪用する逸脱行為もこれからより頻繁に起きるはずだ。したがって、ウェブ攻撃に対応するために犯罪手口を分析して、診断し、今後の対策を備えることは今も重要だが、これからはますます重要になるはずだ。従来の電算環境全てがウェブに移される「プラットフォームの大移動」が全て完了されてからは、「ITセキュリティ=Webセキュリティ」の等式が完全に成立するようになれるはずだから、これはとても当然の話だ。

それでは、少年不正アクセス事件発生の後、提示された対策の焦点を見てみよう。

 

事件の診断と対策の焦点

 

少年不正アクセス事件の発生後、提示された対策は下のようだ。

-正常的利用者の端末にデジタル認証書を追加的に搭載する。

-教員のコンピューターにデスクトップ仮想化を適用し、不正アクセスを遮断する。

やはり、対策はアクセス統制がほとんどだ。システムへのアクセスを統制することで、事故発生を防ぐという趣旨の対策である。侵入したのが問題だから、侵入ができないようにする?

世の中の全てのことがそんなに簡単で明快に解決できるなら、どれだけ楽だろうか、しかし、そんなはずがないというのは知っているのではないか。本当にもどかしい。事件診断の核心にならなければならにウェブアプリケーション脆弱性に対する悩みが全くないという点だけ見ても、まともな対策と見ることはできないと判断される。

ハッキング技術は、以前のように専門家だけができる特殊な技術ではない、まるで一般事務のためのプログラムのようにありふれた技術になっている。すなわち、潜在的な攻撃者の数が爆発的に増加している意味であり、それによって既存のアクセス統制にだけ集中されていた方法論自体の限界を見直す必要があるという意味でもある。

計画通り、全ての仕事が進むとしても、もし教員や学生が端末機を失うことになると、どうなるのか?紛失に気づき、アクセスを遮断するとしても、一日以上は所要される。これは、システムに侵入し、以後、該当端末がなくても出入りできるバックドア―を設置するには十分な時間である。バックドア―の設置も、先に言ったハッキング技術のようにインターネット検索だけでだれでも簡単にできることである。そして、出入りを厳しく統制してはいるが、教務室への侵入など、物理的な防除失敗は今も時々起こることである。

そもそも、IDとパスワードだけでアクセスを統制する以上、仕方なく存在する限界なので、指紋や虹彩などの生体情報認識などの追加的な認証手段なしには安全を保証できない。それに、このような追加的セキュリティ措置は追加すれば追加するほど、システムの使用が不便になるという問題も決して軽く考える問題ではない。使用が不便になると、こっそりとセキュリティ措置を解除して使わない場合がほとんどだからだ。

上記の対策の限界は、現在セキュリティ戦争の戦況を見ている観点が間違っているからだ。

対策の失敗は、間違っている観点のせいだ。

 

どんな問題においても対策作りの失敗は、だいたい問題の原因をきちんと把握できなかったり、そもそも不可能なことを可能と見る蛮勇を振るうからだ。今回の事件もその一つなので、観点の間違いを調べることで、実際、効果的に作用する対策の基盤を考えて見よう。

1.ウェブアプリケーション脆弱性攻撃はどうせ防ぐことができない?

これは一部、事実だ。全体ITシステムの構成にあたってWebアプリケーションは元々セキュリティ的にとても不安な要素である。Webを通じて、ユーザーとコミュニケーションする最初の目的のせいで、いくら安全に構築しても、つまり、いわゆる「セキュアコーディング」をいくら完璧にするとしても、脆弱性は存在するしかない。もちろん、非常に(?)安全なアプリケーションを作ろうとすると作るのは作れるが、そうなると使用がほとんど不可能なぐらいに便利になる。ユーザーの便利さを無視すれば無視するほど、ユーザー数は急減するので、安全だけ考えることも難しい。だから折衷は必要だ。

そのため、使うのが「Webアプリケーションファイアウォール(WAF、Web Application Firewall)である。WAFは、Webアプリケーション自体の脆弱性や開発者の人間的なミスによる虚点を外部の攻撃から保護し、Webアプリケーションが便利な使用性を維持する状態でも十分な安全性を保障してくれる。「ファイアーウォール」という名前のため、よくハードウェアで認識されるものの、実はソフトウェアであり、ハードウェアはシステムの構築および運営を簡単にし、動作の際、性能を最大限で保障するための装置として機能する。WAFは、人工知能のように作動するソフトウェアの機械的な性能として、Webアプリケーションの人間的な欠点を補完する。

2.一応侵入されると、情報漏えいは避けられないから、侵入を封鎖するのが最優先だ?

これは違う。情報漏えいが避けられないものではなく、侵入が避けられないのだ。最善を尽くして防ごうとしても、侵入事故は結局発生してしまう。これは簡単に言えば、物量の問題だ。ある集団が情報セキュリティに投資できる最大の費用と力量を10としたら、最大値10の力で防いでも、100の力で来るのだ。そして、その数はこれからもだんだん増えるはずだ。アクセス統制にはそもそも限界がある。だから、侵入されてもセキュリティ事故の最悪の事態である情報漏えいおよび漏洩された情報の内容公開だけは防ぐという態度の転換が必要だ。

結局、データ暗号化だけだ。ハッカーが全部持っていこうとしても、盗んだ情報を使用できないようにする必要があるのだ。データ暗号化さえきちんとすると、もし侵入されても情報の内容公開だけは防ぐことができる。使えることもできないし、売ることもできないものをあえて盗む泥棒はいない。言い換えれば、アクセス統制は暗号化の効果を期待できないが、暗号化はアクセス統制の効果を狙うことができるという意味である。

それに、データ暗号化を通じて、より総体的で総合的なセキュリティ効果を期待できる。暗号化と言えば、よくデータベースに保存されている暗号化のみ考えるが、端末機からデータベースに至るまで、データが流れる経路のAからZまで、電算環境を暗号化する「データ暗号プラットフォーム(Data Encryption Platform, DEP)」体系を構築すると、システム全体にわたって完璧なセキュリティ性を達成することができる。

 

そして、対策の根本は、ハッキングに対する認識の変化

 

すべてのハッカーは強力に処罰しなければならない?もちろん、そうしなければならない。情報犯罪を軽く考え、犯罪者に寛大な処分をする場合が結構あるが、情報犯罪は経済犯罪などの犯罪に比べても、罪質が決して軽くない、とても重い犯罪だ。しかし、今回の事件と事件の容疑者集団の性質を調べて見ると、処罰よりは教化がより重要なことであるようだ。情報犯罪の害悪と被害について正確に認知するよう教育することで、以降、犯罪者の道を歩かないように、社会が関心を傾けながら面倒を見なければならない。それによって、今回の事件の容疑者が今後、より悪徳な犯罪を起こす本当のハッカーになるのか、さもなければ自分の関心分野をちゃんと勉強し、社会に貢献する立派な社会人になれるのかが決められるのではないか。結局、これは大人の義務である。

だいたいのハッカーは、自分が起こす犯罪がどれだけ悪いことかを十分に認知できない。今回の事件も面白半分で犯したことではないか。情報犯罪に対する対策の土台は、情報犯罪がどれだけ悪いことなのかを正確に認知するようにすることから始めなければならないと思う。そうしないと、誰しもするハッキングをいったいどうやって防ぐか。

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(7月)がリリースされました。

 

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 7月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

【コラム】 2016年、知っておくべきWeb脆弱性4大項目

 

Key Conductorsコラム

 

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

連日と言っていいほどサイバー犯罪のニュースを耳にするようになったと思うが、この増加傾向は何を表しているんだろうか。

そのベースにあるのは、まさに「脆弱(ぜいじゃく)なWeb」が多いことである。今の時代、悪意のある人間はいとも簡単にWebページにアクセスでき、脆弱な部分を見抜いてしまう。このような行為を手助けするかのように自動化されたツールが出回っているのも事実である。つまり、サイバーテロを試みる者さえいれば「専門的」なハッカーである必要はないのだ。

「安全なWeb」の実現には、努力目標としてセキュリティレベルを上げていくようなさまざまな行動を起こさなければならない。本稿では2016年上半期のWeb脆弱性TOP4を取り上げる。下半期のセキュリティ対策を設けるにあたり、微力ながら参考になればと願っている。

 

1.SQLインジェクション(SQL Injection)

 

Webサイト攻撃の定番ともいえるSQLインジェクションは、アプリケーションプログラムの脆弱性を突き、開発レベルでは想定していなかったSQL文を実行することでデータベースを不正に操作する攻撃手法である。この攻撃が成功すると、ハッカーはデータベースサーバに対してファイルの読み込みや書き込みが可能な状態になり、任意のプログラミングを実行できるようになる。WHO(世界保健機構)のような大きな団体ですらSQLインジェクション攻撃にさらされたことがある。

悪意のある者はWebから簡単に自動化されたツールを入手し、攻撃のための下見に利用している。例えば「sqlmap」という自動化ツールを使用すれば、ターゲットのURLに対してSQLインジェクションが可能となる脆弱性がないかどうかスキャンできる。しかし、Exploit(エクスプロイト)攻撃を通じて、間違ったコードを挿入する場合、MySQLシンタックスエラーが生じることもある。

2014年、ハッキングの被害にあったソニープレイステーションのケースもSQLインジェクションによるもので、この昔ながらの脆弱性を突いた攻撃は現在でも十分すぎるほどの破壊力がある。SQLインジェクションの試みが通ってしまうと、そこから抜かれる情報によって、企業側には計り知れない被害を及ぼすことになる。

 

2.クロスサイトスクリプティング(Cross Site Scripting:XSS)

 

ユーザーの入力に対し適切な措置が設けられていないシステムの脆弱性を突くXSS(クロスサイトスクリプティング)も定番の攻撃だ。

ユーザーに対し入力を許可する部分は、悪意のある者にとっては利用価値が高く、常に攻撃の対象になるのである。実行可能なコードやスクリプトのタグをシステム側に挿入し、意図した行動を起こすようにコントロールできる強力な攻撃の入口となるからだ。

一般ユーザーが、XSSが仕込まれたWebサイトを訪問し、ページを閲覧するために1クリックするだけで悪意のあるコードが実行され、セッションクッキーや個人情報等が何者かに渡されてしまう。実際クレジットカード情報も抜かれ、本人の覚えのない買い物をしてしまうケースも多々ある。

WhiteHat Securityが公開しているホワイトペーパーによれば、どんなWebサイトでも67%はXSSの脆弱性にさらされているという。つまり、XSSを利用したWebハッキングは攻撃を行う側にとってコストパフォーマンスが高い方法であるのだ。セッション・ハイジャック(Session Hijacking)を決行し、政府のWebサイトを改ざんする等、その効果の高さは大したものである。

ただし近年、Webブラウザ側で事前にXSSの試みをチェックする機能が実装されていることは不幸中の幸いである。

 

3.ファイルインクルージョン(File Inclusion)

 

ファイルインクルージョンは、Webサーバ上のデータに対し入力検証の不備を突いて不正なスクリプトを挿入する攻撃手法である。そのパターンとしては、RFI(Remote File Inclusion)とLFI(Local File Inclusion)がある。

RFIは不正なスクリプトをサーバに挿入し、ターゲットのページを介して悪意のあるコードを実行させることで、サーバ側はもちろん、クライアント側にも被害を及ぼすことになる。LFIは、ターゲットのサーバ上のファイルに対し、不正なスクリプトを挿入し、デフォルトファイル名の変更、データのアップロード/ダウンロードの実行等やりたい放題ができる。

この脆弱性をうまく利用できれば、ログファイルからIDとパスワードを洗い出し、他の攻撃と組み合わせてログインジェクション攻撃なども実行できてしまう。このような脆弱性に対応するためには、入力検証の仕組みの脆弱性を把握し、不備を改修していくことを推奨する。

 

4.不完全な認証及びセッション管理(Broken Authentication and Session Management)

 

Webアプリケーションでは、HTTPのリクエストトラッキング機能がない故に認証のリクエストとそのセッションを継続的に管理する必要がある。悪意のある者は、このセッション情報から、ユーザーのタイムアウト、パスワード、ログアウト等さまざまな情報を入手できる。
この脆弱性の記憶に新しい事例は、マイクロソフトが提供するHotmailに悪意のあるスクリプトを挿入し、ユーザーのパスワードを入手しようとする攻撃を改修した際に発覚したものだ。この脆弱性ではユーザーインタフェースにトロイの木馬を仕掛け、ユーザーにパスワードの入力を複数回求めるものだった。そして、その入力データは即座に悪意ある者に送られるというシンプルながら非常によくできたものであった。
この種の脆弱性は、企業側で認証システムをカスタマイズし、セッション管理の不備があらわになってしまった場合に起こり得る。ユーザーがログアウトの処理をせずにそのままサイトを閉じてしまうようなケースでこのような脆弱性にさらされる可能性が高い。
開発者レベルでセッション管理の確認はもちろん、SSLによるセッションの暗号化も基本中の基本の対策であろう。

 

まずは、行動を起こす

 

このコラムで紹介した脆弱性は、Webアプリケーション、Webサーバ、Webページにおける最も有名な攻撃手法である。ありとあらゆる対策は開示されていて対応は進んでいるものの、まだまだ道は長いと言える。開発時における優先順位の上位に「Webセキュリティ」を持ってきてもらえるように認識を変えることも伴わなければならない。

まずは、この4つの脆弱性に対し、企業側で行動を起こすことをお願いしたい。脆弱性を認識しているのか、対策は取っているのか。現実問題として確認してほしい。
次のステップは、WAFなどの適切なソリューションの検討だ。脆弱性はセキュリティホールとも言われる。しかし、この小さい穴を利用して、貴重な情報を盗み出したいと思う者がたくさんいる。

企業としての社会的責任、そして貢献を考える際に、経営側は「セキュリティ」を念頭に置かなければならない。セキュリティホールはしっかりと埋めておかなければならないのである。

 

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

ペンタセキュリティ、WebアプリケーションファイアウォールWAPPLESでシンガポールCWC Forum 2016参加

ペンタセキュリティ、
WebアプリケーションファイアウォールWAPPLESで
シンガポールCWC Forum 2016参加

シンガポール政府機関のサイバーセキュリティフォーラムを通じてグローバル事業を強化

データベース暗号化とWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が7月22日、シンガポールのサイバーセキュリティ企業であるQuannが主催するCyber Watch Centre(以下、CWC)Forumに参加したことを明らかにしました。2007年、シンガポールで設立されたCWCは、サイバー脅威をモニタリングする一方、企業と政府のセキュリティのため、サイバー攻撃と関連している事項を知らせ、予防・防止の技法や製品を提案する組織です。今回、ペンタセキュリティが参加したCWC Forumは、マーケティング、営業やエンジニアたちが政府ITコンサルタントを対象に最新のセキュリティ技術を共有し、議論するイベントとして、このイベントを通じてシンガポールの政府機関の担当者たちは新しいセキュリティ技術について情報を得て、セキュリティ会社とのパートナーシップを強化することができます。シンガポール最大の軍需産業会社であるCertisのサイバーセキュリティの子会社「Quann」が主催した今年のCWC Forumにはペンタセキュリティが唯一な韓国企業として参加しました。

ペンタセキュリティは、CWC Forum 2016でアジア・パシフィック地域シェア1位のWebアプリケーションファイアウォールのWAPPLES(ワッフル)を展示しました。WAPPLESは、論理演算型検知エンジンの(COCEP™)を活用して、シグネチャをアップデートする必要がなく、他社の製品と比べて誤探率が非常に低いWebアプリケーションファイアウォールで、今回のCWC Forumの現場では、訪問者にWAPPLESの技術力を直接経験できるようにデモ試演を行いました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「2016年アジア・パシフィック地域の最高のセキュリティベンダーに選定されてから、ペンタセキュリティのグローバル市場での位相が更に高っていることを改めて実感するようになった。」とし、「今回のCWC Forumイベントを通じて、海外の政府機関及び様々な企業がどんなふうに協力して、セキュリティ技術の研究、開発を進めているかが確認できた。これをもとにして、世界的なセキュリティ企業としてさらに技術開発に力を尽くす予定である。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【情報】最新Web脆弱性トレンドレポートのEDB-Report(6月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 6月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

 

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。