Posts

ペンタセキュリティのWAPPLES・MyDiamo、2016 CDM Awardsで受賞

ペンタセキュリティのWAPPLES・MyDiamo、2016 CDM Awardsで受賞

参入障壁の高いアメリカ市場で技術的に認められ

暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が3月2日、WebアプリケーションファイアウォールのWAPPLES(ワッフル)とオープンソース暗号化ソリューションのMyDiamo(マイディアモ)がCDM(Cyber Defense Magazine)Awardsで受賞したことを明らかにしました。CDMは、アメリカ代表の情報セキュリティマガジンとして、北米地域のセキュリティ情報を主に扱っており、2016年RSA Conferenceのパートナー機関です。今回受賞したペンタセキュリティのWAPPLESは、「The Hot Company in Web Application Security for 2016(2016年Webセキュリティソリューション注目企業)」に選定されており、MyDiamoは「Editor’s Choice in Data Leakage Prevention for 2016(2016年データ漏えい防御編集者選定)で受賞しました。 授賞は、2月29日から3月4日にかけて、アメリカで開催された2016 RSA conferenceで行われました。

2013年から始まったCDM Awardsは、CISSP(国際公認情報システム専門家)、CEH(国際公認倫理的ハッカー資格証)を保有した専門家や国土安保省(DHS)の職員が審査することでその公信力を認められています。審査委員らは、約2ヵ月間候補製品の技術的なレベルや市場性を綿密に検討した上、授賞します。

ペンタセキュリティの受賞に対してCDMの編集長であるピエルルイジ・パガニーニは、「今まではアメリカのセキュリティ市場では韓国企業の技術力に対する先入観が存在していて、韓国企業の市場進出が難しかった。しかし、韓国企業であるペンタセキュリティは、今回のCDM Awardsの受賞を通じて技術的な優秀性を立証したため、今後、アメリカ内で高い技術力に基づいて、市場を拡大すれば、最高の情報セキュリティソリューションとして成長すると思う。」と言及しました。

今回のCDMアワードで受賞したWebアプリケーションファイアウォールのWAPPLESは、知能型探知エンジン(COCEP)を基盤にてレベルの高い技術力を認められ、昨年、アジア・パシフィック市場占有率1位を果たした製品です。また、クラウドWebアプリケーションファイアウォールソリューションであるWAPPLES CloudやCloudbric(クラウドブリック)は、既存のWAPPLESの性能をクラウド環境に最適化させて、差別化したクラウドセキュリティサービスを提供しています。これとともに、MyDiamoは、アメリカおよび日本で高い需要を見せているオープンソースデータベース暗号化ソリューションとしてMySQL、MariaDB、PerconaDBを支援するエンジンレベルの暗号化ソリューションです。2013年から現在まで2,000件以上のダウンロードを記録し、オープンソースデータベース暗号化の先頭走者として認められています。

一方、ペンタセキュリティの最高技術責任者であるDS Kimは、「アメリカは、全世界のハッキング事故の50%を占めるハッキング事故最多地域であるため、情報セキュリティに対して高い技術力を要求する国家である。」とし、「アメリカの代表情報セキュリティマガジンであるCDMのAwardsで受賞したことを通じて、市場参入の障壁が高いアメリカ市場でWAPPLESやMyDiamoの優秀な技術水準を認められたと思う。立証された技術力を基にして、現在、アメリカセキュリティ市場に最適化された製品を準備している状況でおり、今後北米市場進出を積極的に展開していく予定である。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティのWebアプリケーションファイアウォールWAPPLES、韓国初ICSA認証獲得

ペンタセキュリティのWebアプリケーションファイアウォールWAPPLES、
韓国初ICSA認証獲得

世界3大セキュリティ認証機関ICSAを通じてWAPPLESの優秀性立証

暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が2月26日、自社のWebアプリケーションファイアウォールWAPPLES(ワップル)が韓国初としてICSA Labs WAF認証を獲得したことを明らかにしました。米ベライゾン(Verizon)傘下のセキュリティテスト機関であるICSA Labは、ITセキュリティ製品の適合性および性能に対するテストを通じて情報セキュリティ製品の品質を立証する機関として、チェックマーク(CheckMark)、VB100と共に世界3大セキュリティ認証機関の一つとして世界的に信頼性や権威を認められています。ICSA認証の中でWebアプリケーションファイアウォール部門であるICSA Labs WAF認証は、ICSA LabがWebアプリケーションファイアウォール製品のHTTP保護およびHTTPSWebベースのアプリケーションに対するセキュリティ政策実行を厳しくテストし、ログ監査や使用性などに対する基準を通過する際、与えられます。現在までペンタセキュリティを含め、Barracuda Networks、F5 Networks、Impervaなど10社のグローバル会社がこの認証を取得していますし、韓国セキュリティ業者ではペンタセキュリティが唯一です。

ICSA Labs WAF認証を獲得したペンタセキュリティのWAPPLESは、韓国やアジア・パシフィックのWebアプリケーションファイアウォール市場占有率1位の製品として、独自開発した知能型探知エンジン(COCEP)を基盤として差別化された性能を持っていて、Webアプリケーション攻撃の探知、セキュリティ規則基盤のWeb攻撃探知など多数の特許を獲得したことがあります。最近高まっているクラウドセキュリティに対する要求に対応し、WAPPLESの機能を仮想化環境に最適化させたWAPPLES Cloudを発売して、クラウドセキュリティ市場を先導しています。

これとともに、昨年、米国の性能測定機関であるTollyグループで施行したテストを通じて、海外の有名Webアプリケーションファイアウォール装備に比べて、TPS、CPS、誤探率、攻撃探知率、過負荷テストなど、Webアプリケーションファイアウォールの主要性能が優れているという評価を受けた履歴があり、今回の認証獲得を通じて、もう一度Webセキュリティー性能の優秀性を認められたわけです。

ペンタセキュリティの最高技術責任者であるDS Kimは「WebアプリケーションファイアウォールのWAPPLESが韓国だけではなく、アジア・パシフィック地域の市場占有率1位を達成することができたのは、グローバルスタンダードを充足させる持続的な認証活動の影響である。」とし、「こういう認証活動が世界的に高度化されているWeb攻撃に対して素早く対応し、安全なWeb環境の構築における基になると確信している。」と述べました。

ペンタセキュリティのICSA Labs WAF認証テストレポートに関する詳しい情報はhttps://www.icsalabs.com/product/wapplesからご確認できます。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティ、ビジネス向けのクラウドWebアプリケーションファイアウォール「WAPPLES Cloud」をリリース

ペンタセキュリティ、ビジネス向けのクラウドWebアプリケーションファイアウォール「WAPPLES Cloud」をリリース

既存のWAPPLES V-Seriesを統合し、クラウド事業者向けのソリューション発売
暗号プラットフォームとWebセキュリティグローバル企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、クラウド事業者のためのWebアプリケーションファイアウォールである「WAPPLES Cloud(ワッフルクラウド)」を1月27日発売したことを明らかにしました。韓国では昨年の9月、「クラウドコンピューティングの発展及び利用者保護に関する法律(以下、クラウド発展法)」が制定され、企業や公共機関におけるクラウドサービス使用率が急速に高まることと同時に、クラウドセキュリティに関する関心も急増しています。2011年、業界初となるクラウド専用のWebアプリケーションファイアウォールであるWAPPLES V-Series(ワッフルブイシリーズ)を発売したペンタセキュリティは、韓国最大のクラウドサービスであるKTのuCloud、日本ソフトバンクのWhiteCloudおよびDSRのStarCloudなどとパートナーシップを結び、クラウドWebアプリケーションファイアウォールサービスを提供してきており、昨年は韓国の政府機関で使用するG-クラウドに適用が可能なWeb API(Application Programming Interface)を提供するなど、大規模なクラウドWebアプリケーションファイアウォールサービスを着実に進行してきました。

今回披露するWAPPLES Cloudは、既存のWAPPLES V-Seriesを利用することができるスタンダードエディション(Standard Edition)と多様なクラウドおよびエンタープライズ環境に適合する拡張バージョンであるビジネスエディション(Business Edition)で構成されています。特に、新たに披露するビジネスエディションはPublic Cloudだけでなく、Private Cloudを構成し、対顧客のWebアプリケーションファイアウォールサービスを展開できるサービスモデルやアーキテクチャを提供します。 大量のトラフィック処理および運営のために、負荷分散、Auto Scaling、そして対顧客向けの統合管理システムなども備えており、Webアプリケーションファイアウォールを利用してビジネスを展開しようとする事業者に対しカスタマイズしたWebセキュリティソリューションを提供するというわけです。

ペンタセキュリティの最高技術責任者であるDS Kimは「クラウドセキュリティに対する要求が高まっている中で、クラウド事業者が安心して対顧客サービスを運用できるようにするためにWAPPLES Cloudをリリースすることになった」とし、「Webハッキング遮断サービスであるクラウドブリック(Cloudbric)とともに、ペンタセキュリティのクラウドセキュリティ戦略がクラウド提供者やWebを利用してビジネスを行う事業者にも提供できるチャンスになり、相乗効果を生み出すと期待される。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティ、WebアプリケーションファイアウォールWAPPLES Cloudで日本のクラウドセキュリティ市場攻略本格化


ペンタセキュリティ、WebアプリケーションファイアウォールWAPPLES Cloudで
日本のクラウドセキュリティ市場攻略本格化

アジア・パシフィック地域のWAF市場シェア1位、
日本クラウドセキュリティ市場も先占に乗り出し

暗号プラットフォームとWebセキュリティグローバル企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、日本ソフトウェア専門企業である大和ソフトウェアリサーチ(以下DSR)とのパートナシップを結び、 去年5月からDSRが運営しているSTAR CloudにWAPPLES Cloud(ワップルクラウド)を適用したクラウド型WAFサービスである「STAR CLOUD Security Service-WAF(SCSS-WAF)」を今年から本格的に拡大することを1月18日に明らかにしました。日本は、2009年からクラウドコンピューティング産業育成政策を実施し、現在、クラウド産業の市場規模は約3831億円に達しており、持続的に高い成長率を見せています。このようなクラウド産業の発展とともに、東京に本社を置いているソフトウェア専門企業であるDSRは独自的にデータセンターを運営しながらホスティングやクラウドサービスを提供しています。一方日本では、去年6月にハッキングにより約125万人もの情報が漏えいされた日本年金機構の情報流出事件をはじめに、情報流出事故が急増したことと共に個人識別番号である「マイナンバー」の導入を控え、日本産業全般にわたって情報セキュリティ脆弱性に対し警戒を求める声が高まっています。特に、日本の経済産業省傘下の情報処理推進機構(IPA)では、去年の10月からサイバー攻撃に脆弱なソフトウェアを締め出すなど、政府レベルで情報セキュリティを進行しています。DSRはこのような市場状況を反映し、顧客に安全なクラウド環境を提供するため、自社のスタークラウドにペンタセキュリティのWAPPLES Cloud(ワップルクラウド)を導入したクラウド型のWAFサービスを発売することにしました。

DSRと提携を結んだ「WAPPLES Cloud」は、国際共通評価基準(CC)認証を獲得した仮想化環境に最適化されたクラウド専用のWebアプリケーションファイアウォールです。ペンタセキュリティの「WAPPLES」は、アジア・パシフィックWebアプリケーションファイアウォールの市場シェア1位の製品として既に日本大手IT企業であるソフトバンクテレコムの「ホワイトクラウド」でもサービスを提供しており、日本クラウド市場に最適化されたクラウドWAFサービスを安定的にリリースすることができました。現在、DSRでは、WAPPLES Cloudの優位性を広め、ペンタセキュリティが発こうするWeb脅威動向の解析レポートであるICSおよびEDBレポートを提供するなど、積極的な広報戦略を展開しています。これを通じたSCSS-WAFの新規利用者も毎月徐々に増加しています。

ペンタセキュリティの最高技術責任者であるDS Kimは「日本は韓国に比べてクラウドの導入率が30%以上高いクラウドコンピューティング先進国であるが、クラウドセキュリティ市場は初期進入段階と見られる」とし、「日本のクラウドコンピューティング産業が医療、金融などの様々な分野に拡大しており、WAPPLES Cloudを導入している顧客も徐々に増えている。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティのWAF,WAPPLESがアジア・パシフィック地域で市場シェア1位に

ペンタセキュリティのWAF、

WAPPLESがアジア・パシフィック地域で市場シェア1位に

9月の「今年のWAF」選定に次ぐ快挙

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ)は、グローバルマーケットリサーチおよびコンサルティングの専門機関であるフロスト・アンド・サリバン社(Frost & Sullivan)がまとめた報告書「Frost IQ (Industry Quotient): アジア・パシフィック地域におけるWebアプリケーションファイアウォールのベンダー2015」でWebアプリケーションファイアウォール(WAF)のWAPPLESがアジア・パシフィック地域で市場シェアトップとなったことを明らかにしました。フロスト・アンド・サリバン社は、米国に本社を置く50年にわたる歴史を持つ世界的なグローバルリサーチおよびコンサルティング専門機関で、毎年「Frost IQ 報告書」を発表し産業別の客観的な評価資料を提示しています。
今年まとめた報告書によると、アジア・パシフィック市場では、韓国のペンタセキュリティが市場シェアトップとなりました。次いで中国の情報セキュリティベンダーのNSFOCUS、グローバル企業のインパーバ(Imperva)およびF5ネットワークスの順となっています。当該報告書では、論理演算検知エンジンによる優秀な性能を売り物とし圧倒的な市場シェアでWAF市場をリードしていることやパートナー向けの定期的なセミナーと教育を通じて市場と顧客のニーズに応えようと持続的に取り組んでいることを高く評価しています。

Frost IQ Asia-Pacific WAF Vendors 2015 Report

 

フロスト・アンド・サリバン社が毎年WAFのマーケットを調査および分析をし各ベンダーのマーケットシェアおよび成長性を評価し作成するレポートです。

 

 

ペンタセキュリティは韓国国内で長年築いてきたネットワークを基に、日本をはじめアジア各国でその地域の特性に合わせたパートナーシップや運用システムズを適用し、速いスピードで海外ビジネスを拡大しています。それと共に論理演算検知エンジン基盤とした多様なパフォーマンスのWAPPLESラインアップと、クラウド仮想化バージョン、マネージメントシステムズなどを弾力的に運用しています。それに加え、年に2回(上下半期)、日韓英3ヶ国語でWebアプリケーション脅威解析報告書を提供し、最新Web脆弱性トレンドを効果的に把握できるようにするなど、海外顧客にも対応しています。 このようなペンタセキュリティならではのサービスがアジア・パシフィック市場シェアトップを可能にしました。ペンタセキュリティのWAF、WAPPLESは、今年9月にはフロスト・アンド・サリバン社が選定する「今年のWAF」にも選ばれました。

ペンタセキュリティCTOのDS Kimは、「リリース10周年を迎えた年にアジア・パシフィック地域で市場シェアトップとなり、より意味深く感じます。この10年間の苦労が無駄にはならなかったようで、誇らしく思います。 」とし、「韓国市場シェア1位、アジア・パシフィック市場シェア1位を超え、世界市場シェア1位になるまで製品開発に絶えず努力していきます」と述べました。

 

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティのクラウドブリック、米国のNCSAMチャンピオンに選定

「全米サイバーセキュリティ意識向上月間(NCSAM)」キャンペーンで
Cloudbricが情報セキュリティの大衆化をリード

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、 www.pentasecurity.co.jp、以下ペンタセキュリティ)は、当社が提供しているクラウドベースセキュリティサービス(SECaaS)のCloudbric(クラウドブリック、www.cloudbric.jp)が米国の「全米サイバーセキュリティ意識向上月間(National Cyber Security Awareness Month, 以下NCSAM)で、セキュリティサービス部門におけるチャンピオン企業に選定され、広報大使の役割を果たすことを明らかにしました。

米国では、2004年以来10月を「全米サイバーセキュリティ意識向上月間(National Cyber Security Awareness Month, 以下NCSAM)」と指定して記念しています。NCSAMは、米国の国家サイバーセキュリティ協会(NCSA:National Cyber Security Alliance)と国土安全保障省(DHS)が主催するキャンペーンであり、国の安全保障には情報資産の保護が第一という認識を高めるために始まりました。世界的に情報セキュリティの重要性を認識させ、セキュリティ事件が発生した場合に備え、国のリスク管理能力を培うことを目指しています。NCSAMから今年のチャンピオン企業と選ばれた企業は、シスコ、シマンテック、ツイッター、IBMなど、世界約300社です。

Cloudbricは今年1月にアメリカをはじめ、日本、韓国にリリースしたクラウド型Webセキュリティサービスで、会員登録し設定を変更するだけで強力なセキュリティサービスを提供いただけます。セキュリティおよびITに対する知識がなくても簡単にインストールして利用できるため、セキュリティの大衆化とういうNCSAMの趣旨にもあっていることから、広報大使としての役割を担うことも期待されています。Cloudbricは今後、一般人向けにセキュリティに対する理解を深める面白くて易しいコンテンツを生成し、NCSAMと公式的なキャンペンを行ることになります。コンテンツは、「低価格なセキュリティソリューションの紹介、数字で見るSMBとサイバーセキュリティ、 絵で学ぶセキュリティ」などをテーマにインフォグラフィックやカラムなどの形で製作する予定です。

ペンタセキュリティにおけるCloudbricビジネスの総責任者であるCTOのDS Kimは、「NCSAMの広報大使活動をきっかけにCloudbricに対する需要の高いアメリカ市場をより積極的に攻略し、アメリカ全域にわたって製品を広報できるチャンスを捉えたと思います。 」とし、「併せてサイバーセキュリティに対する認識向上というNCSAMの趣旨にも応えて、大衆が理解しやすく楽しいと思えるコンテンツでアメリカをはじめ全世界の人を対象にセキュリティ認識を変化していきます。」と述べました。
「Cloudbric(クラウドブリック)」はこちらからお試しできます。

Cloudbricに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

 

【コラム】みんなに必要な「安全なWebアプリケーションのセキュリティ」

韓国でネットサイトの取引価格情報を1万3千ウォンから44億ウォンに改ざんし、多額の利益を不正取得した容疑者らが逮捕される事件がありました。Webサイトの脆弱性を狙ったこの事件は、一見巧妙な手口のハッキング攻撃のように見えますが、実際には、価格に関わるパラメータ(Parameter:媒介変数)を修正して利益を奪取する「パラメータ・タンパリング(Parameter Tampering)」攻撃関連の犯罪です。

このパラメータ・タンパリング攻撃は、Webセキュリティ、その中でもアプリケーションのセキュリティに関わる基礎的な攻撃にも関わらず、未だにもそのようなWeb攻撃の脆弱性による被害が起きていることに大変残念なばかりです。

前回の「Webアプリケーションのセキュリティを強調する理由」にも言及した通り、アプリケーションのセキュリティはWebセキュリティにおいて最重要項目です。私たちが普段使っているWebは、全てアプリケーションで構成されています。Webサイト、モバイルアプリなどは全てアプリケーションで構成されており、上記のパラメータ・タンパリングのようなWeb攻撃の大多数がアプリケーション関連の攻撃です。

企業のセキュリティ管理者は、多様なWebセキュリティソリューションを導入し、Web攻撃に備えています。しかし、自社が購入し管理するWebセキュリティソリューションの役割は何か、その中でアプリケーションのセキュリティに関わるソリューションは何かを正確に区別できるセキュリティ管理者はわずかであります。

要するに、基本的なネットワークセキュリティソリューションを除き、アプリケーションのセキュリティにおいて適切なWebセキュリティソリューションを適用・運用している企業は少ないということです。こうしたアプリケーションの環境は、企業のセキュリティにおける全体レベルを格下げし、さらにはハッカーの狙う潜在的な標的になる恐れがあります。なお、Web攻撃は、企業の個人情報漏えいといった多大な被害を及ぼします。

今回は、Webアプリケーションのセキュリティについて探ってみましょう。アプリケーションのセキュリティ構築において実質的に必要かつ重要なWebセキュリティソリューションの役割や機能に焦点を合わせて話します。

■ Webアプリケーションのセキュリティとセキュリティソリューション
アプリケーションの構築は、家造りに例えると解かりやすいです。家をどうやって造るかによってその家の安全性が決まるように、アプリケーションもどうやって構築するかによってアプリケーションの安全性が決まります。

したがって、アプリケーションのセキュリティは、構築初期の開発段階から構築後のメンテナンスに至るまで、全ての段階にわたって念を入れる必要があります。ただし、その実践が難しいのが現実です。適切なガイドラインがないことも一つの理由として考えられますが、Webアプリケーションのセキュリティに対する理解が十分できていないことも無視できません。

Webスキャナ(Web Scanner), Webアプリケーションファイアウォール(Web Application Firewall;WAF)といった言葉自体の意味は解かっても、それらの正確な機能や作動位置などは解かり難いです。しかし、Webアプリケーションのセキュリティや、それぞれのソリューションが作動する位置を家造りに例えれば、簡単に理解できます。


私たちは、一般的にPCやノートパソコン、モバイルデバイスを利用してWebに接続します。IT用語としては、Webに接続するために利用するPCやノートパソコン、モバイルデバイスを「クライアント」といい、Webサイトやモバイルアプリケーションの画面のようにWebコンテンツを保存しておき、クライアントが接続したらコンテンツを表示するシステムを「サーバ」といいます(ITシステムにおけるサーバが全てWebサーバではありませんが、ここではWebセキュリティに関してのことですので、Webサーバを例えて説明します)。そして、クライアントとWebサーバを繋ぐ連結網を「Web」といいます。

セキュリティの観点からみると、一般的にクライアントのセキュリティは個別システムの安全と関係があり、サーバのセキュリティは企業システムの安全と関係があります。企業内部にあるクライアントのセキュリティもありますが、今回は、企業内におけるWebセキュリティの核心となるサーバのセキュリティについて探ってみましょう。

セキュアコーディング
まず、開発段階は、家を造るプロセスと言えます。家は、堅固な地盤に丈夫で安全なレンガで造らなければなりません。それをアプリケーションになぞらえて考えると、脆弱性が残存するリスクがあるコードは排除し、安全なソースやプログラムを利用したセキュアコーディングがレンガに当たります。

セキュアコーディングとは、開発プロセスにおいて開発者の知識不足やミス、又は各プログラミング言語の固有の弱点など様々な原因によって生じえる脆弱性を最小化するために、設計の段階からセキュリティを考慮してコードを作成する製作方式を意味します。

ネットワーク階層は、データの送受信にかかわる通信を担当する役割をし、システム階層は私たちがよく知っているWindows、Linuxといったオペレーティングシステム(OS)のように、様々なアプリケーションが作動できるようにするプラットフォームの役割を行います。アプリケーションは、最上位の階層であり、多様な機能を行うプロトコル(HTTP、FTP等)及び応用サービスを提供します。

アプリケーションの開発には構築のスピードも考慮すべきですが、安全かつ体系的に開発することが、さらに重要です。安全ではない開発環境に、他のWebセキュリティソリューションを導入することは、場当たり的な対策にすぎません。

Webスキャナ
家造りの完了後、罅が入っているところはないか、傾いているところはないかなどのチェックが必要です。家をチェックすることのように、外部からアプリケーションを点検するWebスキャナを定期的に行う必要があります。

Webスキャナは、Web脆弱性診断ツールとも呼ばれ、Webアプリケーションの外部から通信を介して潜在的脆弱性や設計上の脆弱性を分析するプログラムです。

現在、多様な種類のWebスキャナが市販されており、その中には、非商業用として提供されているものもあります。Webスキャナのパフォーマンスはそれぞれですが、その核心は、効果を得るためには、地道な点検でアプリケーションを定期的かつ持続的な確認が必要であるということです。

マルウェアの検知
家の外部だけでなく、内部も虫などが入り込める穴とかはないか、チェックする必要があります。アプリケーションの内部を点検するソリューションには、マルウェアの検知ソリューションがあります。マルウェア(Web-Based Malware)は、一般的にWebシェル(Web Shell)と呼ばれ、アプリケーションの内部で動作する悪性コードです。

ハッカーは、Webシェルを介してセキュリティシステムをバイパスして別途の認証を行わずシステムに接続することができます。それを点検するためには、Webシェルだけを専門的に検知するソリューションを活用し、サーバの内部から検知する必要があります。Webスキャナと同様に、マルウェアの検知ソリューションも定期的な点検や実行が不可欠です。

Webアプリケーションファイアウォール(Web Application Firewall;WAF)
もうアプリケーションという家を安全なレンガで造り、内外部も点検しました。それで終わりでしょうか。家造りを完了したら、次は、外部からの予期せぬアクセスを遮断し、点検の際に見つけなかった内部リスクを補完するために垣根を作ります。アプリケーションのセキュリティおいては、Webアプリケーションファイアウォール(Web Application Firewall;WAF)がこの垣根に該当します。

WAFは、Webを介した外部からの侵入やWeb攻撃を検知し、対応する役割を果たします。特に、セキュアコーディング、Webスキャナが検知したWebセキュリティの脆弱性が外部にさらされないように保護するだけではなく、それらのソリューションに至る前に外部で遮断する役割を行います。

また、マルウェアがWebサーバにアップロードされることも遮断します。一般的なファイアウォール(Firewall)とは違って、Webアプリケーションに特化して開発されたからこそ、可能なことです。さらに、他のソリューションと異なり、サーバへの構築・適用にコストがかからず、外部に便利にインストールできます。最新のWAFは広範囲で多様なWeb攻撃をリアルタイムで遮断し、学習モードによるルールの適用も可能という特徴があります。

データセキュリティ(Data Security)
最後に、家の中に置く現金や通帳のような財産をどうやって保管するかも重要です。アプリケーションでは、個人情報やクレジットカード情報、口座情報といった重要データなどがこの財産に該当します。一般的なWebアプリケーション環境では、データベースを構築し、データを保管及び管理します。

安全なデータ管理のためには、データセキュリティ関連のWebセキュリティソリューションを導入する必要があります。データを暗号化することにより、ハッカーがデータを解読できないようにするデータ暗号化ソリューションをド導入することが一般的です。

しかし、暗号化だけで済むわけではありません。誰がいつアクセスしたかが確認できるアクセス制御や監査ログにも注意を払わなければなりません。データ暗号化においては、暗号化されたデータを復号できる鍵(Key)の管理が非常に重要になるため、鍵管理にも特別な注意が必要となります。

Webセキュリティの定石
まさにWebセキュリティ時代の到来です。数多くのWeb攻撃が存在し、そのWeb攻撃は、今この瞬間にも新しいタイプの攻撃が現れ、トライされています。2回にわたり、Webセキュリティの重要性を訴え、Webセキュリティに対する理解を深めようと、ITシステムをネットワーク、システム、アプリケーションの3つの階層に分けて探ってみました。これまで言及したWebセキュリティソリューションを各階層別にまとめると、下記の図になります。

安全なWebセキュリティを実現するためには、各階層別の特長を理解し、適材適所にWebセキュリティソリューションを導入することが求められます。アプリケーションのセキュリティがWebセキュリティにおいて最も大きい比重を占めているものの、基本的にネットワークとシステムの安定性が保障されていなければ安全なWebセキュリティは確保できません。

“An organization’s overall Security is only as strong as its weakest Link”

という言葉があります。複数のセキュリティ要素のうち、最も弱い要素がその会社全体のセキュリティレベルの決め手になるという意味です。一方に偏らず、バランス良くセキュリティ対策を立てることが求められます。各階層にはそれぞれの問題を抱えており、その問題毎に最適なソリューションがあるということを認識する必要があります。

Webセキュリティソリューションの市場は、年々拡大しています。2012年にプロスト・アンド・サリバンがまとめた報告書によりますと、アジア太平洋地域におけるコンテンツセキュリティ市場は、2017年には、その規模が15億7千ドルに達し、年間成長率も約17.9%に迫ると見込んでいます。IT産業の一般的な成長率が7~9%というのだから、非常に高い数値であります。

Webセキュリティソリューションがあふれているこの時代に、それぞれの機能や動作位置をスマートに判断し、適材適所にWebセキュリティソリューションを配置することで、安全なWebセキュリティを実現することを願います。

ペンタセキュリティ, Webアプリケーションファイアウォールの「WAPPLES」が リリース10周年を迎え

ペンタセキュリティ, Webアプリケーションファイアウォールの「WAPPLES」が
リリース10周年を迎え
2005年のリリース後10年間、販売数2,500を突破

韓国国内シェアトップ、アジア・パシフィックのチャンピオングループのWAF

データ暗号化及びWebセキュリティソリューションの専門企業であるペンタセキュリティシステムズ(日本支社:東京都新宿区四谷四丁目3-20いちご四谷四丁目ビル3F、www.pentasecurity.co.jp、以下ペンタセキュリティ)が、当社のWAF(Webアプリケーションファイアウォール)製品、WAPPLESが2015年4月25日、リリース10周年を迎えたことを明らかにした。ペンタセキュリティは、1997年の創立以来、PKIソリューション、侵入検知システム等を開発・提供し、韓国における第1世代のセキュリティ企業としてスタートした。以来、韓国政府の行政電子署名システムの構築や顧客認証情報の暗号化ビジネスといった主要なセキュリティインフラ構築事業を行い、自社保有のコア技術とノウハウを持って、2004年3月、データ暗号化ソリューションの「D’Amo(ディアモ)」、2005年4月にはWebセキュリティソリューションの「WAPPLES(ワップル)」を市場に参入させた。

「インテリジェントWebアプリケーションセキュリティゲートウェイのソリューション」で2005年にリリースされたWAPPLESは、当時ほとんどのファイアウォール製品がネットワークファイアウォールだったのに対し、独自開発の論理演算検知エンジン(COCEP、Contents Classification and Evaluation Processing)を搭載してWeb攻撃を検知し、アプリケーションレベルでの保護を実現させた。ハッキング事件の急増に伴い、Webセキュリティにおけるニーズが増えていく中、アプリケーションレベルでのトラフィックの正確な分析による攻撃の検知及び遮断を行うWebアプリケーションファイアウォールのWAPPLESは、多くの企業のIT担当者に歓迎され、今もトップを堅持している。

リリース以来10年、今WAPPLESは、2015年1月時点で累積販売台数が2,500を突破し、世界の170,000のWebサイトを保護している。そして、韓国の調達庁が集計した2011年から2014年までの累積統計による受注金額ベースの平均シェアは68%となり、WAF市場にてトップを維持している。
セキュリティ研究所への持続的投資を行っており、Web攻撃検知技術のさらなる研究とともに、韓国国内外にて特許(ルール基盤Web攻撃検知、Webアプリケーション攻撃の検知方法等多数)を取得した。尚、韓国国内外の評価機関による認証(PCI-DSS、韓国国家情報院セキュリティ適合検証、国際CC EAL4等)にて信頼できる製品を提供することに徹してきた。2006年より、日本をはじめ、東南アジア、オーストラリア等世界各地にグローバル展開を開始し、アメリカのIT市場調査機関であるフロスト・アンド・サリバン社(Frost&Sulivan)から2年連続「今年のWAF」として賞を受賞する等、グローバル市場にてその優位性が証明されている。
ペンタセキュリティのDS Kim(最高技術責任者)は、「ここ10年、Webセキュリティ市場をリードしてきたWAPPLESは、市場トップ製品として、WAFがICT全般における必須アイテムとして位置付けることに大きく寄与した。今年リリース10周年を機に、これからの新たな10年の目標として、セキュリティ分野とは無関係な人でもWebセキュリティに無知な人でも使えるようなWAFを目指し、WAFの大衆化を推進していきたい。」とし、「その戦略の一環として今年初めに、クラウド型WAFサービスのcloudbric(クラウドブリック)のグローバル展開、IoTセキュリティR&Dセンターの設立等、Webセキュリティの大衆化のための投資および努力をしている」と述べた。

 

WAPPLESに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

 

【コラム】Webアプリケーションのセキュリティを強調する理由

韓国インターネット振興院によると、ハッキングトライの全体の7割以上がWebを介して行われているというほど、Webセキュリティは、もはや選択ではなく必須となりました。

しかし、Webセキュリティは、専門家といっても安全を保障することは難しいです。それは、現在セキュリティ対策の標準化が進められておらず、企業それぞれが異なるセキュリティ対策を構築しているためです。

Webセキュリティの安全性を確保するためには、企業のセキュリティ担当者がWebセキュリティに対して十分に理解した上で、自社のITシステムに合うWebセキュリティを構築する必要があります。ほとんどの企業は、Webセキュリティソリューションを導入していますが、Webセキュリティを十分に理解し適材適所に導入・運用している企業が少ないのが実情です。

当カラムでは、Webセキュリティを容易に理解できるよう全般的なITシステムの構造からはじめ、WebセキュリティがITシステムにどのように適用されるかを説明します。まず、ITシステムに対する理解や、Webセキュリティの概要について探ってみましょう。

クライアント ‐ サーバの構造に対する理解

私たちは、一般的にPCやノートパソコン、モバイルデバイスを利用してWebに接続します。IT用語としては、Webに接続するために利用するPCやノートパソコン、モバイルデバイスを「クライアント」といい、Webサイトやモバイルアプリケーションの画面のようにWebコンテンツを保存しておき、クライアントが接続したらコンテンツを表示するシステムを「サーバ」といいます(ITシステムにおけるサーバが全てWebサーバではありませんが、ここではWebセキュリティに関してのことですので、Webサーバを例えて説明します)。そして、クライアントとWebサーバを繋ぐ連結網を「Web」といいます。

セキュリティの観点からみると、一般的にクライアントのセキュリティは個別システムの安全と関係があり、サーバのセキュリティは企業システムの安全と関係があります。企業内部にあるクライアントのセキュリティもありますが、今回は、企業内におけるWebセキュリティの核心となるサーバのセキュリティについて探ってみましょう。

企業のサーバシステムの構造


企業内サーバのシステム構造を理解するために、まず、ITシステムの構造を確認してみましょう。

上図のように、ITシステムは、大きくネットワーク、システム、アプリケーションの3つの階層に構成されています。OSI 7階層やTCP/IP階層のような様々なITシステムモデルがありますが、こうした階層的分類では、ネットワーク、システム、アプリケーションの3つの階層が最も共通的な構造です。この3つの階層はお互いの相互作用を通じてITシステムを構成します。

ネットワーク階層は、データの送受信にかかわる通信を担当する役割をし、システム階層は私たちがよく知っているWindows、Linuxといったオペレーティングシステム(OS)のように、様々なアプリケーションが作動できるようにするプラットフォームの役割を行います。アプリケーションは、最上位の階層であり、多様な機能を行うプロトコル(HTTP、FTP等)及び応用サービスを提供します。

サーバシステムの構造も基本的にはこのITシステムの構造に従います。要するに、安全なサーバのセキュリティとは、ITシステムにおける3つの階層のセキュリティ、すなわち、ネットワーク、システム、アプリケーションの全てのセキュリティが安全に構築されていることを意味します。

Webセキュリティの中核は、アプリケーションのセキュリティ


理解を助けるために、ITシステムの各階層はWebセキュリティを確保するために、実際にどのように構築されているか、現実的な観点から探ってみましょう。

ネットワークのセキュリティのためには、安全ではないIPやポート(Port)に対するアクセス制御を行う必要があり、許可されたIPやポートからのトラフィックに対しても有害性の有無をチェックする必要があります。そのため、ほとんどの企業では、ファイアウォール(Firewall)と侵入検知/防止システム(IDS/IPS)を構築しています。

しかし、ファイアウォールの場合、許可されたIPやポートからの攻撃は遮断できず、また、IDS/IPSにて行われるネットワーク階層における有害性検査は、アプリケーション階層に対する理解がないまま行われるため、アプリケーションの脆弱性を狙った攻撃に対しては遮断できないという限界があります。

システムのセキュリティはOSに関わることが多いです。Windows、Linux、UnixなどのOSに対する開発及び提供に関わるメーカーは、自社システムに対して定期的なセキュリティのアップデートやパッチを行うことにより、知られているWeb攻撃に備えています。企業のセキュリティ担当者は、セキュリティのアップデートやパッチを行うことに加え、定期的にシステムの悪性コードを検出し、システムを常に安全な状態に維持しなければなりません。そのために企業は、アンチウイルスソリューションを導入しています。

このように、ほとんどの企業は、ネットワーク及びシステムのセキュリティに対しては、その必要性を理解し、セキュリティの構築に力を入れています。しかし、アプリケーションのセキュリティに対しては、そうではありません。

アプリケーションの階層は、ネットワークやシステムの階層に比べ高度化されており、アプリケーションの種類も多様であるため、大部分のセキュリティ管理者はセキュリティの適用に困っています。Webセキュリティを構築する際にも同様です。

Webセキュリティにおいて最重要なのは、アプリケーションのセキュリティです。私たちが普段利用しているWebは全てアプリケーションで構成されています。WebサイトやモバイルWebなどは全てアプリケーションで構成されており、それをターゲットとしたWeb攻撃もアプリケーションの脆弱性を狙った攻撃が多いです。SQLインジェクション、XSS(クロス・サイト・スクリプティング)のような有名なWeb攻撃も全てWebアプリケーションであるWebサイトの脆弱性を狙った攻撃です。Webシェルと呼ばれるWeb基盤悪性コードもphpなどで構成されたWebアプリケーションです。

Webセキュリティ業界で有名なOWASP(The Open Web Application Security Project)が選定したWeb脆弱性Top10も全てWebアプリケーション攻撃です。つまり、現在行われているWeb攻撃の9割以上が全てWebアプリケーションを狙った攻撃であると言っても過言ではありません。要するに、安全なWebセキュリティを構築するためには、安全なWebアプリケーションセキュリティの構築が必須ということです。

Webセキュリティ対策 においてアプリケーションのセキュリティが最も重要であるにも関わらず、実際にはどのように構築すればよいかという難題にぶつかり、適切なセキュリティが行われていないのが現状です。

次回では、その難題を解消するために、アプリケーションのセキュリティを集中分析し、安全なWebアプリケーションのセキュリティを構築するためには、どうすればいいかについて説明します。

【ニュース】ペンタセキュリティ、第12回 情報セキュリティEXPO【春】に出展

 ペンタセキュリティ、

1台4役のWAFなどセキュリティ製品群を情報セキュリティEXPOで展示

ペンタセキュリティシステムズは、5月13日から15日の3日間に東京ビッグサイトで開催される「第12回 情報セキュリティEXPO」において、当社のセキュリティ製品群を展示します。

展示されるのは、4カ国から特許を取得し、独自のセキュリティエンジンによる解析で1台4役(Webハッキング遮断ソリューション/情報漏洩防止ソリューション/不正ログイン防止ソリューション/Web改ざん防止ソリューション)をこなす「WAPPLES」、同製品のバーチャルアプライアンスとなる「WAPPLES V-Series」、WebサイトドメインがあればDNSを変更するだけで適用できるセキュリティサービス「cloudbric」のWebセキュリティ製品です。

また、10年以上の歴史を持つDBMS暗号化ソリューション「D’Amo」、OSSデータベースMySQLとMariaDBに特化した暗号化ソリューション「MyDiamo」などデータベース暗号化製品の計5つの製品群を展示します。記事全文URL [マイナビニュース] http://news.mynavi.jp/news/2015/05/07/328/

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201