Posts

profile

ペンタセキュリティ、セキュリティプラットホームと IoTセキュリティのビジネスのためのMOUを締結

 

ペンタセキュリティ、

セキュリティプラットホームとIoTセキュリティのビジネスのためのMOUを締結

スマートファクトリーセキュリティにセキュリティプラットホームのH/Wセキュリティモジュール技術活用予定

 

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、3月6日、セキュリティプラットホームとIoTセキュリティのビジネスのためMOUを締結したことを明らかにしました。

 

セキュリティプラットホームは、2015年設立されたIoTデバイスセキュリティ専門の企業であり、国際標準化団体であるTCGがセキュリティ標準として認証したIoT技術を持っています。今回のMOU締結を通して、IoTデバイスのセキュリティ設計に必要なカスタマイズ型ハードウェア、OS、ライブラリーを提供します。

 

ペンタセキュリティは、IoTビジネス本部を新たに新設し、既に推進していた自動車セキュリティ、AMIセキュリティに加えてスマートファクトリー、スマートホームのような様々なIoTセキュリティビジネスを拡大し、推進します。また、IoT環境でのセキュリティ脅威をより多角的に対応するため、H/W基盤のセキュリティソリューションを提供するセキュリティプラットホームとのMOUを進めることになりました。両社は今回の協力で、スマートファクトリーのためのセキュリティソリューションであるPenta Smart Factory Securityを含め、ペンタセキュリティの色々なIoTセキュリティソリューションに適用します。ペンタセキュリティは、これによりIoT環境でのE2E(End to End)セキュリティソリューションを提供する予定です。

 

Penta Smart Factory Securityは、スマートファクトリー環境で管理されるべきである色々なセキュリティ脅威を防御するため、IoT通信環境でのネットワーク攻撃を防御し、安全なデバイスおよびユーザーの認証手段を提供します。これにセキュリティプラットフォームのH/Wセキュリティモジュールを連動することで、デバイスの信頼性とセキュリティ性を向上できるようになりました。

 

セキュリティプラットフォームのH/Wセキュリティモジュールは、既存のIoT機器とたやすく連動ができ、低容量のプロセッサとメモリだけて独立的に駆動が可能であることから様々な環境に適用することができます。また、ペンタセキュリティのIoTセキュリティソリューションとの連動を通じて、IoT環境のセキュリティレベルを効果的に上昇できることを期待しています。

 

ペンタセキュリティのCSOのDSKimは、「セキュリティは容易で簡単であるべきということは、ペンタセキュリティとセキュリティプラットフォームの両方が共通的に追求する価値であるため、協業によってより見事なシナジー効果を上げている。」とし、「スマートファクトリーをはじめ、日常生活と密接に関わっているIoT技術をより安全に使用するため、研究と投資を積極的に進めるつもりだ。」と言及しました。

 D’Amo(ディアモ)

2004年リリースされたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,600ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(1月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 1月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB12

【情報】最新Web脆弱性トレンドレポートのEDB-Report(12月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 12月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

profile

ペンタセキュリティ、WebアプリケーションファイアウォールWAPPLESとの相互運用のため、HPE Securityとパートナーシップ

 

WebアプリケーションファイアウォールWAPPLESとの相互運用のため、

HPE Securityとパートナーシップ

 

HPE Securityソリューションの需要が高いアジア・パシフィック地域のIT市場攻略本格化


データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、02月06日Hewlett Packard Enterprise が提供するパートナープログラム、HPE Security Technology Alliances Partner(以下TAP)登録により、ペンタセキュリティのWebアプリケーションファイアフォールのWAPPLES(ワップル)とHPESecurity ArcSightとの相互運用が可能になることを明らかにしました。

 

最近、アジア・パシフィック地域の多くのArcSightの顧客からペンタセキュリティのWebアプリケーションファイアフォールのWAPPLESを使用し、両製品を統合し、活用しようとするニーズが高まっていました。これにより、両製品の相互運用のため、HPE Securityとのパートナーシップを進めることになりました。HPE Securityのパートナー制度であるTAPは、HPEセキュリティソリューションやパートナー製品間の相互運用性に基盤した標準をサポートします。パートナーシップを通じて、脅威検知および対応速度を高め、精巧な脅威の範囲や程度評価機能を向上させることで、顧客にはより優秀なセキュリティを安定的に提供すことができます。

 

これに対して、韓国HPEソフトウェア事業部を統括するイ・テヨン専務は、「パートナー社に必要なリソースを提供し、相互運用可能な認証された共同ソリューションを提供することで、HPE TAPプログラムは、顧客がサイバー犯罪の主な攻撃方法として、ますます高度化されるアプリケーションのセキュリティ脅威を迅速に検知して対応できるようにサポートする。」と言及しました。

 

加えて、WebアプリケーションファイアウォールのWAPPLESは、論理演算検知エンジン(COCEP™)を活用して、シグネチャのアップデートがなくても攻撃対応ができ、他社製品に比べて低い誤探率が特長で、2015アジア∙パシフィック地域のマーケットシェア1位に選ばれました。また、ペンタセキュリティは、2016アジア∙パシフィック地域最高のセキュリティベンダーとして選定され、ブランドや製品に対してグローバル競争力を認められており、HPE Securityとのパートナーシップを通じて、一層高いシナジーを得ることを期待しています。

 

ペンタセキュリティのCTOのDSKimは、「HPE Arcsightプラットフォームとの技術連携を通じて、アジア・パシフィック地域の市場支配力をより強化する計画だ。」とし、「アジア・パシフィック地域だけではなく、世界的にペンタセキュリティのソリューションの相互運用性を高めるため、持続的にグローバル企業とのパートナーシップを進んでいく予定だ。」と言及しました。

 

HPESecurityのセキュリティ情報・イベント管理(SIEM)(Security Information&Event Management)プラットフォームである「HPE ArcSight」は、多様なセキュリティ機器からのさまざまなログを収集・保存する機能を保持しています。同ソリューションは、システムログ(syslog)、DB、ファイルなどのログ形式に関係なく、データを収集・保存でき、高度の相関関係解析機能を含んでいて、グローバル市場、特にアジア∙パシフィック市場で需要が高まっています。

 

WAPPLES(ワップル)

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。


 


本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

E-mail : japan@pentasecurity.com

TEL : 03-5361-8201

 

profile

【情報】最新Web脆弱性トレンドレポートのEDB-Report(11月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 11月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

sslcolumn

【コラム】 まだ有料SSL認証書を使用中のあなたに今、必要なのは?

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットで連載しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

ウェブを利用したサービスが多様になり、情報のやり取りが簡単になっただけに、ハッキング攻撃にさらされる危険性も高まっており、暗号化通信は不可欠な要素になった。暗号化通信は、HTTPSプロトコルを使用することにより、実現できるが、HTTPSプロトコルを使用するためには、認証機関(CA:Certificate Authority)からSSL認証書の発行をしなければならない。しかし、費用に対する負担と複雑な認証プロセスなどによって、発行率は低いのが現実である。
日本のWebソリューション会社であるAtlas21が2016年5月に東京証券取引所市場第1部に上場した主要企業を対象に実施した調査によると、Webサイトの全ページに暗号化通信を適用するHTTPS完全対応率は1%で、世界の主要企業が約17%であることに比べ、かなり低い数値を記録した。
つまり、ほとんどのWebサイトがSSL/TLSが適用されず、セキュリティの最も基本である暗号化通信も保障できていない状況ということだ。

[ 世界及び日本の主要企業WebサイトのSSL対応現況 ]
(参考:世界主要企業サイトの約4割が常時SSLに対応–あとらす二十一調査(ZDNet Japan)

 

Let’s Encryptの登場

SSL認証書の発行には認証機関によって少しずつ差があるが、年間約$80~$400の費用を支払わなければならない。EV、Wildcardなどのオプションを追加することになれば、費用はさらに上がる。コスト的な負担以外にも、複雑なドメイン認証作業がSSL認証書の発行率が低い理由の一つである。該当ドメインに対して、認証機関から認証を受けるためにはメール認証、DNSレコードの追加などの作業が必要になる。また、認証作業が終わった後、SSL認証書を発行してもらったら、直接ウェブサーバにアップロードしなければならず、認証書を更新するたびに同じ作業が必要だ。
それで、SSL使用の参入障壁になるこのような問題を解決し、誰もが安全な暗号化通信を使えるような環境を作るために、Mozilla、Cisco、Akamai、Electronic Frontier Foundation(EFF)、IdenTrust、などの様々なグローバルの主要IT企業がISRG(Internet Security Research Group)という認証機関を作り、Let’s Encryptというプロジェクトを開始するようになった。

Let’s Encryptの特徴

Let’s Encryptの登場により、SSL認証書を無料、手軽に、自動的に発行することができるようになったが、この内容について少し詳しく調べてみよう。

  • 1.無料発行
    SSL認証書発行の際、費用が発生しない。ルートドメイン当たりに発行数に制限はあるが、最大2000個/1週なので、無制限と見ても過言ではない。
  • 2.簡単なドメイン認証
    Cert botというソフトウェアをウェブサーバに設置すれば、認証作業が自動的に行われる。メール認証、DNSレコードの追加などの作業が必要ない。
  • 3.自動認証書発行/更新
    ドメインが認証されると、Let’s Encryptから自動的に認証書が発行され、ウェブサーバに保存され、90日単位で自動更新される。認証書の発行、更新のための作業が必要ない。

無料SSL認証書のセキュリティ

無料で使うことができるし、認証作業も簡単で、更新も自動的に行われるから便利だが、何より重要なのはセキュリティが保障されるかどうかであろう。

Let’s Encryptは安全なのか。
結論から言えば、安全だ。

Let’s EncryptはGlobal Sign、GeoTrustなどのルート認証機関で発行する商用SSL認証書と同じレベルのセキュリティを確保する。
SSL認証書は、各OSやウェブブラウザから信頼されたルート認証機関だけが発行できる。信頼できるルート認証機関と言えば、Internet Explorerの場合は、[設定→インターネットオプション→内容→認証書]から確認することができる。

[Internet Explorerの信頼できるルート認証機関]

Let’s Encryptの場合は、どうやって発行されるのだろうか。

Let’s Encryptは、ウェブブラウザから信頼されたルート認証機関であるIdenTrust(DST Root CA X3)が相互認証(Cross-Sign)する形でSSL認証書を発行する。

下の例から見られるようにLet’s EncryptのSSL認証書も商用SSL認証書のように信頼されたルート認証機関から同一の段階を経て発行される。

[上:商用SSL認証書の例 /下:Let’s Encrypt SSL認証書の例]
[商用SSL認証書とLet’s Encrypt SSL認証書のルート認証機関]

したがって、Let’s Encryptの無料SSL認証書は、商用SSL認証書と同様なレベルのセキュリティを確保すると言えるだろう。

Let’s Encryptの使い方

従来の商用SSL認証書の場合、メール認証、DNSレコードの追加などの方法を通じてドメインを認証するが、Let’s Encryptは、cert botというソフトウェアを通じて自でドメインを認証するため、使用のためには、当該ソフトウェアをインストールする必要がない。設置方法は、設置環境のOSによって違うが、一般的には、以下の手順による。

  • 1. git packageの設置

Let’s Encryptは、基本的にgitを通じてソフトウェアを配布するため、ソフトウェアをダウンロードするためには、まずgit packageを設置する必要がある。gitは、様々な人々がプログラミングをする時、ソースコードなどの変更履歴を記録、追跡するバージョン管理ツールで、gitのホームページからWindows、Macなどの設置環境のOSによってダウンロードする。Linux系のOSの場合には、gitホームページの案内に従って、コマンド入力をし、設置することができる。

  • 2. ソフトウェア(Cert bot)の設置および

Electronic Frontier Foundation(EFF)のCer tbotのホームページ(https://certbot.eff.org)で使用中のWebserverおよびOSを指定した後、表示されるマニュアルに従ってCert botを設置、実行する。設置および実行方法は、Let’s Encrypt総合ポータルサイトの「Let’s Encryptの使い方」で確認できる。

[cert botホームページの使用中のWebserverおよびOS指定画面]
[Debian 8を使用するApacheウェブサーバのマニュアルの例]
  • 3. ドメインの入力

Cert botの実行後、表示されるウィンドウでYESを押すと、Server Nameを設定する画面が表示される。当該画面にHTTPSを適用するドメインを入力する。

[Cert botの実行後、表示画面]
[HTTPSを適用させるドメインの入力画面]
  • 4. SSL認証書の発行確認

入力したドメインに対する認証が完了されたら、自動的にLet’s Encrypt CAと通信し、SSL認証書が発行される。発行された認証書は、etc/letsencryptディレクトリに自動保存され、下記のようなメッセージが表示される。「example.jp」には、HTTPSを適用したドメイン名が、「YYYY-MM-DD」には、SSL認証書の有効期間が表示される。

[SSL認証書発行の完了画面]

上記の全てのプロセスをユーザーが直接しなければならないが、誰でも簡単にできることではない。ウェブサーバーの種類及び設置環境のOSによって、事前作業や追加設定作業が要求されるなど、Let’s Encryptを導入するためには、ITに対する知識やある程度の技術力が要求されることが実情である。

Let’s Encryptを簡単に適用する方法

しかし、ITに対する知識がなかったり、生活が忙しい現代人がいるため、さらに簡単にLet’s Encryptを導入させるサービスが登場した。Free Website Security Serviceのクラウドブリック(Cloudbric)に加入すれば、git packageを設置する必要も、cert botソフトウェアをダウンロードする必要も、コマンドを入力する必要もない。ユーザーは、Cloudbric加入後、HTTPSを適用するウェブサイトだけ登録すれば終わり。 (さらに簡単にこの3つのステップを確認したいなら、クリックしてください。)

無料で追加的なWebセキュリティサービスも利用することができて、企業のWebサービス担当者、オンラインショッピングモールの運営者や個人ホームページ運営者にとっては、なかなか良い機会ではないかと思う。

 

まだお金を払って、SSL認証書を使っているなら、今からは、クラウドブリックで無料でSSL認証書を使うのはどうだろう。

 

001

【情報】最新Web脆弱性トレンドレポートのEDB-Report(10月)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 10月号をリリース

最新のWeb脆弱性のトレンドを解りやすく
>>>>>Exploit-DBのWeb脆弱性を解析した毎月のトレンドレポート

EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

photo-1453060113865-968cea1ad53a

【コラム】 安全なWebサイトの国際標準とは?

 

Key Conductorsコラム

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データベース暗号化・Webセキュリティに関するものを解説いたします。

このWeb全盛期時代、セキュリティは最も重要ーー。

いくら強調しても、なぜWebセキュリティが重要なのか、その本質まで理解してもらえないケースがよくあります。今回もこの場を借りてWebセキュリティの大切さについて訴えたいと思います。

今の時代、グローバルはインターネットですべてつながっており、インターネットを介しすべてのことが疎通していると言っても過言ではありません。にも関わらず、Webのセキュリティについては、誰も目を向けようとしない。その理由は、「安全なインターネット」は、一体何なのかよく分かっていない人が多いからだと考えます。

 

安全なインターネットとは?

 

皆さんがよく使う言葉で、実はその意味を明瞭に分からずに使っている言葉が案外存在するかと思います。このITの分野でいうと、「ICTセキュリティ」が丁度いい例になります。
「ICT時代」と言われると、普通に肯くかもしれませんが、「ICTセキュリティとは」と訊かれたら、「あれ、何だったっけ?」になる人も多いのではないだろうか。「セキュリティ」は重要であるということは分かっていながらも、何をどうすればいいのか、私たちは明瞭に把握できている人は少ない。実際私たち個人だけがこのICT時代のセキュリティ迷子になっているわけではなく、会社や団体などもセキュリティ迷子になっていると言えます。

しかしながら、この社会は迷える人々のためにきちんとした社会的安全措置を用意してくれています。セキュリティへの悩みを解消できる「国際標準」が、それです。代表的なのは、イギリスBSI(British Standards Institute)が制定したBS 7799をベースに構成されたセキュリティ認証であり、フレームワークである「ISO 27001」が挙げられます。

そして、より経営中心の性質が強い「ISMS(Information Security Management System) 情報セキュリティ経営システム」も重要な基準と言えます。このようなフレームワークを基準に企業側のセキュリティシステムを構築すれば、かなり安全なICTセキュリティポリシーを構築できるということです。

例えば、ある企業がISO 27001フレームワークの評価の11項目の全てに対し、安全という判定を受け認証を取得したとします。これは、ICTセキュリティの危機に対し、全社的に取り組んで総合的に管理を行い、今後持続的に改善していくためのシステムを構築できたということを意味します。

もちろん、認証を取得しているから100%安全になったではなく「相当安全である」ということです。

 

安全なWebサイトの基準になる国際標準は?

 

国際的非営利NGO団体として、オンライン信頼度評価機関である「OTA(Online Trust Alliance)」は、毎年著名なWebサイトを対象にそのセキュリティをチェックし、その結果を以て安全なインターネット文化の形成のために努力したWebサイトを選定する「OTHR(Online Trust Honor Roll、オンライン信頼度優秀)」の企業を発表しています。

OTHRは政府、マスコミ、金融、SNS等、様々な部門にわたり、約1,000以上の世界的に著名なWebサイトを対象にします。2015年の選定結果としては常連の約46%がセキュリティの面で減点されランクインできず、「最も信頼できるWebサイト」として「Twitter」が選定されました。

 

OTAは、どのような基準を以てOTHRを選定しているのか。

 

基準は色々ある中ここで注目すべき点は、去年から「WAF(Web Application Firewall)の採用」が加算項目になっているということです。WAF採用の有無は、OTHRの選定結果を大きく左右しました。

WAFは、Webアプリケーションのセキュリティとして特化して開発されたソリューションです。外部からの攻撃を検出し遮断することで悪意のあるコードをWebサーバに挿入しようとする試みを未然に防ぐ、そして、システムの脆弱性を外部に漏出しないように制御するなど、Webセキュリティにおいて、最もコアで重要な部分を対応しています。

Webサイトのセキュリティは、システム全体に及ぼす影響が大きく、OTAは今後もWAF採用有無によるOTHRの選定への影響を強めていくことを明らかにしました。

 

「じゃ、WAFを購入すればいいわけ?それっていくら?」

 

WAFを導入すれば、セキュリティ問題はいかにも簡単に解決できそうですが、そんな上手い話ではありません。また、生産性のない「セキュリティ」に投資をすることは、営利団体である企業側にとって簡単なことでもありません。第一、WAFはとても高価とはいわないものの、安価でもありません。

ここでコストパフォーマンスを考慮したら、クラウド型WAFサービスの出番となります。簡単な導入の手続きかつ、リーズナブルなサービス価格にて実際のWAFを導入したことと同等のレベルのセキュリティを確保できます。

言い切ってしまうと、Webのサービス開始のための数回のクリックで、全体のICTセキュリティ脅威の90%を占める「Webハッキング攻撃」を防ぐことができるようになります。このようなクラウド型のWAFサービスの場合、ハードウェアを持つ必要がなく、インストール作業は発生しませんし、コーディングなどの必要もありません。

実際、システムの実務者を対象にWebセキュリティにおいて一番重要なことは?と聞いたところ「モニタリング」という回答が多い結果を示したといいます。Web攻撃のトレンド把握や未知の攻撃を予想するよりは、今この時間に自社のWebサイトが狙われている現状を知りたい、といったニーズが高いようです。このような管理者のために必要なのは、持続的、かつ効果的にモニタリングができるインターフェースが重要です。システムにおいては専門家である管理者でもこれがセキュリティになると“話は別”になるのも、よくある話です。

様々なクラウド型WAFサービスがリリースされていますが、弊社では、専門家ではなくても簡単に導入でき、ユーザーフレンドリーなインターフェースに力を入れ、クラウドブリック(cloudbric)を提供しています。一度お試しになることをオススメ致します。体験してみて損はありません。

WebセキュリティにおいてWebアプリケーションに特化したセキュリティとして、まずWAFの導入をご検討して頂きたい。そして、そのスタートとしてクラウド型WAFサービスは、魅力的なソリューションであることを今一度覚えて頂けると幸いです。

 

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

 

Boy Programming On Computer With Multiple Monitors And Laptop On Desk

【コラム】誰しもするハッキング、対策が盲点だ。

17歳の青少年たちが学校のシステムをハッキングした。警視庁や佐賀県警察は、県立中学校と高校の教育行政情報を管理するシステムに侵入し、個人情報を奪取した佐賀市居住中の17歳容疑者を不正アクセス禁止法違反の疑いで逮捕し、共犯と推定される何人の学生たちを調査した。
流出されたファイルの数は21万件で、個人情報が流出された被害者の数は生徒10.741人、父兄1,602人、教職員1,116人、その他が896人などで合わせて14,355人だ。流出された個人情報は、名前が14,355件、IDが6,368件、住所が1,922件、電話番号1,843件、メールアドレス564件、成績情報808件、進路指導情報353件、学生指導情報67件だ。

佐賀県・少年不正アクセス事件の経緯

 

容疑者と彼の友達はただの遊びで学校のハッキングを楽しんだ。17歳の青少年たちが学校システムをハッキングしたという事実自体による社会的な衝撃は非常に大きいが、冷静に言ってこれは確かに大きい意味がある事件ではない。最近は、誰もがインターネット検索だけでも、これぐらいの犯罪は簡単にできるほどのハッキングツールを気軽く手に入れることができるから。もし専門家集団が何らかの目的性を持って繰り広げたことだったら、より巧妙に犯行をばれないようにして、今のように知られていなかったはずだが、そもそもアマチュア集団がただの遊び半分で起こしたものだから、このようにセキュリティの脆弱性が明らかになったのが、かえってよかったと思う。

ハッキングされたシステムは、ウェブ上で教師が学生の成績などの情報を管理したりするもので、学生たちは学校のお知らせなどを見ながら授業の教材をダウンロードするなどの日常的に使用されていた佐賀県の教育情報システムである。ハッキングされたサーバは2種類で、県立学校が共有するクラウド基盤の教育情報システム「SEI-Net」、そして事故が起こった学校の校内LANを使用する教師向けの学習用サーバーである。

「SEI-Net」の場合、Webアプリケーションの脆弱性を狙った侵入だった。最近のハッキング事故のほとんどがWebアプリケーション攻撃であるため、これもあまり特別な事例とは見えないし、このように発生頻度から絶対的多数を占める明白なセキュリティの脆弱性をこのように放置しているという事実がむしろ特異点である。Webアプリケーションセキュリティは電算関係者全員が問題を根本的に分析・診断して確実な対策を講じなければならない時点である。

容疑者は、SEI-Netの学習管理システムの様々な機能の中で学生たちが学校のお知らせを確認するためにアクセスするメッセージ機能を悪用したという。侵入に使われたIDとパスワードをどう確保したかはまだ明らかになっていないが、警察は共犯と推定される学生らの協力を疑っている。

校内LANを使用するサーバーの侵入は、無線LANの隙を狙ったことが明らかになった。マスコミから報道された内容から見ると、容疑者は現在、捜査に協力していない態度を取っているようだが、いまだに具体的な事実は明らかになっていない。当該システムは、WPA2-PSK(AES)方式の暗号認証とMACアドレス認証を組み合わせる方式で、ユーザーのアクセスを統制するものだが、容疑者がMACアドレスを偽装してログインする際に使用した管理者IDとパスワードを入手した経緯もまだ明らかになっていない。警察は、これも学生身分を持っている共犯の協力を疑っている。容疑者と加担者は、学校隅々のセキュリティ管理が厳しくないところを狙い、無線ネットワークのトラフィックを横取りする、いわゆる「War driving」手口を使ったものと推定されている。

経緯を要約すると、今回の事件概要は以下の通りである。

– 青少年のアマチュアハッキング会が面白半分で、

– Webアプリケーション脆弱性を悪用し、学校情報システムに侵入して

– 校内の無線インターネットを通じてサーバーに侵入し、個人情報を奪取したハッキング事件である。

「ハッキング」といえば、専門訓練を受けた専門家だけができる、とても難しくて複雑なことだと思うが、絶対そうではない。今回の事件だけを見ても、ハッキングがどれほど簡単であるかを確実に見せている。誰しでも、本当に誰しでも、インターネット検索が可能な者であれば誰でも、ハッキングをすることができる。

ウェブの大衆化と一般化、そして技術発展の速さと加速度によって、ウェブを悪用する逸脱行為もこれからより頻繁に起きるはずだ。したがって、ウェブ攻撃に対応するために犯罪手口を分析して、診断し、今後の対策を備えることは今も重要だが、これからはますます重要になるはずだ。従来の電算環境全てがウェブに移される「プラットフォームの大移動」が全て完了されてからは、「ITセキュリティ=Webセキュリティ」の等式が完全に成立するようになれるはずだから、これはとても当然の話だ。

それでは、少年不正アクセス事件発生の後、提示された対策の焦点を見てみよう。

 

事件の診断と対策の焦点

 

少年不正アクセス事件の発生後、提示された対策は下のようだ。

-正常的利用者の端末にデジタル認証書を追加的に搭載する。

-教員のコンピューターにデスクトップ仮想化を適用し、不正アクセスを遮断する。

やはり、対策はアクセス統制がほとんどだ。システムへのアクセスを統制することで、事故発生を防ぐという趣旨の対策である。侵入したのが問題だから、侵入ができないようにする?

世の中の全てのことがそんなに簡単で明快に解決できるなら、どれだけ楽だろうか、しかし、そんなはずがないというのは知っているのではないか。本当にもどかしい。事件診断の核心にならなければならにウェブアプリケーション脆弱性に対する悩みが全くないという点だけ見ても、まともな対策と見ることはできないと判断される。

ハッキング技術は、以前のように専門家だけができる特殊な技術ではない、まるで一般事務のためのプログラムのようにありふれた技術になっている。すなわち、潜在的な攻撃者の数が爆発的に増加している意味であり、それによって既存のアクセス統制にだけ集中されていた方法論自体の限界を見直す必要があるという意味でもある。

計画通り、全ての仕事が進むとしても、もし教員や学生が端末機を失うことになると、どうなるのか?紛失に気づき、アクセスを遮断するとしても、一日以上は所要される。これは、システムに侵入し、以後、該当端末がなくても出入りできるバックドア―を設置するには十分な時間である。バックドア―の設置も、先に言ったハッキング技術のようにインターネット検索だけでだれでも簡単にできることである。そして、出入りを厳しく統制してはいるが、教務室への侵入など、物理的な防除失敗は今も時々起こることである。

そもそも、IDとパスワードだけでアクセスを統制する以上、仕方なく存在する限界なので、指紋や虹彩などの生体情報認識などの追加的な認証手段なしには安全を保証できない。それに、このような追加的セキュリティ措置は追加すれば追加するほど、システムの使用が不便になるという問題も決して軽く考える問題ではない。使用が不便になると、こっそりとセキュリティ措置を解除して使わない場合がほとんどだからだ。

上記の対策の限界は、現在セキュリティ戦争の戦況を見ている観点が間違っているからだ。

対策の失敗は、間違っている観点のせいだ。

 

どんな問題においても対策作りの失敗は、だいたい問題の原因をきちんと把握できなかったり、そもそも不可能なことを可能と見る蛮勇を振るうからだ。今回の事件もその一つなので、観点の間違いを調べることで、実際、効果的に作用する対策の基盤を考えて見よう。

1.ウェブアプリケーション脆弱性攻撃はどうせ防ぐことができない?

これは一部、事実だ。全体ITシステムの構成にあたってWebアプリケーションは元々セキュリティ的にとても不安な要素である。Webを通じて、ユーザーとコミュニケーションする最初の目的のせいで、いくら安全に構築しても、つまり、いわゆる「セキュアコーディング」をいくら完璧にするとしても、脆弱性は存在するしかない。もちろん、非常に(?)安全なアプリケーションを作ろうとすると作るのは作れるが、そうなると使用がほとんど不可能なぐらいに便利になる。ユーザーの便利さを無視すれば無視するほど、ユーザー数は急減するので、安全だけ考えることも難しい。だから折衷は必要だ。

そのため、使うのが「Webアプリケーションファイアウォール(WAF、Web Application Firewall)である。WAFは、Webアプリケーション自体の脆弱性や開発者の人間的なミスによる虚点を外部の攻撃から保護し、Webアプリケーションが便利な使用性を維持する状態でも十分な安全性を保障してくれる。「ファイアーウォール」という名前のため、よくハードウェアで認識されるものの、実はソフトウェアであり、ハードウェアはシステムの構築および運営を簡単にし、動作の際、性能を最大限で保障するための装置として機能する。WAFは、人工知能のように作動するソフトウェアの機械的な性能として、Webアプリケーションの人間的な欠点を補完する。

2.一応侵入されると、情報漏えいは避けられないから、侵入を封鎖するのが最優先だ?

これは違う。情報漏えいが避けられないものではなく、侵入が避けられないのだ。最善を尽くして防ごうとしても、侵入事故は結局発生してしまう。これは簡単に言えば、物量の問題だ。ある集団が情報セキュリティに投資できる最大の費用と力量を10としたら、最大値10の力で防いでも、100の力で来るのだ。そして、その数はこれからもだんだん増えるはずだ。アクセス統制にはそもそも限界がある。だから、侵入されてもセキュリティ事故の最悪の事態である情報漏えいおよび漏洩された情報の内容公開だけは防ぐという態度の転換が必要だ。

結局、データ暗号化だけだ。ハッカーが全部持っていこうとしても、盗んだ情報を使用できないようにする必要があるのだ。データ暗号化さえきちんとすると、もし侵入されても情報の内容公開だけは防ぐことができる。使えることもできないし、売ることもできないものをあえて盗む泥棒はいない。言い換えれば、アクセス統制は暗号化の効果を期待できないが、暗号化はアクセス統制の効果を狙うことができるという意味である。

それに、データ暗号化を通じて、より総体的で総合的なセキュリティ効果を期待できる。暗号化と言えば、よくデータベースに保存されている暗号化のみ考えるが、端末機からデータベースに至るまで、データが流れる経路のAからZまで、電算環境を暗号化する「データ暗号プラットフォーム(Data Encryption Platform, DEP)」体系を構築すると、システム全体にわたって完璧なセキュリティ性を達成することができる。

 

そして、対策の根本は、ハッキングに対する認識の変化

 

すべてのハッカーは強力に処罰しなければならない?もちろん、そうしなければならない。情報犯罪を軽く考え、犯罪者に寛大な処分をする場合が結構あるが、情報犯罪は経済犯罪などの犯罪に比べても、罪質が決して軽くない、とても重い犯罪だ。しかし、今回の事件と事件の容疑者集団の性質を調べて見ると、処罰よりは教化がより重要なことであるようだ。情報犯罪の害悪と被害について正確に認知するよう教育することで、以降、犯罪者の道を歩かないように、社会が関心を傾けながら面倒を見なければならない。それによって、今回の事件の容疑者が今後、より悪徳な犯罪を起こす本当のハッカーになるのか、さもなければ自分の関心分野をちゃんと勉強し、社会に貢献する立派な社会人になれるのかが決められるのではないか。結局、これは大人の義務である。

だいたいのハッカーは、自分が起こす犯罪がどれだけ悪いことかを十分に認知できない。今回の事件も面白半分で犯したことではないか。情報犯罪に対する対策の土台は、情報犯罪がどれだけ悪いことなのかを正確に認知するようにすることから始めなければならないと思う。そうしないと、誰しもするハッキングをいったいどうやって防ぐか。

【コラム】 2016年、知っておくべきWeb脆弱性4大項目

 

Key Conductorsコラム

 

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

連日と言っていいほどサイバー犯罪のニュースを耳にするようになったと思うが、この増加傾向は何を表しているんだろうか。

そのベースにあるのは、まさに「脆弱(ぜいじゃく)なWeb」が多いことである。今の時代、悪意のある人間はいとも簡単にWebページにアクセスでき、脆弱な部分を見抜いてしまう。このような行為を手助けするかのように自動化されたツールが出回っているのも事実である。つまり、サイバーテロを試みる者さえいれば「専門的」なハッカーである必要はないのだ。

「安全なWeb」の実現には、努力目標としてセキュリティレベルを上げていくようなさまざまな行動を起こさなければならない。本稿では2016年上半期のWeb脆弱性TOP4を取り上げる。下半期のセキュリティ対策を設けるにあたり、微力ながら参考になればと願っている。

 

1.SQLインジェクション(SQL Injection)

 

Webサイト攻撃の定番ともいえるSQLインジェクションは、アプリケーションプログラムの脆弱性を突き、開発レベルでは想定していなかったSQL文を実行することでデータベースを不正に操作する攻撃手法である。この攻撃が成功すると、ハッカーはデータベースサーバに対してファイルの読み込みや書き込みが可能な状態になり、任意のプログラミングを実行できるようになる。WHO(世界保健機構)のような大きな団体ですらSQLインジェクション攻撃にさらされたことがある。

悪意のある者はWebから簡単に自動化されたツールを入手し、攻撃のための下見に利用している。例えば「sqlmap」という自動化ツールを使用すれば、ターゲットのURLに対してSQLインジェクションが可能となる脆弱性がないかどうかスキャンできる。しかし、Exploit(エクスプロイト)攻撃を通じて、間違ったコードを挿入する場合、MySQLシンタックスエラーが生じることもある。

2014年、ハッキングの被害にあったソニープレイステーションのケースもSQLインジェクションによるもので、この昔ながらの脆弱性を突いた攻撃は現在でも十分すぎるほどの破壊力がある。SQLインジェクションの試みが通ってしまうと、そこから抜かれる情報によって、企業側には計り知れない被害を及ぼすことになる。

 

2.クロスサイトスクリプティング(Cross Site Scripting:XSS)

 

ユーザーの入力に対し適切な措置が設けられていないシステムの脆弱性を突くXSS(クロスサイトスクリプティング)も定番の攻撃だ。

ユーザーに対し入力を許可する部分は、悪意のある者にとっては利用価値が高く、常に攻撃の対象になるのである。実行可能なコードやスクリプトのタグをシステム側に挿入し、意図した行動を起こすようにコントロールできる強力な攻撃の入口となるからだ。

一般ユーザーが、XSSが仕込まれたWebサイトを訪問し、ページを閲覧するために1クリックするだけで悪意のあるコードが実行され、セッションクッキーや個人情報等が何者かに渡されてしまう。実際クレジットカード情報も抜かれ、本人の覚えのない買い物をしてしまうケースも多々ある。

WhiteHat Securityが公開しているホワイトペーパーによれば、どんなWebサイトでも67%はXSSの脆弱性にさらされているという。つまり、XSSを利用したWebハッキングは攻撃を行う側にとってコストパフォーマンスが高い方法であるのだ。セッション・ハイジャック(Session Hijacking)を決行し、政府のWebサイトを改ざんする等、その効果の高さは大したものである。

ただし近年、Webブラウザ側で事前にXSSの試みをチェックする機能が実装されていることは不幸中の幸いである。

 

3.ファイルインクルージョン(File Inclusion)

 

ファイルインクルージョンは、Webサーバ上のデータに対し入力検証の不備を突いて不正なスクリプトを挿入する攻撃手法である。そのパターンとしては、RFI(Remote File Inclusion)とLFI(Local File Inclusion)がある。

RFIは不正なスクリプトをサーバに挿入し、ターゲットのページを介して悪意のあるコードを実行させることで、サーバ側はもちろん、クライアント側にも被害を及ぼすことになる。LFIは、ターゲットのサーバ上のファイルに対し、不正なスクリプトを挿入し、デフォルトファイル名の変更、データのアップロード/ダウンロードの実行等やりたい放題ができる。

この脆弱性をうまく利用できれば、ログファイルからIDとパスワードを洗い出し、他の攻撃と組み合わせてログインジェクション攻撃なども実行できてしまう。このような脆弱性に対応するためには、入力検証の仕組みの脆弱性を把握し、不備を改修していくことを推奨する。

 

4.不完全な認証及びセッション管理(Broken Authentication and Session Management)

 

Webアプリケーションでは、HTTPのリクエストトラッキング機能がない故に認証のリクエストとそのセッションを継続的に管理する必要がある。悪意のある者は、このセッション情報から、ユーザーのタイムアウト、パスワード、ログアウト等さまざまな情報を入手できる。
この脆弱性の記憶に新しい事例は、マイクロソフトが提供するHotmailに悪意のあるスクリプトを挿入し、ユーザーのパスワードを入手しようとする攻撃を改修した際に発覚したものだ。この脆弱性ではユーザーインタフェースにトロイの木馬を仕掛け、ユーザーにパスワードの入力を複数回求めるものだった。そして、その入力データは即座に悪意ある者に送られるというシンプルながら非常によくできたものであった。
この種の脆弱性は、企業側で認証システムをカスタマイズし、セッション管理の不備があらわになってしまった場合に起こり得る。ユーザーがログアウトの処理をせずにそのままサイトを閉じてしまうようなケースでこのような脆弱性にさらされる可能性が高い。
開発者レベルでセッション管理の確認はもちろん、SSLによるセッションの暗号化も基本中の基本の対策であろう。

 

まずは、行動を起こす

 

このコラムで紹介した脆弱性は、Webアプリケーション、Webサーバ、Webページにおける最も有名な攻撃手法である。ありとあらゆる対策は開示されていて対応は進んでいるものの、まだまだ道は長いと言える。開発時における優先順位の上位に「Webセキュリティ」を持ってきてもらえるように認識を変えることも伴わなければならない。

まずは、この4つの脆弱性に対し、企業側で行動を起こすことをお願いしたい。脆弱性を認識しているのか、対策は取っているのか。現実問題として確認してほしい。
次のステップは、WAFなどの適切なソリューションの検討だ。脆弱性はセキュリティホールとも言われる。しかし、この小さい穴を利用して、貴重な情報を盗み出したいと思う者がたくさんいる。

企業としての社会的責任、そして貢献を考える際に、経営側は「セキュリティ」を念頭に置かなければならない。セキュリティホールはしっかりと埋めておかなければならないのである。

 

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。