Posts

ペンタセキュリティ、WebアプリケーションファイアウォールWAPPLESでシンガポールCWC Forum 2016参加

ペンタセキュリティ、
WebアプリケーションファイアウォールWAPPLESで
シンガポールCWC Forum 2016参加

シンガポール政府機関のサイバーセキュリティフォーラムを通じてグローバル事業を強化

データベース暗号化とWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が7月22日、シンガポールのサイバーセキュリティ企業であるQuannが主催するCyber Watch Centre(以下、CWC)Forumに参加したことを明らかにしました。2007年、シンガポールで設立されたCWCは、サイバー脅威をモニタリングする一方、企業と政府のセキュリティのため、サイバー攻撃と関連している事項を知らせ、予防・防止の技法や製品を提案する組織です。今回、ペンタセキュリティが参加したCWC Forumは、マーケティング、営業やエンジニアたちが政府ITコンサルタントを対象に最新のセキュリティ技術を共有し、議論するイベントとして、このイベントを通じてシンガポールの政府機関の担当者たちは新しいセキュリティ技術について情報を得て、セキュリティ会社とのパートナーシップを強化することができます。シンガポール最大の軍需産業会社であるCertisのサイバーセキュリティの子会社「Quann」が主催した今年のCWC Forumにはペンタセキュリティが唯一な韓国企業として参加しました。

ペンタセキュリティは、CWC Forum 2016でアジア・パシフィック地域シェア1位のWebアプリケーションファイアウォールのWAPPLES(ワッフル)を展示しました。WAPPLESは、論理演算型検知エンジンの(COCEP™)を活用して、シグネチャをアップデートする必要がなく、他社の製品と比べて誤探率が非常に低いWebアプリケーションファイアウォールで、今回のCWC Forumの現場では、訪問者にWAPPLESの技術力を直接経験できるようにデモ試演を行いました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「2016年アジア・パシフィック地域の最高のセキュリティベンダーに選定されてから、ペンタセキュリティのグローバル市場での位相が更に高っていることを改めて実感するようになった。」とし、「今回のCWC Forumイベントを通じて、海外の政府機関及び様々な企業がどんなふうに協力して、セキュリティ技術の研究、開発を進めているかが確認できた。これをもとにして、世界的なセキュリティ企業としてさらに技術開発に力を尽くす予定である。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【週刊BCN】ペンタセキュリティシステムズ、データベース暗号化を拡販

 

ペンタセキュリティシステムズ、データベース暗号化を拡販

事前予防策と事後対策の重要性強調
データベース(DB)暗号化とWebアプリケーションファイアウォール(WAF)の製品開発・販売を手がけるペンタセキュリティシステムズ(ペンタセキュリティ、陳貞喜・日本法人社長、www.pentasecurity.co.jp、)は今年度(2016年12月期)、DB暗号化製品のラインアップ拡充と拡販を強化する。15年には、DB暗号化の売り上げがWAFを超えたという。マイナンバー制度の導入や個人情報漏えい事件の頻発、巧妙化するサイバー攻撃の増加など、日本国内での潜在ニーズが顕在化したことを受け、パートナー施策を本格化する

ペンタセキュリティは、韓国のDB暗号化とWAFの市場でトップシェアを誇る。韓国政府の認証機関システムや最大手の民間金融機関のセキュリティシステムなど、豊富な導入実績がある。日本進出当初は、DB暗号化製品で市場開拓を試みたが、多くの企業の関心はWAFの「WAPPLES」という製品だった。WAPPLESは攻撃のロジックを解析しているため、攻撃パターンのアップデートがなくても新種と亜種の攻撃を検知、遮断できる。また、国際認証やビジュアル化された統合管理コンソールなどがユーザーに評価され、日本市場では、アプライアンス型で80社、クラウド型で120社の導入実績がある。グローバルでは1万8000ユーザーにのぼる。

しかし昨年度は、「DB暗号化製品に対する手応えを感じ始めた」(陳社長)ことから、今年度は既存環境にアドオンで提供するDB暗号化製品「D’Amo」とMySQLやMariaDB専用に開発されたDB暗号化製品「MyDiamo」の販売を強化している。とくに、MyDiamoは不動産業界や医療、教育分野からの問い合わせが急増している。「韓国では、外部からだけではなく内部からも攻撃を受けることが大前提で、事前情報漏えい対策に加え、事後対策を徹底的に行う。個人情報漏えい被害を最小限に抑える努力をしている」(陳社長)と、韓国の先行例などをもとに、日本国内でも事後対策が重要であることを強調する。今年度は、PostgreSQL向けの暗号化製品のリリースも予定。ラインアップを拡充し、市場の裾野を広げる。

韓国では、情報漏えいで厳しい刑事処罰を受けることへの備えとして、万全なるセキュリティ対策を構築する市場ニーズがあり、日本でも同様のニーズが拡大すると予想している。

直販がメインであったMyDiamoだが、今後、MySQLやMariaDBのサポート・サービスを手がける企業に積極的にアプローチし、パートナー企業の拡大を図る。パートナーが既存のサービスに加え、セキュリティを新たな価値としてユーザーに提案できるようサポート体制も強化していく。(鄭麗花)

関連情報

BCN Bizline http://biz.bcnranking.jp/article/news/1604/160421_142030.html

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

MyDiamo (マイ・ディアモ)

 

MyDiamoは、OSS(Open Source Software)のMySQLとMariaDBに特化したDBMSエンジンレベルの暗号化ソリューションであり、エンジンレベルのカラム暗号化セキュリティとパフォーマンスの両立を実現させるアプリケーションから独立したコンポーネントです。ペンタセキュリティでは、オフィシャルサイトにて個人用の非営利的利用のため、無償ライセンスを提供しています。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティ、 2015年下半期の「Web脅威動向解析報告書」公開

 

ペンタセキュリティ、 2015年下半期の「Web脅威動向解析報告書」公開

脆弱性情報を通じたWebサイト攻撃および管理者権限取得をターゲットにした攻撃急増
暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が2015年下半期に収集された情報を基にした「Web脅威動向分析報告書(Web Application Threat Report)」を公開しました。2010年から年2回(上半期/下半期)に公開している「Web脅威動向分析報告書」は、探知ログに対する統計情報の提供に同意した約1,000台のWAPPLES(ワップル)から収集された統計情報を分析した結果を基にして作成されるもので、実際のWeb環境で収集された情報を基にしています。本レポートにより、ペンタセキュリティのWebアプリケーションファイアウォールであるWAPPLESを利用している顧客は効果的にセキュリティ脅威トレンドを把握して攻撃に迅速に備えることができます。

2015年下半期のWeb脅威動向では、脆弱性スキャンを目的にした攻撃が最も多く発生し、攻撃危険度が「深刻」と現れた攻撃が多かったです。特に脆弱性関連情報を通じたWebサイト攻撃や管理者の権限取得をターゲットにした攻撃が頻繁に現れました。このような攻撃は、同年上半期にも約4億万件の攻撃探知件数を記録して1位を占めた攻撃類型です。

また、OWASP(Open Web Application Security Project) Top 10 attacksを基準としてはA1に該当するセキュリティ危険であるInjection攻撃が31%を占めながら最も高い順位を記録しました。当攻撃は、比較的に簡単に攻撃を試みることができるが、攻撃の難易度に比べては技術的な影響度が深刻であり、必ず対応が求められます。Injection攻撃に次いで26%を占めて、2位を記録した攻撃はSecurity Misconfiguration(不適切なセキュリティの設定)で、当攻撃はシステムに対する権限を攻撃者が持つことが可能なので、システム全体がハッキングされる危険がある攻撃です。

今回の下半期Web脅威動向分析報告書からはこのような攻撃動向情報とともにWAPPLESが探知した‘Black List Top 30’情報も一緒に提供されます。

ペンタセキュリティの最高技術責任者であるDS Kimは、「このようなWebサイト攻撃および管理者権限取得をターゲットにした攻撃が成功する場合、Webサイトの脆弱性が露出されることと共に機密情報が流出されたりWebサーバが動作不能状態になる可能性がある。」とし、「各種の攻撃を予防するため、サーバおよびセキュリティ担当者は強力なアクセス制御を通じて、権限管理レベルを管理し、事前にWebアプリケーションファイアウォールソリューションを構築して、Web攻撃脅に備えなければならない。」と述べました。

ICS-Report

 

Webアプリケーション脅威解析報告書:ICS-Report
ペンタセキュリティが年2回(上半期/下半期)発行されるトレンドレポートです。本レポートより全世界のWAPPLESから収集された検知ログの統計情報をもとに解析された実運用上の脅威の情報を確認することができます。

 

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【情報】Webアプリケーション脅威解析報告書のICS-REPORT(2015年下半期)がリリースされました。

ペンタセキュリティのR&DセンターICS(Intelligent Customer Suppert System)をFull活用した、ICS-Report 2015年下半期をリリース
世界各地の実運用中のWAPPLESから収集された検知ログ統計情報から解析したリアル脅威の動向ICS-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、年2回(上半期/下半期)発行されるトレンドレポートです。本レポートより全世界のWAPPLESから収集された検知ログの統計情報をもとに解析された実運用上の脅威の情報を確認することができます。ICS-Reportは、ペンタセキュリティのR&Dセンターが運用しているICSシステム(Intelligent Customer Support System)を採用した検知ログの統計情報の収集および解析を行い、WPPLESを導入しているお客様により高度なセキュリティサービスを提供することを目的としています。

ICS-Report

 

Webアプリケーション脅威解析報告書:ICS-Report
ペンタセキュリティが年2回(上半期/下半期)発行されるトレンドレポートです。本レポートより全世界のWAPPLESから収集された検知ログの統計情報をもとに解析された実運用上の脅威の情報を確認することができます。

 

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティのWAPPLES・MyDiamo、2016 CDM Awardsで受賞

ペンタセキュリティのWAPPLES・MyDiamo、2016 CDM Awardsで受賞

参入障壁の高いアメリカ市場で技術的に認められ

暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が3月2日、WebアプリケーションファイアウォールのWAPPLES(ワッフル)とオープンソース暗号化ソリューションのMyDiamo(マイディアモ)がCDM(Cyber Defense Magazine)Awardsで受賞したことを明らかにしました。CDMは、アメリカ代表の情報セキュリティマガジンとして、北米地域のセキュリティ情報を主に扱っており、2016年RSA Conferenceのパートナー機関です。今回受賞したペンタセキュリティのWAPPLESは、「The Hot Company in Web Application Security for 2016(2016年Webセキュリティソリューション注目企業)」に選定されており、MyDiamoは「Editor’s Choice in Data Leakage Prevention for 2016(2016年データ漏えい防御編集者選定)で受賞しました。 授賞は、2月29日から3月4日にかけて、アメリカで開催された2016 RSA conferenceで行われました。

2013年から始まったCDM Awardsは、CISSP(国際公認情報システム専門家)、CEH(国際公認倫理的ハッカー資格証)を保有した専門家や国土安保省(DHS)の職員が審査することでその公信力を認められています。審査委員らは、約2ヵ月間候補製品の技術的なレベルや市場性を綿密に検討した上、授賞します。

ペンタセキュリティの受賞に対してCDMの編集長であるピエルルイジ・パガニーニは、「今まではアメリカのセキュリティ市場では韓国企業の技術力に対する先入観が存在していて、韓国企業の市場進出が難しかった。しかし、韓国企業であるペンタセキュリティは、今回のCDM Awardsの受賞を通じて技術的な優秀性を立証したため、今後、アメリカ内で高い技術力に基づいて、市場を拡大すれば、最高の情報セキュリティソリューションとして成長すると思う。」と言及しました。

今回のCDMアワードで受賞したWebアプリケーションファイアウォールのWAPPLESは、知能型探知エンジン(COCEP)を基盤にてレベルの高い技術力を認められ、昨年、アジア・パシフィック市場占有率1位を果たした製品です。また、クラウドWebアプリケーションファイアウォールソリューションであるWAPPLES CloudやCloudbric(クラウドブリック)は、既存のWAPPLESの性能をクラウド環境に最適化させて、差別化したクラウドセキュリティサービスを提供しています。これとともに、MyDiamoは、アメリカおよび日本で高い需要を見せているオープンソースデータベース暗号化ソリューションとしてMySQL、MariaDB、PerconaDBを支援するエンジンレベルの暗号化ソリューションです。2013年から現在まで2,000件以上のダウンロードを記録し、オープンソースデータベース暗号化の先頭走者として認められています。

一方、ペンタセキュリティの最高技術責任者であるDS Kimは、「アメリカは、全世界のハッキング事故の50%を占めるハッキング事故最多地域であるため、情報セキュリティに対して高い技術力を要求する国家である。」とし、「アメリカの代表情報セキュリティマガジンであるCDMのAwardsで受賞したことを通じて、市場参入の障壁が高いアメリカ市場でWAPPLESやMyDiamoの優秀な技術水準を認められたと思う。立証された技術力を基にして、現在、アメリカセキュリティ市場に最適化された製品を準備している状況でおり、今後北米市場進出を積極的に展開していく予定である。」と述べました。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティのWebアプリケーションファイアウォールWAPPLES、韓国初ICSA認証獲得

ペンタセキュリティのWebアプリケーションファイアウォールWAPPLES、
韓国初ICSA認証獲得

世界3大セキュリティ認証機関ICSAを通じてWAPPLESの優秀性立証

暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が2月26日、自社のWebアプリケーションファイアウォールWAPPLES(ワップル)が韓国初としてICSA Labs WAF認証を獲得したことを明らかにしました。米ベライゾン(Verizon)傘下のセキュリティテスト機関であるICSA Labは、ITセキュリティ製品の適合性および性能に対するテストを通じて情報セキュリティ製品の品質を立証する機関として、チェックマーク(CheckMark)、VB100と共に世界3大セキュリティ認証機関の一つとして世界的に信頼性や権威を認められています。ICSA認証の中でWebアプリケーションファイアウォール部門であるICSA Labs WAF認証は、ICSA LabがWebアプリケーションファイアウォール製品のHTTP保護およびHTTPSWebベースのアプリケーションに対するセキュリティ政策実行を厳しくテストし、ログ監査や使用性などに対する基準を通過する際、与えられます。現在までペンタセキュリティを含め、Barracuda Networks、F5 Networks、Impervaなど10社のグローバル会社がこの認証を取得していますし、韓国セキュリティ業者ではペンタセキュリティが唯一です。

ICSA Labs WAF認証を獲得したペンタセキュリティのWAPPLESは、韓国やアジア・パシフィックのWebアプリケーションファイアウォール市場占有率1位の製品として、独自開発した知能型探知エンジン(COCEP)を基盤として差別化された性能を持っていて、Webアプリケーション攻撃の探知、セキュリティ規則基盤のWeb攻撃探知など多数の特許を獲得したことがあります。最近高まっているクラウドセキュリティに対する要求に対応し、WAPPLESの機能を仮想化環境に最適化させたWAPPLES Cloudを発売して、クラウドセキュリティ市場を先導しています。

これとともに、昨年、米国の性能測定機関であるTollyグループで施行したテストを通じて、海外の有名Webアプリケーションファイアウォール装備に比べて、TPS、CPS、誤探率、攻撃探知率、過負荷テストなど、Webアプリケーションファイアウォールの主要性能が優れているという評価を受けた履歴があり、今回の認証獲得を通じて、もう一度Webセキュリティー性能の優秀性を認められたわけです。

ペンタセキュリティの最高技術責任者であるDS Kimは「WebアプリケーションファイアウォールのWAPPLESが韓国だけではなく、アジア・パシフィック地域の市場占有率1位を達成することができたのは、グローバルスタンダードを充足させる持続的な認証活動の影響である。」とし、「こういう認証活動が世界的に高度化されているWeb攻撃に対して素早く対応し、安全なWeb環境の構築における基になると確信している。」と述べました。

ペンタセキュリティのICSA Labs WAF認証テストレポートに関する詳しい情報はhttps://www.icsalabs.com/product/wapplesからご確認できます。

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

ペンタセキュリティのWAF,WAPPLESがアジア・パシフィック地域で市場シェア1位に

ペンタセキュリティのWAF、

WAPPLESがアジア・パシフィック地域で市場シェア1位に

9月の「今年のWAF」選定に次ぐ快挙

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ)は、グローバルマーケットリサーチおよびコンサルティングの専門機関であるフロスト・アンド・サリバン社(Frost & Sullivan)がまとめた報告書「Frost IQ (Industry Quotient): アジア・パシフィック地域におけるWebアプリケーションファイアウォールのベンダー2015」でWebアプリケーションファイアウォール(WAF)のWAPPLESがアジア・パシフィック地域で市場シェアトップとなったことを明らかにしました。フロスト・アンド・サリバン社は、米国に本社を置く50年にわたる歴史を持つ世界的なグローバルリサーチおよびコンサルティング専門機関で、毎年「Frost IQ 報告書」を発表し産業別の客観的な評価資料を提示しています。
今年まとめた報告書によると、アジア・パシフィック市場では、韓国のペンタセキュリティが市場シェアトップとなりました。次いで中国の情報セキュリティベンダーのNSFOCUS、グローバル企業のインパーバ(Imperva)およびF5ネットワークスの順となっています。当該報告書では、論理演算検知エンジンによる優秀な性能を売り物とし圧倒的な市場シェアでWAF市場をリードしていることやパートナー向けの定期的なセミナーと教育を通じて市場と顧客のニーズに応えようと持続的に取り組んでいることを高く評価しています。

Frost IQ Asia-Pacific WAF Vendors 2015 Report

 

フロスト・アンド・サリバン社が毎年WAFのマーケットを調査および分析をし各ベンダーのマーケットシェアおよび成長性を評価し作成するレポートです。

 

 

ペンタセキュリティは韓国国内で長年築いてきたネットワークを基に、日本をはじめアジア各国でその地域の特性に合わせたパートナーシップや運用システムズを適用し、速いスピードで海外ビジネスを拡大しています。それと共に論理演算検知エンジン基盤とした多様なパフォーマンスのWAPPLESラインアップと、クラウド仮想化バージョン、マネージメントシステムズなどを弾力的に運用しています。それに加え、年に2回(上下半期)、日韓英3ヶ国語でWebアプリケーション脅威解析報告書を提供し、最新Web脆弱性トレンドを効果的に把握できるようにするなど、海外顧客にも対応しています。 このようなペンタセキュリティならではのサービスがアジア・パシフィック市場シェアトップを可能にしました。ペンタセキュリティのWAF、WAPPLESは、今年9月にはフロスト・アンド・サリバン社が選定する「今年のWAF」にも選ばれました。

ペンタセキュリティCTOのDS Kimは、「リリース10周年を迎えた年にアジア・パシフィック地域で市場シェアトップとなり、より意味深く感じます。この10年間の苦労が無駄にはならなかったようで、誇らしく思います。 」とし、「韓国市場シェア1位、アジア・パシフィック市場シェア1位を超え、世界市場シェア1位になるまで製品開発に絶えず努力していきます」と述べました。

 

WAPPLES

 

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【コラム】みんなに必要な「安全なWebアプリケーションのセキュリティ」

韓国でネットサイトの取引価格情報を1万3千ウォンから44億ウォンに改ざんし、多額の利益を不正取得した容疑者らが逮捕される事件がありました。Webサイトの脆弱性を狙ったこの事件は、一見巧妙な手口のハッキング攻撃のように見えますが、実際には、価格に関わるパラメータ(Parameter:媒介変数)を修正して利益を奪取する「パラメータ・タンパリング(Parameter Tampering)」攻撃関連の犯罪です。

このパラメータ・タンパリング攻撃は、Webセキュリティ、その中でもアプリケーションのセキュリティに関わる基礎的な攻撃にも関わらず、未だにもそのようなWeb攻撃の脆弱性による被害が起きていることに大変残念なばかりです。

前回の「Webアプリケーションのセキュリティを強調する理由」にも言及した通り、アプリケーションのセキュリティはWebセキュリティにおいて最重要項目です。私たちが普段使っているWebは、全てアプリケーションで構成されています。Webサイト、モバイルアプリなどは全てアプリケーションで構成されており、上記のパラメータ・タンパリングのようなWeb攻撃の大多数がアプリケーション関連の攻撃です。

企業のセキュリティ管理者は、多様なWebセキュリティソリューションを導入し、Web攻撃に備えています。しかし、自社が購入し管理するWebセキュリティソリューションの役割は何か、その中でアプリケーションのセキュリティに関わるソリューションは何かを正確に区別できるセキュリティ管理者はわずかであります。

要するに、基本的なネットワークセキュリティソリューションを除き、アプリケーションのセキュリティにおいて適切なWebセキュリティソリューションを適用・運用している企業は少ないということです。こうしたアプリケーションの環境は、企業のセキュリティにおける全体レベルを格下げし、さらにはハッカーの狙う潜在的な標的になる恐れがあります。なお、Web攻撃は、企業の個人情報漏えいといった多大な被害を及ぼします。

今回は、Webアプリケーションのセキュリティについて探ってみましょう。アプリケーションのセキュリティ構築において実質的に必要かつ重要なWebセキュリティソリューションの役割や機能に焦点を合わせて話します。

■ Webアプリケーションのセキュリティとセキュリティソリューション
アプリケーションの構築は、家造りに例えると解かりやすいです。家をどうやって造るかによってその家の安全性が決まるように、アプリケーションもどうやって構築するかによってアプリケーションの安全性が決まります。

したがって、アプリケーションのセキュリティは、構築初期の開発段階から構築後のメンテナンスに至るまで、全ての段階にわたって念を入れる必要があります。ただし、その実践が難しいのが現実です。適切なガイドラインがないことも一つの理由として考えられますが、Webアプリケーションのセキュリティに対する理解が十分できていないことも無視できません。

Webスキャナ(Web Scanner), Webアプリケーションファイアウォール(Web Application Firewall;WAF)といった言葉自体の意味は解かっても、それらの正確な機能や作動位置などは解かり難いです。しかし、Webアプリケーションのセキュリティや、それぞれのソリューションが作動する位置を家造りに例えれば、簡単に理解できます。


私たちは、一般的にPCやノートパソコン、モバイルデバイスを利用してWebに接続します。IT用語としては、Webに接続するために利用するPCやノートパソコン、モバイルデバイスを「クライアント」といい、Webサイトやモバイルアプリケーションの画面のようにWebコンテンツを保存しておき、クライアントが接続したらコンテンツを表示するシステムを「サーバ」といいます(ITシステムにおけるサーバが全てWebサーバではありませんが、ここではWebセキュリティに関してのことですので、Webサーバを例えて説明します)。そして、クライアントとWebサーバを繋ぐ連結網を「Web」といいます。

セキュリティの観点からみると、一般的にクライアントのセキュリティは個別システムの安全と関係があり、サーバのセキュリティは企業システムの安全と関係があります。企業内部にあるクライアントのセキュリティもありますが、今回は、企業内におけるWebセキュリティの核心となるサーバのセキュリティについて探ってみましょう。

セキュアコーディング
まず、開発段階は、家を造るプロセスと言えます。家は、堅固な地盤に丈夫で安全なレンガで造らなければなりません。それをアプリケーションになぞらえて考えると、脆弱性が残存するリスクがあるコードは排除し、安全なソースやプログラムを利用したセキュアコーディングがレンガに当たります。

セキュアコーディングとは、開発プロセスにおいて開発者の知識不足やミス、又は各プログラミング言語の固有の弱点など様々な原因によって生じえる脆弱性を最小化するために、設計の段階からセキュリティを考慮してコードを作成する製作方式を意味します。

ネットワーク階層は、データの送受信にかかわる通信を担当する役割をし、システム階層は私たちがよく知っているWindows、Linuxといったオペレーティングシステム(OS)のように、様々なアプリケーションが作動できるようにするプラットフォームの役割を行います。アプリケーションは、最上位の階層であり、多様な機能を行うプロトコル(HTTP、FTP等)及び応用サービスを提供します。

アプリケーションの開発には構築のスピードも考慮すべきですが、安全かつ体系的に開発することが、さらに重要です。安全ではない開発環境に、他のWebセキュリティソリューションを導入することは、場当たり的な対策にすぎません。

Webスキャナ
家造りの完了後、罅が入っているところはないか、傾いているところはないかなどのチェックが必要です。家をチェックすることのように、外部からアプリケーションを点検するWebスキャナを定期的に行う必要があります。

Webスキャナは、Web脆弱性診断ツールとも呼ばれ、Webアプリケーションの外部から通信を介して潜在的脆弱性や設計上の脆弱性を分析するプログラムです。

現在、多様な種類のWebスキャナが市販されており、その中には、非商業用として提供されているものもあります。Webスキャナのパフォーマンスはそれぞれですが、その核心は、効果を得るためには、地道な点検でアプリケーションを定期的かつ持続的な確認が必要であるということです。

マルウェアの検知
家の外部だけでなく、内部も虫などが入り込める穴とかはないか、チェックする必要があります。アプリケーションの内部を点検するソリューションには、マルウェアの検知ソリューションがあります。マルウェア(Web-Based Malware)は、一般的にWebシェル(Web Shell)と呼ばれ、アプリケーションの内部で動作する悪性コードです。

ハッカーは、Webシェルを介してセキュリティシステムをバイパスして別途の認証を行わずシステムに接続することができます。それを点検するためには、Webシェルだけを専門的に検知するソリューションを活用し、サーバの内部から検知する必要があります。Webスキャナと同様に、マルウェアの検知ソリューションも定期的な点検や実行が不可欠です。

Webアプリケーションファイアウォール(Web Application Firewall;WAF)
もうアプリケーションという家を安全なレンガで造り、内外部も点検しました。それで終わりでしょうか。家造りを完了したら、次は、外部からの予期せぬアクセスを遮断し、点検の際に見つけなかった内部リスクを補完するために垣根を作ります。アプリケーションのセキュリティおいては、Webアプリケーションファイアウォール(Web Application Firewall;WAF)がこの垣根に該当します。

WAFは、Webを介した外部からの侵入やWeb攻撃を検知し、対応する役割を果たします。特に、セキュアコーディング、Webスキャナが検知したWebセキュリティの脆弱性が外部にさらされないように保護するだけではなく、それらのソリューションに至る前に外部で遮断する役割を行います。

また、マルウェアがWebサーバにアップロードされることも遮断します。一般的なファイアウォール(Firewall)とは違って、Webアプリケーションに特化して開発されたからこそ、可能なことです。さらに、他のソリューションと異なり、サーバへの構築・適用にコストがかからず、外部に便利にインストールできます。最新のWAFは広範囲で多様なWeb攻撃をリアルタイムで遮断し、学習モードによるルールの適用も可能という特徴があります。

データセキュリティ(Data Security)
最後に、家の中に置く現金や通帳のような財産をどうやって保管するかも重要です。アプリケーションでは、個人情報やクレジットカード情報、口座情報といった重要データなどがこの財産に該当します。一般的なWebアプリケーション環境では、データベースを構築し、データを保管及び管理します。

安全なデータ管理のためには、データセキュリティ関連のWebセキュリティソリューションを導入する必要があります。データを暗号化することにより、ハッカーがデータを解読できないようにするデータ暗号化ソリューションをド導入することが一般的です。

しかし、暗号化だけで済むわけではありません。誰がいつアクセスしたかが確認できるアクセス制御や監査ログにも注意を払わなければなりません。データ暗号化においては、暗号化されたデータを復号できる鍵(Key)の管理が非常に重要になるため、鍵管理にも特別な注意が必要となります。

Webセキュリティの定石
まさにWebセキュリティ時代の到来です。数多くのWeb攻撃が存在し、そのWeb攻撃は、今この瞬間にも新しいタイプの攻撃が現れ、トライされています。2回にわたり、Webセキュリティの重要性を訴え、Webセキュリティに対する理解を深めようと、ITシステムをネットワーク、システム、アプリケーションの3つの階層に分けて探ってみました。これまで言及したWebセキュリティソリューションを各階層別にまとめると、下記の図になります。

安全なWebセキュリティを実現するためには、各階層別の特長を理解し、適材適所にWebセキュリティソリューションを導入することが求められます。アプリケーションのセキュリティがWebセキュリティにおいて最も大きい比重を占めているものの、基本的にネットワークとシステムの安定性が保障されていなければ安全なWebセキュリティは確保できません。

“An organization’s overall Security is only as strong as its weakest Link”

という言葉があります。複数のセキュリティ要素のうち、最も弱い要素がその会社全体のセキュリティレベルの決め手になるという意味です。一方に偏らず、バランス良くセキュリティ対策を立てることが求められます。各階層にはそれぞれの問題を抱えており、その問題毎に最適なソリューションがあるということを認識する必要があります。

Webセキュリティソリューションの市場は、年々拡大しています。2012年にプロスト・アンド・サリバンがまとめた報告書によりますと、アジア太平洋地域におけるコンテンツセキュリティ市場は、2017年には、その規模が15億7千ドルに達し、年間成長率も約17.9%に迫ると見込んでいます。IT産業の一般的な成長率が7~9%というのだから、非常に高い数値であります。

Webセキュリティソリューションがあふれているこの時代に、それぞれの機能や動作位置をスマートに判断し、適材適所にWebセキュリティソリューションを配置することで、安全なWebセキュリティを実現することを願います。

ペンタセキュリティ, Webアプリケーションファイアウォールの「WAPPLES」が リリース10周年を迎え

ペンタセキュリティ, Webアプリケーションファイアウォールの「WAPPLES」が
リリース10周年を迎え
2005年のリリース後10年間、販売数2,500を突破

韓国国内シェアトップ、アジア・パシフィックのチャンピオングループのWAF

データ暗号化及びWebセキュリティソリューションの専門企業であるペンタセキュリティシステムズ(日本支社:東京都新宿区四谷四丁目3-20いちご四谷四丁目ビル3F、www.pentasecurity.co.jp、以下ペンタセキュリティ)が、当社のWAF(Webアプリケーションファイアウォール)製品、WAPPLESが2015年4月25日、リリース10周年を迎えたことを明らかにした。ペンタセキュリティは、1997年の創立以来、PKIソリューション、侵入検知システム等を開発・提供し、韓国における第1世代のセキュリティ企業としてスタートした。以来、韓国政府の行政電子署名システムの構築や顧客認証情報の暗号化ビジネスといった主要なセキュリティインフラ構築事業を行い、自社保有のコア技術とノウハウを持って、2004年3月、データ暗号化ソリューションの「D’Amo(ディアモ)」、2005年4月にはWebセキュリティソリューションの「WAPPLES(ワップル)」を市場に参入させた。

「インテリジェントWebアプリケーションセキュリティゲートウェイのソリューション」で2005年にリリースされたWAPPLESは、当時ほとんどのファイアウォール製品がネットワークファイアウォールだったのに対し、独自開発の論理演算検知エンジン(COCEP、Contents Classification and Evaluation Processing)を搭載してWeb攻撃を検知し、アプリケーションレベルでの保護を実現させた。ハッキング事件の急増に伴い、Webセキュリティにおけるニーズが増えていく中、アプリケーションレベルでのトラフィックの正確な分析による攻撃の検知及び遮断を行うWebアプリケーションファイアウォールのWAPPLESは、多くの企業のIT担当者に歓迎され、今もトップを堅持している。

リリース以来10年、今WAPPLESは、2015年1月時点で累積販売台数が2,500を突破し、世界の170,000のWebサイトを保護している。そして、韓国の調達庁が集計した2011年から2014年までの累積統計による受注金額ベースの平均シェアは68%となり、WAF市場にてトップを維持している。
セキュリティ研究所への持続的投資を行っており、Web攻撃検知技術のさらなる研究とともに、韓国国内外にて特許(ルール基盤Web攻撃検知、Webアプリケーション攻撃の検知方法等多数)を取得した。尚、韓国国内外の評価機関による認証(PCI-DSS、韓国国家情報院セキュリティ適合検証、国際CC EAL4等)にて信頼できる製品を提供することに徹してきた。2006年より、日本をはじめ、東南アジア、オーストラリア等世界各地にグローバル展開を開始し、アメリカのIT市場調査機関であるフロスト・アンド・サリバン社(Frost&Sulivan)から2年連続「今年のWAF」として賞を受賞する等、グローバル市場にてその優位性が証明されている。
ペンタセキュリティのDS Kim(最高技術責任者)は、「ここ10年、Webセキュリティ市場をリードしてきたWAPPLESは、市場トップ製品として、WAFがICT全般における必須アイテムとして位置付けることに大きく寄与した。今年リリース10周年を機に、これからの新たな10年の目標として、セキュリティ分野とは無関係な人でもWebセキュリティに無知な人でも使えるようなWAFを目指し、WAFの大衆化を推進していきたい。」とし、「その戦略の一環として今年初めに、クラウド型WAFサービスのcloudbric(クラウドブリック)のグローバル展開、IoTセキュリティR&Dセンターの設立等、Webセキュリティの大衆化のための投資および努力をしている」と述べた。

 

WAPPLESに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

 

【コラム】Webアプリケーションのセキュリティを強調する理由

韓国インターネット振興院によると、ハッキングトライの全体の7割以上がWebを介して行われているというほど、Webセキュリティは、もはや選択ではなく必須となりました。

しかし、Webセキュリティは、専門家といっても安全を保障することは難しいです。それは、現在セキュリティ対策の標準化が進められておらず、企業それぞれが異なるセキュリティ対策を構築しているためです。

Webセキュリティの安全性を確保するためには、企業のセキュリティ担当者がWebセキュリティに対して十分に理解した上で、自社のITシステムに合うWebセキュリティを構築する必要があります。ほとんどの企業は、Webセキュリティソリューションを導入していますが、Webセキュリティを十分に理解し適材適所に導入・運用している企業が少ないのが実情です。

当カラムでは、Webセキュリティを容易に理解できるよう全般的なITシステムの構造からはじめ、WebセキュリティがITシステムにどのように適用されるかを説明します。まず、ITシステムに対する理解や、Webセキュリティの概要について探ってみましょう。

クライアント ‐ サーバの構造に対する理解

私たちは、一般的にPCやノートパソコン、モバイルデバイスを利用してWebに接続します。IT用語としては、Webに接続するために利用するPCやノートパソコン、モバイルデバイスを「クライアント」といい、Webサイトやモバイルアプリケーションの画面のようにWebコンテンツを保存しておき、クライアントが接続したらコンテンツを表示するシステムを「サーバ」といいます(ITシステムにおけるサーバが全てWebサーバではありませんが、ここではWebセキュリティに関してのことですので、Webサーバを例えて説明します)。そして、クライアントとWebサーバを繋ぐ連結網を「Web」といいます。

セキュリティの観点からみると、一般的にクライアントのセキュリティは個別システムの安全と関係があり、サーバのセキュリティは企業システムの安全と関係があります。企業内部にあるクライアントのセキュリティもありますが、今回は、企業内におけるWebセキュリティの核心となるサーバのセキュリティについて探ってみましょう。

企業のサーバシステムの構造


企業内サーバのシステム構造を理解するために、まず、ITシステムの構造を確認してみましょう。

上図のように、ITシステムは、大きくネットワーク、システム、アプリケーションの3つの階層に構成されています。OSI 7階層やTCP/IP階層のような様々なITシステムモデルがありますが、こうした階層的分類では、ネットワーク、システム、アプリケーションの3つの階層が最も共通的な構造です。この3つの階層はお互いの相互作用を通じてITシステムを構成します。

ネットワーク階層は、データの送受信にかかわる通信を担当する役割をし、システム階層は私たちがよく知っているWindows、Linuxといったオペレーティングシステム(OS)のように、様々なアプリケーションが作動できるようにするプラットフォームの役割を行います。アプリケーションは、最上位の階層であり、多様な機能を行うプロトコル(HTTP、FTP等)及び応用サービスを提供します。

サーバシステムの構造も基本的にはこのITシステムの構造に従います。要するに、安全なサーバのセキュリティとは、ITシステムにおける3つの階層のセキュリティ、すなわち、ネットワーク、システム、アプリケーションの全てのセキュリティが安全に構築されていることを意味します。

Webセキュリティの中核は、アプリケーションのセキュリティ


理解を助けるために、ITシステムの各階層はWebセキュリティを確保するために、実際にどのように構築されているか、現実的な観点から探ってみましょう。

ネットワークのセキュリティのためには、安全ではないIPやポート(Port)に対するアクセス制御を行う必要があり、許可されたIPやポートからのトラフィックに対しても有害性の有無をチェックする必要があります。そのため、ほとんどの企業では、ファイアウォール(Firewall)と侵入検知/防止システム(IDS/IPS)を構築しています。

しかし、ファイアウォールの場合、許可されたIPやポートからの攻撃は遮断できず、また、IDS/IPSにて行われるネットワーク階層における有害性検査は、アプリケーション階層に対する理解がないまま行われるため、アプリケーションの脆弱性を狙った攻撃に対しては遮断できないという限界があります。

システムのセキュリティはOSに関わることが多いです。Windows、Linux、UnixなどのOSに対する開発及び提供に関わるメーカーは、自社システムに対して定期的なセキュリティのアップデートやパッチを行うことにより、知られているWeb攻撃に備えています。企業のセキュリティ担当者は、セキュリティのアップデートやパッチを行うことに加え、定期的にシステムの悪性コードを検出し、システムを常に安全な状態に維持しなければなりません。そのために企業は、アンチウイルスソリューションを導入しています。

このように、ほとんどの企業は、ネットワーク及びシステムのセキュリティに対しては、その必要性を理解し、セキュリティの構築に力を入れています。しかし、アプリケーションのセキュリティに対しては、そうではありません。

アプリケーションの階層は、ネットワークやシステムの階層に比べ高度化されており、アプリケーションの種類も多様であるため、大部分のセキュリティ管理者はセキュリティの適用に困っています。Webセキュリティを構築する際にも同様です。

Webセキュリティにおいて最重要なのは、アプリケーションのセキュリティです。私たちが普段利用しているWebは全てアプリケーションで構成されています。WebサイトやモバイルWebなどは全てアプリケーションで構成されており、それをターゲットとしたWeb攻撃もアプリケーションの脆弱性を狙った攻撃が多いです。SQLインジェクション、XSS(クロス・サイト・スクリプティング)のような有名なWeb攻撃も全てWebアプリケーションであるWebサイトの脆弱性を狙った攻撃です。Webシェルと呼ばれるWeb基盤悪性コードもphpなどで構成されたWebアプリケーションです。

Webセキュリティ業界で有名なOWASP(The Open Web Application Security Project)が選定したWeb脆弱性Top10も全てWebアプリケーション攻撃です。つまり、現在行われているWeb攻撃の9割以上が全てWebアプリケーションを狙った攻撃であると言っても過言ではありません。要するに、安全なWebセキュリティを構築するためには、安全なWebアプリケーションセキュリティの構築が必須ということです。

Webセキュリティ対策 においてアプリケーションのセキュリティが最も重要であるにも関わらず、実際にはどのように構築すればよいかという難題にぶつかり、適切なセキュリティが行われていないのが現状です。

次回では、その難題を解消するために、アプリケーションのセキュリティを集中分析し、安全なWebアプリケーションのセキュリティを構築するためには、どうすればいいかについて説明します。