Posts

profile

【情報】 最新Web脆弱性トレンドレポートのEDB-Report(第2四半期)がリリースされました。

ペンタセキュリティのR&Dセンターのデータセキュリティチームの
専門性と経験による情報解析、EDB-Report 第2四半期バージョンをリリース

2018年第2四半期の最新Web脆弱性トレンド情報

2018年4月から6月まで公開されたExploit‐DBの脆弱性報告件数は、167件でした。そして、最も多くの脆弱性が公開された攻撃はSQLインジェクション(SQL Injection)です。特に、EasyService Billing, MySQL Blob Uploaderから各5個の脆弱性が公開されました。ここで、注目すべき脆弱性は、”EasyService Billing”と”MySQL Blob Uploader”脆弱性です。当脆弱性は、SQLインジェクション(SQL Injection)とクロスサイトスクリプティング(Cross-Site Scripting)が複合的に修行されるMultiple Vulnerabilitiesです。また、”Z-Blog 1.5.1.1740 – Full Path Disclosure”脆弱性も注意しなければなりません。当脆弱性または類似した脆弱性の攻撃は多様な形の../を含めており、特定のウェブアプリケーションに開頭する特定のパターンを含めています。
当脆弱性を予防するためには最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。

最新Web脆弱性トレンドレポート:EDB-Report

ペンタセキュリティが四半期ごとに提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。

EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。


 

profile

「2018年07月号」いよいよ暗号通貨ウォレットのPallet(パレット)が発売!台湾市場まで進出したペンタセキュリティの様々な活動も必見!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■□■   ペンタセキュリティシステムズ メールマガジン 2018/07/30    ■□■
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】【ペンタストーリー】 ペンタセキュリティ公式Twitterアカウント開設のお知らせ
【02】【プレスリリース】 暗号通貨ウォレットのPallet(パレット)を発売
【03】【プレスリリース】 台湾セキュリティ市場進出のためのパートナーシップを締結
【04】【プレスリリース】 電気自動車(EV)の充電インフラビジネスに関するMOU締結
【05】【コラム】 変化する未来自動車の5つの要素:第1回・第2回

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】【ペンタストーリー】 ペンタセキュリティ公式Twitterアカウント開設のお知らせ

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティシステムズが公式Twitterアカウントを開設しましたので、お知らせいたします。

ペンタセキュリティの製品・サービスに関する最新情報やイベント情報、プレスリリースやセキュリティ

全般に関する情報など、幅広い情報をいち早くお届けするため、公式Twitterを開設いたしました。

公式サイトやオウンドメディア、また様々なIT情報サイトからの情報をまとめてお伝えいたしますので

ぜひフォローをお願いいたします。

 

>>ペンタセキュリティ公式Twitterアカウントのフォローはこちらから
https://bit.ly/2JNIhqv

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【02】【プレスリリース】 暗号通貨ウォレットのPallet(パレット)発売 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティのモバイルウォレット「Pallet(パレット)」がようやく発売されました!

Pallet(パレット)は、ペンタセキュリティが20年間蓄積してきた技術力を適用した、安全で使いやすい

暗号通貨ウォレットのアプリケーションです。

最近、暗号通貨をめぐり、続々と発生しているセキュリティ事故の原因が鍵の漏えいによるものであること

に着目し、モバイルデバイス等ハードウェアにおけるTEE(Trusted Execution Environment、信頼実行環境)

のセキュアな領域で鍵を安全に保管するように開発されました。

TEE領域に保管すると、モバイルデバイスの保存領域がハッキング攻撃を受け、鍵が漏えいされたとしても、

原本のデバイスでなければ使うことができないため、安全です。

 

サービスの詳しい情報は、下記のプレスリリースをご参考ください。

 

>> 「暗号通貨ウォレットのPallet(パレット)をリリース」プレスリリース全文はこちら
https://bit.ly/2LxyidI

 

※ 暗号通貨関連の他の記事はこちらから確認できます。
「暗号通貨取引所向けのトータルセキュリティ・ソリューションCryptoXchange供給開始」
https://bit.ly/2Le1W8x
▶「ペンタセキュリティが暗号通貨ウォレットの発売を発表!」
https://bit.ly/2qLTssc

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】【プレスリリース】 台湾セキュリティ市場進出のためのパートナーシップを締結
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが台湾政府機関や主要IT企業などにセキュリティ製品およびサービスを提供する

「HEM Infosec Co.、Ltdとのパートナーシップ締結を通じて、台湾セキュリティ市場への進出と共に

グローバル事業を拡張いたします。

台湾は、既存のIT製造業と半導体などの分野で頭角を現し、アジア各国の物理セキュリティ市場でも高い

シェアを占めている国ですが、サイバーセキュリティ分野では比較的に目立った成果を出せなかったです。

しかし、政府はサイバーセキュリティ事業の育成促進と「アジアのシリコンバレーを目指す。」という

政府政策の実施に向け、約110億台湾ドル(約403億円)に達する投資を敢行しています。

政府政策の変化とともに民間市場でもウェブアプリケーションファイアウォール(WAF)のような高い

セキュリティを実現する製品の需要が増加しています。

 

このような市場のニーズ増加により、台湾政府機関や公共機関などにアンチウイルスなどのエンドポイント

(EndPoint)セキュリティ製品を主に供給してきたHEM Infosecがウェブアプリケーションファイアウォール

の事業展開に向け、ペンタセキュリティとパートナーシップを締結することになりました。

今回のパートナーシップの締結を通じて、ペンタセキュリティはアジア・パシフィック地域1位のWAFの

「WAPPLES(ワッフル)」を皮切りに、高セキュリティを実現してくれる様々な製品を提供していく

予定です。

 

さらに詳しい内容は、下記のプレスリリースをご参考ください。

 

>> 「台湾セキュリティ市場進出のためのパートナーシップを締結」プレスリリース全文はこちら
https://bit.ly/2myrLl4

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【04】【プレスリリース】 電気自動車(EV)の充電インフラビジネスに関するMOU締結
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティがスマートグリッド(*)専門エネルギー企業のグリッドウィズ社と電気自動車(EV)の

充電インフラ・ソリューションやスマートエネルギー・ソリューションに対して相互協力するMOUを締結し

ました。今回のMOUにより、ペンタセキュリティは自社のコネクティッドカーセキュリティソリューション

のAutoCrypt(アウトクリプト)をグリッドウィズ社の次世代電気自動車(EV)の自動決済のための「プラグ&

チャージ(Plug and Charge:PnC)」システムに適用することになりました。

プラグ&チャージ(Plug and Charge:PnC)とは、電気自動車(EV)の充電時にユーザ認証および決済が自動

的に行われるようにする新しい充電技術です。

 

今回のMOU締結により、ISO/IEC 15118などの電気自動車(EV)の充電システムに求められるセキュリティ

要件を満たす認証および検証システムを構築することで、電気自動車インフラ市場において、便利で安全

な充電および決済ソリューションを披露する計画です。

 

さらに詳しい内容は、下記のプレスリリースをご参考ください。

>>「電気自動車(EV)の充電インフラビジネスに関するMOU締結」プレスリリース全文はこちら
https://bit.ly/2Lyghfi

 

* スマートグリッドとは?
次世代送電網、電力の流れを供給側・需要側の両方から制御し、最適化できる送電網

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【05】【コラム】 変化する未来自動車の5つの要素:第1回・第2回
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【概要】

モノのインターネットやクラウドのような言葉が日常的な用語となり、技術系で働かない人々にももう

不慣れでない。近年では、様々な分野で第4次産業革命を言及しながら、社会全般にわたって大きな変化

と革新を持って来るはずだと期待している。

第4次産業革命時代を迎え、様々な産業分野で変化が起きている。その中でも、代表的なのは「モノの

インターネット」と「クラウド」で、その中でもモノのインターネットを導く自動車が注目を浴びている。

このコラムでは、宇宙、または空間を意味する「SPACE」をセキュリティ(Security)、プラットフォーム

(Platform)、自律走行(Autonomous)、連結性(Connectivity)、電化(Electrification) の 5つの単語

の組み合わせで定義し、ネットワークと繋がり、変化していく未来自動車の様子を詳しく説明する。

 

【目次】
 第1回
  ・SPACEとは?
  ・電化(Electrification)
 第2回
  ・連結性(Connectivity)
  ・自律走行(Autonomous Driving)
 第3回
  ・プラットフォーム(Platform)
  ・セキュリティ(Security)

* 3回に分けて連載されるこのコラムは、今月には2回分まで紹介いたします。

 

>>「変化する未来自動車の5つの要素:第1回」全文はこちら
https://bit.ly/2uGZhdp

>>「変化する未来自動車の5つの要素:第2回」全文はこちら
https://bit.ly/2NEwMUL

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 製品・パートナシップに関するお問い合わせ
ペンタセキュリティシステムズ株式会社 日本法人
Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

■ 本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

profile

HEM Infosecとパートナーシップ締結で台湾セキュリティ市場進出

ペンタセキュリティ、

HEM Infosecとパートナーシップ締結で台湾セキュリティ市場進出

IoT・クラウド・ブロックチェーンセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳・貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)は、7月9日、台湾政府機関や主要IT企業などにセキュリティ製品およびサービスを提供する「HEM Infosec Co.、Ltd(以下HEM Infosec)」とパートナーシップ締結を通じて、台湾セキュリティ市場への進出と共にグローバル事業を拡張することを明らかにした。

台湾は、既存のIT製造業と半導体などの分野で頭角を現しており、アジア各国の物理セキュリティ市場でも高いシェアを占めている。しかし、政府の情報セキュリティ関連規制の発効が他のアジアの国に比べ、相対的に遅かったことが理由となり、サイバーセキュリティ分野では 注目すべき成果を表すことができなかった。一例として、台湾行政院の情報通信安全処調査によると、2017年を基準、台湾政府機関のサイバーセキュリティ関連人材は全体IT人材の7%未満に過ぎないということが分かった。

 

これに、台湾政府はサイバーセキュリティ事業の育成促進と「アジアのシリコンバレーを目指す。」という、政府政策の実施に向け、約110億台湾ドル(約403億円)に達する投資を敢行した。その一環として、未来志向的インフラ開発及び国家技術開発などの事業が推進される予定であり、人工知能(AI)、モノのインターネット(IoT)、ブロックチェーンなどの新技術分野のスタートアップ育成計画も推進中である。

 

政府政策の変化とともに民間市場でもウェブアプリケーションファイアウォール(WAF)など、実質的に高いセキュリティを実現するセキュリティ製品の需要が大きく増加した。このような市場のニーズによって、台湾政府機関や公共機関などにアンチウイルスなどのエンドポイント(EndPoint)セキュリティ製品を主に供給してきた「HEM Infosec」がウェブアプリケーションファイアウォールの事業展開に向け、「ペンタセキュリティ」とパートナーシップを締結したものだ。

 

ペンタセキュリティは、韓国市場1位を超え、シンガポール・ブラジル・バングラデシュ・ルワンダなど、グローバル市場で事業領域を拡張している企業情報セキュリティ専門企業であり、アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーションファイアウォールの「WAPPLES(ワップル)」を通じて、グローバルコンサルティング会社の「フロスト&サリバン(Frost & Sullivan))が主管したICTアワードで「アジア・パシフィック地域最高のセキュリティ企業」に選定された。

 

ペンタセキュリティが「HEM Infosec」を通じて、台湾の公共機関及び教育機関などに供給する「WAPPLES(ワップル)」は、独自開発した論理基盤検知エンジンの「COCEP™」を搭載することで、まだ知られていない新型ウェブ攻撃にも対応可能なウェブアプリケーションファイアウォールである。台湾のMing Dao大学はペンタセキュリティを優先供給者に選定し、内部セキュリティテストを準備中であり、台湾の新竹市警察署の内部セキュリティ強化プロジェクトなども進行中だ。

 

ペンタセキュリティの新事業本部長であるDS KIMは「シンガポール・マレーシアなどのアジア地域で築いてきたレファレンスとノウハウを基盤として「HEM Infosec」とともに、台湾で様々なプロジェクトを推進している。今回の台湾進出は、各国家の現地事情に最適化したプロジェクト推進を通じた新規ビジネスモデル創出の意味を持ち、ここから培ったノウハウを従来のアジア市場事業本格化だけでなく、アフリカやヨーロッパなどの新規市場進出に向けた戦略的な基盤とする計画である。」と述べた。

 


本件に関するお問い合わせ
ペンタセキュリティシステムズ株式会社
E-mail : japan@pentasecurity.com
TEL : 03-5361-8201

profile

ペンタセキュリティ, 韓国仮想通貨取引所に論理演算分析エンジン搭載WAFの「WAPPLES(ワッフル)」を提供

ペンタセキュリティ,

韓国仮想通貨取引所に論理演算分析エンジン搭載WAFの「WAPPLES(ワッフル)」を提供

仮想通貨取引所をターゲットとするサイバー攻撃急増に伴い、Webセキュリティシステム構築が不可欠に

データ暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が11月14日からブロックチェーンプラットフォームの専門企業である「CERTON」が運営する仮想通貨取引所の「コインリンク(www.coinlink.co.kr)」に、自社開発の論理演算分析エンジンを搭載したWebアプリケーションファイアウォールの「WAPPLES(ワッフル)」を提供することを明らかにしました。

 

現在運営されている多数の仮想通貨取引所は、その規模が小さい場合が多く、セキュリティシステムがまだ構築されていないため、セキュリティが確保できていないところが多いです。しかし、世界的に仮想通貨市場がすでに急成長し、拡大の一路にあり、一日あたり取引される金額が約1000億円となるなど、市場拡大により、これをターゲットにするサイバー攻撃が国内外を問わず急速に増加しています。

 

日本では、2017年上半期に個人の仮想通貨口座をハッキングした事件が33件発生し、これによって、約7650万円の仮想通貨が盗まれた事件がありました。(※1) これだけではなく、韓国最大規模の仮想通貨取引所である「Bithumb」では、職員のPCがハッキングされ、約3万人分の顧客情報が流出される事件(※2)があり、香港の仮想通貨取引所である「BITFINEX」もハッキングで約6500万ドルのビットコインを盗まれた事件がありました。(※3) このように、仮想通貨取引所をターゲットにしたサイバー攻撃の増加につれ、多数の仮想貨幣取引所はセキュリティの重要性を認知し、本格的にセキュリティシステムを構築し始めました。

 

「コインリンク」も、このような個人情報流出やハッキング脅威などの様々なサイバー攻撃に対応するため、セキュリティ専門企業との業務協約を締結し、ユーザーが安全に利用できる仮想通貨取引所の構築に勤しむ中、ペンタセキュリティの「WAPPLES(ワッフル)」をコインリンクに導入することで、高レベルのセキュリティシステムを構築できるようになりました。

 

今回「コインリンク」に導入されたペンタセキュリティの「WAPPLES(ワッフル)」は、国内およびアジア∙パシフィック地域1位のWebアプリケーションファイアウォールで、独自の技術力で開発された論理演算分析エンジン(COCEP)を搭載しており、まだ知られていない攻撃まで遮断し、誤検知率を低くしたのが特長です。そして、総26個のセキュリティポリシーがサイバー攻撃自体の特性を把握して対応するため、誤検知がほとんど発生しないのも特長で、1日約数千億円まで取引される仮想通貨取引所には最も適合した製品です。

 

ペンタセキュリティCSOのDSKimは、「国内だけでなく、全世界的に多数の仮想貨幣取引所がハッキングのターゲットになる今、さらに高レベルのセキュリティを持たなければならない。セキュリティシステム構築に投資しない仮想通貨取引所は、長期的な観点から見ると淘汰されるしかない。」とし、「ペンタセキュリティの金融機関の受注レファレンスを基盤にして、Webセキュリティとデータ暗号を適用すると、仮想貨幣取引所を利用する顧客らが情報漏洩や資産損失に対する憂慮なく、安全な取引できる環境を確保することができる。」と言及しました。

 

※1出典:毎日新聞、”仮想通貨不正アクセス送金33伴 被害7650万円 1~7月”、2017年09月07日
※2出典:Business Insider、”世界最大規模のビットコイン取引所がハッキングに、韓国Bithumb”、2017年07月06日
※3出典:日本経済新聞、”ハッキング、香港でビットコイン65億円盗難”、2016年08月03日

WAPPLES(ワップル)

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。

 


 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

profile

「2017年9月号」 急増したweb脆弱性、8月に​最も多かったのは?最近WEBセキュリティ​トレンドから多様な情報を伝えます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■□■ ペンタセキュリティシステムズ メールマガジン 2017/09/28 ■□■

https://www.pentasecurity.co.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

目次

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】ペンタセキュリティ、神戸デジタル・ラボと販売代理店契約を締結

【02】最新Web脆弱性トレンドレポート2017年8月号公開

【03】【特別連載】Q&Aで分かるモノのインターネット(IoT)のすべて

【04】今月のコラム「超スマート社会の始まりは、クレジット取引から」

【05】【今のトピック】みんなが分からなければならないセキュリティイシュー

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】ペンタセキュリティ、神戸デジタル・ラボと販売代理店契約を締結

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが9月26日、関西有数の企業である神戸デジタル・ラボ

と販売代理店契約を締結いたしました。この契約を通じて、ペンタセキュリティの

クラウド型WAFであるクラウドブリック(Cloudbric)のエンタープライズWAF

サービスを関西地方で本格的に拡大する予定です。詳しい内容は、下記のプレス

リリースからご確認ください。

 

>>プレスリリース全文はこちら

https://goo.gl/daHG38

 

*クラウドブリック(Cloudbric)

アジア・パシフィック地域のマーケットシェア1位のウェブアプリケーション

ファイアウォールであるペンタセキュリティのワップル(WAPPLES)の論理演算

検知エンジンエンジンを活用したクラウド型WAFサービスです。

 

▼ クラウドブリック(Cloudbric)に関する詳細情報はこちら ▼

≫≫ https://goo.gl/pGauEA

≫≫ https://goo.gl/dk4Ltp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【02】最新Web脆弱性トレンドレポート 2017年8月号

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ペンタセキュリティが毎月(年12回)提供しているExploit-DBのWeb脆弱性項目をもと

にしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関

連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタ

セキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活か

し作成されています。

 

【概要】

2017年8月に公開されたExploit-DBの脆弱性報告件数は、総90件であり、その中で

SQLインジェクションが70件で最も多い件数で発見されました。公開された70件のSQ

Lインジェクション脆弱性の中で26件はJoomla CMSで発見されたものでした。

したがって、Joomlaを使用しているユーザーは特に

主要コンポーネントに対する最新パッチで脆弱性に対応する必要があります。その他

にも、ほとんどの脆弱性は、ウェブアプリケーション攻撃から発生しています。

 

>> 最新Web脆弱性トレンドレポート全文はこちら

無料ダウンロード: https://goo.gl/KpToD4

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【03】【特別連載】Q&Aで分かるモノのインターネット(IoT)のすべて

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

「Q&Aで分かる」特集は、ペンタセキュリティが韓国のTVチャンネルである「SBS

CMBCの経済ワイドイシュー」の「生活経済」コーナーで紹介・解説するセキュリティ

関連の内容をまとめて、提供する記事です。モノのインターネット(IoT)セキュリティ

から始まるこの特集は、最近話題になっているネットバンクのセキュリティに関する

話や仮想通貨などの新しく登場したセキュリティ脅威からウェブサイトハッキング、

ITセキュリティ、ホワイトハッカーなどの一般的な情報セキュリティまで現在存在する

様々な種類のセキュリティをテーマとしてよくある質問にご回答しながら解説します。

 

【内容まとめ】

  • 産業分野では自動車や工場などでもIoTを使用している。
  • 全世界のモノのインターネットデバイスは、今年84億台を記録し、来年には111億

台まで増加する見込み。来年の全世界のモノのインターネットセキュリティ関連

市場の規模は6,244千円に達する見込み。

  • モノのインターネットに対するセキュリティは従来のワクチンなどの手段では

絶対的に不足。IoTデバイスは、セキュリティを完璧に備えてから発売されなければ

ならない。

  • IoTデバイス自体でお互いに登録されている一つの経路だけでアクセス・連結できる

ように設定する機能も必要だ。

 

>> 「Q&Aで分かるモノのインターネット(IoT)のすべて」全文はこちら

https://goo.gl/VHK7J5

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【04】今月のコラム「超スマート社会の始まりは、クレジット取引から」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

毎月ペンタセキュリティの R&D センターからコンテンツ作成し、配信している

セキュリティコラムを紹介いたします。

 

【概要】

今日の日本社会は、大きな変化に直面している。高度化された情報社会、「超ス

マート社会」への変化だ。これは、政府が積極的に推進している公的制度と政策のた

めにでも避けられない変化に見える。しかし、その変化に対して、不安を話したり

政策推進の理由を分からないという不満もさんざん聞こえている。それで、情報と

変化の目的と意義を調べてみて、変化が本格化する前に予め確認しなければならない

現実的対応策を検討しようとする。

 

超スマート社会への移転に向き合って、私たちが確認しなければならないものは一体

何でしょうか。本コラムからご確認ください。

 

>>コラム「 超スマート社会の始まりは、クレジット取引から」全文

https://goo.gl/jpBN8J

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【05】【今のトピック】みんなが分からなければならないセキュリティイシュー

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

今のトピックは、最近話題になっているIT業界の動向と技術、ニュースなどをペン

タセキュリティの視線で叙述しながら、解説するコンテンツです。グローバル的なIT

動向を知りたい方や最近技術に関して知りたい方なら、是非ご覧ください。

 

(1) 今も人と写真の違いが分からないサムスンのスマホ

(2) イルカの音を聞き取れるAIセクレタリーたち

(3) エネルギー分野を攻撃するハッカーグループ

>>今のトピック全文はこちら

https://goo.gl/rKUMSh

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ 製品・パートナシップに関するお問い合わせ

ペンタセキュリティシステムズ株式会社 日本法人

Tel:03-5361-8201 / E-mail: japan@pentasecurity.com

 

■ 本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

Tel:03-5361-8201 / E-mail: mkt1@pentasecurity.com

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

profile

ペンタセキュリティ、名古屋・大阪で 大興電子通信との初合同セミナーを開催

 

ペンタセキュリティ、名古屋・大阪で

大興電子通信との初合同セミナーを開催

サーバセキュリティからエンドポイントセキュリティまで、
Web攻撃対策に向けた実質的な解決策を提示

データ暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒューストン/米国法人)は、大興電子通信株式会社との合同セミナーを8月29日と30日の両日間、名古屋と大阪で開催することを明らかにしました。

 

最近のセキュリティ脅威は、世界的に類似な様相を見せながら急増し、グローバルな話題として浮上しています。

日本では、2020年東京オリンピック・パラリンピック競技大会の開催を控え、内閣サイバーセキュリティセンター(NISC)を通じて、対策の強化に取り組んでおります。また、東京都中小企業振興公社ではサイバーセキュリティ対策促進助成金の公募を公表するなど、企業セキュリティ対策の準備を促進しています。一方、欧州連合(EU)では、一般個人情報保護法(General Data Protection Regulation、以下GDPR)の制定を通じて、今まで曖昧であった個人情報取扱方針を強制力のある制度として改正し、ヨーロッパ全域に適用させようとする動きを見せています。

 

このような状況の中、グローバルでレベルの高い技術力を所有し、その経験とノウハウを積み重ねてきたペンタセキュリティと、日本でのシステム構築からハードウェア保守まで多様なサービスを顧客に提供してきた大興電子通信は、Web攻撃対策に対する実質的な解決策を提示するための合同セミナーを開催することといたしました。

 

今回の合同セミナーは、企業経営者とセキュリティ担当者の方々を対象に、Webセキュリティ対策に必要であるサーバセキュリティとエンドポイントセキュリティについて紹介いたします。第1部は、大興電子通信が米国政府機関にて採用している新概念アイソレーションテクノロジーに対する紹介をいたします。第2部ではペンタセキュリティがサイバー攻撃に対して、合理的で実質的なWebセキュリティ対策を実施する方法と次世代セキュリティソリューションを紹介する予定です。名古屋は8月29日(火)午後2時30分から5時まで、大阪は8月30日(水)午後2時30分から5時まで開催します。

 

ペンタセキュリティは、今回のセミナーで実質的なWebセキュリティ対策に対する提案とともに、サーバセキュリティのためのクラウド型WAFサービス「Cloudbric®(クラウドブリック)」のデモンストレーションを交えて説明します。Cloudbric®(クラウドブリック)は、アジア・パシフィック地域のマーケットシェア1位のWebアプリケーションファイアウォールである「WAPPLES(ワップル)」の論理演算検知エンジンを搭載したクラウド基盤のWAFです。アカウント生成・ドメイン入力・DNSへの転換の3つの段階で簡単にWebサイトセキュリティに必要な全てのサービスを利用することができ、グローバル市場から大好評を受けた製品です。日本では、顧客向けのエンタープライズWAFサービスを新規リリースし、パートナー企業の募集活動を活発に進めています。

 

ペンタセキュリティのCSOであるDSKimは「Web攻撃は、全世界的に類似な攻撃手法とパターンで企業の規模を問わず広範囲にわたって発生している。企業はセキュリティ対策の準備に多く困難していることが現実だ。」とし、「多くの企業がITセキュリティの強化に向け、効果的なセキュリティ対策を講じられるよう今後も継続的にセミナーを開催して、様々な活動を展開していく予定だ。」と言及しました。

 

今回の合同セミナーに対する詳しい内容の確認及び参加の申し込みは、ペンタセキュリティの公式ホームページで確認できます。

 

Cloudbric(クラウドブリック) 

WebサイトとドメインがあればWebサイトプラットフォームにかかわらず誰でも利用できます。単にDNSを変更するだけで、わずか5分以内でクラウドブリックを適用することができます。設置や維持のためにハードウェア、ソフトウェアは必要なく、現在のホスティングプロバイダを維持できます。クラウドブリックはいつでも簡単に設定を解除できます。


 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

profile

ペンタセキュリティ、WebアプリケーションファイアウォールWAPPLESとの相互運用のため、HPE Securityとパートナーシップ

 

WebアプリケーションファイアウォールWAPPLESとの相互運用のため、

HPE Securityとパートナーシップ

 

HPE Securityソリューションの需要が高いアジア・パシフィック地域のIT市場攻略本格化


データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)は、02月06日Hewlett Packard Enterprise が提供するパートナープログラム、HPE Security Technology Alliances Partner(以下TAP)登録により、ペンタセキュリティのWebアプリケーションファイアフォールのWAPPLES(ワップル)とHPESecurity ArcSightとの相互運用が可能になることを明らかにしました。

 

最近、アジア・パシフィック地域の多くのArcSightの顧客からペンタセキュリティのWebアプリケーションファイアフォールのWAPPLESを使用し、両製品を統合し、活用しようとするニーズが高まっていました。これにより、両製品の相互運用のため、HPE Securityとのパートナーシップを進めることになりました。HPE Securityのパートナー制度であるTAPは、HPEセキュリティソリューションやパートナー製品間の相互運用性に基盤した標準をサポートします。パートナーシップを通じて、脅威検知および対応速度を高め、精巧な脅威の範囲や程度評価機能を向上させることで、顧客にはより優秀なセキュリティを安定的に提供すことができます。

 

これに対して、韓国HPEソフトウェア事業部を統括するイ・テヨン専務は、「パートナー社に必要なリソースを提供し、相互運用可能な認証された共同ソリューションを提供することで、HPE TAPプログラムは、顧客がサイバー犯罪の主な攻撃方法として、ますます高度化されるアプリケーションのセキュリティ脅威を迅速に検知して対応できるようにサポートする。」と言及しました。

 

加えて、WebアプリケーションファイアウォールのWAPPLESは、論理演算検知エンジン(COCEP™)を活用して、シグネチャのアップデートがなくても攻撃対応ができ、他社製品に比べて低い誤探率が特長で、2015アジア∙パシフィック地域のマーケットシェア1位に選ばれました。また、ペンタセキュリティは、2016アジア∙パシフィック地域最高のセキュリティベンダーとして選定され、ブランドや製品に対してグローバル競争力を認められており、HPE Securityとのパートナーシップを通じて、一層高いシナジーを得ることを期待しています。

 

ペンタセキュリティのCTOのDSKimは、「HPE Arcsightプラットフォームとの技術連携を通じて、アジア・パシフィック地域の市場支配力をより強化する計画だ。」とし、「アジア・パシフィック地域だけではなく、世界的にペンタセキュリティのソリューションの相互運用性を高めるため、持続的にグローバル企業とのパートナーシップを進んでいく予定だ。」と言及しました。

 

HPESecurityのセキュリティ情報・イベント管理(SIEM)(Security Information&Event Management)プラットフォームである「HPE ArcSight」は、多様なセキュリティ機器からのさまざまなログを収集・保存する機能を保持しています。同ソリューションは、システムログ(syslog)、DB、ファイルなどのログ形式に関係なく、データを収集・保存でき、高度の相関関係解析機能を含んでいて、グローバル市場、特にアジア∙パシフィック市場で需要が高まっています。

 

WAPPLES(ワップル)

WAPPLESは, 世界各国170,000のWebサイトを保護している信頼のソリューションであり、ペンタセキュリティが独自開発し4ヶ国特許を取得した検知エンジンを搭載し、セキュリティ専門家に頼らなくても使える知能型WAFです。


 


本件に関するお問い合わせ

ペンタセキュリティシステムズ株式会社

E-mail : japan@pentasecurity.com

TEL : 03-5361-8201

 

company

【コラム】 実用主義企業セキュリティの3要素

この前、「経営層が知っておくべきセキュリティ――対策は実用主義暗号化で」を投稿した後、このような質問を受けた。

「実用的セキュリティとは何か?実用的に保護するためには、何をしなければならないか?」
「何から始めて、どんな技術で、どのように設計したら実用的なセキュリティか?」
「技術者でなく、経営者の立場から実用的セキュリティを実現するためには、何を知るべきか。」

セキュリティの最も深刻な問題は技術の難解さであり、そのため、企業の現場では相対的に理解しやすくて簡単な根本的な方法論だけを選択する傾向があり、これは、結局セキュリティの弱点になり、事故が発生する。なので、より現実的で実用的な方法論が必要だという話までにして、話を終えたが、これはちょっと無責任に見せたかもしれない。それで、上の質問に対して、より総体的な答えを申し上げたい。

 

個人セキュリティと企業セキュリティ

何から始めたら良いか。それは、「個人セキュリティ」と「企業セキュリティ」の違いを理解することだ。
セキュリティ事故が発生すれば、いつも「わが社は、セキュリティをしたんだけど!」と被害者の訴えを聞いたりする。それは、事実だ。確かにセキュリティ措置を取ったのは確かだ。しかし、事故は発生する。それなら、セキュリティ措置は最初から余計なことだったのか? そうだ。そのようなセキュリティは、無駄だ。経緯が明確な事故が繰り返して起きるのは、何か問題がある方法論、特に個人セキュリティ措置だけを取っているためであり、これは「個人セキュリティ」と「企業セキュリティ」の差をきちんと理解していないためだ。
一般的に、「ITセキュリティ」というと、ほとんどの人はアンチウイルスやパスワードを思い浮かべる。これは、全て個人セキュリティ観点での問題だ。特に、アンチウイルスは、企業と機関が使う大規模の電算システムの動作とは距離があり、あくまで個人のPCのための道具だ。なのに、セキュリティ事故が起こると、アンチウイルス会社が事件のプロファイラーを自任し、対策としてワクチンの設置を勧める場合が多い。実際には、ほとんどの電算システムとそのOSにはワクチンの設置ができないのにもかかわらず。そして、事故が発生した会社のPCにはすでにワクチンぐらいはもちろん設置しておいたにも。
もちろん、とても関係がないわけではない。企業の電算システム構成がどうであれ、そしてどんなOSを使うとかは関係なく、企業に属する個人ユーザが接する環境はほとんどがPCやWindowsシステムであり、これを侵入経路として利用し、犯罪を図る場合も結構あるから、完全に無駄だというわけではない。しかし、個人セキュリティと企業セキュリティは、最初から違う概念から始まって、その方法論もまた全く違う。にもかかわらず、社会的に個人セキュリティだけが強調されたため、相対的に企業セキュリティは重要な問題と扱ってない。技術者さえ、それが何なのか知らない場合が多い。
では、企業セキュリティの構成要素とその核心になる道具を調べてみよう。

 

企業セキュリティ = データセキュリティ+Webセキュリティ+認証セキュリティ

企業セキュリティの3要素とは、
1)データセキュリティ
2)Webセキュリティ
3)認証セキュリティ
である。

 

そして、各要素の核心になるのは、

 

1)データの暗号化
2)アプリケーションセキュリティ
3)セキュリティ認証サーバ
である。

 

1)データセキュリティ

今日のITセキュリティの中心は、過去のネットワークやサーバなどの電算インフラを保護することに力を尽くした装置的セキュリティからデータとアプリケーションを保護する情報的なセキュリティに移動している。これは、私たちが最後まで守らなければならない価値が何なのかを悟っていく過程と見ることができる。企業、そして機関が究極的に守らなければならない本当の価値は「データ」だ。そして、データを守る様々な方法の中で最も根本的で安全な方法は、「暗号化」だ。事実上、唯一である。暗号化の他には、事実上方法が別にないからだ。そして、データ暗号化はたくさんの企業セキュリティ要素の中でも最も根幹をなすセキュリティインフラの基盤技術である。

 

2)Webセキュリティ

 

すべてのデータは、アプリケーションを通じて移動する。そして、今日のアプリケーションの主な環境はウェブだ。最近のウェブは、通信技術だけではない。システム環境からユーザインタフェースに至るまでのすべてのIT技術がウェブで収集され、統合されている。これからは、全てのアプリケーションがウェブ環境で開発されて運用されるはずだ。ウェブに統合される環境の変化は、より広く繋がってさらに多くのものを共有しようとする開かれた社会への変化を意味する。これは、誰でも逆らうたくても、あえて逆らうことができない時代的な流れであり、Webセキュリティの重要度は今も非常に高いが、これからはより高まるだろう。「Webセキュリティ」は、企業セキュリティの実戦的な最前線である。
前述で、全てのデータは、アプリケーションを通じて移動すると述べた。システムやネットワークではなく、アプリケーション、そして最近のウェブは、通信技術だけではないとも話した。これは、Webセキュリティにおいて最も重要な弱点を指摘しようというものだ。よくウェブを通信技術だけと考えて、ウェブセキュリティをシステムセキュリティやネットワークセキュリティ方法論で解決しようとする試みをしたりする。たとえば、ネットワークファイアウォールがウェブセキュリティソリューションの振りをしたりもする。しかし、ウェブセキュリティにおいて最も重要な領域は、アプリケーションセキュリティだ。実際に起きているウェブセキュリティ事故、いや、最近起きている全ての情報セキュリティ事故の約90%がWebアプリケーションの盲点を悪用した攻撃による事故だ。事故が最も頻繁に起きるところから優先的に集中して防御する。これが、実用的な考え方である。重ねて強調するところだが、ウェブセキュリティにおいて最も重要な核心は、「アプリケーションセキュリティ」だ。

 

3)認証セキュリティ

そして、個人セキュリティと企業セキュリティの概念が最も密接に交差する地点が、「認証セキュリティ」だ。個人セキュリティレベルでの認証セキュリティ方法として最も有名なのはパスワードだ。しかし、ユーザー個人ができることは、ただ難しいパスワード作るぐらいに過ぎない。もちろん、パスワードを十分難しく作るなら安全だ。しかし、一定の形式を備えて十分に安全なパスワードをセキュリティ政策によって定期的に変更するなど、複雑な手続きが必要だ。そうすると、結局、侵入者から防除することはするが、自分もパスワードを忘れてしまってシステムにアクセスできない状態に至ることも案外によく起こる。これは、より実用的な認証セキュリティの必要性を逆説的に話したものだ。認証セキュリティの必須要素、つまり、十分なセキュリティとユーザーの便利性、そして業務効率性の間の関係が崩れた結果と見られる。そして、企業がやるべきことを個人に転嫁した無責任な態度とも見られるだろう。「認証セキュリティ」は、従来の個人セキュリティレベルから企業セキュリティレベルに移る、情報セキュリティ概念の転換点である。
企業セキュリティレベルでの認証セキュリティの核心は、「セキュリティ認証サーバ」である。「SSO(Sigle Sign-On)」機能を備えた認証サーバは、認証手続きを一本化することにより、サーバの数が非常に多い企業の電算環境でも、各サーバごとに異なる認証手続きを経ず、全体を利用することができるように一括的に処理が可能にしてくれる。ユーザーの身元を確認して、単一認証だけで、全体サーバへのアクセスを許可はするが、ユーザー各自の権限によって各サーバに対して異なる権限を適用し、統合的に管理する。このような基本的な機能に加えて、セキュリティ認証サーバは、上の過程全体にわたって十分なセキュリティまで維持してくれる。これを通じて、前で列挙した認証セキュリティの必需要素、十分なセキュリティとユーザーの便利性、そして業務の効率性まで全て充足する。

 

実用主義企業セキュリティの3要素

 

では、最初の質問に戻って、
「実用的セキュリティとは何か?実用的に保護するためには、何をしなければならないのか?」

企業セキュリティの3要素 : 1)データセキュリティ・2)ウェブセキュリティ・3)認証セキュリティ
各要素の核心: 1)データ暗号化・2)アプリケーションセキュリティ・3)セキュリティ認証サーバ

 

これをすれば良い。これならなら十分、「実用主義企業セキュリティ」を成し遂げたと言えるのだ。

 

 

photo-1453060113865-968cea1ad53a

【コラム】 安全なWebサイトの国際標準とは?

 

Key Conductorsコラム

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データベース暗号化・Webセキュリティに関するものを解説いたします。

このWeb全盛期時代、セキュリティは最も重要ーー。

いくら強調しても、なぜWebセキュリティが重要なのか、その本質まで理解してもらえないケースがよくあります。今回もこの場を借りてWebセキュリティの大切さについて訴えたいと思います。

今の時代、グローバルはインターネットですべてつながっており、インターネットを介しすべてのことが疎通していると言っても過言ではありません。にも関わらず、Webのセキュリティについては、誰も目を向けようとしない。その理由は、「安全なインターネット」は、一体何なのかよく分かっていない人が多いからだと考えます。

 

安全なインターネットとは?

 

皆さんがよく使う言葉で、実はその意味を明瞭に分からずに使っている言葉が案外存在するかと思います。このITの分野でいうと、「ICTセキュリティ」が丁度いい例になります。
「ICT時代」と言われると、普通に肯くかもしれませんが、「ICTセキュリティとは」と訊かれたら、「あれ、何だったっけ?」になる人も多いのではないだろうか。「セキュリティ」は重要であるということは分かっていながらも、何をどうすればいいのか、私たちは明瞭に把握できている人は少ない。実際私たち個人だけがこのICT時代のセキュリティ迷子になっているわけではなく、会社や団体などもセキュリティ迷子になっていると言えます。

しかしながら、この社会は迷える人々のためにきちんとした社会的安全措置を用意してくれています。セキュリティへの悩みを解消できる「国際標準」が、それです。代表的なのは、イギリスBSI(British Standards Institute)が制定したBS 7799をベースに構成されたセキュリティ認証であり、フレームワークである「ISO 27001」が挙げられます。

そして、より経営中心の性質が強い「ISMS(Information Security Management System) 情報セキュリティ経営システム」も重要な基準と言えます。このようなフレームワークを基準に企業側のセキュリティシステムを構築すれば、かなり安全なICTセキュリティポリシーを構築できるということです。

例えば、ある企業がISO 27001フレームワークの評価の11項目の全てに対し、安全という判定を受け認証を取得したとします。これは、ICTセキュリティの危機に対し、全社的に取り組んで総合的に管理を行い、今後持続的に改善していくためのシステムを構築できたということを意味します。

もちろん、認証を取得しているから100%安全になったではなく「相当安全である」ということです。

 

安全なWebサイトの基準になる国際標準は?

 

国際的非営利NGO団体として、オンライン信頼度評価機関である「OTA(Online Trust Alliance)」は、毎年著名なWebサイトを対象にそのセキュリティをチェックし、その結果を以て安全なインターネット文化の形成のために努力したWebサイトを選定する「OTHR(Online Trust Honor Roll、オンライン信頼度優秀)」の企業を発表しています。

OTHRは政府、マスコミ、金融、SNS等、様々な部門にわたり、約1,000以上の世界的に著名なWebサイトを対象にします。2015年の選定結果としては常連の約46%がセキュリティの面で減点されランクインできず、「最も信頼できるWebサイト」として「Twitter」が選定されました。

 

OTAは、どのような基準を以てOTHRを選定しているのか。

 

基準は色々ある中ここで注目すべき点は、去年から「WAF(Web Application Firewall)の採用」が加算項目になっているということです。WAF採用の有無は、OTHRの選定結果を大きく左右しました。

WAFは、Webアプリケーションのセキュリティとして特化して開発されたソリューションです。外部からの攻撃を検出し遮断することで悪意のあるコードをWebサーバに挿入しようとする試みを未然に防ぐ、そして、システムの脆弱性を外部に漏出しないように制御するなど、Webセキュリティにおいて、最もコアで重要な部分を対応しています。

Webサイトのセキュリティは、システム全体に及ぼす影響が大きく、OTAは今後もWAF採用有無によるOTHRの選定への影響を強めていくことを明らかにしました。

 

「じゃ、WAFを購入すればいいわけ?それっていくら?」

 

WAFを導入すれば、セキュリティ問題はいかにも簡単に解決できそうですが、そんな上手い話ではありません。また、生産性のない「セキュリティ」に投資をすることは、営利団体である企業側にとって簡単なことでもありません。第一、WAFはとても高価とはいわないものの、安価でもありません。

ここでコストパフォーマンスを考慮したら、クラウド型WAFサービスの出番となります。簡単な導入の手続きかつ、リーズナブルなサービス価格にて実際のWAFを導入したことと同等のレベルのセキュリティを確保できます。

言い切ってしまうと、Webのサービス開始のための数回のクリックで、全体のICTセキュリティ脅威の90%を占める「Webハッキング攻撃」を防ぐことができるようになります。このようなクラウド型のWAFサービスの場合、ハードウェアを持つ必要がなく、インストール作業は発生しませんし、コーディングなどの必要もありません。

実際、システムの実務者を対象にWebセキュリティにおいて一番重要なことは?と聞いたところ「モニタリング」という回答が多い結果を示したといいます。Web攻撃のトレンド把握や未知の攻撃を予想するよりは、今この時間に自社のWebサイトが狙われている現状を知りたい、といったニーズが高いようです。このような管理者のために必要なのは、持続的、かつ効果的にモニタリングができるインターフェースが重要です。システムにおいては専門家である管理者でもこれがセキュリティになると“話は別”になるのも、よくある話です。

様々なクラウド型WAFサービスがリリースされていますが、弊社では、専門家ではなくても簡単に導入でき、ユーザーフレンドリーなインターフェースに力を入れ、クラウドブリック(cloudbric)を提供しています。一度お試しになることをオススメ致します。体験してみて損はありません。

WebセキュリティにおいてWebアプリケーションに特化したセキュリティとして、まずWAFの導入をご検討して頂きたい。そして、そのスタートとしてクラウド型WAFサービスは、魅力的なソリューションであることを今一度覚えて頂けると幸いです。

 

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。

 

hack-813290_1280

【コラム】 ハッカーの6つの行動パターン

Key Conductorsコラム

このコラムは、ペンタセキュリティからIT情報サイトであるキーマンズネットへ寄稿しているコラムです。
主に情報セキュリティ・データ暗号化・Webセキュリティに関するものを解説いたします。

「ハッカー」は、何のためにWebサイトをハッキングしているのでしょうか。

その昔、インターネットが普及していなかった頃のハッカーは、自己顕示欲が強く自分の能力を見せつけるためにWebサイトをハッキングしていたものでした。しかし、社会がWebでつながっていると言っても過言ではない現代のハッキングは、より巧妙に行われ、その被害も膨大になってきています。

技術の進歩により我々の日常生活は便利かつ多様な側面を持つようになりましたが、その技術進歩には裏面も存在します。例えば、ネットバンキングは過去15年の間、関連技術を基盤として進化し、一度のクリックで金融取引ができる便利な世の中を作り上げました。しかし、この利便性の裏には個人情報および銀行取引情報といった重要な情報がネットを介し流れることになります。その重要な情報を欲しがっているのが「ハッカー」です。

ハッカーが欲しがる情報と、その情報を手に入れるための行動には幾つかのパターンがあるのです。今回はそれらのパターンを紹介します。

1.脆弱性スキャン

脆弱性スキャンはその名前からも分かる通り、システムの内部の脆弱性を探るために用いられる手法です。自社システムのセキュリティホールを洗い出し弱い部分を改善、自社のセキュリティを強固にしていくための行為でもあります。しかし、ハッカーらは同手法を用いて、標的のシステムに侵入するための脆弱性を見つけ出すのです。
ハッカーにとっての脆弱性スキャンは、本格的なハッキングを行うための情報収集およびシステムの脆弱性を下調べする行為であり、次の攻撃を行うためのゲートウェイのようなものなのです。

2.サーバー運用妨害

サーバー運用妨害は、Webサイトへのアクセスをブロックし、通常のサービスができないように妨害することです。サーバー運用妨害攻撃で最も知られているのは、分散型サービス拒否攻撃(Distributed Denial of Service attack:DDoS)が挙げられます。
DDoS攻撃を行うためにハッカーが「ボットネット(botnet)」と呼ばれるゾンビコンピュータのネットワークを介しPC端末を制御下に置き、そのボットネットがまるでゾンビ集団のように継続的にWebサイトに負荷をかけることで、サービスをダウンさせます。

3.金銭的損害

ハッカーにより行われる攻撃の中で被害側としては大打撃をうけるパターンが、この金銭的損害です。前述のようにネットの普及によりオンライン化された各種サービスは利便性をもたらしましたが、金銭的被害を及ぼすためのハッカーの狙いにもなります。

4.個人情報漏洩

前述の金銭的損害とともにこの個人情報漏洩はネット世界の課題でもあり、社会全般の問題としても議論されています。個人情報を手に入れたハッカーは、別人へのなりすまし、管理者権限を取得し更なる攻撃を仕掛けたり、奪取した情報を売り捌いたりしています。この前のアシュレイ・マディソンのハッキング事件は記憶に新しいかと思いますが、不倫サイトであるアシュレイ・マディソンの会員情報をWeb上に露出させ、非常に大きな波紋と混乱を引き起こしました。

5.Webサイト改ざん

Webサイトに対し、悪意を持って別の内容で置き換えることをWebサイト改ざんといいます。攻撃後はWebサイトを確認すれば、改ざんされた箇所がすぐ把握できるため、ニュースと同時に人々から「興味を持ってもらえる」攻撃として非常に効果の高い手法と言えます。
政治的な理念により選挙などで有力な候補者のWebサイトを改ざんするという事例が多発しています。この手のハッカーは、自己顕示欲が強い傾向があります。昨今アメリカでは、このようなハッキング行為に対し、処罰するというよりは「倫理的なハッカー」になってもらうよう、若者への「教育」を奨励している傾向にあります。

6.任意コード実行

システム上意図していなかったコードが実行されれば、それは要注意です。ハッカーは、悪意のあるコードを挿入し、コマンドを実行することで標的のシステムを制御し出します。ハッカーは、任意のコードを実行するために前述の1.脆弱性スキャンのように下調べを行い、そのシステムにて最もセキュリティ的に弱い部分を狙い打ちします。次の攻撃のための第一歩になるわけです。
このように、時代の流れと技術の進歩とともに、世の中の必要悪として「ハッカー」と「ハッキング」という言葉は誕生しました。サイバー上の戦いは、非常に恐ろしいものです。しかしながら、このような時代になったからといって、怯えるばかりでは何も解決できません。自社システムの脆弱性を洗い出し、その弱いところを補完できるセキュリティソリューションを検討することが重要です。
このようなコラムを介し、微力ながらもセキュリティにおいての知識や心構えなどを共有できればと思います。Webサイトを保護し不正アクセスを遮断するためには、その専用のセキュリティ対策としてWebアプリケーションファイアウォール(WAF)の導入をオススメします。もし宜しければ下記リンクもご参照下さい。

キーマンズネットに寄稿しているペンタセキュリティの他のコラムは、こちらより閲覧できます。