mobile console

クラウド型WAF「クラウドブリック」はなぜ多くの企業から選ばれているのか

by ブログ

Webサイトへの攻撃が年々増加していく中で、攻撃手法は日々高度化・巧妙化が進み、その脅威は今後とも拡大していくと予測されています。 最近では、多くの企業が大事な資産を保護するためにWebアプリケーションファイアウォール(WAF)を導入しています。中でも、クラウド型WAF「クラウドブリック(Cloudbric)」は現在大手金融機関からスタートアップ企業まで、幅広く様々な業界の企業様にご利用いただいております。それでは、クラウドブリックが 国内の多くの企業から選ばれている理由について説明していきたいと思います。

 

クラウドブリックはグローバルから認定されています

クラウドブリックは、セキュリティ分野において業歴20年以上の経験を持っているペンタセキュリティのセキュリティエンジンを採用したクラウド型WAFサービスを提供しております。、2014年から5年間の豊富なグローバルクラウドセキュリティサービス経験と運用ノウハウを保有しており、国内だけでなく海外からも高い評価を受けております。セキュリティ分野で権威のあるアワードである SC Magazine Awardsで Best SME Security Solutionに選定されるなど数々の受賞歴を誇ります。

現在、日本のみならず、イギリス、オランダなどヨーロッパ各国、アメリカ、韓国、全世界のユーザ様から高い評価を受けております。18ヵ国、28ヵ所にセキュリティデータセンタを構築・運営し、55ヵ国13,000ユーザ様(企業・個人ユーザ)に安定したサービスを提供しております。また、約70社のグローバルパートナー社とリセラーとの協力によって、安全で信頼できるWebセキュリティを実現しています。

 

クラウドブリックは正確に検知します

第1,2世代WAFの検知エンジンの場合、 既知の攻撃パターンに基づく情報とマッチングすることによって攻撃を検知する「パターンマッチング方式」を採用しています。その場合、新しいパターンの攻撃を受けたら防御できないといったリスクがあります。クラウドブリックに搭載された第3世代のインテリジェント検知エンジンは、高性能のロジックベース検知エンジンとしてパターンマッチング方式よる防御に加え、攻撃手法を把握して検知を行うことにより、新種攻撃からWebサイトを安全に保護することができます。

現在、WAFサービスを提供する企業の多くは、第1、2世代WAF検知エンジンを搭載していますが、クラウドブリックは第3世代のインテリジェント検知エンジンを搭載しております。そのうえ、特許済みの人工知能「VISION」を用いることで、Webサイト別に検知ログを定期的に分析・学習し、検知率、誤検知率、性能面において優位性を確保しています。

下表のパターンDBはPenta-DBに基づき整理したものです。Penta-DBはペンタセキュリティシステムによって作成されたパターンで、Exploit-DBに公開されたWeb脆弱性項目をもとに作成されたレポートです。脆弱性は8種類に分けられており、OWASP2017の脆弱性の他、Webハッキングにつながる致命的な項目を基準に作成されました。

下表からもわかる通り、類似他社サービスと比べてみた結果、検知率は高く、未検知率と誤検知率は極めて低いことが分かります。

[検知]

[未検知]

[誤検知]

*攻撃パターン:ウェブ脆弱性を狙った攻撃パターン。検知及び未検知を判断する基準となります。
*被攻撃パターン:誤検知を判断するパターン。誤検知と検知を判別する基準となります。

 

クラウドブリックは高ユーザビリティを提供します。

ダッシュボード

月次単位のレポート

サイバー攻撃に対し、専門家でなくても一目でわかるように、直観的なユーザインタフェースを提供致します。クラウドブリックのダッシュボードを通じてWebサイト訪問者数、ページビュー、攻撃者数、攻撃件数などの基本的な情報に加えて、国別攻撃現況、攻撃者のIPアドレス、攻撃の種類、攻撃URLなどを確認できます。すべての結果を詳細は月次単位のレポートと詳細レポートで出力できます。また、ダッシュボード上でホワイトリスト・ブラックリストを直接指定することも可能です。

管理コンソール モバイル アプリ

尚、モバイルコンソールアプリケーションを通じて、いつ、どこでも攻撃及び防御現況についての詳しい情報を確認できます。
様々な企業顧客によりクラウドブリックが選ばれた理由についてお届けしました。クラウドブリックはこれからも良いサービスでユーザ様のご期待に応えられるよう努力いたします。

クラウドブリックに関するご質問やご要望がございましたら、お気軽にお問い合わせください。

フィッシングサイトの仕組みと セキュリティ対策

クロスサイトスクリプティング(XSS)攻撃からWebサイトを守るWAF対策

by ブログ

フィッシング詐欺とは名前通り、エサで魚を釣るようにメールと偽造のリンクを利用してID、パスワード、クレジットカード番号など、個人情報や機密情報を詐取することを言います。一見、金融機関といった信頼度の高いところから送られてきた正規のメールのように見えますが、メールに記載されたURLをクリックすると本物そっくりの偽サイトへ誘導され、知らないうちにフィッシング詐欺に引っかかってしまいます。

フィッシングサイトへ誘導する手段はメールだけではありません。Gmailのようなメールサービスに迷惑メールを自動的に識別し振り分ける機能が組み込まれることで、ある程度フィッシングメールを遮断できるようになりました。それで、ハッカーらはエサとなるメールの代わりに、企業やサービスのWebサイトにクロスサイトスクリプティング攻撃を行い、悪意のあるURLを記載することで、ユーザを偽サイトに誘導し、個人情報及び機密データを要求する手法を使用します。

クロスサイトスクリプティング(Cross-site Scripting、XSS)攻撃とは、信頼できるWebサイトに悪意のあるスクリプトを埋め込むサイバー攻撃の一種です。問題はCross-site Scripting攻撃が行われても、正規サイトそっくりで、その違いを判別することは非常に難しいということです。

話題になったクロスサイトスクリプティング攻撃の事件としては2014年に起きた世界最大級のオークションサイトeBay(イーベイ)での事例が挙げられます。eBayはクロスサイトスクリプティング攻撃により約1億4500万件ユーザーアカウントの個人情報をフィシングで盗まれてしまいました。日本も例外ではありません。今年開かれる東京オリンピックが注目されていますが、最近公式サイトではないオリンピックのチケット販売サイトの存在が確認されるなど、フィッシング詐欺の被害リスクの高まりが懸念されています。

クロスサイトスクリプティング攻撃に対して、Webサイトを保有している企業には最も注意が求められます。Webサイトがフィッシングサイトへの踏み台として利用されることは大変な信用失墜につながります 。特に、ECサイトなど、顧客情報や機密データを取り扱う企業にとっては、一度失われた信頼を回復には莫大な時間と費用がかかりますので、事前に脅威を防ぐための防御態勢を整える必要があります。

それではこのようなフィッシング詐欺に巻き込まれないために企業が取る対策とはなんでしょうか。クレジットカード情報保護のためのセキュリティ基準であるPCI-DSS(Payment Card Industry Data Security Standard)によりますと、顧客データを取り扱うWebサイトにはWebアプリケーションファイアウォール(WAF)を導入し、受信及び発信トラフィックをモニタリングすることが薦められます。

クラウド型WAFであるクラウドブリック(Cloudbric)はPCI-DSSに準拠したエンタープライズ向けWAFサービスを提供します。クラウドブリックを導入することで、企業はハッカーの不正な動きを事前に発見し遮断することができるため、顧客情報を安全に守れます。

では、 クラウドブリックが特別な理由は何でしょうか。クラウドブリックのロジックベースの検知エンジンが搭載されています。アジア・太平洋マーケットシェア1位のWAF「WAPPLES」のロジックベースの検知エンジンを搭載し、従来のシグネチャー基盤のWAFでは検知できない未知や亜種の攻撃に対応できます。 不審なトラフィックが発見されると事前に設定されたクラウドブリックの約26種の検知ルールをベースに攻撃を類型別に分析及び検知し、様々なWeb攻撃からWebサイトを安全に保護します。シグネチャーを使用しないため、頻繁なシグネチャーのアップデートせずに、脅威を防止することができます。

今後もハッカーの手口はさらに巧妙化していくことが懸念されます。したがって、企業はWebサイトへの保護を強化する対策を行わなければなりません。Webサイトから大事な情報を持ち出された後ではもう手遅れです。「うちのWebサイトは安全だ」と思い込んではいませんか。セキュリティ対策がしっかりできていると考えられる大手企業であっても、いくらでもWebサイトフィッシングリンクの踏み台になれます。自社のWebサイトを守り、顧客情報や機密データなど大事な情報を安全にするために、Webセキュリティ対策を取り組んでいきましょう。ビジネスを守るWebセキュリティの第1歩はWAFの導入から始まります。

cyber-security-1784985_1280

DDoS攻撃が迫りくる

by ブログ

DDoS攻撃

人気アイドルグループBTSが新曲をリリースすると同時に、YouTubeのサーバがダウンしました。原因は、BTSの新曲のPVをいち早く見たいファン達が一斉に殺到し、サーバに負荷がかかりすぎてしまった事でした。Youtubeだけではなく、韓国の音楽配信サイトが次々とアクセス不能になったそうです。

 

[DDoS攻撃とは?]

このように、特定Webサイトに同時にアクセスが集中して、サーバやネットワークが処理できない程多いトラフィックを瞬間的に起こすと、サーバがダウンしてしまいます。正常なトラフィックによるサービス中止の場合は、単なるハプニングになり、サービスまたはコンテンツの人気が証明される事になります。

しかし、ハッカーが数百万台のPCを操って特定Webサイトに同時アクセスさせ、短時間内に過負荷をかけるサイバー攻撃もあります。
このような攻撃を「DDoS(Distributed Denial of Service)攻撃」といいます。

 

[DDoS攻撃による被害は?]

攻撃者は、処理しきれない程大量のトラフィックを瞬時に送りつけてサーバをダウンさせますが、これによって一般ユーザは意図とは裏返してWebサイトへのアクセスが遮断されます。DDoS攻撃の主な目的はサーバをダウンさせてサイト運営に支障が出るようにする事で、資料を流出したり削除する攻撃とは少し異なるサイバー攻撃でした。

しかし、最近はDDoS攻撃によってダウンしたサーバを攻撃して個人情報などを流出する事件も多くなっています。DDoS攻撃自体は、単純にサーバをダウンさせる攻撃ですので、他のサイバー攻撃に比べて被害が少ないと考えがちですが、持続的なサービス運営が重要なECサイトや 官公庁のWebサイトはサーバが数時間ダウンするだけで致命的な被害があるかもしれません。

まず、ECサイトの場合、顧客が商品を多く購入する曜日・時間帯にWebサイトがアクセスできなくなったら、他の競合他社に顧客を取られてしまって営業損失が発生します。

また、官公庁の場合、重要なお知らせを発表出来なくて困ることになる可能性があります。特に、天気予報や災害に関する案内をする官公庁のWebサイトのサービスが中止してしまったら、大きい混乱を招いてしまい、市民の利便性、更には命に危険を与えます。

 

[DDoS攻撃被害事例]

2017年6月17日、SQUARE ENIX社のオンラインゲーム「Final Fantasy XIV」のオンラインサーバが、外部によるDDoS攻撃を受けてネットワーク障害が生じました。これによって、ネットワーク機器及び回線に高い負荷が発生し、ユーザの意図とは裏返してサーバから遮断されたりログインが出来なくなる状態になりました。当然ユーザがゲームを楽しめない状態になり、この状態は21日まで続きました。21日18時半過ぎになってサーバは復旧され、22日から正常な運営が出来るようになりました。この事例の場合、幸いユーザの個人情報流出はありませんでした。

 

[DDoS攻撃からWebサイトを守る為には?]

最近はアプリケーションの脆弱性を狙ってWebサーバを直接攻撃する場合が増加しています。これはWebサーバの全ての情報が消えたり流出するという致命的な結果をもたらす事ができます。

クラウドブリックのWAFは、アプリケーションの脆弱性を狙う全てのWeb攻撃を迅速で正確に検知・遮断します。DDoS攻撃を遮断してWebサーバに発生する被害を予防し、ネットワークの拡張を行いネットワークがダウンしないようにします。

また、最も一般的な攻撃から最新トレンドのマルチバクタ攻撃・アプリケーション攻撃(Slowloris, RUDYなど)まで全範囲のDDoS攻撃からWebサイトを保護します。

blog_example

様々な課題を解き明かす解決者、クラウドブリック

by ブログ

Title

サイバー攻撃(業種別事例)

会員の個人情報・クレジットカード情報のデータベースをハッキングして情報を盗み取っていた以前とは異なって、昨今のサイバー攻撃は多様な形でWebサイトに被害を及ぼしています。

普通のホームページからフィッシングサイトに誘導して個人情報や決済情報を入力させたり、決済段階でフィッシングサイトに誘導して2回決済させるなど、単純に情報データベースを盗み取るだけではなく、ユーザが直接個人情報を入力するように誘導する巧妙な手法を使い始めました。

このようなサイバー攻撃は、個人に被害を与えるだけではなく、該当サイトの信頼度を低下させてハッキング被害に遭った企業が顧客に補償をしなければいけないなど、企業に甚大な損害を与えています。
クラウドブリックのWAFは業界最強の防御力を誇っていて、お客様の様々な課題を解決しております。

1.オンラインショップ

オンラインショップは個人情報及び決済情報を多数収集している為、攻撃対象になりやすいです。

実際、サイバー攻撃を受けたサイトの大半はオンラインショップであり、よくニュースで被害事例を見かけます。オンラインショップは情報を入力する部分の暗号化が特に重要であり、規模が大きくない企業が運営する場合が多いのでセキュリティに投資出来る費用が少ないという課題を持っている場合が多いです。

クラウドブリックは全てのページを暗号化する常時SSLを無料提供していて、適用・更新も無料代行しています。また、事前に決められた金額で月額決済が出来るので少額の初期費用・運用費用で高性能WAFを適用出来ます。

2.メディアサイト

個人情報及び決済情報が比較的に少ないメディアサイトの場合、該当Webサイトが持っている情報自体を狙った攻撃が多い傾向があります。

リサーチ資料・競合企業の技術関連情報などを窃取したり、悪意を持って削除したりする攻撃がよくあります。また、多数のゾンビサーバを用いてWebサイトに負荷を与えるDDoS攻撃が発生する事もあります。その為、メディアサイトは情報暗号化と共にDDoS対策が必要になります。

クラウドブリックはSSLのみならずDDoS攻撃対策も無料オプションとして提供しています。

急上昇したトラフィックが攻撃なのか実ユーザのアクセスなのかを把握して適切な対応をする事で、ユーザのWebサイト利用満足度を高めています。

3.非営利機関

信頼性の高い非営利機関のホームページの場合、DDoS攻撃の土台として利用されたり改ざんされたりする事例が増えています。

Webサーバに不正アクセスして他サイトを攻撃するよう操ってサイバー攻撃の加害者にさせたり、全く違うページが出力されるように改ざんしてサイト運営を妨害したり、様々な被害事例が発生しました。このような攻撃を防ぐ為には不正アクセスを防止する事が大事です。

クラウドブリックはロジックベース検知エンジンを搭載している為、今までなかった新しい攻撃も的確に検知し、Webサイトを不正アクセスからより安全に保護しています。

貴社の課題は何ですか?

クラウドブリックのWAFはWebサイトの規模・業種に関係なく全ての課題を解決させて頂きます。

今すぐご相談ください。1か月間無料トライアルも可能です!

kaizan__image_180820

クラウドブリック導入で解決出来る課題とは⁈

by ブログ

cyber security
最近オリンピックのオフィシャルストアが出来るなど、東京オリンピックの対外的な準備が活発に行われています。公式グッズやコラボ企画などの様々な活動が行われて、世界が東京を注目する事になると思います。こうして世界の注目を浴びるのは良い事が多いですが、悪い側面もあります。その事例には2018年平昌オリンピックのサイバー攻撃事件がありますが、開幕式当日に組織委員会及び関連企業のサーバ及びホームページがサイバー攻撃に遭いました。復旧には12時間がかかり、この為52種のサービスが中断されました。このような被害を事前に防止する為に、政府機関では多様なサイバーセキュリティに関する準備をしていて、民間企業にも対策を立てるよう呼びかけています。民間企業で実行出来る最も簡単且つ安全な対策としてWAFの導入がありますが、クラウドブリックのWAFを導入したら解決出来る課題についてご案内いたします。

ssl

自社ホームページのセキュリティ強化

ホームページのセキュリティにおいて最も基本的な事は常時SSLの適用です。SSLを適用して全ての内容を暗号化すると第三者による個人情報流出を防止するのに役立ちます。

クラウドブリックは常時SSLを無料で提供し、適用/更新を全て無料代行しています。難しいコーディング作業なく、適用したいドメインをヒアリングシートに記入するだけで誰でも簡単にホームページにSSLを適用できます。

しかし、SSLを適用するだけではホームページを保護できません。改ざん・DDoS攻撃などの色んなサイバー攻撃を防御する為にはクラウドブリックのロジックベース検知エンジンが搭載したWAFが必要になります。従来のパターンマッチング型のWAFとは違い、クラウドブリックのWAFは新しい類型の攻撃を受けても以前の攻撃の類型から分析して攻撃を検知しており、とても低い誤検知率を誇っています。

professional

セキュリティ人材不足を解決

求人難により、多くの企業が人材採用の為に努力しています。特に、セキュリティ分野の人材はまだまだ足りなく、育成に力を入れています。この為、企業内にセキュリティを専門として担当するエンジニアがいない会社がほとんどです。非専門家が担当者になって既存の業務と一緒に該当業務を担当して業務過負荷が発生する事もよくあることです。また、昼夜を問わず攻撃が発生する為、企業内部の者が全て管理するのはとても難しいことです。

WAFを適用したら、検知エンジンが様々なサイバー攻撃を常に防御してセキュリティ担当のエンジニアがいなくてもWebサイトを安全に保護する事が出来るので、セキュリティ担当のエンジニアの採用・教育が必要なくなり、コストの節減にもなります。

http

サイト満足度増加

Google Chromeは常時SSL化がされていないWebサイトに対して警告表示をだしています。全てのページに警告メッセージが表示されたらホームページにアクセスしたユーザは不安を感じる事になります。

昨今、色々な個人情報流出事件が発生している為、個人情報入力が必要なサイトを利用する際にはセキュリティがきちんとしているWebサイトなのかを確認すべきだというニュースをよく見かけます。

クラウドブリックのWAFを導入したら、常時SSL及び様々なセキュリティが適用されてGoogle Chromeで閲覧する際に安全なサイトである鍵マークが表示されます。警告表示ではない安全なWebサイトである事を見せて顧客の信頼度を高めてサイバー攻撃から顧客の大事な個人情報を保護するべきです。このような努力でSEOにも良い影響を及ぼす事ができ、顧客のWebサイト満足度が高くなってレファランスも良くなると、より多くの人々が安全に貴社のWebサイトを利用することが出来ます。

クラウドブリックのWAFを導入すると、この他にも多様な課題を解決できます。製品についてもっと詳しい情報を知りたい方はクラウドブリック お問合せメニューにてお問合せ・資料請求ください。

cloud security cloudbric

常時SSL・部分SSL、どちらをご利用中ですか?

by ブログ

password

クラウドブリックの調査によると、国内各県の公式サイト47カ所中28カ所は部分 SSL を、19カ所は常時SSLを適用中であり、大半のサイトが部分SSLを適用していました(2018年10月基準)。このようなサイトのみならず、日本の多くのWebサイトが部分SSLを適用しています。

常時SSLと部分SSLの違いは何でしょうか。また、どちらの方がWebサイトのセキュリティにとって良いのでしょうか。今回はSSLの適用範囲についてご説明いたします。

₋SSLとは

SSLとは、Webサイト訪問者とWebサーバ間の通信を暗号化する為にWebサーバに保存すべき証明書です。

SSLを使用せずにHTTP通信を行ったらサイト訪問者とWebサーバ間の通信が第三者に露出されてしまう恐れがあります。特に、個人情報やクレジットカード情報などを収集するWebサイトではSSLの適用が必須で、大半のサイトがその必要性を認知して適用しています。

₋SSLの適用範囲と現況:部分/常時

SSLはサイト全体に適用出来る常時適用と、個人情報などを入力するページのみ適用する部分適用があります。サイト全体にSSLを適用する場合、メインページを含むすべてのページがhttpsに表示されてURLの隣に錠マークが表示されます。2018年7月にリリースされたGoogle Chrome 68からは、全HTTPページに警告ラーベルが表示されるようです。Googleは常時SSLを促進しており、HTTPページには常に警告表示が出されます。

₋部分SSLの盲点

SSLの部分適用ページに警告表示を出すのはなぜでしょうか。

まだ多くの方々がSSLは個人情報保護の為に適用すべきだと考えています。ですので、会員登録・ログイン・お問合せなどのページのみSSLを適用する場合が多くみられます。

しかし、SSLは暗号化を通じて改ざんを防止し、フィッシングサイトへの誘導を防止する機能もあり、SEO対策にもなるので、Webサイトの信頼性及び安全性を高めます。また、SSLの属性についてきちんと把握せずに部分SSLを適用したら設定に誤りがあったりして機能を果たせない場合もあります。

-常時SSLに対する誤解

常時SSLはよく「Webページの速度が遅くなる」、「費用が高い」、「導入が複雑で難しい」と誤解されています。

サーバに負荷が生じてアクセス速度が遅くなるのでは、とよく言われていますが、以前のSSLとは異なって現在使用されているSSLは速度の差がほぼ生じません。

また、費用面においては、もちろん高額のSSLもありますが、Webページの改ざん・個人情報流出などによる被害が発生してSSL導入費用の何倍以上の被害額が生じる事を想定したら大きい負担とは言い難いはずです。

trust

-常時SSLの利点

常時SSLは保護が必要な各ページにSSL適用の作業をしなくてもいいので、不必要なリソースの無駄遣いを防げますし、一度に適用して統合管理する事が可能です。そして、何より良いことは、Webサイトの信頼度及び安全性が高まってSEOも良くなることです。
Googleは2014年からSSLの適用可否を検索結果露出順位の測定方法に含むなど、SSL適用を促進しています。

ssl

-結局選択すべきなのは?

Webサイトのパフォーマンス・費用・導入過程の全てを考えたら、結局選択すべきなのは常時SSLです。CloudbricはIDソリューション分野のグロバールリーダーであるIden Trustから認証を貰ったLet’s Encrypt証明書を無料で提供しております。

また、WAFを導入するだけでSSL証明書を自動発行するのでとても簡単に適用できます。

また、3か月に一回行わなければならない更新も自動適用出来るようサポートしています。

まだSSL証明書を導入していなかったり、部分SSLを適用しているのであれば、常時SSL導入をご検討するのは如何でしょうか。
Webサイトを安全に保護する為の第一歩になります。

NICTER

Webサイトを守る最も安全な方法

by ブログ

賢い WAF製品 の選び方

NICTER(国立研究開発法人 情報通信研究機構)が発表した2017年観測レポートによると、2017年に30万IPを対象に観測を実施した結果、約1,500億パケットが観測されてIP当パケット数は約56万に至りました。

これは2016年に比べて約1.2倍の増加になります。

Report

(NICTER観測レポート2017,NICTERサイバーセキュリティ研究所サイバーセキュリティ研究室,2018,http://www.nict.go.jp/press/2018/02/27-1.html)

このように、Web攻撃は毎年増加していてその攻撃方法も多様になっています。これによって、多くの企業がWAFの必要性を認識して各社の基準に合うWebセキュリティサービスを導入しています。数多くのWAFサービスの中でどのサービスを選択すればいいのか悩んでいる方々の為に、今回はクラウドブリックを選択すべき理由を3つの側面からお話しさせて頂きます。

【機能面】

今まで受けた攻撃のパターンをデータベース化して該当する攻撃を受けた際に防御する事を「シグネチャ型WAF」といい、大半のWAFサービスがこの方式を採用しています。

企業で直接データアップデートをしなくてもいいので社内業務負荷が軽減し、様々な攻撃パターンに備える事が出来るのがポイントです。
しかし、今まで一度も無かった攻撃は防御出来なくて、データベース肥大化によってパフォーマンス鈍化や過剰検知などが発生して誤検知率が増加する恐れがあります。

Cloudbric WAF

このような問題を解決する為、クラウドブリックのWAFは自社独自開発のロジックベース検知エンジンを搭載して攻撃のパターンだけではなく属性まで把握して、今まで無かった攻撃を防御出来るようにしました。

この機能によって誤検知率が低くなり、Webサイトユーザが比較的にストレス無くサイトを利用出来てユーザの離脱を防止出来ます。
該当技術は日本/韓国/米国で特許を取得しました。

【運用面】

クラウドブリックのWAFは顧客専用サービス環境を構築してカスタマイズされたセキュリティ政策で運営出来ますし、DNS変更だけでWAFの導入が出来るので現在使用しているシステム環境を変更しなくても利用可能です。
また、維持においても素早い対応で社内リソース負担を減少させ、社内業務過負荷を防止出来ます。

Console

そして、クラウドブリックの紹介で外せない機能の一つに「ダッシュボード」があります。
インターネットが使用出来る環境であればいつどこでもWebサイトの管理現況を確認出来て、WAFに関する知識があまり無い方でもすぐ把握出来る見やすい画面構成になっています。

この点はWebセキュリティ状況を可視化して社内セキュリティ意識を高めるだけではなく、クライアントに可視化されたセキュリティ状況を提示して信頼度を高める事も出来ます。

【費用面】

今までWAFは高価のハードウェアと維持費用の負担により大手企業のような費用負担が可能な企業のみ導入出来るサービスでした。
しかし、クラウドブリックのWAFはハードウェアが必要ないクラウド型WAFであり、月別支払いが可能なリーズナブルな価格政策を提供していて、スタートアップ企業や中小企業も少ない費用でご利用されています。

Price

また、SSL(Let’s Encrypt)及びDDoS防御などのオプション機能を無料提供して、簡単な予算案の作成を手助けしています。他にもOWASP主要脆弱点Top10対応・既存SSL適用可能などの様々な長所を持っているクラウドブリックのWAFは、簡単に高い技術力のWebセキュリティを適用するに最適なサービスです。

このページをお読みになってクラウドブリックのWAFを利用してみたいと思いましたら以下のリンクにてお問い合わせください。

現在利用中のWAFの評価とクラウドブリックのWAFの体験を無料でご利用頂けます。

Blog_signature_Signature_FREE

【すぐ分かるセキュリティ用語】シグネチャーとWAF

by ブログ

Webセキュリティについて関心をお持ちの方なら、メディアでよくWAFという単語を目にするはずです。
しかし、WAFとは何なのか、どういう点がWebセキュリティに役立つのか正確にご存知ですか?
「我が社のWebサイトにもセキュリティサービスの導入が必要だと思うんだけど、上司にどう説明すればいいんだろう?」
「WAFの意味はわかるけど、仕組みまではわからない。」
こういった疑問・悩みをお持ちの方のために、このページではシグネチャー(Signature)の概念、WAFの進化段階、SignatureとWAFの関係についてわかりやすくご説明いたします。

₋Signatureとは

Signatureとは、Web攻撃を職別するルール(Rule)であり、WAFが作動する際に照会を行うことで攻撃を検知または防御します。
その時、正常的な通信を不正アクセスに誤って検知してしまうことを誤検知、不正アクセスを正確に検知することを正検知といいます。

 

₋WAFの進化段階

₋第1世代:ブラックリスト/ホワイトリスト
リスト照会型検知法。Webサイトとブラウザが交換するデータの中から作成しておいたリストにある「禁止/許可文字列」があるか検知する方法です。
危険なモノだけリスト化したのを「ブラックリスト」、安全なモノだけリスト化したのを「ホワイトリスト」といい、このようなリストは社内セキュリティ担当者がすべて作成しなければいけません。
これは、パーティを開催する際、パーティを主催者が直接作成した招待者名簿を基盤に確認過程を実施して、招待者名簿に載っている人のみ入場を許可したり(ホワイトリスト)、招待状名簿を別当作成せずに危険な人物名簿のみ作成してその人のみ入場を不可とすること(ブラックリスト)だといえます。

₋第2世代:Signature基盤のパターンマッチング
現在大半のWAFベンダーが適用しているWAFの検知方法であり、リストを照会する面で検知方法は以前と同じですが、チェックリストの作成方法に差があります。
今まで作成されたブラックリスト/ホワイトリストの内容をデータベース化して、その内容をWAFベンダーが定期的に更新する方法です。
以前は社内担当者が直接作成しなければいけなかったのですが、とても手間がかかって多くの知識が必要でした。
このような問題を解決するためにできた方法であり、これによって社内担当者の負担が軽減しました。
これは、パーティの主催者の負担を減らすため、パーティ運営代行業者を雇い、業者の方で招待者名簿を作成して入場者を判断することだといえます。
招待名簿は毎回更新されて更新する程人数が増加します。

₋第3世代:論理分析エンジンによるルールベースの検知方法
リスト照会検知はSignatureを更新続けることでデータベースが肥大化することと、攻撃を受けてからSignatureを作成できるという問題点があります。
この問題を解決するために新しく開発された方法が「ルールベース」という新しい検知方法です。
約30個のルールとIP Block機能がWeb攻撃を類型別に分析及び検知して多様な形のWeb攻撃からサーバーを安全に保護します。
Signatureを使用しないため(Signature₋Free)、検知のために行う定期的なアップデートが必要でなく、
今までなかった・変形性の攻撃を受けても適切に対処できる利点を持っています。
これは、身分確認において各分野の専門家が身分確認を行い、すべてにおいて問題がないという判断を貰った場合のみパーティに入場できることです。
事前に参加者名簿を作成しなくても、今まで参加した人の類型を分析して入場確認ができる方法になります。

 

₋Signature₋Free

現在主に使用されている第2世代検知方法を含む今までの検知方法は、既に定義された攻撃に対してのみ防御できました。
また、定義されていない攻撃を防御するためには攻撃を受けたからでなければなからかったです。
しかし、これからは単純に攻撃の形態だけを判別するのではなく、攻撃の属性まで判断して防御する検知方式が増えるはずです。
このような方式をSignature-Free(Signatureを使用しない)WAFといいます。

Clourbricはロジックベース(ルールベース)検知エンジンで動作して悪意的なWebトラフィックをすべて遮断します。
これによって知られていない変形性のWeb攻撃にもより適切に対応できます。
IT技術の発展と共にサイバー攻撃もより巧妙で多様になっています。
したがって、企業の経済的損失やイメージ損失を事前に防止するためには、Webセキュリティについて把握してより良いセキュリティサービスを適用することが重要になります。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

blog_Introduction

Cloudbric(クラウドブリック)の主要機能をご紹介いたします!

by ブログ

ご紹介ㅣCloudbric WAFの主要機能

企業のセキュリティ関連予算が毎年増加している中、どのようなセキュリティ対策を立てていますか?

過去には攻撃履歴のあるIPアドレスからのアクセスを遮断したり知られている攻撃パターンと比較して遮断したりする方法でWebサイトを保護しましたが、もうこの方法ではWebサイトを安全に保護出来なくなりました。

新種の攻撃を検知出来なかったり悪意の無いアクセスも遮断してしまったりする事が多くなっている為です。

このような問題を解決してWebサイトを保護してくれるCloudbric(クラウドブリック)WAFの主要機能についてご紹介致します。
安全なWeb環境を作る為にはどういったセキュリティ対策が必要であるかご確認ください。

紹介

– Web攻撃遮断サービス

「ロジックベース検知エンジン搭載」

クラウドブリックはより安全なWebセキュリティサービスを提供する為、既存WAF市場の検知技術とは異なる「ロジックベース検知エンジン」を搭載しています。ロジック分析を通じた検知技術で、攻撃真偽まで把握して誤検知率が低く、今までなかったWeb攻撃パターンを正確に検知して遮断出来ます。また、データの意味を論理的に分析するので誤検知も少ないです。

「OWASP主要脆弱性Top10に対応」

クラウドブリックのWAFは、OWASPが発表した主要脆弱性Top10に全て対応出来ます。
ロジックベース検知エンジンの26種の検知ルールを基盤に多様なWebサイトの脆弱性を補完してWeb攻撃を防御出来て有害なトラフィックを正確に区分して遮断しています。

 

– DDoS防御

「DDoS攻撃の定義」

DDoSはハッカーがウィルスに感染させて操る多数のゾンビPCが一斉にWebサーバに負荷をかける攻撃です。以前はトラフィックを発生させてネットワークをフリーズさせる攻撃が流行っていましたが、最近はアプリケーションの脆弱性を悪用してWebサーバを直接攻撃する場合が増加しています。

このような攻撃は、Webサーバの全ての情報が消えたり流出したりする致命的な結果を用いることがあります。

「多様なDDoS攻撃を防御」

クラウドブリックのWAFはWebアプリケーションの脆弱性を悪用した全ての非正常的なアクセスを迅速でスマートに検知/遮断します。最も多いDDoS攻撃から最新トレンドであるマルチバクタ攻撃(Slowloris, RUDYなど)まで、全範囲のDDoS攻撃からWebサイトを保護します。また、ネットワーク拡張を通じてネットワークフリーズを防ぎます。

ddos

– 無料SSL

「SSL証明書」

SSL(Secure Socket Layer)はWebサイトユーザとWebサーバ間の通信を暗号化する為にWebサーバに保存する証明書です。
SSLを使用せずにHTTP通信を行ったら、ユーザとWebサーバ間の通信が第三者に露出する可能性があります。
ユーザの大事な情報を保護する為には、SSLでWebサイトの全ての通信を暗号化しなければいけません。

「無料SSL提供」

クラウドブリックはIDソリューション分野においてグローバルリーダであるIden Trustから認証されたLet’s Encrypt証明書を無料提供しています。

また、Webサイトの有効性を証明して発行した証明書をWebサーバに保存する手間を無くす為、ユーザがサービス登録さえ完了すれば追加作業が必要ない自動SSLを使用出来るようにして利便性を高めました。

現在行っているセキュリティ対策に足りない部分はありませんか?
クラウドブリックのサービスを利用すれば、簡単・迅速に強力なWebセキュリティを導入して顧客からより信頼される企業になります。
もっと詳しい情報を知りたい方はクラウドブリックのホームページを参照もしくはお問合せメニューを利用してご連絡をお願い致します。

vevo

【コラム】Webサイト改ざんの事例と対策

by ブログ

最近大型サイトが  改ざん される事件が目立っています。
ユーザがWebサイトにアクセスしたら他のサイトに繋がるようにしたり、Webページを他のサイトに換えたりする事件が増えています。
様々なハッキング方法からWebサイトを安全に保護する為にはどういう対策を立てるべきでしょう。
今回は最近話題になった改ざん事例と対策についてご紹介致します。

「Webサイト改ざんとは」

Webサイト改ざんとは、ハッカーがWebサイトのコンテンツやシステムを任意に変造するWeb攻撃です。
企業もしくは個人情報の一部、あるいはWebサイト全体を変える不正行為に該当します。
こうしたWeb攻撃の主な目的は営利的な事から他人(もしくは他企業)を誹謗しようとする事、政治的な目的まで様々ですが、はっきりした目的も無く攻撃するハッカーもいます。

「話題になった改ざん事例」

₋Youtube
2018年4月10日、米国Youtubeサイトにある人気アーティストのPVが改ざん被害に遭いました。
ストリーミングサイトVevoのYoutubeチャンネルがハッキングされて発生した事でした。
英国BBCと米国The Vergeの報道によると、Youtubeで視聴回数1位だった「Despacito」のサムネイル画像がマスク姿で銃を構える集団の画像に置き換えられ、その後一時的に視聴できなくなったそうです。ほかにもシャキーラ、セレーナ・ゴメス、テイラー・スウィフトといった人気アーティストの音楽ビデオが相次いで改ざんされました。
被害に遭った動画はいずれもレーベルがVevoのアカウントを通じてYoutubeに公開した公式ビデオでした。
改ざん Youtube

参考:ITmedia エンタープライズ「人気音楽ビデオが相次いで改ざん被害、YouTubeのVevoチャンネルでハッキング」
http://www.itmedia.co.jp/enterprise/articles/1804/11/news058.html

₋政府機関
今は対策を立て関連法律を制定していますが、2000年代には各政府機関のサイトが改ざんされる事件が相次いでいました。
2000年1月24日、科学技術庁のホームページが日本人をののしり、ポルノサイトへ誘導する内容に改ざんされました。
その他にも総務省統計局・自動車事故対策センターなどのデータが削除される攻撃が発生しました。

参考:kogures.com 「中央官庁Webページ集中改ざん事件(2000年)」
http://www.kogures.com/hitoshi/history/virus-2000-web-kaizan/index.html

₋トヨタ自動車
2013年6月18日、トヨタ自動車はホームページの一部が不正アクセスを通じて改ざんされたという経緯書とそれに対する謝罪声明を発表しました。
ホームページのニュースサイトを閲覧したら悪性プログラムがインストールされ、この状態が6月4日から6月14日まで続きました。
幸い個人情報流出は無かったですが、この為しばらくの間ホームページ内コンテンツを閲覧出来ませんでした。

参考:日経コミュニケーション 「トヨタのWebサイトが改ざん、不正プログラムを自動実行する状態に」
http://tech.nikkeibp.co.jp/it/article/NEWS/20130619/486291/

「改ざんに備える為には」

1.改ざんチェック方法
₋Webサイトの全ページソースコードを確認
ウェブサイト上に公開されている全ページについて、不正なスクリプト(意味不明な文字列)が含まれていないかを確認してください。
同様に、ウェブページを編集するパソコンに保存されているページもチェックしてください。
ウェブページのブラウザ上での見た目は、改ざんされる前と区別がつかないため、ホームページの編集ソフト等でページのソースを表示して確認してください。
₋ftp へのアクセスログを確認
ftp のアカウントを不正に利用され、正常なページに不正なスクリプトを埋め込む事例が確認されています。
自分がアクセスしていない日時に、ftp のアクセスが行われていないかを確認してください。
特に、企業の場合は、ftp のアクセスログを定期的にチェックし、不正アクセスや改ざん検知サービスの導入を推奨します。
※ftp:File Transfer Protocolの略。ネットワークでファイルを転送する為のプロトコル。
2.Webサイト運用の見直し
ウェブサイト更新用のアカウント情報が適切に管理されているかパスワード及びアカウント共有の側面から見直してください。
使用しているパスワードが十分に複雑でハッキングされる危険が無いか、アカウント情報の共有を必要以上の人員にしていないかに対する見直しが必要です。
3.一般利用者における対策
脆弱性を悪用して感染するウイルスからパソコンを守るため、Windows OS の利用者は Microsoft の自動アップデート機能を有効にしてください。
また、パソコンのすべてのアプリケーションソフトを定期的に最新版に更新してください。
そして、セキュリティ対策ソフトをインストールしたり無料オンラインサービスを利用したりすることをお勧めします。

参考:ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざん されたウェブサイトからのウイルス感染に関する注意喚起 (https://www.ipa.go.jp/security/topics/20091224.html)

4.企業などホームページ管理者における対策
WAFはWebサイトとアプリケーションの間に介入して通信を通したアクセスを監視及び防御するセキュリティソリューションです。
WAFを導入したらWebアプリケーションの脆弱性を狙ったWeb攻撃を検知して攻撃的通信のアクセスを防ぐ事が出来ます。
そして、Webページの改ざんだけではなく、DDoS攻撃など様々なサイバー攻撃に対応可能なWebサイトの総合セキュリティ対策を立てることが出来ます。
安全なWebサイトを作る事が企業財産を守る事です。ハッキングに遭遇する前に充分に備えてください。
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら
パートナーに関する情報はこちら
パートナーに関するお問合せはこちら