vevo

【コラム】Webサイト改ざんの事例と対策

by ブログ

最近大型サイトが  改ざん される事件が目立っています。
ユーザがWebサイトにアクセスしたら他のサイトに繋がるようにしたり、Webページを他のサイトに換えたりする事件が増えています。
様々なハッキング方法からWebサイトを安全に保護する為にはどういう対策を立てるべきでしょう。
今回は最近話題になった改ざん事例と対策についてご紹介致します。

「Webサイト改ざんとは」

Webサイト改ざんとは、ハッカーがWebサイトのコンテンツやシステムを任意に変造するWeb攻撃です。
企業もしくは個人情報の一部、あるいはWebサイト全体を変える不正行為に該当します。
こうしたWeb攻撃の主な目的は営利的な事から他人(もしくは他企業)を誹謗しようとする事、政治的な目的まで様々ですが、はっきりした目的も無く攻撃するハッカーもいます。

「話題になった改ざん事例」

₋Youtube
2018年4月10日、米国Youtubeサイトにある人気アーティストのPVが改ざん被害に遭いました。
ストリーミングサイトVevoのYoutubeチャンネルがハッキングされて発生した事でした。
英国BBCと米国The Vergeの報道によると、Youtubeで視聴回数1位だった「Despacito」のサムネイル画像がマスク姿で銃を構える集団の画像に置き換えられ、その後一時的に視聴できなくなったそうです。ほかにもシャキーラ、セレーナ・ゴメス、テイラー・スウィフトといった人気アーティストの音楽ビデオが相次いで改ざんされました。
被害に遭った動画はいずれもレーベルがVevoのアカウントを通じてYoutubeに公開した公式ビデオでした。
改ざん Youtube

参考:ITmedia エンタープライズ「人気音楽ビデオが相次いで改ざん被害、YouTubeのVevoチャンネルでハッキング」
http://www.itmedia.co.jp/enterprise/articles/1804/11/news058.html

₋政府機関
今は対策を立て関連法律を制定していますが、2000年代には各政府機関のサイトが改ざんされる事件が相次いでいました。
2000年1月24日、科学技術庁のホームページが日本人をののしり、ポルノサイトへ誘導する内容に改ざんされました。
その他にも総務省統計局・自動車事故対策センターなどのデータが削除される攻撃が発生しました。

参考:kogures.com 「中央官庁Webページ集中改ざん事件(2000年)」
http://www.kogures.com/hitoshi/history/virus-2000-web-kaizan/index.html

₋トヨタ自動車
2013年6月18日、トヨタ自動車はホームページの一部が不正アクセスを通じて改ざんされたという経緯書とそれに対する謝罪声明を発表しました。
ホームページのニュースサイトを閲覧したら悪性プログラムがインストールされ、この状態が6月4日から6月14日まで続きました。
幸い個人情報流出は無かったですが、この為しばらくの間ホームページ内コンテンツを閲覧出来ませんでした。

参考:日経コミュニケーション 「トヨタのWebサイトが改ざん、不正プログラムを自動実行する状態に」
http://tech.nikkeibp.co.jp/it/article/NEWS/20130619/486291/

「改ざんに備える為には」

1.改ざんチェック方法
₋Webサイトの全ページソースコードを確認
ウェブサイト上に公開されている全ページについて、不正なスクリプト(意味不明な文字列)が含まれていないかを確認してください。
同様に、ウェブページを編集するパソコンに保存されているページもチェックしてください。
ウェブページのブラウザ上での見た目は、改ざんされる前と区別がつかないため、ホームページの編集ソフト等でページのソースを表示して確認してください。
₋ftp へのアクセスログを確認
ftp のアカウントを不正に利用され、正常なページに不正なスクリプトを埋め込む事例が確認されています。
自分がアクセスしていない日時に、ftp のアクセスが行われていないかを確認してください。
特に、企業の場合は、ftp のアクセスログを定期的にチェックし、不正アクセスや改ざん検知サービスの導入を推奨します。
※ftp:File Transfer Protocolの略。ネットワークでファイルを転送する為のプロトコル。
2.Webサイト運用の見直し
ウェブサイト更新用のアカウント情報が適切に管理されているかパスワード及びアカウント共有の側面から見直してください。
使用しているパスワードが十分に複雑でハッキングされる危険が無いか、アカウント情報の共有を必要以上の人員にしていないかに対する見直しが必要です。
3.一般利用者における対策
脆弱性を悪用して感染するウイルスからパソコンを守るため、Windows OS の利用者は Microsoft の自動アップデート機能を有効にしてください。
また、パソコンのすべてのアプリケーションソフトを定期的に最新版に更新してください。
そして、セキュリティ対策ソフトをインストールしたり無料オンラインサービスを利用したりすることをお勧めします。

参考:ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざん されたウェブサイトからのウイルス感染に関する注意喚起 (https://www.ipa.go.jp/security/topics/20091224.html)

4.企業などホームページ管理者における対策
WAFはWebサイトとアプリケーションの間に介入して通信を通したアクセスを監視及び防御するセキュリティソリューションです。
WAFを導入したらWebアプリケーションの脆弱性を狙ったWeb攻撃を検知して攻撃的通信のアクセスを防ぐ事が出来ます。
そして、Webページの改ざんだけではなく、DDoS攻撃など様々なサイバー攻撃に対応可能なWebサイトの総合セキュリティ対策を立てることが出来ます。
安全なWebサイトを作る事が企業財産を守る事です。ハッキングに遭遇する前に充分に備えてください。
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら
パートナーに関する情報はこちら
パートナーに関するお問合せはこちら

cloudbric_hp_owasp_2

【コラム】10大Webアプリケーション脆弱性と対策法

by ブログ

昨今ハッカーによるWeb攻撃が単純にWebサイトをフリーズさせるたけではなく、個人情報流出や重要資料の削除などの大問題になっています。
こういうニュースを見る際に「脆弱性」という単語をご覧になりましたか?
地下市場の発達により、今は専門ハッカーでなくてもWebページにアクセスして脆弱性を見つける事が出来て、脆弱性を多く持っているWebサイトを探してくれる自動化ツールまで出来ています。
Webサイトを安全に保護する為には、ハッカーの標的になる「脆弱性」を把握してそれに対する補完及び対策を立てることが重要です。
今回はOWASPが提示した10大Webアプリケーション脆弱性について述べ、脆弱性に備える方法をご説明致します。
脆弱性

1.10大Webアプリケーション 脆弱性

OWASP Top 10(2017年)
A1: インジェクション A6: 不適切なセキュリティ設定
A2: 認証の不備 A7: クロスサイトスクリプティング (XSS)
A3: 機微な情報の露出 A8: 安全でないデシリアライゼーション
A4: XML外部エンティティ参照(XXE) A9: 既知の脆弱性のあるコンポーネントの使用
A5: アクセス制御の不備 A10: 不十分なロギングとモニタリング

 

A1 : インジェクション
SQL, OS, XXE, LDAP インジェクションに関する脆弱性は、コマンドやクエリの一部として信頼されないデータが送信される場合に発生します。
攻撃コードはインタープリタを騙し、意図しな いコマンドの実行や、権限を有していないデータへのアクセスを引き起こします。
A2: 認証の不備
認証やセッション管理に関連するアプリケーションの機能は、不適切に実装されていることがあります。
不適切な実装により攻撃者は、パスワード、鍵、セッショントークンを侵害したり、他の実装上の欠陥により、
一時的または永続的に他のユーザーの認証情報を取得します。
A3: 機微な情報の露出
多くのウェブアプリケーションやAPIでは、財務情報、健康情報や個人情報といった機微な情報 を適切に保護していません。
攻撃者は、このように適切に保護されていないデータを窃取または 改ざんして、クレジットカード詐欺、個人情報の窃取やその他の犯罪を行う可能性があります。
機微な情報は特別な措置を講じないでいると損なわれることでしょう。
保存や送信する時に暗号 化を施すことや、ブラウザ経由でやり取りを行う際には安全対策を講じることなどが必要です。
A4: XML外部エンティティ参照(XXE)
多くの古くて構成の悪いXMLプロセッサーにおいては、XML文書内の外部エンティティ参照を指 定することができます。
外部エンティティは、ファイルURIハンドラ、内部ファイル共有、内部 ポートスキャン、リモートコード実行、DoS(サービス拒否)攻撃により、内部ファイルを漏え いさせます。
A5: アクセス制御の不備
権限があるもののみが許可されていることに関する制御が適切に実装されていないことがありま す。
攻撃者は、このタイプの脆弱性を悪用して、他のユーザのアカウントへのアクセス、機密 ファイルの表示、他のユーザのデータの変更、アクセス権の変更など、権限のない機能やデータ にアクセスします。
A6 : 不適切 なセキュリティ設定
不適切なセキュリティの設定は、最も一般的に見られる問題です。
これは通常、安全でないデ フォルト設定、不完全またはアドホックな設定、公開されたクラウドストレージ、不適切な設定 のHTTPヘッダ、機微な情報を含む冗長なエラーメッセージによりもたらされます。
すべてのオ ペレーティングシステム、フレームワーク、ライブラリ、アプリケーションを安全に設定するだ けでなく、それらに適切なタイミングでパッチを当てることやアップグレードをすることが求め られます。
A7 : クロスサイトスク リプティング (XSS)
XSSの脆弱性は、適切なバリデーションやエスケープ処理を行っていない場合や、HTMLや JavaScriptを生成できるブラウザAPIを用いているユーザ入力データで既存のWebページを更新 する場合に発生します。
XSSにより攻撃者は、被害者のブラウザでスクリプトを実行してユー ザーセッションを乗っ取ったり、Webサイトを改ざんしたり、悪意のあるサイトにユーザーをリ ダイレクトします。
A8 : 安全で ないデシリアライ ゼーション
安全でないデシリアライゼーションは、リモートからのコード実行を誘発します。
デシリアライ ゼーションの欠陥によるリモートからのコード実行に至らない場合でさえ、リプレイ攻撃やイン ジェクション攻撃、権限昇格といった攻撃にこの脆弱性を用います。
A9 : 既知の 脆弱性のあるコン ポーネントの使用
ライブラリ、フレームワークやその他ソフトウェアモジュールといったコンポーネントは、アプ リケーションと同等の権限で動いています。
脆弱性のあるコンポーネントが悪用されると、深刻 な情報損失やサーバの乗っ取りにつながります。
既知の脆弱性があるコンポーネントを利用して いるアプリケーションやAPIは、アプリケーションの防御を損ない、様々な攻撃や悪影響を受け ることになります。
A10 : 不十分なロギング とモニタリング
不十分なロギングとモニタリングは、インシデントレスポンスに組み込まれていないか、非効率 なインテグレーションになっていると、攻撃者がシステムをさらに攻撃したり、攻撃を継続でき るようにし、ほかのシステムにも攻撃範囲を拡げ、データを改竄、破棄、破壊することを可能に します。
ほとんどのデータ侵害事件の調査によると、侵害を検知するのに200日以上も要してお り、また内部機関のプロセスやモニタリングからではなく、外部機関によって検知されています。

(引用:OWASP Top10 – 2017 https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf)

2.脆弱性に備える為には

日々増加しているWeb攻撃に備えて、企業はWebアプリケーションを保護する為の効率的なプロセスと技術を持つ必要があります。
この為、まず自社のWebサイトに内在している脆弱性を認知・把握した後、必要に応じてWAF等のソリューションを導入するべきです。
多くの企業がWebサイトに数多くの顧客情報を保存しているので、企業は社会的責任と貢献の為に常にセキュリティを念頭に入れる義務を持っています。
全ての脆弱性について認知し、Web攻撃を防御してくれるWAFを導入して企業と顧客の資産を守りましょう。
Cloudbricのパートナーシップ制度はこちら
パートナーに関するお問合せはこちら
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら

WAFER_Report

分かりやすいWAFERガイド

by ブログ
前回の「安全なWebサイトを作る3つの方法」に続いて今回はWAFERの使用法を分かりやすくご説明いたします。

1.ドメイン入力
テストするWebサイトのURLを入力します。
この時、WAFERが評価のため実際にWebサイトに無害な攻撃を実行するので、本人所有または直接管理するWebサイトのURLを入力しなければいけません。
(一度WAFERにWebサイトを登録したら他の人はそのWebサイトを登録出来ません。)

WAFER_Main Page

2.利用中のWAFサービスを選択
クラウドブリックのWAFを利用していなくてもテスト出来ます!
選択肢に該当するサービスが無い場合、「その他」を選択してください(重複選択不可)
Select

3.ドメイン所有認証
先に述べたように、Webサイトに直接攻撃パターンを実行するので、ドメインの所有者である事を認証することで悪用を防止しています。
認証方法は以下の3つから選択出来ます。
Domain

1)Cloudbricログイン:弊社のサービスをご利用中の場合、DNSが既にクラウドブリックのサーバを振り向いていて認証が完了しているので、ログインさえすれば次のページへ移動します。
login

2)DNSレコード変更:ドメインの管理ページにログインしてTXTレコードを変更してください。
TXT

3)HTMLタグを追加:<HEAD>部分にクラウドブリック提供のMETAタグを追加してください。
「例を確認します。」をクリックしたら具体的にどこにMETAタグを追加するのかが確認出来ます。
HTML

4.評価進行
ドメインの所有者である事が認証されたら、ご利用中のWAFの評価が始まります。
評価中には、進行中の攻撃パターンのカテゴリーをリアルタイムで確認出来ますし、評価の所要時間が長引いてしまうと停止ボタンをクリックして停止させる事も可能です。
そして、評価結果を待ちながら下段のBlackIPediaのリンクから最近ブラックリスト処理されたIP住所リストも確認出来ます。
Evaluate

5.結果レポート確認
評価が完了したら、結果レポートが出されます。
レポートには以下の評価項目が記載されています。

₋正検知パターンの総数及び遮断数、正検知遮断率(%)
₋誤検知パターンの総数及び遮断数(誤検知数)、誤検知遮断率(%)
₋攻撃種類のうち正検知率上位10個
(該当する攻撃種類の全体数、正検知数、正検知率)
₋正検知した攻撃の影響度の統計
₋攻撃種類の結果ページへのリンク

Report

いかがでしたでしょうか。
このように少しの間を使用してWAFERで貴社のWAFのセキュリティ性能を無料測定出来ます。
このガイドを参考してもっと簡単にWAFERを使用してください。
専門家がいなくても利用中のWAFの長短所を把握出来ます。
また、疑問点などがありましたら以下のリンクにてお問合せください。

お問合せはこちら
パートナーに関する情報はこちら
Cloudbricの製品情報はこちら

WAFER_Inforgraphic

安全なWebサイトを作る為には~3分で分かるWAFER~

by ブログ

今回は WAFER に関する紹介を分かりやすくまとめました!

前回の説明が難しかった方は特にご注目です!

前回のポストはこちらへ(安全なWebサイトを作る3つの方法)

WAFER
※イメージをクリックすると該当ページへ移動します。

お問合せ:Cloudbric株式会社(ホームページへ
Tel: 050-1790-2188 E-Mail:japan@pentasecurity.com

製品情報はこちら
パートナーシップ情報はこちら

WAFER のお試しはこちら

WAFER

安全なWebサイトを作る3つの方法

by ブログ

昨今のWeb攻撃に関するニュースを見ると以前とはまた違う攻撃の被害に遭う事をよく目にしています。
最近発生した「歴代最悪のサイバー攻撃」に対してやっと対策を講じたと思ったらまた新しい攻撃が現れてWeb環境を脅かしています。
早いスピードで変化する特性を持つWebであるため、昨日までWebサイトを攻撃から守ってくれたWAFが今日も適切なセキュリティを提供出来るという保証は出来ません。
₋WAFは導入したけど、セキュリティ管理はベンダーに任せきりです!
₋Webサイトをもっと安全に運営したいです!
こうした思いを持っている企業もしくは個人のWebサイト所有者の為に、今回は安全なWebサイトを作る3つの方法をご紹介致します。

「目次」
 1.脆弱性対策は必須!
 2.攻撃履歴を把握して遮断IPリストをアップデート!
 3.WAFの定期点検
 ▣ 今すぐ貴社のWAFをテストしてみてください!

 

 1.脆弱性対策は必須!

いくらセキュリティを考慮して開発したWebサイトだとしても脆弱性はあるものですし、Webサイトの脆弱性を完璧に把握するのは難しいことです。
実際に第三者の通報によって脆弱性を知ることも少なくありません。
この為、知らぬ間にハッカーに脆弱性が露出されて情報流出や改ざん等の被害を受けることになります。
実際に、最近人気タルト専門店のオンラインショップが脆弱性攻撃によって顧客情報を流出するなど、
脆弱性を知らなったり放置したりして被害を受ける事例が増えています。
この問題を事前に備える為には、二つの方法があります。
直接手動診断する事と脆弱性スキャンツールを使用する事です。
このうち、早くて簡単に脆弱性を診断出来る脆弱性スキャンツールをいくつかご紹介致します。
OWASP ZAP:最も簡単に使用出来る自動診断型テストツールです。
Burp Suite : 広く使用されているツールで、改ざんテストまで出来ます。
Nikto:既に公表された脆弱性がWebサイト及びミドルウェアに存在するか確認出来ます。

 2.攻撃履歴を把握して遮断IPリストをアップデート!

多くのWAFサービスにはどのIPからよく攻撃を受けているのかに対する情報を提供する機能があります。
既にWAFを導入しているなら、この機能を使用する事をおすすめします。
この時、攻撃してきたIPのアクセスを遮断することでより安全にWebサイトを保護出来ます。
クラウドブリックのサービスコンソールにはユーザ自らが攻撃情報を確認して攻撃してきたIPまたは国を特定して遮断する機能があります。
また、指定IPもしくは国からのアクセスのみ許容する「ホワイトリスト」機能も提供しております。
このような機能を活用したら、ハッカーのアクセスを遮断して攻撃防止は無論、Webサイトの過度なトラフィック量増加による費用の増加やローディングスピードの低下などの被害を防止する事が出来ます。
特に、ECサイトのように特定地域のマーケットのみターゲットにする場合、ビジネスを展開している国のアクセスのみ許容することで攻撃に備えられます。
console

 3.WAFの定期点検

最近オーストラリアの16歳の少年がアップルのサーバを1年以上ハッキングした事件がありました。
誰でもハッキングが出来るようになりましたし、大手企業でも気付きにくい程の巧妙な攻撃が増加しています。
シグネチャー基盤のWAFの場合、新しい攻撃に対応する為には定期的なアップデートが必要になります。
その際、多くの時間と費用がかかりますし、頻繁なアップデートによる機能低下が発生する恐れがありますので、アップデートの後に性能の点検が必要です。
(→シグネチャー基盤のWAFの限界を克服できるクラウドブリックの論理演算基盤検知エンジン)
クラウドブリック・ラボ(Cloudbric Labs)のWAFERを使用したら現在利用しているWAFの性能を無料でテスト出来ます。
WAFERはWAFのセキュリティ性能を評価する為に制作された無料ツールであり、検知または遮断した攻撃(正検知)だけでなく、正常トラフィックの遮断(誤検知)に対する評価も出来ます。
そして、WAFERのテストパターンはOWASP・Exploit DBのパターン及びクラウドブリックのリサーチチームによって厳選された攻撃パターンで構成されていて、利用しているWAFが多様な種類の攻撃に対してどのような対応が可能なのか確認出来ます。
WAFER_Report

 ▣ 今すぐWAFERを使用してみてください!

WAFER
WAFを導入するだけでWebサイトの安全性が保証される訳ではありません。
安全なWebサイトを作る為には定期的にWAFを点検しなければいけません。
クラウドブリックのWAFERは簡単な認証だけで誰でもWAFを無料点検出来ますので、今すぐ貴社のWAFの防御能力を確認し、サイバー犯罪に備えてください。
次回はWAFERの使用方法についてご案内いたします。
パートナーに関するお問合せはこちら
製品に関するお問合せはこちら
WAFERのお試し利用はこちら

image 2

【コラム】PCI DSSの核心、Webセキュリティとデータ暗号化

by ブログ

情報セキュリティ製品の広告によく登場する特定の’標準’が幾つかありますが、
その中でも「 PCI DSS 」は特によく登場します。
「弊社の製品はPCI DSSの要求事項を充足していて、PCI DSS基準の適合認証を保有しています。」
という広告用メッセージも見かけになっていると思いますが、
弊社も同じくCloudbric WAFに関して強調している内容の一つです。
‘重要な事っていうのは分かったけど、どういう事だろう?’と思っている方々もいらっしゃると思いまして、
今回はPCI DSSに対して簡単にご紹介致します。
PCI DSS

 PCI DSS とは

pci dss
PCI DSSはクレジットカード業界で共通的に使用されるセキュリティ標準です。
クレジットカード会社で会員のカード情報及び取引情報を安全に管理する為にカードの決済過程の全てにおいて遵守しなければいけない基準であります。
PCI DSSが標準として制定される前にはクレジットカード会社別に各自異なるセキュリティ基準を要求していたので、一般の業者は色んな基準に充足する為に多くの費用と努力をかけなければならなかったです。
こうした不便を解消する為にJCB・American Express・Discover・MasterCard・Visa等の国際的なクレジットカード会社が共同委員会を組織して「PCI DSS」という標準を制定しました。

PCI DSS規格の妥当性

pci dss NIST・ISO等の国際的な標準制定機関ではない民間企業が決めた規格を「標準」にしていいのか疑問を持たれた方もいるでしょう。
しかし、PCI DSSの場合、内容がとても詳細で細緻な規格で構成されていて標準として充分だといえます。
全般的なセキュリティ状態の診断及び審査過程、アプリケーションやシステム、ネットワーク等の領域別に実施する浸透テストの回数や時期などのセキュリティ政策だけではなく、不正ログインを何回試すとロックがかかるのか、顧客のPCに個人アプリケーションファイアウォールが設置されているかの確認などの些細な基準まで完備している規格であるからです。
このように具体的で厳しい基準を提示しているので、クレジットカード取引と関係の無い企業や組織でもPCI DSSを情報セキュリティ基準として採択している場合が多いです。

 creditcard

 

核心はWebセキュリティとデータ暗号化

クレジットカードのセキュリティといえば、カード端末機やネットワークのようなハードウェアが大事だと考えがちですが、データが移動してアプリケーションに到達したらその内容は全てアプリケーション(大半がWebアプリケーション)で管理されます。
従って、Webアプリケーション開発のプロセスの基準となる「PCI PA-DSS」の内容の大部分はWebセキュリティ関連内容であり、内容の核心はデータの暗号化です。
敏感な情報を扱う全般的なセキュリティ政策ともなる「PCI DSS」も、内容を見てみると多くがWebセキュリティとデータ暗号化に関連しています。どうしてでしょう。
IoT・フィンテック(FinTech)等の技術が登場してWebはもっと日常生活の一部になっています。
データはWebが主要環境であるアプリケーションを通じて移動し、これからはアプリケーションもWeb環境で開発されて運用する事になります。
データ保護の為には分野に関係なくWebセキュリティを重視するしかありません。
security

PCI DSSの究極的な目的は敏感な情報を安全に保護する事です。
昨今の情報セキュリティの中心はネットワークやサーバ等のハードウェアを保護するセキュリティ政策からデータとアプリケーションを保護するWebセキュリティに移っています。
クラウドブリックのWAFを導入したら複雑なプロセスも無くPCI DSSのセキュリティ基準を遵守出来ます。
今すぐWAFを導入してWebサイト保護とオンライン決済セキュリティ基準遵守を全て解決しましょう。
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら
パートナーに関するお問合せはこちら

【コラム】情報セキュリティの環境変化とWAFの位置づけの変化

by ブログ

情報セキュリティの環境変化とWAFの位置づけの変化

22ヵ国50社の企業経営者を対象に行ったアンケート調査結果のまとめによると、今日の企業経営における最大のリスクは、「経済の不確実性」が1位で55%を占めており、「サイバー脅威」が50%の2位となっています。
しかし、経営の一線からは、「サイバー脅威」を最大リスクだと訴える声が多数です。
経済の不確実性は常に言及されているリスクであるため、水があるのがあたりまえのように当然のこととされますが、新しく登場したサイバー脅威はなじみの薄いものでありながら、その勢いはますます強くなっています。
また一度事故が起きたらすべてのメディアが先を争って報道しており、事後処理も困難でどうしたらいいのかという困惑の声も多くなっています。
サイバー脅威における最も深刻な問題は、その概念自体があまりにも難しくて何を言っているか解らないということです。
関連書籍を探してみても熟練された技術者向けの技術書か理論とは言えないでたらめな経営書かであるため、学びたくても学べないのが現実です。
そのため、経営と技術の間のギャップはさらに広がり、その隙間を狙う犯罪者や詐欺師によるICTに関する各種事件が相次いでいます。
経営者とエンジニア、生産者と消費者、両方とも問題の解決策が全く見つけられません。
恐らく、今日の企業経営における最大のリスクは「サイバー脅威の不確実性」かもしれません。
「サイバー脅威に対する対応ガイドが必要!」という現場からの要求が強く求められます。
要求があれば、その解決策も出てくるはずですので、世界有数の経営諮問機関から定期的に発行されるICTの市場分析レポートが大変役に立ちます。
「ガートナー(Gartner, Inc.)」は、米国コネチカット州スタンフォードにあるICTの研究・助言を行う企業です。
1979年に設立され、それならではの鋭利な分析力を武器として目覚ましい成長を成し遂げ、今や全体従業員5,700人のうち1,500人余りがリサーチアナリストとコンサルタントという世界最高で最大の研究集団です。
不確実性という海の灯台、ハイプサイクルとマジッククアドラント「ガートナー」レポートのクオリティは、
昨今の市場分析の象徴のように広く通用している2つのグラフだけでも十分証明できます。
「ハイプサイクル」と「マジッククアドラント」、企業経営の意思決定に重要な資料であるだけに、簡単にそれについて探ってみましょう。
「ハイプサイクル(Hype Cycle)」は、特定技術の成熟度を視覚的に表現するためのツールです。
当該技術の研究開発水準や市場の反応など様々な条件によって各項目を下記の5つに分類しグラフ上に表示します。
1)黎明期(技術の引き金、Technology Trigger)
2)流行期(過剰期待の頂、Peak of Inflated Expectations)
3)幻滅期(幻滅のくぼ地、Trough of Disillusionment)
4)回復期(啓蒙の坂、Slope of Enlightenment)
5)安定期(生産性の台地、Plateau of Productivity)
1)成長の可能性を秘めている技術に対する世間の関心が高まり、2)概念-モデルへの過度な注目のおかげで製品も造ってみるものの、その殆どは失敗になり、3)数多くの失敗でその関心が失われます。
そこから生き残ったわずかの企業から成功事例が出はじめ、4)利益を設ける製品が生産されることにより、再び注目を集め、, 5)市場に一定のポジションを占めるようになり、品質を争っていく一連の過程です。
殆どの技術がこのプロセスで進められます。
それを基にグラフを見てみますと、非常に面白いです。
世の中に新しい用語が登場し、メディアでも大話題になるものの、すぐ冷めてしまいます。
激しい競争の中で極わずかがやっと生き残り、成功していく過程が目に見えませんか。実に面白いですね。
要するに、よくできたグラフです。
ハイフサイクルの変化像を参考にすると、複雑なIT業界の不確実性もある程度消えていきます。
冬場に車のフロントガラスの曇りをとるワイパーのように。
次は「マジッククアドラント(Magic Quadrant)」を探ってみましょう。
「ガートナー」に負けないぐらい有名な研究集団である「フロスト・アンド・サリバン(Frost & Sullivan)」のグラフを探ってみましょう。
「フロスト・アンド・サリバン」は40年の歴史を持つ企業成長のコンサルティング会社です。
世界各国にある現地支社ネットワークを通じて、800人余りのアナリストから収集した情報を基に作成された市場分析レポートは、バランスのよい国際的視点と鋭利な解析力が高い評価を受けています。
縦軸は現在ンの市場分布状況を意味し、横軸は将来に向いた成長戦略の優秀性と実行可能性を意味します。
消費者の立場からは、アーリーアダプターの戦略にするか、レイトアダプターの戦略にするかなど、自社の意思決定基準により、グラフの4分割面上の候補群の位置と変化から異なるインサイトを得られます。
もちろん、最終意思決定の段階ではなく初期検討の段階でそれを活用することが賢明でしょう。
グラフ上の企業の位置は、売上、流通ネットワークの規模と品質、従業員数、特に開発者の数とそのレベル、販売、サポートといった各事業分野別における従業員の割合などによって決定されます。
最終結果物が単純な絵の形になっただけで、その裏にはなぜこのようなグラフを描いたかその理由を説明する読み終えるのが困難なほど分厚いレポートがあります。
重要なのはグラフではなく、その分厚いレポートです。
そのため、ハイプサイクルやマジッククアドラントなど簡単に描かれたグラフは、あまりにも忙しくてその分厚いドキュメントを読む時間のない役員などいわゆる「重役用のサマリー(Executive summary)」とみてもかまいません。
要するに、グラフは非常に主観的にみえますが、それを裏付ける普遍性は備えているため、客観性まで認められているのです。
「ガートナー」や「フロストアンドサリバン」など誰もが知っている有名なコンサルティング会社のアナリストは、実情は何も知らずただ机の前に座って難しい言葉だけを言っているわけではありません。
現場の傾向を実質的に把握するための研究体制も充実していることも、業界を問わず彼らの分析結果を認める理由です。皆一応その専門性を認めてから見ているのです。
「その会社のアナリストより私の方がより詳しい!」 社内の当該専門家がアナリストより優れたエンジニアではあるものの、彼らのように業界全体を把握することはできず、業界内の人的ネットワークなどのため、客観性を失う場合も度々あります。
簡単に言うと、アナリストの方がはるかにスマートです。
不愉快でも仕方がありません。それは、彼らの「仕事」であり、彼らは公的に認められた専門家ですので、むしろ詳しくないのがおかしなことではないでしょうか。
したがって、経営陣はこれらのレポートを閲覧し沈思熟考したうえで、意思決定の過程でそれを参考にすると、大変役に立ちます。
技術は、特にICT関連技術は、新陳代謝が非常に活発な生物で常に変化しているので、一度見たから十分理解したと思ってはいけません。
定期的かつ持続的な観察が必要です。少なくとも毎年更新されるグラフだけでもみましょう。
問題は常に新たに発生し、技術的判断の基準も常に変化しているため、その解決策も常に異なっていきます。
実際に重要なのはある要素のグラフ上の位置ではなく、状況の変化によってその要素がどこからどこへと移動していくかです。
つまり変化や、その変化の理由と根拠です。その一例を挙げてみます。

企業情報セキュリティ環境の変化とWAFの位置づけの変化

最近「ガートナー」のレポート上のWAFの位置づけが変わりました。
去年までは、WAFを「クレジットカードのデータセキュリティ標準(PCI DSS: Payment Card Industry Data Security Standard)」など法的規制のため、仕方なく導入するものでしたが、その効用性を疑い、適者生存のルールにより市場からすぐ姿を消す商品」と定義しました。
しかしながら、最近のレポートを見ると、「WAFは企業の情報セキュリティに必須不可欠な要素」へとその内容が変化しました。
文章表現からみても、「Hype Cycle for Application Security, Gartner 2013」では、「WAFは、他の競合製品に比べ、その効用性や拡張性が低いため、いまだにも小市場をせいぜい維持している」と評価を格下げしましたが、「Hype Cycle for Application Security, Gartner 2014」では、「規制対象に該当しないという理由でWAFを導入していなかった企業も、今はWebアプリケーションセキュリティの重要性に気づき、WAF導入がただ規制を充実させるための決定ではないことに気付いている。」とより現実的な評価をしています。
WAFに対する態度が完全に変わりました。
何よりも、ある要素の位置づけがどう変化したか、その理由と根拠は何かが重要です。
WAFの位置づけの変化の理由を類推してみると、
● 法的規制があるので嫌々買うのではなく、導入してみたら実際にセキュリティ効果が高かった。
● WAFの代案として挙げられている「セキュアコーデイング」は、結果的に非現実な希望にすぎなかった。
● 確実にセキュアなコーデイングを行って、管理・維持することはWAF導入より、多くのコストがかかる。
それで、WAFの位置づけが急速に上がったのです。このように変化そのものより、変化の理由に焦点を合わせてみる必要があります。
企業の情報セキュリティ環境は常に変化しており、そのリスクは日々高まっています。
相次いでいるセキュリティ侵害事故をみてもICTリスクは、ビジネスの連続性を損ない、投資家の投資心理にも悪影響を与え、深刻な場合は社会混乱を招いて災害災難レベルの経済活動のマヒや企業活動の停止という結果につながる恐れがあります。
それでも企業現場では、情報セキュリティに対する総合的な理解不足による意思決定の難しさを訴えています。
その時、「ガートナー」や「フロストアンドサリバン」のレポートを活用してください。
不確実性という海の灯台のように、企業の意思決定に大変役に立ちます。
 
<製品に関するお問い合わせ>
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】安全なインターネットの基準、WAF

by ブログ

「今やWeb時代、その時代こそ Webセキュリティ が肝心!」

Webセキュリティ、これでもかとあきれるほど耳にする言葉です。それにもかかわらず、その重要性があまり認識されていないのが実情です。
そのため、何度も繰り返して言いますが、Webセキュリティは、重要です!物事はすべてインターネット、つまりWebを介して行われているのに、どうしてWebセキュリティは疎かにされているのか、考えてみましょう。残念なことに、その答えは既に出ています。「安全なインターネットとは何か」、に対する正確な概念がないためです。
 

「安全なインターネットとは何か」

世の中には、重要であっても、その重要性が十分認識されていないことがあります。ICTセキュリティこそ、その代表例でしょう。世の中に広く浸透しているICTの時代、ICTセキュリティが重要であることは誰もが知っているはずです。しかし重要であることを知りながらも、何を、どうすればいいか分からず、多くの場合疎かにされています。それが状況をより深刻にさせています。
世の中は一見カオスな世界のように見えますが、その中には、様々なシステムが複雑に絡み合っていて、どうにかして効率的且つ合理的に動いているのです。問題と解答が飛び交う混迷した世界ですから、ICTセキュリティが本当に深刻な問題であるなら、解決策やセーフティネットが整っていたはずです。
もちろん、そのソリューションはあります。調べてみましょう。
 
ICTセキュリティは個人にとっても集団にとっても、大きな懸念材料です。「国際標準」は、それらを収集して洞察し、ほぼ完璧にまとめたものです。
代表例として挙げられるのが、イギリスのBSI(British Standards Institute)が制定したBS7799基盤のセキュリティ認証であり、フレームワークの「ISO27001」です。また、経営に焦点を合わせた「情報セキュリティマネジメントシステム(ISMS;Information Security Management System)」も重要な標準規格です。これらのフレームワークを参照し、それぞれの仕様に合わせて企業のセキュリティシステムを構築すれば、ある程度安全なICTセキュリティのポリシー確立や仕組構築が可能となります。
ある企業がISO27001を取得したということは、全体で11の評価項目で「安全」と認められたことです。それは、その企業がICTセキュリティに関わる全てのリスクを総合的に管理し、改善できる基本的な仕組が整っているという意味です。ICTセキュリティは単なるシステムや技術ではなく、組織全体と個人それぞれが生活を営む「文化」であり、「環境」でもあるため、認証を取得したからといって、100%安全になったとは言えませんが、「代替的に」安全になったとは言えます。
では、安全なインターネットの基準となる国際標準はあるのでしょうか?
答えは、「あります」。
世界的なNGOオンライン信頼度監査機関である「OTA(Online Trust Alliance)」は、毎年、有名Webサイトを対象にセキュリティ性を点検し、安全なインターネット文化の確立に向け先駆けて取り組んでいるWebサイトを選定し、「オンライントラスト栄誉賞(OTHR;Online Trust Honor Roll)」を授与しています。政府をはじめ、金融機関、SNSなど、様々な分野にわたって約1000の有名サイトが対象となります。今年は、そのうち約46%がセキュリティ性の不足を理由に選定対象から外され、1位の「最も信頼できるWebサイト」には、「Twitter」が選定されました。
それでは、OTHRの選定基準は何でしょうか。
まず、着目すべきなのは、今年から「WAF(Web Application Firewall、Webアプリケーションファイアウォール)の使用有無」が評価に関わる重要項目として追加されたことです。それを受けて「安全」ランクを取得した企業は、去年の30%から今年は44%へと増えるなど、選定結果に大きな影響を与えました。やや遅きに失した感はありますが、その決定は当然なことです。
WAFはそもそもWebセキュリティの基本であり、核心であるWebアプリケーションセキュリティに特化して開発されたものです。外部からの攻撃を事前に遮断し、マルウェアなどの有害物がサーバーへ侵入することを防ぎ、Webセキュリティ脆弱性が外部にさらされないようにするなど、Webセキュリティの全般にわたって最も重要な役割を行っています。そのため、WAFは他のセキュリティ機器に比べ、Webサイト全体の安全性に与える影響力非常に大きなものがあります。また、OTAは、これからWAFの使用有無がOTHRの選定に大きな影響を及ぼすと述べました。この決定も当然でしょう。
「なら、WAFを買えば済むのか? いくら?」
このように簡単に決定できるものなら、売り手も買い手も楽でしょうが、企業における意思決定は企業の成長や発展、ひいては企業の死活にかかわる大事なことです。何事も簡単には決定できません。またそうしてはいけません。特にコストが決め手となる新規スタートアップ企業にとっては、なおさらです。世の中は、欲しいものであふれています。残念ながら、その全てを手に入れることはできません。WAFも同じです。高い機器ではありませんが、安いとも言えません。いくら良いものであっても、すぐ買えるわけではありません。
そうなら、とりあえずクラウド型WAFサービスを試してみましょう。簡単な操作だけで実際にWAFを導入したような効果が得られます。マウスを数回クリックするだけで、ICTセキュリティ事故の9割をも占めるWebハッキング攻撃を全て遮断できます。最も頻繁に発生しているWebサイトハッキングをはじめ、Webからのデータ漏洩、不正アクセス、Webサイト改ざんなど、その全てを遮断します。
クラウド型のサービスで提供されるため、機器の保守コストもかからず、利用初期は一定期間無料で利用できます。その後、オンラインビジネスが軌道に乗れば、トラフィック量によって最適なプランを選択し、所定の使用料を払えばいい訳です。
ならば、クラウド型WAFの中でもどのサービスを選ぶべきでしょうか。
実際現場における最重要なWebセキュリティ作業は何でしょうか?長年にわたる経験を基に、意見を述べさせていただきますと、管理者のモニタリングではないでしょうか。日に日に激変するWeb脆弱性のトレンド分析、実際に御社のWebサイトを狙う者たちの行動分析、日々溜まっていく攻撃と防御のログなど、完璧なWebセキュリティは持続的なモニタリングを通してのみ確保できます。
いくら早いスピードや優れた性能を持つWebセキュリティ機器を使用するとしても、モニタリング・ユーザーインターフェースに力を入れなければ無用の長物になってしまうのが事実です。優れたWAFの性能で知名度の高い様々な製品を比べ、その中で最も直感的にわかるユーザーインターフェースを持つ製品を選ぶことを推奨します。何回も強調しましたが、Webセキュリティ作業の核心はモニタリングであるためです。
そして重要なのは、当該クラウド型WAFサービスがどのハードウェア型WAFの技術をもとに作られたかを調べることです。企業が成長するにつれWebサイトも成長していき、理由はともあれWebに関わる全ての設備を自ら運用する必要がある場合もでてきます。その時になってから、クラウド型サービスではなく定番のハードウェア型WAFに移行しても遅くはありません。同一技術をもとに形のみ変えた製品ですので、システムの変更による非効率や業務の空白は発生しません。ただし、クラウド型WAFサービスとハードウェア型WAFサービスが「同一技術」でなければ、順調な移行を期待できません。クラウド型サービスを利用しているうちに必要性を感じてハードウェア型を導入することになったら、当該クラウド型サービスの基盤となる製品を選択することを推奨します。そうすると、システム構成の変更も認識せず、スムーズにビジネスを引き続き継続できます。
要するに、いいWAFとは何でしょうか。
シグネチャ基盤ではなく論理演算基盤のものを勧奨します。論理演算検知技術は、時代の要請によるものだからです。安全か危険かを基準に作成された対象リストをもとに検知する既存のシグネチャ基盤技術は、なんとか命脈を保ってきましたが、今やIoT時代。Webが爆発的に拡張していく本格的なWeb時代の到来です。まず、トラフィック量が膨大していきますが、いつまでリストをいちいち参照しながら安全か危険かを探るつもりでしょうか。不可能なことは明らかです。これこそが論理演算基盤のWAFでなければならない理由です。
ここまで考えると答えがまとまってきます。便利なモニタリングを可能にする直感的ユーザーインターフェースとクラウド型WAFサービスを提供するロジックベースのWAFが正解です。
一瞬の迷いもないはずです。両方の長所を持つ製品はそれほど多くはありません。
 
Cloudbric(クラウドブリック)
Cloudbricは、ロジックベース検知エンジン(COCEP:COntents Classification and Evaluation Processing)を基に開発されたSaaS型Webセキュリティサービスです。
Cloudbricは、Web攻撃や情報漏洩を恐れながらも、高価でインストールが難しいということなどから導入できなかった個人や中小零細企業を主なターゲットに、リーズナブルな価格で、簡単に導入できる強力なWAFサービスを提供致します。
 

Blog_Web Application_4

【コラム】Webアプリケーションのセキュリティを強調する理由

by ブログ

ハッキングの70%以上がWebを通じて行われている分、Webセキュリティは必須になってきました。
Webセキュリティの安全性を確保する為には、
企業のセキュリティ担当者がWebセキュリティに対して充分理解した上で自社のITシステムに合ったWebセキュリティを構築する必要があります。
しかし、多くの企業がWebセキュリティを正確に理解出来ていません。
今回はWebセキュリティを簡単に理解出来るようにITシステムの全般的な仕組みからWebセキュリティがITシステムにどう適用されるかまでご説明いたします。
まず、ITシステムに関する理解とWebセキュリティの概要について述べます。

1.「クライアント₋サーバ」の仕組みに対する理解

私たちは一般的にPCやノートパソコン、スマートフォンなどを利用してWebサイトにアクセスします。
IT業界では、Webサイトにアクセスする為に利用するPCやノートパソコン、スマートフォンなどを「クライアント」といい、
Webサイトやモバイルアプリケーションの画面のようなWebコンテンツを保存してクライアントがアクセスしたらコンテンツを表示するシステムを「サーバ」といいます。
(ITシステムにおいてサーバが全てWebサーバではありませんが、今回はWebセキュリティに関して触れているので、Webサーバについてご説明いたします。)
そして、クライアントとWebサーバを繋いでくれる連絡網を「Web(ウェブ)」といいます。
Client-Web-Server
セキュリティの観点からすると、一般的にクライアントのセキュリティは個別システムの安全と関係があり、サーバのセキュリティは企業システムの安全と関係しています。
企業内部におけるクライアントのセキュリティもありますが、今回は企業内におけるWebセキュリティの核心となるサーバセキュリティについてご説明いたします。

2. 企業サーバシステムの仕組み

企業内サーバシステムの仕組みを理解する為に、まずITシステムの仕組みを確認する必要があります。
server system
ITシステムは大きくネットワーク・システム・アプリケーションの3つの段階で構成されています(図1)。
OSI7階層やTCP/IP階層のような色々なITシステムモデルがありますが、このような階層的分類ではネットワーク・システム・アプリケーションの3つの階層が最も共通的な仕組みです。
この3つの階層はお互いの相互作用を通じてITシステムを構成します。
ネットワーク層はデータの送受信に関した通信を担当して、システム層はWindows/Linuxのようなオペレーティングシステム(OS)のようにアプリケーションが作動出来るようにするプラットフォームの役割をします。
そして、アプリケーションは最上位層で様々な機能をするプロトコル(HTTP,FTPなど)及び応用サービスを提供します。
サーバシステムの仕組みも基本的にはこのITシステムの仕組みと同じです。
つまり、安全なサーバセキュリティとは、ITシステムにおいてネットワーク・システム・アプリケーションの全てのセキュリティが安全に構築されていることを意味します。

3. Webセキュリティの核心、アプリケーションセキュリティ

より理解を深める為、ITシステムの各階層はWebセキュリティを確保する為に実際どのように構築されているかみてみましょう。
ネットワークセキュリティの為には、安全ではないIPやポート(Port)に対するアクセス制御をする必要があり、
許可されたIPやポートからのトラフィックに対しても有害性チェックをする必要があります。
ですので、多くの企業ではファイアウォール(Firewall)と侵入検知/防止システム(IDS/IPS)を構築しています。
システムセキュリティはOSに関する事が多いです。
企業のセキュリティ担当者は、セキュリティのアップデートやパッチを更新する事と
定期的にシステムの悪性コードを検出してシステムを常に安全な状態に維持する事をしなければいけないですし、この為に企業はアンチウィルスソリューションを導入しています。
こうして大概の企業ではネットワーク及びシステムのセキュリティについてはその必要性を理解してセキュリティ構築に力を入れています。
しかし、アプリケーションセキュリティについてはそうでもありません。
アプリケーション層は、ネットワークやシステム層に比べて高度化されていて種類も多いので、セキュリティ管理者の多くはセキュリティを適用することを難しく感じています。
Web Application Security
我々が普段利用しているWebは皆アプリケーションで構成されています。
Webサイトやモバイルウェブなどは全てアプリケーションで構成されていて、それをターゲットとしたWeb攻撃もアプリケーションの脆弱性を狙った攻撃が多いです。
Webセキュリティ
Webセキュリティ業界で有名なOWASP(The Open Web Application Security Project)が選んだWeb脆弱性Top10も全てWebアプリケーション攻撃です。
つまり、現在行われているWeb攻撃の90%以上が全てWebアプリケーションを狙った攻撃だといえます。
安全なWebセキュリティを構築する為には、安全なWebアプリケーションセキュリティの構築が必須だということです。
Webセキュリティにおいてアプリケーションのセキュリティが最も重要であるにも関わらず、
どう構築すればいいか分からないという理由で適切なセキュリティが適用されていない事がほとんどです。
このような問題を解決する為には、アプリケーションのセキュリティを理解して安全なWebアプリケーションを構築する為に行うべき事を知らなければなりません。
クラウドブリックが提供するセキュリティコラムを読んで頂き、昨今増えているWeb攻撃に備えてください。
Cloudbric詳細はこちらㅣ Webセキュリティ 対策はCloudbric
製品に関するお問合せはこちら
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

Blog_SSL_1

【コラム】まだ有料SSL認証書を使用中のあなたに今、必要なのは?

by ブログ

無料で使える SSL 認証書「Let’s Encrypt」そして「クラウドブリック」

Webブラウザサービスが多様になって誰でも簡単に情報を共有出来るようになり、ハッキングに露出される危険も大きくなっています。
この為、暗号化通信は必須条件となりました。
暗号化通信はHTTPSプロトコルを使用する事で実現できますが、HTTPSプロトコルを使用する為には認証局(CA:Certificate Authority)からSSL証明書を発行して貰わなければいけません。
しかし、費用負担や複雑な認証プロセスなどにより発行率はとても低いです。
SSL

1.世界及び日本の主要企業のWebサイトSSL対応現況

Use_SSL
(引用: 国内主要企業サイトの約40%がHTTPS未対応 -Atlas21調査- https://at21.jp/web/topic/topic32.html)

2016年5月、日本のWebソリューション会社のAtlas21が東京証券取引所市場第一部に上場する主要企業を対象として実施した調査によると、
Webサイトの全ページに暗号化通信を適用しているHTTPS完全対応率は1%であり、世界主要企業が17%である事に比してとても低い数値を記録しました。
つまり、大半のWebサイトにSSL/TLSが適用されていなく、最も基礎的なセキュリティである暗号化通信も保証されていなかったという事です。
幸いなことに、2018年6月に実施した調査ではHTTPS完全対応率が40%まで増加しましたが、世界主要企業の数値である52.4%に比べたらまだ低いと言えます。

2.Let’s Encryptの登場

SSL証明書の発行には年間約80~400ドルの費用が発生します(認証局によって少し差は発生します)。
EV,Wildcardなどのオプションを追加する場合は費用はもっと高くなります。
費用の負担以外にも、複雑なドメイン認証作業が発生することがSSL証明書の発行率が少ない理由の一つです。
該当ドメインに対して、認証局より認証してもらう為にはメール認証・DNSレコード追加などの作業が必要です。
また、認証作業が終わったら発行されたSSL証明書を直接Webサーバにアップロードしなければなりませんし、証明書を更新する度に同じプロセスを繰り返す事になります。
この問題を認識し、SSL使用のハードルが高い問題を解決して、誰でも安全な暗号化通信を使用出来る環境を作るために、
Mozilla・Cisco・Akamai・Electronic Frontier Foundation(EFF)・Iden Trustなどの多様なグローバルIT企業がISRG(Internet Security Research Group)という
認証局を設立してLet’s Encryptというプロジェクトが始まりました。

3.Let’s Encryptの特徴

Let’s Encryptの登場で我々はSSLを無料で・簡単に・自動発行出来るようになりました。
1.無料発行
SSL証明書を発行する際に費用は発生しません。
ルートドメイン当りの発行数に制限はありますが、最大一週間に2,000個まで発行出来るので無制限だといえます。
2.簡単なドメイン認証
Cert botというソフトウェアをWebサーバにインストールしたら認証作業が自動的に実行されます。
メール認証・DNSレコード追加などの作業が別当必要ではありません。
3.自動証明書発行/更新
ドメインが認証されたらLet’s Encryptから自動的に証明書が発行されます。
発行された証明書はWebサーバに保存され、90日単位で自動更新されます。
証明書の発行・更新の作業が必要ないということになります。

4.Let’s Encryptは安全なのか

結論から言いますと、安全です!
Let’s EncryptはGlobal Sign、Geo Trustなどのルート認証局で発行する適用SSL証明書と同じレベルのセキュリティを確保しました。
SSL証明書は各OSやWebブラウザから信頼されるルート認証局のみ発行出来ます。
信頼出来るルート認証局は、Internet Explorerの場合、「設定→オプション→内容→証明書」で確認出来ます。
では、Let’s Encryptの場合、どう発行されるのでしょうか。
Let’s EncryptはWebブラウザから信頼されるルート認証局であるIden Trust(DST Root CA X3)が相互認証(Cross-Sign)する形でSSL証明書を発行します。

5.Let’s Encryptを簡単に適用する方法

Process_SSL
クラウドブリックに加入したらドメイン認証などの手続きを行わず、ただHTTPSを適用するWebサイトを登録するだけでSSL証明書を適用できます。
WebセキュリティサービスとSSL証明書の適用を一緒に利用できるので、企業のWebサービス担当者様・オンラインショップの運営者様・個人ホームページ運営者様には大変良いチャンスです。
まだお金を払ってSSL証明書を使用しているなら、これからはクラウドブリックで無料SSL証明書を使用してみてはいかがですか?!

Cloudbricの製品情報( SSL )はこちら
Cloudbricの製品情報(WAF)はこちら
パートナーに関するお問合せはこちら
製品に関するお問合せはこちら