7

C製薬会社

by 導入事例
業種 医薬品製造業及び卸売業
規模 大企業

※本事例は、お客様のご希望により匿名で掲載しております。

今の時代、企業サイトはその企業の「顔」だと思っています。企業にとってWebサイトは、単に企業情報、サービスや製品情報などをお客様に周知させる役割だけでなく、企業のアイデンティティやビジョンを伝える役割も果たしています。まさに、企業イメージを向上させる重要な戦略となりました。だからこそ、Web攻撃によりアクセスが不可能になったり、セキュリティ事故につながったりすることだけは絶対に避けたい。巨大な金銭的損失にとどまらず、企業のイメージや信頼失墜に直結してしまい、回復するには相当な時間が必要となるでしょう。情報担当者としては、それを想像するだけで背筋がぞっとします。(C製薬会社 情報システム担当者)

 

WAFを導入したきっかけ

「Webサイトを24時間365日安全に運用・管理したい」

弊社のビジネスにおいて、Webサイトのセキュリティは極めて重要です。患者様とそのご家族、医療関係者様、株主様、投資家様への情報提供を筆頭に、臨床試験の参加者の募集や研究開発サイトの運用など、すべての作業がWebサイト上で行われています。よって、24時間365日絶え間なくWebサイトを安全に管理・運用することが我々にとっての最大な課題です。そこで、Webサイトのセキュリティ体制を整えるとともに、高度化が続くWeb攻撃をしっかりと防御できる対策でありながら、利便性を確保できるクラウド型WAFに興味を持つようになりました。

 

クラウドブリック(Cloudbric)を選択した理由

「高精度の検知能力で今まで見つからなかった攻撃パターンも検知」

クラウドブリックを導入する前には他社の製品を使っていました。広く知られている国産のクラウド型WAFサービスだったため、日本語の対応がしっかりとできるということがメリットで、利用する際も特に不便なところはありませんでした。
しかし最近にはWeb攻撃の手口がさらに巧妙化し攻撃回数も増回傾向にある反面、新規・検知漏れの攻撃パターンが検知できないという限界や例外処理の設定が難しい部分がありました。そのため現在のセキュリティ対策を再チェックした結果、新しいWAFの導入を検討する必要があると判断しました。その後、IT製品比較サイトでの調査を通じていくつかの候補製品を選定しました。その中でクラウドブリックの場合、無償トライアル制度を通じて機能などを十分にチェックしました。また製薬業界の導入実績の有無ところなど様々な観点から検討したので、最終的にクラウドブリックの導入を決定しました。

 

クラウドブリック(Cloudbric)の導入効果

「未検知の攻撃までしっかり検知・遮断 、業務効率も向上」

クラウドブリックの高精度の検知エンジンにより、未検知の攻撃を含め今まで検知できなかった様々な攻撃パターンがしっかり検知・遮断されるようになりました。これまで大きい事故が発生したことはありませんが、それは今まで気づいていなかっただけで、いつ何が起こってもおかしくない状況だったという怖さを感じると同時に、クラウドブリックの精度の違いを改めて実感し、安心しました。ダッシュボードにアクセスすると検知ログの詳細や攻撃現況まで一目で確認できるため、そのまま内部担当者に渡すことも可能になり、業務効率化の面でも非常に役立っています。以前使っていた他社WAFと比べ合理的な料金と高精度のセキュリティという点に加え、お問い合わせに対するフィードバックなど、サービス面でも大変満足しています。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

新しいWAFの導入を決して簡単に決定したわけではありません。以前使っていたWAFに対する信頼度が下がっていたため、様々な観点から慎重に検討を重ねた結果クラウドブリックの導入までに至りました。その分、高いセキュリティ機能と合理的な価格を両立した、素晴らしいコストパフォーマンスの WAFサービスに出会ったと思います。Webサイトセキュリティを高めていきたいセキュリティ担当者の方々に、クラウドブリックは自信を持っておすすめできるサービスだと思います。

cloudbric - press release

【情報】2022年第2四半期の最新Web脆弱性トレンドレポート(EDB/CVE-Report)リリース

by お知らせ

2022年第2四半期の最新Web脆弱性トレンド情報

2022年4月から6月まで公開されたExploit-DBの脆弱性報告件数は33件でした。

報告された脆弱性の分析内容は、以下の通りです。

 

1. Web脆弱性の発生件数:2022年第2四半期の月平均Web脆弱性発生件数は11件で、5月には最も多い14件が報告されました。

2. CVSS(Common Vulnerability Scoring System)* 推移: 4月は14%、5月は21%で増加傾向にありましたが、6月には8%にまで減少しました。MEDIUM Level脆弱性は85%から41%まで減少しました。
*脆弱性を点数で表記するため、0から10まで加重値を付与し計算する方式です。点数が高いほど、深刻度が高いです。

3. 上位Web脆弱性の攻撃動向: 2022年第2四半期の場合、前期と同様でSQL Injectionが主な脆弱性として報告され、その次にCross SiteScripting、Remote Code Executionと続いています。

1) 4月: Other 42%(3件) / Remote Code Execution 28%(2件)

2) 5月: SQL Injection 71%(10件) / Other 21%(3件)

3) 6月: Cross Site Scripting 41%(5件) / Remote Code Execution 25%(3件)

4. Web脆弱性の攻撃カテゴリ: Web脆弱性の攻撃カテゴリ別に分析した結果、最も多く報告された脆弱性はSQL Injection(36%、12件)とCrossSite Scripting(18%、6件)で全体の約5割を占めます。したがって、この2つの脆弱性に対しては、更に注意を払う必要があります。

当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートの分析結果に基づいたパッチ適用やセキュアコーディング作業がお薦めです。しかし、完璧なセキュアコーディングは不可能であり、持続的なセキュリティのためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。

 

*EDB/CVE-Reportはペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が四半期毎に公表している最新Web脆弱性トレンドレポートです。本レポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」より公開されている情報を踏まえ作成されています。EDB/CVE-Reportは、各Web脆弱性に対する危険度及び影響度を詳しく分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でもWeb脆弱性のトレンド情報を理解することができます。

 

[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]

 

製品・サービスに関するお問い合わせはこちら

サービス体験はこちら

無償トライアル申請はこちら

パートナー制度お問合せはこちら

 

8

Bブロックチェーンメディア

by 導入事例
業種 ソフトウェア開発・供給
規模 ベンチャー企業
導入時期 2020年
※本事例は、お客様のご希望により匿名で掲載しております。

弊社の提供しているブロックチェーン技術自体がいかに安全だとしても、ブロックチェーン基盤のサービス運用がITシステム上で行われる以上、Webやアプリケーションへのセキュリティ対策をしっかりとる必要があります。(Bブロックチェーン メディア担当者)

 

WAFを導入したきっかけ

「Webサイトを利用するユーザの個人情報を安全に守りたい」

弊社はブロックチェーン基盤のフィンテック決済ソリューションの開発及びビジネス統合プラットフォームを運営しております。ユーザの流入を拡大するために、昨年からWebやアプリケーションなど様々な経路を通じてサービスを提供してきました。そして、ブロックチェーン基盤のサービスがいかに安全だとしても、サービスがWebサイト上で行われる以上、ユーザとの接点になるWebサイトのセキュリティを確報することが最も重要な課題だと判断しました。そこで、Webアプリケーションに対する総合的なセキュリティ対策としてWAF(Webアプリケーションファイアウォール)を導入することになりました。

 

クラウドブリック(Cloudbric)を選択した理由

「高い評判とダッシュボード機能、そして信頼性」

知り合いのITベンダーから勧められた製品を含み、最終的に残った候補の中の1つがクラウドブリックでした。1ヶ月の無償トライアルを通じて実際使ってみた結果、セキュリティ専門家でなくても非常に使いやい、という結論を導き出すことができました。
リアルタイムで攻撃状況を一目に確認できるダッシュボード機能と、疑わしい攻撃に対し管理画面上での1回のクリックで即遮断できるという操作の容易さが印象的でした。また、2019年には有名なIT製品の比較・検索サイトでWAF部門の1位を獲得したこと、そしてすでにクラウドブリックを導入している企業から好評を受けていることなどを考慮しつつ、慎重に検討を進め導入を決定しました。

 

クラウドブリック(Cloudbric)の導入効果

「サイバー攻撃を即時に検知・遮断でき、再発も防げた」

弊社の場合、サービス拡大によるセキュリティ面での不安を抱えていました。弊社のプラットフォームもまた個人情報を取り扱っているため、情報漏洩が最大の懸念事項でした。クラウドブリックの導入3ヶ月後、1日間に約5,000件に及ぶ攻撃が試されたことを知りました。しかし、クラウドブリックによりこれを即時に検知・遮断できたので、大きな事故にはなりませんでした。レポートを通じ詳しい攻撃内容を確認でき、このような攻撃の再発を防げますので、これからも安心してWebサイトの管理ができると思います。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

「うちは、小さな企業だからサイバー攻撃を受ける可能性は極めて低い。なぜセキュリティ対策に予算と人的リソースを投入すべきなのか」と思われる方もいるかもしれません。自分の経験からいいますと、セキュリティ対策において企業規模はさほど重要ではありません。ハッカーらは企業規模によって攻撃を行うわけではなく、わずかな隙間を発見するとそれを狙って攻撃を行うからです。むしろセキュリティ対策がしっかりできていない小さな企業だからこそ、大きな被害につながる可能性が高いと言えるでしょう。

弊社のようなベンチャー企業は、たった1回の情報漏洩事故でも経済的な損失に加え企業としての信用も損なうことになりますので、絶好のビジネスチャンスを逃すという結果につながります。そういった意味では、クラウドブリックはWebサイトを安全に守るための、Webセキュリティ対策の初めの一歩だと思います。クラウドブリックの導入こそが、中小企業に合ったリーズナブルな価格で検証されたWAFを利用できる、最善の選択だと思います。

 

展示2

【出展レポート】Interop Tokyo 2022に出展しました。

by お知らせブログ

皆さん、こんにちは。

梅雨明けが待ち遠しい頃、むしむしとした日が続いています。体調を崩さないように気をつけてください。

さて今回は、6月15日に行われた国内最大級のインターネットテクノロジーイベント「Interop Tokyo 22」の出展レポートをお届けしたいと思います。

今年29回目を迎えるIT総合イベント「Interop Tokyo 22」は「インタネットによる、人々のための革新と信頼」をテーマに開催されました。展示会には393社が出展、約9万人を超える来場者が訪れました。初出展にもかかわらず、多くのお客様が当社のブースへお越しくださり、盛況のうちに終了することができました。誠にありがとうございました。

今回の展示会では多くの中小企業さんが抱えているセキュリティ課題を解決することができるプラットフォームサービスを紹介いたしました。

ブース写真1 ブース写真2 ブース写真3

弊社のサービスに興味を持っているたくさんの方々がブースへお越しくださって、弊社のプラットフォームサービスの説明、提案させていただきました。「Webセキュリティ対策の導入したいが、よくわからない」「社内にセキュリティ担当者がいなくて、セキュリティポリシーの運用に困っている」など、セキュリティ課題を抱えている企業さんに対し、企業のWebアプリケーションセキュリティに必要な5つの機能を1つのサービスで提供する「Cloudbric WAF+」、最大65Tbpsのトラフィックまで対応できる「Cloudbric ADDoS」、大容量のデジタルコンテンツをより速くて安全に配信する「Cloudbric  CDN」やAWS WAFを最も効率的に管理することができる「Cloudbric  WMS」を紹介いたしました。

サービスデモ写真1 サービスデモ写真2

ブースでは各サービスの性能や管理画面などを説明するために、実使用環境を想定したデモも行われました。Cloudbirc WAF+の場合、企業さんが受けているサイバー攻撃をすべて検知した後データとして蓄積して、誰が、いつ、どのような攻撃をしたかを見える化することができるという優れた性能や管理のしやすさに多くのお客様から高い評価を得ることができました。

今回の展示会でいただいたお客様の声をもとに、これからも多くの企業さんが抱えているセキュリティ課題を解決することができる最適なサービスを開発・提供するため取り組んでいきたいと思います。またお会いできる日を心待ちにしております。

 

cloudbric - press release

クラウドブリック、「インターネットによる、人々のための革新と信頼 Interop Tokyo 22」に初出展

by お知らせプレスリリース

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(英文社名:Cloudbric Corp. 代表取締役:鄭 泰俊、http://139.162.127.206/jp)は、2022年6月15日(水)から17日(金)まで3日間、幕張メッセで開催される「インターネットによる、人々のための革新と信頼Interop Tokyo22」に出展いたします。クラウドブリックはクラウド及びエッジコンピューティング技術を活用し、IoT&End-Point保護サービス、サイバーセキュリティ研究所など、幅広い分野で活用できるクラウド型セキュリティサービスを研究・開発しています。 今回の展示会では、「Cloudbric WAF+」「Cloudbric ADDoS」「Cloudbric WMS」「Cloudbric CDN」を展示し、ますます高度化、巧妙化されているサイバー攻撃に対し、より安全に企業のWebシステムを守るセキュリティサービスを紹介します。

Interop Tokyo 22 logo

・これまでのWAFを超えるWAAPサービス、5in1Webセキュリティ対策「Cloudbric WAF+

Cloudbric WAF+はWebアプリケーション、Webサイト等のWebを基盤としたシステムを守るクラウド型WAAPサービスです。企業のWebセキュリティ確保のために必要とされているWAFサービスからDDoS防御対策、SSL証明書、悪性Bot遮断、脅威IP遮断まで5つのセキュリティ機能を一つのサービスにて統合的に提供します。マネージドサービスを提供することで、社内にセキュリティ担当者がいなくても手軽に導入・運用できる企業向けWebセキュリティ対策です。

・エッジコンピューティング技術で高度化されたDDoS防御対策「Cloudbric ADDoS

全世界の60のエッジロケーションのFull Stack Edge Networkを活用した高度化されたDDoS防御対策です。リアルタイムでトラフィックを監視し、発信元から最も近いEdgeにてワークロードを分散処理し、最大65Tbpsのトラフィックまで緩和することができます。各Edgeにて不正なふるまいに対して自動対応を行い、グローバルどのロケーションからの攻撃であっても検出・遮断できる最先端のサービスを提供します。

・ユーザからより近いところで、安全かつ迅速にコンテンツを配信するサービス「Cloudbric CDN

全世界の60のエッジロケーションを活用し、ユーザがいる場所から物理的に最も近いネットワーク拠点にてコンテンツをキャッシングし、待機時間を大幅に減らすことができるサービスです。各エッジロケーションからオリジンサーバに配信されるトラフィックを分散処理するため、トラフィックが急増してもCloudbric CDNネットワークにすべてのトラフィックをオフロードするだけで、サービスの停止やダウンタイムを最小化することができ、安定かつ円滑なサービスの提供が可能になります。

AWS WAFを最も効率的に管理する基準「Cloudbric WMS

ルール作成、新規脆弱性の対応、誤検知の対応などAWS WAFの導入から利用までセキュリティ専門家がサポートするマネージドサービスです。アクセスログ分析とモニタリングしたデータに基づき、ユーザ環境に最適化されたルールを反映し、脅威インテリジェンス基盤の高度化された攻撃検出性能と分析により最も効率的かつ安全なAWS WAFの運用を提供します。

 

■展示会概要
【リアル展示会】
▶名称:Interop Tokyo 2022
▶会期:2022年 6月15日(水)~6月17日(金)
▶会場:幕張メッセ(国際展示場 展示ホール4~6/国際会議場)
▶主催:Interop Tokyo 実行委員会
▶開催時間:10:00~18:00(最終日は17:00まで)
▶開催形式:会場開催(5,000円(税込み)/Web事前登録により無料)
▶ブース番号:5K13(ペンタセキュリティシステムズ、クラウドブリック)

【オンライン展示会】
▶会期:2022年6月20日(月)~7月1日(金)
▶会場: 公式サイトにて実施(https://www.interop.jp/)

■クラウドブリック株式会社について
クラウドブリック株式会社は、アジア・パシフィック地域マーケットシェア1位を誇るWebアプリケーションファイアウォールの開発企業「ペンタセキュリティシステムズ株式会社」の社内ベンチャーとしてスタートした、「クラウドに特化したセキュリティ企業」です。2015年クラウド型WAFサービスのリリース以来、 日本国内614社超、 7,582サイト以上(2021年12月末現在)を保護するなど成長を続けております。現在、Webセキュリティ対策「Cloudbric WAF+」、リモート・アクセス・ソリューション「Cloudbric RAS」、DDoSミティゲーション・サービス「Cloudbric ADDoS」など、企業のセキュリティ課題に応えるための様々なクラウド基盤セキュリティ・サービスを展開しております。尚、クラウド及びエッジコンピューティング技術を活用し、IoT&End-Point保護サービス、サイバーセキュリティ研究所など幅広い分野で活用できるセキュリティ・プラットフォーム・サービスを研究・開発しております。

cloudbric blog post

2022年ゴールデンウィーク休業のお知らせ

by お知らせ

時下ますますご隆昌のことと存じます。

日頃より、弊社へのご支援およびご協力を賜り厚く御礼を申し上げます。

さて、2022年ゴールデンウィーク休業期間における休業および営業について、下記のとおりお知らせいたします。

■ゴールデンウィーク休業期間

2022年4月29日(金) ~ 2022年5月5日(木)
※通常業務は、2022年5月6日(金)より開始致します。

■休業期間中の対応について

Customer Support Center上での受付は通常通り行います。
なお、休業中のお問い合わせにつきましては、2022年5月6日(金)以降に順次対応させて頂きます。

大変ご迷惑をおかけ致しますが、何卒ご了承くださいますようお願い申し上げます。

ZTNA image

ZTNAソリューションの種類、メリットから導入時のチェックポイントまで

by ブログ

ZTNA image

コロナ禍をきっかけにリモートワークの普及が進み、社外から社内のネットワークにアクセスするVPN接続の利用も広がっています。しかし昨今、VPN接続を狙ったサイバー攻撃も増加しつつあり、ネットワークのセキュリティ対策の重要性が見直されつつあります。近年、ネットワークのセキュリティに関して注目を集めているのが、ZTNAと呼ばれる考え方です。ここでは、ZTNAソリューションの種類やメリット、そして導入する際におさえておきたいチェックポイントについてご紹介します。

 

ZTNAとは?

ZTNAという概念について簡単に解説しておきます。ZTNAとは「Zero Trust Network Access」の略称です。「ゼロトラスト」とは、ネットワークの外側も内側も信頼しない、という考え方です。従来のセキュリティは、ネットワークの内側だけを信頼し、外側は信頼しない、という考え方に基づいた対策を採用していました。しかし昨今のクラウドのように、社外に情報資産を置いたシステムの利用も活発化しています。そのため、従来のセキュリティでは不十分とみなされつつあります。そうした現状の中で注目されているZTNAは、あらゆるアクセスを信頼せず、外部だけではなく内部からのアクセスもチェックし、信頼できるものだけを通過させる仕組みです。

ZTNAについて、詳しくはこちらの記事をご覧ください。

企業担当者必見!ZTNAとは?概念とセキュリティモデルを解説!

 

ZTNAソリューションを導入するメリット

ZTNAソリューションを導入するメリットとして、以下のようなことが挙げられます。

  • セキュリティの向上
  • 管理負担の軽減
  • アクセス負荷の低減

それでは、ZTNA導入におけるメリットを詳しく説明します。

セキュリティの向上

ZTNAソリューションを導入することで得られるメリットとして、まずはセキュリティの向上が挙げられます。VPNと異なり、すべてのアクセスを信頼せずにチェックを行うZTNAは、セキュリティの向上につながります。また、認証を通過したデバイスのみ、制限された領域にのみアクセスできるような仕組みを提供するため、万一デバイスの盗難等の被害に遭った場合にも、情報漏洩等の被害を最小限に抑えることができます。

管理負担の軽減

管理者の負担を軽減することも可能です。特に社員数が多い会社の場合、情報システム部門で管理すべき情報は膨大な数に上ります。ZTNAソリューションを導入することで、認証情報等を一括して管理することができるため、管理の負担を減らすことができます。ソリューションを選ぶ際には、管理インターフェースの使いやすさ等も考慮しておきましょう。

アクセス負荷の低減

アクセス負荷を低減することもできます。ユーザーは限られたアプリケーションにしかアクセスできなくなるため、必要なアクセスのみが発生し、無駄なアクセスを減らすことができるようになります。

 

ZTNAソリューションの種類

それでは、ZTNAに基づいたセキュリティ対策を実現する製品について、さらに詳しく解説していきます。ZTNAソリューションには、大きく分けて「サービス主導型」と「クライアント主導型」の二種類があります。それぞれの特徴と、向いている企業についてご紹介します。

 サービス主導型

「サービス主導型」のZTNAソリューションは、サービス(アプリケーション)を提供している側がアクセス権限等を主導的に管理する仕組みです。サービス主導型のソリューションはSDP(Software Defined Perimeter)という概念を取り入れています。SDPとは、ソフトウェア上に新しく境界線を設けることで、ユーザーのアクセス権限等を一括して管理する考え方です。サービス主導型のZTNAソリューションは、ユーザーのデバイスにインストール等を行う必要がありません。そのため、ユーザーが各々のデバイスを利用して業務に携わる形態を採っている企業に向いています。

 クライアント主導型

「クライアント主導型」のZTNAソリューションは、クライアントであるユーザーの状態やデバイスに応じてアクセス制御を行います。オンプレミスでもクラウド上でもアクセスが可能となるため利便性が高く、アプリケーションの構成変更も少ない場合が多いため、サービス主導型に比べ導入しやすいという特徴があります。クライアント主導型のZTNAソリューションは、デバイスの方にインストール等を行うことになります。社用のPCやスマートフォンを支給している場合など、デバイスを限定して管理している企業に向いています。

 

ZTNAソリューションを導入する際のチェックポイント

それでは、ZTNAソリューションを導入する際のチェックポイントについてご紹介していきます。複数のZTNAソリューションの中から自社の業務にとって適切なものを選ぶためにも、重要なポイントをおさえておきましょう。

セキュリティの固さ

1つ目のポイントはセキュリティの固さです。セキュリティソリューションである以上、性能の低いものであっては意味がありません。強固なセキュリティを実現可能か見極めるために、ソリューションの特徴をきちんと把握し、信頼できるベンダーを選定する必要があります。

操作性と管理のしやすさ

2つ目のポイントは操作性です。ユーザーにとっての認証画面にしても、管理者にとっての管理画面にしても、操作しやすいことに越したことはありません。ユーザーにとっては、あまりに煩雑な認証画面が与えられると業務効率の低下が想定されます。管理者にとっても、ユーザー情報をはじめ管理すべき情報が多いため、効率的な業務のためには管理用のインターフェースにも気を配りたいところです。

サポートの充実

ネットワークに関わるソリューションである以上、問題が起こった場合に即時に対応ができないと、業務に大きな支障をきたす恐れがあります。セキュリティ関係の事故が発生した場合など、ベンダーの助けがなければ原因究明や対応ができない可能性もあります。手厚いサポートが用意されているかどうか、ということも選ぶ際のポイントになります。

 

ZTNAソリューションのおすすめ「Cloudbric RAS」を紹介!

製品によって提供形態やサービス内容が異なるため、ZTNAの導入をする際は製品を見極めて自社にあったサービスを選ぶことが重要です。そして、導入するZTNA製品を見極める際のチェックポイントとしては、前述した内容である、下記の3つが挙げられます。

  • セキュリティの固さ
  • 管理のしやすさ
  • サポートの充実

これら3つのポイントからおすすめするZTNAソリューションは「Cloudbric RAS」があります。「End To Endのゼロトラストセキュリティ環境」を構築することができるクラウド型セキュリティサービスです。より詳しい内容を確認したい方は、こちらをご覧ください。

 

まとめ

今回は、ZTNAのソリューションの種類や導入のメリット、そして導入するために確認する必要があるポイントについて解説してきました。今まで解説してきた導入のメリットやチェックポイントを踏まえた上で、ZTNAソリューションから自社に適切なものを選択しましょう。

 

cloudbric - press release

【情報】2021年第4四半期の最新Web脆弱性トレンドレポート(EDB/CVE-Report)リリース

by お知らせ

2021年第4四半期の最新Web脆弱性トレンド情報

2021年10月から12月まで報告されたExploit-DBの脆弱性報告件数は119件です。

脆弱性の分析内容は、以下の通りです。

 

1. Web脆弱性の発生件数: 2021年第4四半期のWeb脆弱性は平均40件で、10月は最も多い62件が報告されました。

2. CVSS(Common Vulnerability Scoring System)* 推移: HIGH Levelの脆弱性を分析した結果、10月の6.45%から、11月の7.89%、そして12月は21.05%で増加傾向が見られました。MEDIUM Levelの脆弱性においては、58%から47%まで減少しました。
*脆弱性を点数で表記するため、0から10まで加重値を付与し計算する方式です。点数が高いほど、深刻度が高いです。

3. 上位Web脆弱性の攻撃動向:2021年第4四半期は前四半期に続き、Cross Site Scripting、SQL Injection、Remote Code Executionが主な脆弱性として観察されました。

1) 10月: SQL Injection 30%(19件) / Cross Site Scripting 29%(18件)

2) 11月: Cross Site Scripting 42%(16件) / SQL Injection 28%(11件)

3) 12月: Remote Code Execution 36%(7件) / Cross Site Scripting 15%(3件)

4. Web脆弱性の攻撃カテゴリ: Cross Site Scriptingが31%(37件)と最も多く発生しており、その次にはSQL Injectionが27%(33件)と続いています。この2つの脆弱性は第4四半期に発生したWeb脆弱性の半分以上(58%)を占めており、これに対する備えが必要となります。

 

当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートに基づいた、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。

*EDB/CVE-Reportはペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が四半期毎に公表している最新Web脆弱性トレンドレポートです。本レポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」より公開されている情報を踏まえ作成されています。EDB/CVE-Reportは、各Web脆弱性に対する危険度及び影響度を詳しく分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でもWeb脆弱性のトレンド情報を理解することができます。

 

[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]

 

製品・サービスに関するお問い合わせはこちら

サービス体験はこちら

無償トライアル申請はこちら

パートナー制度お問合せはこちら

 

マネジードルールイメージ

クラウドブリック、AWS WAFに特化したマネージドルールをリリース

by プレスリリース
クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(英文社名:Cloudbric Corp. 代表取締役:鄭 泰俊、http://139.162.127.206/jp)はAWS WAFに特化したマネージドルール「Clouldbric Managed Rules for AWS WAF」をリリースした。

マネジードルールイメージ

AWS WAFは、世界最大のシェアを誇るアマゾンウェブサービス(以下 AWS)が提供するクラウド型WAFサービスで、手軽に導入でき、AWS環境との親和性が高いことから、多くの企業で利用されている。事前に設定されたルールに基づいて攻撃パターンと一致するものは防御できるが、パターンマッチングで検出できない高度な脆弱性を狙った攻撃はWAFのみでは対応しきれないという問題がある。また、ユーザ自らルールを構成・更新など全てのサイクルにおける管理を行う必要があるため、より高度な設定や運用を行う場合には高度な知識とノウハウが求められる。

そこで、クラウドブリックはAWS Marketplaceで簡単に購入・適用できるAWS WAF専用マネージドルール「Cloudbric Managed Rules for AWS WAF」をリリースした。5ヶ国特許取得済みの論理演算検知ロジックに基づいて、Webアプリケーションを守るために必須となるルールグループを提案する。これらのルールグループはクラウドブリックの専門家たちにより定期的に自動更新されるため、セキュリティに関する知識がなくても、低コストで高いセキュリティレベルを実現できるという特徴がある。

今回リリースされる2つのマネージドルールは、OWASPが公開している最新のOWASP Top 10脆弱性に対応する「OWASP Top 10 Rule Set」と、95ヵ国700,000サイトから毎日収集される膨大な脅威インテリジェンスから危険度の高いIPとして厳選された脅威IPに対応する「Malicious IP Reputation Rule Set」であり、SQLインジェクションやクロスサイトスクリプティングなど危険性の高い脆弱性のみならず、従来のWAFでは防ぎきれない未知や最新の脅威からWebアプリケーションを保護できる。

クラウドブリック株式会社の代表取締役社長の鄭は「AWSのWebセキュリティ管理はユーザ自らルールの構成・管理する方法であるため、レベルの高いセキュリティ知識が必要で、持続的な管理に対する負担も大きい。そのため、ユーザはセキュリティ専門家を雇用しなければならないという困難に直面している」とし、「本サービスにより便利で安全にWebアプリケーションを保護すると同時に、自動更新による運用コストも節減できる」と述べた。

一方、クラウドブリック株式会社は、昨年AWS WAFに特化した運用サービス「Cloudbric WMS for AWS」をリリースするなど、AWS WAFを導入している企業様の悩みに多方面からサポートしていくという 。

 

【Cloudbric Managed Rules for AWS WAF】の情報

1.OWASP Top 10 Rule Set
https://aws.amazon.com/marketplace/pp/prodview-67jstscio2zyg
2.Malicious IP Reputation Rule Set
https://aws.amazon.com/marketplace/pp/prodview-7nz7liivgnhbu
Clouldbric Managed Rules for AWS WAFに関する詳細情報はこちら
https://www.cloudbric.jp/clouldbric-managed-rules/

【2021年12月】定期Webセミナーのお知らせ

by セミナー情報

本セミナーでは【2021年】今年のCloudbricをテーマとして、2021年Cloudbricの新規機能、仕様変更など、今年のCloudbricにあった変化についてご案内致します。

 

■お申込み : https://zoom.us/webinar/register/WN_FV6c5HzXQ2eQM7YAy4efPg

■日時 : 2021年12月21日 15:00~15:45

※ 14:50からご入場できます。

■場所: Zoomウェビナー

※ お申込みいただいた方に、視聴用URLをメールにてご案内いたします。

■参加費: 無料