owasp top10 2021

2021年版「OWASP Top 10 」を徹底解説!

by ブログ

セキュリティ対策というと難しく考えることが往々にしてよくありがちですが、はじめから順に自分で考えなくても、先人たちの知恵の結晶ともいえる資料が世の中にはたくさんあります。言うまでもなく国内にもいろいろありますが、海外にも注意を向けてみると多方面にわたり重要な意味を持つセキュリティ関連のドキュメントや資料があります。今回は、Webアプリケーションセキュリティについて情報を収集しているとよく見つける『OWASP Top 10』について徹底解説していきます。Webアプリ開発者やセキュリティ担当者であればぜひとも知見を広げておきたい内容です。

 

OWASPとは

Open Web Application Security Project(OWASP)はソフトウェアのセキュリティをより良くすることを研究対象とした営利を目的とせずに活動する団体で、機能を発揮できるように『オープン・コミュニティ』モデルの下で組織をまとめて動かされており、誰でもプロジェクト、イベント、オンライン・チャットなどに参加して貢献できます。団体の基本的な方針や精神は、人を限定せずにありとあらゆる資料と情報が無料でWebサイトから簡単にアクセスできることで、ツール・ビデオ・フォーラム・プロジェクトからイベントまで、あらゆるものが提供されています。結果として、オープン・コミュニティに対する貢献をした人の幅広い知識と経験に裏付けの得られた、汎用的なWebアプリケーション・セキュリティ開発環境におけるソースコードや設計などといった情報が保管されているデータベースとなっています。

 

OWASP Top 10とは

OWASP Top 10は、Webセキュリティの致命的・決定的な欠点が発見された頻度・脆弱性の重大度・考えられる事業への影響の大きさに基づいてランク付けされています。レポートの目的は開発者とWebアプリケーション・セキュリティ専門家に世間で最も広く行き渡っているセキュリティ・リスクに関する知識や見識などを提供して、レポートの調査結果と推奨事項をセキュリティ・プラクティスに組み込むことによって、アプリケーションにおけるこれらのすでに知られているリスクの存在を必要な分だけに抑えることです。

OWASPは世界中のセキュリティ専門家間でくいちがいなく同じである意見に基づいており、2003年からTop 10はリストの状態をそのまま保ちつづけており、Webセキュリティ市場の進歩と変化のスピードに合わせて更新されています。Top 10の価値は提供されている実際に役に立つ情報にあるため、現在も多くの大手企業において主要なチェックリストやWebアプリケーションの開発標準として貢献しています。Top 10に対応できていない場合、監督する責任者からコンプライアンス標準の面で不備がある可能性の含みを持たせるものとみなされがちですので、ソフトウェア開発ライフサイクル(Software Development Life Cycle)に組み込むことは、安全が保証されている開発に関する最善の方法が考えのうちに入っている説得力のある証拠となります。

 

2021年のOWASP Top 10でどんなことが変化したのか

新しく3つのカテゴリがあり、名前とスコープが変更された4つのカテゴリと2021年のTop 10にいくつかが統合され、そもそもの原因に焦点を当てるために名前が変更されました。

01:2021 –壊れたアクセス制御

5番目の位置から上に移動すると、アプリケーションの94%が、平均発生率3.81%の何らかの形の壊れたアクセス制御についてテストされ、提供されたデータセットで最も多く発生し、318kを超えています。含まれている注目すべき一般的な弱点列挙(CWE)には、CWE-200:不正なアクターへの機密情報の公開・CWE-201:送信データによる機密情報の公開・CWE-352:クロスサイトリクエストフォージェリが含まれます。

参考文献

 

02:2021 –暗号化の失敗

根本的な原因というよりも広範な症状であり、以前は機密データの公開として知られていた#2に1つの位置をシフトすると、暗号化に関連する障害(またはその欠如)に焦点が当てられます。これはしばしば機密データの漏洩につながります。含まれている注目すべき一般的な弱点列挙(CWE)は、CWE-259:ハードコードされたパスワードの使用・CWE-327:壊れたまたは危険な暗号アルゴリズム・CWE-331:不十分なエントロピーです。

参考文献

 

03:2021 –インジェクション

インジェクションは3番目の位置までスライドします。アプリケーションの94%は、最大発生率19%、平均発生率3%、及び274k回の発生率で何らかの形の注入についてテストされました。含まれている注目すべき一般的な弱点列挙(CWE)は、CWE-79:クロスサイトスクリプティング・CWE-89:SQLインジェクション・CWE-73:ファイル名またはパスの外部制御です。

参考文献

 

04:2021 –安全でない設計(NEW)

2021年の新しいカテゴリで、設計及びアーキテクチャの欠陥に関連するリスクに論争点をあてており、脅威モデリング、安全な設計パターン及び参照アーキテクチャの使用を増やす必要があります。コミュニティとして、私たちはコーディングスペースの『左シフト』を超えて、Secure byDesignの原則にとって重要なアクティビティを事前にコーディングする必要があります。注目すべき一般的な弱点列挙(CWE)には、CWE-209:機密情報を含むエラーメッセージの生成・CWE-256:資格情報の保護されていないストレージ・CWE-501:信頼境界違反・CWE-522:保護が不十分な資格情報が含まれます。

参考文献

 

05:2021 –セキュリティの設定ミス

前版の#6から上昇して、アプリケーションの90%が何らかの形の構成ミスについてテストされ、平均発生率は4%で、このリスクカテゴリでのCommon Weakness Enumeration(CWE)の発生率は208kを超えました。高度に構成可能なソフトウェアへのシフトが増えるにつれ、このカテゴリーが上昇するのは当然のことです。含まれている注目すべきCWEは、CWE-16:構成・CWE- 611:XML外部エンティティ参照の不適切な制限です。

参考文献

 

06:2021 –脆弱で古いコンポーネント

コミュニティ調査のトップ10で2位でしたが、データでトップ10に入るのに十分なデータもありました。脆弱なコンポーネントは、リスクのテストと評価に苦労している既知の問題であり、含まれているCWEに共通の弱点列挙(CWE)がマップされていない唯一のカテゴリであるため、デフォルトのエクスプロイト/影響の重み5.0が使用されています。含まれている注目すべきCWEは、CWE-1104:メンテナンスされていないサードパーティコンポーネントの使用・2013年と2017年のトップ10の2つのCWEです。

 

07:2021 –識別と認証の失敗

以前はBrokenAuthenticationとして知られていたこのカテゴリは、2番目の位置からスライドダウンし、識別の失敗に関連するCommon Weakness Enumerations(CWE)が含まれるようになりました。含まれている注目すべきCWEは、CWE-297:ホストの不一致による証明書の不適切な検証・CWE-287:不適切な認証・CWE-384:セッション固定です。

参考文献

 

08:2021 –ソフトウェアとデータの整合性の障害(NEW)

2021年の新しいカテゴリで、整合性を検証せずに、ソフトウェアアップデート、重要なデータ、およびCI / CDパイプラインに関連して仮定することに焦点を当てています。Common Vulnerability and Exposures / Common Vulnerability Scoring System(CVE / CVSS)データからの最大の加重影響のひとつです。注目すべき一般的な弱点列挙(CWE)には、CWE-829:信頼できない制御領域からの機能の組み込み・CWE-494:整合性チェックなしのコードのダウンロード・CWE-502:信頼できないデータの逆シリアル化が含まれます。

参考文献

 

09:2021 –セキュリティログと監視の失敗

セキュリティのログと監視の失敗は、OWASPトップ10 2017の10位からわずかに上昇したトップ10コミュニティ調査からのものです。ログ記録と監視はテストが難しい場合があり、多くの場合はインタビューや侵入中に攻撃が検出されたかどうかを尋ねます。このカテゴリのCVE / CVSSデータはそれほど多くありませんが、不当に他者の領域を侵すことへの検出と対応はきわめて大切なことです。それでも、説明責任、可視性、インシデントアラート、およびフォレンジックに非常に影響を与える可能性があります。このカテゴリは、CWE-778:Insufficient Loggingを超えて拡張・CWE-117:ログの不適切な出力中和・CWE-223:セキュリティ関連情報の省略・CWE-532:ログファイルへの機密情報の挿入が含まれます。

参考文献

 

10:2021 –サーバー側リクエスト偽造(SSRF)(NEW)

このカテゴリは、トップ10コミュニティ調査から追加されました。データは、平均以上のテストカバレッジと平均以上のエクスプロイトおよびインパクトの潜在的な評価を伴う比較的低い発生率を示しています。新しいエントリは、注意と認識のためのCommon Weakness Enumerations(CWE)の単一または小さなクラスターである可能性が高いため、それらが焦点の対象となり、将来のエディションでより大きなカテゴリにロールインできることが期待されます。

参考文献

 

OWASP Top 10 2021 –次のステップ

設計上、OWASPトップ10は本質的に最も重要な10のリスクに限定されています。すべてのOWASPトップ10には、含めるために詳細に検討された『最前線』のリスクがありますが、最終的には成功しませんでした。データをどのように解釈しても、他のリスクはより一般的で影響力がありました。成熟したappsecプログラム・セキュリティコンサルタント・ツールベンダーに向けて取り組んでいる企業は、提供するサービスの対象範囲を拡大したいと考えています。次の3つの問題は、特定して修正する価値があります。

 

コード品質の問題

コード品質の問題には、既知のセキュリティ上の欠陥またはパターン・複数の目的での変数の再利用・デバッグ出力での機密情報の公開・オフバイワンエラー・チェック時間/使用時間(TOCTOU)の競合状態・署名されていないまたは署名された変換エラーが含まれます。このセクションの特徴は、通常、厳格なコンパイラフラグ・静的コード分析ツール・リンターIDEプラグインで識別できることです。現代の言語は設計により、Rustのメモリ所有権と借用の概念・Rustのスレッド設計・Goの厳密な型指定と境界チェックといった問題の多くを排除しました。

参考文献

 

サービス拒否

十分なリソースがあれば、サービス拒否は常に可能です。ただし、設計とコーディングの慣行は、サービス拒否の規模に大きく影響します。リンクを知っている人なら誰でも大きなファイルにアクセスできると仮定します。そうしないと、すべてのページで計算コストの高いトランザクションが発生します。その場合、サービス拒否は実行に必要な労力が少なくてすみます。

参考文献

 

メモリ管理エラー

Webアプリケーションは、Java・.NET・node.js(JavaScriptまたはTypeScript)などのマネージドメモリ言語で記述される傾向があります。ただし、これらの言語は、バッファオーバーフロー・ヒープオーバーフロー・解放後の使用・整数オーバーフローといったメモリ管理の問題があるシステム言語で記述されています。Webアプリケーション言語が名目上メモリが『安全』であるという理由だけで、基盤がそうではないことを証明する多くのサンドボックスエスケープが何年にもわたってありました。

参考文献

 

まとめ

OWASP Top 10はWebアプリケーションのセキュリティ分野において、最新のサイバー攻撃のトレンドを認識するためにことのほか役に立ちます。Webアプリ開発者やセキュリティ担当者であれば新しく告げ知らされた攻撃のトレンドを知っていると、その攻撃と類似する他の攻撃にも最前線に立って対応できます。また、公共のために業務する各機関においてもWebセキュリティにおける重要なガイドラインや指標として認識されており、取り上げられている項目に対応できていない場合、セキュアな開発を実施する最善の方法を取り入れていないとジャッジが下される可能性があります。日本国内においては、『IPA(独立行政法人情報処理推進機構)』や『JPCERTコーディネーションセンター』がガイドラインとして取り入れています。

 

AWS WAF利用とCloudbric WMS

「AWS WAF」とは?利用状況やおすすめ機能などを紹介!

by ブログ

Webアプリケーションの脆弱性を悪用した攻撃の遮断やDDoS対策として注目されているWAFサービス。そんなWAFサービスのなかでも、今回は特に注目されている「AWS WAF」について解説しています。悪意のある第3者による攻撃が後を絶たず、小規模企業でもターゲットとされる可能性がある昨今、「AWS WAF」はセキュリティ面において有力なシステムとしてさまざまな企業で活用できる可能性を秘めているサービスです。そんな運用管理サービス「AWS WAF」の1つとして、この度新たに誕生した「Cloudbric WMS for AWS」についても紹介もしていますので、ぜひ、最後までご覧ください。

 

「AWS WAF」とは?利用状況やおすすめ機能について解説!

WAFは「Web Application Firewall」の略で、近年増えているWebアプリケーションの脆弱性を悪用した悪意のある第3者からの攻撃から、Webアプリケーションを守るセキュリティ対策の1つです。例えば、米アマゾンドットコムでは、同社の世界規模のECサイト(オンラインショップ)の運営基盤として使用している機能を、下記のような従量制のサービスとして提供しています。

  • 仮想サーバなどを貸し出すIaaS(Infrastructure as a Service)サービス
  • アプリケーション実行環境を提供するPaaS(Platform as a Service)サービス
  • 固有の機能を持つソフトウェアを利用させるSaaS(Softwar as a Service)サービス

そんなAWSを利用したクラウド型WAFサービスの提供が「AWS WAF」で、。まずは、「AWS WAF」の利用状況について確認してみましょう。

 

最新情報!「AWS WAF」の利用現況は?

 

画像クレジット:Canalys

現在、世界中のデータセンターから200 以上のフル機能のサービスを提供していることもあり、AWSは世界で最も包括的で広く採用されているクラウドプラットフォームとなっています。市場調査会社Canalysが発表した2021年第1四半期におけるグローバルのクラウド市場規模の資料によると、AWSはクラウドインフラ市場で30%以上の利用状況を誇ります。

そんなAWSのサービスの1つである「AWS WAF」は、従来の一般的なWAFサービスと比べて安価かつ容易にWAFを導入可能です。また、後述する優れた機能があることから、Webアプリケーションのセキュリティ対策として、多くの企業で選ばれています。

 

【厳選】おすすめ!AWS WAFの機能3選

「AWS WAF」には、様々な優れた機能が搭載されています。

  • リアルタイムでの可視化機能
  • APIを使用した完全管理機能
  • 「AWS Firewall Manager」での一元管理機能

それでは、詳しくみていきましょう。

リアルタイムでの可視化機能

「AWS WAF」では、リアルタイムメトリクスを使用し、「IPアドレス」「地理位置」「URI」「User-Agent」「ヘッダーなどの各種リクエストの詳細」の可視化が可能です。また、望ましくないアクティビティを実行するボットも可視化できるため、特定の攻撃が発生した際のカスタムアラームを簡単に設定できます。

APIを使用した完全管理機能

「AWS WAF」には、フル機能のAPIによる完全管理機能があります。具体的には、フル機能のAPIによってAWSが提供している標準のルールだけでなく、「Webセキュリティルールの作成」「デプロイ」「メンテナンスの自動化」などのAPIを活用して新たな管理ルールの作成が可能。さらに、新たな作成した管理ルールをアップデートして、自社に合わせた運用もできます。

「AWS Firewall Manager」での一元管理機能

「AWS WAF」は、「AWS Firewall Manager」への統合が可能です。「AWS Firewall Manager」とは、企業・組織内にあるアカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるセキュリティ管理サービスのことです。この「AWS Firewall Manager」に統合することで、複数のAWSアカウントにまたがる「AWS WAF」を一元設定・一元管理できるようになります。

 

「AWS WAF」を導入するメリットとデメリットを紹介!

前述した優れた機能の数々が利用できることは、「AWS WAF」導入の大きなメリットですが、その他にも得られるメリットが存在します。また、導入によって発生の可能性があるデメリットについてもあるため、注意しなければなりません。

「AWS WAF」のメリット

「AWS WAF」は他のAWSサービスと同じく従量課金制です。利用した分でしか料金が発生しないため、従来のWAFサービスと比べてコスト的に優れており、料金体系も分かりやすいことが特徴です。従来のWAFサービスは、セキュリティルールを設定しても、それがシステムに反映させるまで時間がかかっていました。しかし、「AWS WAF」ならすぐに反映できるため、脅威による問題が発生した場合に即座に対応できます。

 クラウドタイプのサービスなので、導入時にソフトのインストールやハードウェアの準備をする必要がないため、すぐに導入できます。

  • DDoS攻撃
  • バッファオーバーフロー
  • SQLインジェクション
  • OSコマンドインジェクション
  • ディレクトリトラバーサル
  • クロスサイトスクリプティング
  • ブルートフォースアタック 

上記のようなサイバー攻撃を防止してくれるところは大きなメリットといえるでしょう。

「AWS WAF」のデメリット

「AWS WAF」は、状況にあわせてルール作成ができますが、そのルールを細かく設定する場合には専門的な知識が必要です。そのため、もし何かしらの問題が発生して、その対策として細かなルール設定が必要となった場合、専門スキルや関連する専門知識が乏しいと設定に時間がかかり対応が遅れてしまうでしょう。

AWS WAFから提供されているマネージドルールを利用することも可能ですが、最新のサイバー攻撃から企業のWebアプリケーションを安全に守るためにはセキュリティ対策を更に強化する必要があります。専門ベンダーにより提供されるWAFを導入する方がより確実なセキュリティ対策となるでしょう。

 

正式リリース!AWS WAF運用管理サービス「Cloudbric WMS for AWS」の紹介!

「AWS WAF」で細かなルール設定をする場合には、専門的な知識が必要であるということは前述しました。その対策として、今回紹介するサービスがセキュリティ専門家によるAWS WAF運用管理サービス「Cloudbric WMS for AWS」です。AWSをプラットホームとしたWAFに関連したサービスの1つとして、正式リリースを開始しました。

「AWS WAF」は導入しやすく・コスト的にも優れたWAFサービスですが、安定的な運用のためには専任のセキュリティ担当者が不可欠となります。大手であれば専任のセキュリティ担当者を雇うことも難しくありませんが、中小企業では対応が困難な場合もあります。

AWS WAF運用管理サービス「Cloudbric WMS for AWS」は、AWS WAFにおける効率的な運用管理を実現し、最高のセキュリティレベルを保証します。弊社のセキュリティの専門家によって、低コストで「AWS WAF」のルール作成・最適化・運用や24時間365日体制でのサポートします。自社でのルール作成・管理・運用が難しいことが「AWS WAF」導入の課題としてあるのなら、ぜひとも検討してみてはいかがでしょうか。

 AWS WAF運用管理サービス「Cloudbric WMS for AWS」の料金やサービス内容についての詳細を知りたい方は、こちらをご覧ください。

cloudbric - press release

【2021年11月】定期Webセミナーのお知らせ

by お知らせセミナー情報

「DDoS攻撃」、「脆弱性スキャン」、「Web改ざん」、「不正アクセス」

これらのサイバーセキュリティ被害事例は日々増加する一方です。企業の規模と業種を問わず、攻撃者は常にWebサイトへの攻撃を試みています。

本セミナーではなぜ、WAFを導入するのか。WAFの定義と防御領域をテーマとして、Webサイトの保護に特化したセキュリティ対策としてのWAFの概念と必要性、ネットワーク・セキュリティ製品とWAFの防御領域の差異を詳しく解説します。

巧妙化・進化する攻撃から企業のWebサイトを守るためのセキュリティ対策を検討されている方はぜひご参加ください。

 

このような方にオススメ!

✓そもそも”WAF”とはなにか、もう少し詳しく知りたい

✓Webセキュリティ対策を検討している

✓Webサイトに対するサイバー脅威の種類とそのリスクを知りたい

 

■お申込み : https://zoom.us/webinar/register/WN_yXHyFDQvTVGolVdj8wOABw

■日時 : 2021年11月10日(水)14:00~14:30(30分)
※ 13:50からご入場できます。

■場所: Zoomウェビナー
※ お申込みいただいた方に、視聴用URLをメールにてご案内いたします。

■参加費: 無料

 

DMMオンライン展示会「業務改善DX EXPO ONLINE」

10月20~22日『DMMオンライン展示会「業務改善DX EXPO ONLINE」』出展のお知らせ

by お知らせ

この度、10月20日(水)~22日(金)に開催される『DMMオンライン展示会「業務改善DX EXPO ONLINE」』に出展いたします。

「DMMオンライン展示会」は2020年10月より新規事業として立ち上がったIT企業ならではのノウハウを活かしたオンラインイベント事業です。今回の展示会では、新型コロナウイルスの感染拡大の影響により、従来のやり方から変革が急務とされている業界に焦点をあて、新たな時代のビジネスの種を持ち帰っていただくことをコンセプトとして開催いたします。

当社は、 企業情報セキュリティにて必要とされているすべてのソリューションを統合された一つのプラットフォームで選択導入ができるクラウド型・セキュリティ・プラットフォーム・サービス「Cloudbric」をご紹介します。

参加登録いただいた方は、製品紹介の資料ダウンロードや、1:1個別マッチングが可能となりますので、皆様のご参加をお待ちしております。

 

「DMMオンライン展示会」開催概要

■日時:2021年10月20日(水)~22日(金)

■主 催:合同会社DMM.com

■公式Webサイト:https://exhibition.showbooth.dmm.com/events/dxweek2110/

 

展示製品

クラウド型セキュリティ・プラットフォーム・サービス「Cloudbric」

クラウド型WAFサービス、Cloudbric WAF+(クラウドブリック ワフ・プラス)

クラウド型Remote Access Solution、Cloudbric RAS(クラウドブリック ラス)

Advanced DDoS Protection、Cloudbric ADDoS(クラウドブリック エーディドス)

 

cloudbric - press release

10月13日「2021日韓ITビジネスオンライン商談会」出展のお知らせ

by お知らせ

この度、10月13日(水)に開催される「2021日韓ITビジネスオンライン商談会」に出展する運びとなりましたのでご案内いたします。

「2021日韓ITビジネスオンライン商談会」は、海外への渡航制限が課せられている今、 企業のビジネスチャンス創出を応援することを目的に、 JIETソウル支部・社団法人 韓国貿易協会(KITA)・韓国ソフトウェア産業協会(KOSA)が共同主催したイベントです。

当社は、 企業情報セキュリティにて必要とされているすべてのソリューションを統合された一つのプラットフォームで選択導入ができるクラウド型・セキュリティ・プラットフォーム・サービス「Cloudbric」をご紹介します。

参加登録いただいた方は、製品紹介の資料ダウンロードや、1:1個別マッチングが可能となりますので、皆様のご参加をお待ちしております。

 

出展製品の詳細はこちら

https://www.jiet.co.kr/exhibit/penta-security-systems-k-k/

 

「2021日韓ITビジネスオンライン商談会」開催概要

■日時:2021年10月13日(水) 13:00~17:30

■主 催: 特定非営利活動法人 日本情報技術取引所(JIET)ソウル支部・社団法人 韓国貿易協会(KITA)・韓国ソフトウェア産業協会(KOSA)

■公式Webサイト: https://www.jiet.co.kr/detail/2021-event/

参加お申込み: https://docs.google.com/forms/d/e/1FAIpQLScy1v00BJHIhZZIM2mNbkMfYGQs0drA-g7QiGHTlxc3Cls9TQ/viewform

 

展示製品

クラウド型セキュリティ・プラットフォーム・サービス「Cloudbric」

クラウド型WAFサービス、Cloudbric WAF+(クラウドブリック ワフ・プラス)

クラウド型Remote Access Solution、Cloudbric RAS(クラウドブリック ラス)

Advanced DDoS Protection、Cloudbric ADDoS(クラウドブリック エーディドス)

 

cloudbric - press release

【セミナーレポート】パブリッククラウド、セキュリティの必然性と戦略とは

by ブログ

先日、ペンタセキュリティシステムズ株式会社とデジタル・インフォメーション・テクノロジー株式会社(DIT社)は、「パブリッククラウド、セキュリティの必然性と戦略 」をテーマに共同セミナーを行いました。

パブリッククラウド活用時、最も注目すべきポイントであるセキュリティの必然性と戦略、企業側のマインドセットについて分かりやすく解説していますので、時間があれば、是非チェックしてみてください。

 

それでは、セミナーの内容を簡単にまとめてお届けしたいと思います。

企業のDX進展などに伴い、日本国内のパブリッククラウドサービス市場は高成長を続けています。

MM総研の調査によると、2024年までのクラウドサービス市場全体の年平均成長率は18.4%と高水準になる見通しとなっています。

オンプレミスからクラウドへの移行が進むにつれ、クラウド利用を前提としたシステム開発を進める環境が整い、結果としてクラウドシフトに弾みがつくと見られます。その中でも特に「パブリッククラウド」の場合は、今後も高い成長が続くと予測されます。

パブリッククラウド活用が急速に進んでいる今こそ、改めて、「セキュリティ」を考えてみる必要があります。

従来のオンプレミスでのセキュリティを考えてみると、比較的シンプルでした。「閉じる」、つまり機密性を重視し、情報共有が狭い範囲で行われるようにし、安全性を確保するという考え方であったと言えます。しかし、「オープンされている」、「共有されている」といったパブリッククラウド上では、従来の考え方のままでは問題発生は避けられません。パブリッククラウドといった時代の大きな流れに対して、企業側にも新たな心構えが求められます。

 

クラウドのセキュリティを考えるには、まずクラウドの特殊性を考慮しなければなりません。それは「データ」です。

殆どのクラウドサービスでは「責任共有モデル」という考え方を提案しています。責任共有モデルに基づき、インフラとプラットフォームにおけるセキュリティは、CSP(クラウドサービスプロバイダー、Cloud Service Provider)の責任範囲で、データ保護に関しては利用者の責任範囲となっています。

ここで企業側は責任転嫁モデルと揶揄せずに、データを保護するセキュリティ対策を企業の方で考えて行くという「データ主導権モデル」として取り組んでいく必要があります。

そして、データの主導権を持つ企業自ら、「セキュリティ投資」という観点での対策を立てていく必要があります。企業イメージとお客様からの信頼もセキュリティ投資と直結しているだけあって、ビジネスを守る、事業継続性という考え方での取り組みが必要です。

他にも、パブリッククラウド上で選択できるセキュリティ・ソリューション形態や戦略などについて詳しく解説しておりますので、是非動画をチェックしていただければと思います。また第2弾では、パブリッククラウドを利用されている企業のセキュリティにおける悩みの解決策としての「DIT Security」について話します。こちらも是非チェックしてみてください。

https://youtu.be/gpER3_bE7Yk

 

セミナーの資料ダウンロード

[tek_button button_text=”セミナー資料ダウンロード” button_link=”url:%23popmake-31109|title:%e3%80%90%e3%82%bb%e3%83%9f%e3%83%8a%e8%b3%87%e6%96%99%e3%80%91%e3%83%91%e3%83%96%e3%83%aa%e3%83%83%e3%82%af%e3%82%af%e3%83%a9%e3%82%a6%e3%83%89%e3%80%81%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86||” button_position=”button-center”]
 

【2021年8月】定期Webセミナーのお知らせ

by セミナー情報

本セミナーでは、Cloudbric WAF+の新規機能の使い方、仕様変更のご案内を初め、セキュリティトレンド情報や、導入事例など、パートナー様に役立つ情報をお届け致します。

8月のテーマは「【営業フローのご紹介】よくあるご質問」です。Cloudbric WAF+の営業時のフローとよくある質問などについてご紹介いたします。

 

■日時 : 2021年8月18日(水)15:00

■テーマ : 【営業フローのご紹介】よくあるご質問

■対象:パートナー様

■場所: オンライン(※Zoomウェビナーにてライブ配信で行われます。)

■お申込み : https://zoom.us/webinar/register/WN_MdjvOmBcTliQjmDAIKtxuA

■参加費: 無料

web_攻撃_動向

2021年上半期Webアプリケーション脅威解析レポート公開

by お知らせ

WATTレポート(最新Webアプリケーション脅威解析レポート、Web Application Threat Trend Report)はアジア・パシフィック地域のマーケットシェア1位を誇るWAFの「WAPPLES」とクラウド型WAFサービスの「Cloudbric WAF+」の検知ログをペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が共同分析した結果をまとめたものです。

セキュリティ担当者に向けた最新のWeb脅威情報を提供していますので、ぜひ参考にしてください。

 

WATTレポートのダウンロードをご希望の方は、以下のリンクをクリックしてください。

[tek_button button_text=”WATT Report ダウンロード” button_link=”url:report-download/” button_position=”button-center”]