cloudbric - press release

【情報】2023年第1四半期の最新Web脆弱性トレンドレポート(EDB/CVE-Report)発行

by お知らせ

2023年1月から3月までに公開されたExploit-DBの脆弱性報告件数は195件でした。

報告された脆弱性の分析内容は、以下の通りです。

 

1. Web脆弱性の発生件数:2023年第1四半期の月平均Web脆弱性発生件数は65件で、3月には最も多い72件が報告されました。

2. CVSS(Common Vulnerability Scoring System)* 推移:HIGH Level脆弱性は1⽉54%から3⽉34%まで減少傾向が見られましたが、CRITICAL Levelの脆弱性は46%から65%まで増加しました。
*脆弱性を点数で表記するため、0から10まで加重値を付与し計算する方式です。点数が高いほど深刻度が高いという意味です。

3. 上位Web脆弱性の攻撃動向:2023年第1四半期の場合、SQL Injectionが最も多く、次いでFile Upload、Remote Code Executionの順でした。

1) 1⽉: SQL Injection 73% (45件) / File Upload 9% (6件)
2) 2⽉: SQL Injection 64% (40件) / Remote Code Execution 12% (8件)
3) 3⽉: SQL Injection 76% (55件) / File Upload 5% (4件)

4. Web脆弱性の攻撃カテゴリ:報告されたWeb脆弱性を攻撃カテゴリ別に分析した結果、SQL Injection(72%、140件)が最も多く、次いでFile Upload(7%、13件)となり、全体の約8割弱を占めています。この2つの脆弱性に対しては更に注意を払う必要があります。

 

当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートの分析結果に基づいたパッチ適用やセキュアコーディング作業がおすすめです。しかし、完璧なセキュアコーディングは不可能であり、持続的なセキュリティのためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。

 

*EDB/CVE-Reportはペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が四半期毎に公表している最新Web脆弱性トレンドレポートです。本レポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」より公開されている情報を踏まえ作成されています。EDB/CVE-Reportは、各Web脆弱性に対する危険度及び影響度を詳しく分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていないお客様でもWeb脆弱性のトレンド情報を理解することができます。

 

[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]

 

 

SSL証明書

SSL証明書とは? 必要性や導入のメリット、種類を解説

by ブログ

SSL証明書

SSL証明書は、企業がWebサイトを安全に運営するために欠かせない技術です。SSL証明書を導入することにより、信頼性を保証する効果が見込めます。さらにSSL証明書の導入は社内用、外部ユーザー用に関わらず、運営するサイトの情報漏えいなどのリスクへの対応にもつながります。本記事では、SSL証明書の概要や必要性、導入によって得られるメリット、主な種類について解説します。

 

SSL証明書とは

SSLとは「Secure Socket Layer(セキュア・ソケット・レイヤー)」の略で、SSL証明書(SSLサーバー証明書)とは、Webサイトの信頼性を認証局が認証した電子証明書のことです。SSL証明書には、Webサイトの運営者(組織)が実在していること(実在性)を示す証明と、サイトとユーザーとの間の通信データが暗号化されていることの二つの役割があります。信頼のある第三者認証機関が発行しており、導入していれば信頼性が高いと判断されます。

さらに通信データがSSLによって暗号化されることから、個人情報などの重要なデータを外部から盗み見られることなく、安全にやり取りすることが可能です。SSLはもともと1990年代にNetscape社によって開発された古い規格であり、過去に脆弱性が発見されたこともあります。現在ではSSLのより新しいバージョンであり、より安全性の高い「TLS(Transport Layer Security)」が多く使用されています。

 

・SSL証明書の必要性

近年では、ECサイトなどのEコマースやネットバンキングなどで、個人情報や取引情報がインターネット上でやり取りされる機会が増加しています。SSL証明書が導入されていれば、ユーザーが閲覧しているWebサイトの安全性が保証されます。「なりすまし」の被害防止にも役立ちます。

通信データを暗号化させる働きでは、ECサイトでのショッピング時に送信される個人情報の盗聴を防止できます。SSL証明書がなければ、Webサイトの信頼性を獲得することができません。個人情報の漏えいに不安を感じたユーザーが利用を中断してしまうこともあり、信頼性を得るためにもSSL証明書は必要です。

 

SSL証明書で常時SSL化するメリット

部分的なSSL化では、ログインページやフォームなど限られたページだけがSSL化された状態であり、一定のページ以外は保護されていません。常時SSL化にすれば、Webサイト全体をSSL化でき、セキュリティの向上に効果的です。

常時SSL化によって、サイトのURLは「https」となり、ユーザーとサーバーとの間の通信は常に暗号化された状態になります。通信内容が保護されるため、データの盗聴を防止して個人情報やクレジットカード番号などの重要なデータの漏えいリスクを低減できます。

2014年8月にGoogleは「ランキング シグナルとしての HTTPS」と題し、常時SSL化済みの安全な接続が確立しているWebサイトを検索ランキング要素として考慮することを発表しています。常時SSL化によってサイトの安全性や信頼性が向上するだけでなく、SEO(検索エンジン最適化)にも効果があり、サイト運営者には大きなメリットがあります。

【参考記事】ランキング シグナルとしての HTTPS

 

・ドメイン認証

ドメインとは、Webサイトがどこにあるかを識別するためのインターネット上の住所のことです。「ドメイン認証(DV)」では、認証局が証明書を発行する際にドメインの所有者と申請者とが同じであるかどうかを確認します。認証が行われた場合、ドメインの使用権が証明されます。

ドメイン認証では、暗号化通信だけが可能になり、企業の実在性は証明されません。Webサイトの運営企業が架空ではなく、実在していることは証明できないため、社内向けや個人が運営するサイトなど、実在性が重要視されない場合に用いられます。

ドメイン認証は、3種類の中では最も認証レベルが低く、安価で導入できるSSL証明書です。導入費用は年間3万5,000円ほど、Web上だけで申請手続きを行うことができます。

 

・企業実在認証

「企業実在認証(OV)」は、企業の実在性が証明されるSSL証明書であり、ドメイン認証よりも認証レベルが高い証明書です。ドメイン認証に加え、証明書を発行する認証局が直接、企業が実際に存在しているのかどうかを確認します。

企業実在認証では、帝国データバンクなどの第三者データベース、法人登記の内容、印鑑証明書などで企業の実在性を確認します。企業実在認証を受ける場合には、会社名、住所、電話番号などの情報も確認されます。

Webサイトを運営する企業の実在性が認められることから、ユーザーが個人情報を入力するページがあるコーポレートサイトやSNSなどで多く用いられます。導入費用は年間6万円ほどかかります。

 

・EV認証

EV認証(EV)は、ドメイン認証や企業実在認証よりも認証レベルの高いSSL証明書です。EV認証では、ドメイン認証、申請者が実在することを確認する企業実在認証が行われ、さらに認証局などによって統一された世界的な承認基準で確認されたうえで証明書が発行されます。

証明書が発行されるまでには、申請者の事業内容や所在地、組織構造なども確認されるため、高い信頼性を持つWebサイトであることが保証されます。通信内容が暗号化され、サイトの信頼性が認められるため、フィッシング詐欺の対策としても最適です。

EV認証は、企業の公式サイトや、個人情報・クレジットカード情報などのデータをやり取りするECサイト、金融機関のサイトなどで用いられます。安全性が高い反面、年間契約で13万円ほどの費用がかかります。

 

まとめ

SSL証明書とは、Webサイトの安全性を保証する電子証明書です。サイトの運営者が実在することが証明され、通信データは暗号化されます。導入すると有効期間中には常時SSL化が可能になり、サイトのセキュリティが向上するだけでなく、検索サイトでのランキングにも好影響をもたらします。「ドメイン認証」「企業実在認証」「EV認証」の3種類の証明書は、用途や費用などと考慮して、自社サイトに適したものを選びましょう。

また、Cloudbric WAF+であれば無料でSSL証明書の発行が可能です。申請時の複雑なドメイン設定や費用をかけることなく、HTTPSを適用するWebサイトを登録するだけで発行が可能です。SSL証明書の発行にご興味がある方は下記のサービスページからご覧ください。

▼SSL証明書を発行できる、Cloudbirc WAF+について詳しく見る
https://www.cloudbric.jp/cloudbric-waf/

 

nakajitsu_logo

株式会社不動産SHOP ナカジツ

by 導入事例

株式会社不動産SHOP ナカジツ

愛知・福岡・千葉に30店舗展開し、不動産仲介業(おうち探し館!)の他にリフォーム(Asobi-リノベ)、新築住宅(Asobi-創家(すみか))など幅広く手掛ける「ワンストップサービス」が特徴の総合不動産企業「不動産SHOPナカジツ」。
不動産業界の既存モデルにとらわれず、ユーザーファーストのサービスを展開し、中古住宅+リノベーション事業においては全国3位の実績を誇るなど急成長を遂げている。

Cloudbric WAF+の導入を討したきっかけをえてください。

ずいぶん前のことになりますが、DDoS攻撃を受けて社内システムがダウンしたことがありました。幸いなことに、大きな被害は発生していませんでした。しかし、いつ、どこから仕掛けてくるか全く予測のつかないDDoS攻撃の恐ろしさを改めて実感する瞬間であったし、ホームページやWebサーバーへのセキュリティ対策を見直すきっかけにもなったと思います。DDoS攻撃は、攻撃対象に大量のトラフィックを送り付けてサービスを停止させることが一般的ですが、だからといって全てのトラフィックを遮断してしまうと、正常なトラフィックまで遮断されサービスが利用できない状況が生じてしまいます。うちのホームページに訪ねてくださるお客様に迷惑をかけるわけにはいかないので、我々には異常のあるトラフィックをしっかり遮断し、正常なトラフィックのみを通すことのできる性能の高いセキュリティ対策が必要でした。それでWAFを含め総合的なWebセキュリティ対策を探し始めたのです。

Cloudbric WAF+選定時、最も重視されたポイントをえてください。

誤検知をなるべく起こしたくない、もし起こしたとしてもなるべく速く対応したい、運用面ではそういったところを重視しました。 弊社の場合、ホームページからいらっしゃるお客様が多く、ホームページに障害が起きたり、なんらかの理由でアクセスできなかったりするなど、ホームページが使えなくなる状況がそのまま利益にも関わってくるんです。また、検知率がどんなに高くても、誤検知がそれほど多ければ台無しになってしまうので、検出力を高い水準に維持しながら誤検知率を減少できる製品にしたいなと思いました。
WAFはシグネチャー型とロジックベース型と2種類を検討させて頂きまして、検知率、誤検知率など検知能力が優れているロジックベース型のCloudbric WAF+に決定しました。海外の第三者機関から公認された結果などが非常に分かりやすく示されてあったので、そういうところが決め手になったのではないかと思います。あと、運用時に即時に対応できる仕組みになっていること、そして即対応してくれることもCloudbric WAF+を選択した理由の一つです。

Cloudbric WAF+を利用した感想をお聞かせください。

まず、弊社の場合Cloudbric WAF+の導入において、WAF機能を最優先で考えたのですが、SSL証明書サービスや、基本的なDDoS対策、脅威IPや悪性ボットの遮断など、様々なWebセキュリティ対策を一緒に提供して頂き非常に良かったです。コストパフォーマンス的にも非常に大きなメリットではないかと思います。
Cloudbric WAF+は導入後の約1ヶ月間、遮断モードで運用します。その期間に生成された検知ログをもとに、自社に合ったカスタマイズされたセキュリティポリシーを作成し、これからの運用に反映されるらしいです。実際、遮断モードで検知された約75,000件のログ情報など詳細レポートとして作成していただきました。そしてその情報をもとにセキュリティポリシーを提案して頂き、本当にうちに合ったセキュリティ対策で運用できることが印象的でした。

Cloudbric WAF+の導入後、果はございましたか。

導入後しばらくして、約7万件の攻撃が検知されて少し驚いた記憶があります。Cloudbric WAF+の管理画面上でロシアを発信国としたIPによる不正アクセスが多数発見され、全て遮断することができました。そして、レポートを見て分かったことですが、国家別に例外処理を行わなかった2つのサイトが新たに確認でき、すぐに例外処理を行ったこともあります。今まで気づくことのできなかったセキュリティ的な穴を見つけて対処できるなど、少しずつセキュリティ対策のレベルを高められていると感じております。うちの場合、導入してそんなに 経っていないですが、導入の効果がすぐ目に見えて、大変満足しています。

Cloudbric WAF+を使用した際、最もに入った機能をえていただけますか。

とりあえず、管理画面が相当使いやすくて見やすいです。国別にフィルタリングできたり、例外処理をこちら側でできたりすることがすごく便利でした。そして管理画面上でほぼ全ての操作ができることですかね。すぐに遮断したいってなったときに1回のクリックだけで処理できることは、使う側としてはすごく便利な機能の一つだと思います。
そしてレポート機能なんですが、攻撃の種類や詳細内容について、専門知識のない人でも理解できるように分かりやすく詳しく説明されているので常に参考にしています。

最後に一言お願い致します。

先にも言いましたが、ホームページからいらっしゃるお客様が多いこともあり、うちのWebサイト上で重要な資産情報やの個人情報などを扱っていることもあり、可能な限りの対策を取っていきたいです。先日、ログ情報を確認してみたんです。うちの場合基本日本とアメリカからのアクセスを許可しているのですが、検知結果を見たら結構ブロックされていて、ちゃんと検知できていると考えられます。基本的に運用面で安心してお任せできることは、Cloudbric WAF+の一番のメリットではないかと思います。
また、不正侵入が減っているところで、本当にホームページにアクセスしてくれるお客様がログとして残ってきて、ちゃんとしたログが取れるようになって、アクセス経路の分析により経営戦略にも役に立ってくるかなと思います。

ITmedia Security Week 2023 夏

クラウドブリックとペンタセキュリティ、「ITmedia Security Week 2023 夏」にて、『サイバー被害を 横展開しない、セキュリティ戦略の3つのポイント』をテーマに講演

by プレスリリース

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)と情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、2023年5月29日(月)~6月5日(月)に開催されるITmedia主催セミナー「ITmedia Security Week 2023 夏」にて、講演を行います。

ITmedia Security Week 2023 夏

・セミナー概要

セキュリティ事件・事故が多数報道される中、企業・組織のセキュリティ意識は着実に高まっています。ゼロトラスト/SASE、XDR、アタックサーフェスマネジメントなど、概念・ツール類も発展し、対策を高度化させる環境も整いつつあるといえるでしょう。しかし、今検討している対策やツール類は、本当に「自社にとって」必要、有効と言い切れるでしょうか。セキュリティ対策に限らず「最新=最善」ではありません。「ITmedia Security Week 2023 夏」では、多様な選択肢の中から貴社の目的・状況に対して「本当に必要な対策」を見出す視点を提供します。

  • 名称:ITmedia Security Week 2023 夏
    そのセキュリティ対策、「本当に」自社を守れますか?今持ち直すべき観点、見直すべき対策とは
  • 開催日時:2023年5月29日(月)~ 6月5日(月)
  • 形式:ライブ配信セミナー
  • 視聴参加費:無料(事前登録制)
  • 主催:@IT、ITmedia エンタープライズ、ITmedia エグゼクティブ
  • 対象者:経営者、経営企画の方、社内情報システムの運用・方針策定をする立場の方、企業情報システム部門の企画担当者、運用管理者、SIerなど

・ペンタセキュリティの講演について

  • 日時:2023年5月29日(月)11:30~12:00
  • タイトル:サイバー被害を横展開しない、セキュリティ戦略の3つのポイント
  • 講演概要:
    多くの企業がつながり新たな価値を生む昨今、自社のセキュリティ不備が取引先やお客様にサイバー被害を横展開し、社会的リスクを生み出します。本セミナーは、ビジネスを守る企業戦略としてリスクを『認識』『対策』『予防的対処』の3つのポイントから解説し、一貫性と持続性のあるWebセキュリティ対策を提案します。

 

・ご視聴方法

下記のサイトにて事前登録をお願いします。
https://v2.nex-pro.com/campaign/54993/apply?group=cl
ご登録のメールアドレスに視聴URLの案内が届きます。当日は、視聴URLにアクセスの上、事前登録にて登録いただいたメールアドレスでログインしてご視聴ください。

AWS WAF Ready

クラウドブリック、AWS WAF レディプログラムのローンチパートナーに認定

by プレスリリース

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)は、アマゾン ウェブ サービスが提供するWeb Application Firewall「AWS WAF」で新しくローンチされた「AWS WAF レディプログラム」のローンチパートナーとして認定されたことをお知らせします。

※日本では、ペンタセキュリティシステムズ株式会社の日本法人がCloudbricの販売を行っております。

AWS WAF Ready

 

「AWS サービスレディプログラム」とは、AWS WAFと併せて使用可能なソフトウェアソリューションを提供するパートナーを選定し、広報活動を行うためのプログラムです。特定のAWS サービスと連携するAWS パートナーが構築したソフトウェア製品を検証するように設計されており、AWS パートナーソリューション設計者により、健全なアーキテクチャ、AWSのベストプラクティスへの準拠、そして市場におけるお客さまの成功事例を含む技術的な検証を通過した企業のみがAWS サービスレディプログラムに登録されます。

クラウドブリックは、AWS Marketplaceを通じ、脅威インテリジェンス基盤のAWS WAF専用マネージドルール(Managed Rules)セットを提供しています。クラウドブリックのマネージドルールセットは、IP評価リストおよびOWASP Top10に対応しており、広範囲に適用することができます。当該のルールセットはクラウドブリックのセキュリティ専門知識と技術力を基盤に開発され、クラウドブリックで運営しているCloudbric Labsの脅威データを活用し、また最新の攻撃トレンドの研究を通じ、セキュリティ脅威に迅速に対応できるようアップデートおよび管理を実施しています。

 

クラウドブリック株式会社 代表取締役の鄭は、次のように述べています。

「AWSの検証を通じ、クラウドブリックのマネージドルールセットが、サイバー脅威の軽減につながるということをお客さまに証明することができました。また、韓国初のクラウド型セキュリティ(SaaS)企業として、10年に及んで培ってきたクラウドセキュリティの専門知識を活かし、ユーザーに対して、よりセキュアなオンライン環境を提供できるように努めていきます。」

 

Cloudbric 脆弱性診断

クラウドブリックとペンタセキュリティ、 Web サイトに特化した脆弱性診断サービスの提供を開始

by プレスリリース

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)と情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、2023 年4 月12 日より、「Cloudbric 脆弱性診断」の新サービスとして企業のWeb サイトに特化した「Web サイト診断」の提供を開始します。

 

Cloudbric 脆弱性診断

  • サービス提供開始の背景

デジタル技術の進展により、インターネットをはじめとする情報通信ネットワークは私たちの社会にとって欠かせないものとなりました。特にここ数年、新型コロナウイルスの流行によって、世の中のデジタル化が急速に進行しています。総務省の調査*によると、Webサイトを開設している企業の割合は全体の90.4%にのぼっており、企業にとってWeb サイトは必須のものといえます。一方で、情報通信ネットワークを介したセキュリティ被害も急増しており、52.0%の企業が何らかのセキュリティ被害を受けたことがあることが分かっています。

しかし、セキュリティ対策を積極的に推進できない企業があるのも事実です。費用の問題や被害の影響範囲を小さく見積もってい
ることが考えられます。例えば、「自社のWeb サイトは静的なページのみなので、攻撃されないだろう」と思う企業もあるかもしれませんが、近年頻発している「サプライチェーン攻撃」に代表されるように、自社を経由して関連会社や取引先を侵害することもありえるため、Web サイトを公開している企業は常にサイバー脅威にさらされているのだという危機意識を持つ必要があります。

こういった企業を取り巻く状況を鑑み、「Cloudbric 脆弱性診断」においてもWeb サイトに特化した新しいサービスを迅速かつリ
ーズナブルな価格で提供することで、お客さまのWeb サイトのリスクの早期発見とサイバーセキュリティ対策の一助になることを目指します。

*総務省「令和3 年 通信利用動向調査報告書(企業編)」 https://www.soumu.go.jp/johotsusintokei/statistics/pdf/HR202100_002.pdf

 

  • 「Cloudbric 脆弱性診断」および「Web サイト診断」について

「Cloudbric 脆弱性診断」は、セキュリティのエキスパートによる脆弱性診断と114 カ国から収集した独自の脅威インテリジェンスを利用できるサービスです。診断は、システムの基盤となるミドルウェアやOS などの診断を行う「プラットフォーム診断」、Web サイトやWeb アプリケーションのセキュリティ脆弱性を診断する「Web アプリケーション診断」、それから今回新た加わるWeb サイトに特化した「Web サイト診断」があり、お客さまの環境およびニーズに応じて必要な診断を選択することができます。

「Web サイト診断」は、企業のWeb サイトに対し、外部の攻撃者からの目線で有益な情報が収集できる状態になっていないか
を調査し、脆弱性を見逃すことなく、サイバー脅威のリスクから企業を守ります。必須診断項目の含まれたベースプランと、Web サイトの構造や属性に合わせて選択できる2 つのオプション(Web アプリケーション診断要素を加えたものとプラットフォーム診断要素を加えたもの)を用意しています。

 

■サービス概要
サービス名:Cloudbric 脆弱性診断(プラットフォーム診断・Web アプリケーション診断・Web サイト診断)
提供開始日:2023 年4 月12 日
URL:https://www.cloudbric.jp/security-assessment/

▼Cloudbric 脆弱性診断に関するお問い合わせ
https://www.cloudbric.jp/inquiry/

JP-hosting_logo

JP-HOSTING

by 導入事例

JP-HOSTING

JP-HOSTINGは、東京を拠点にサーバーの賃貸とホスティング事業を行っています。グローバル企業のEQUINIX、FORTINET、SOFTBANKなどとパートナーシップを持っており、データセンター専用回線を通じてより安全で快適なサーバー管理をお手伝いしています。

Cloudbricの導入を検討したきっかけを教えてください。

2016年頃から増え続けるサイバー攻撃への対策として社内でWAF導入を検討しました。最初の段階では自社開発も考慮しましたが、しつこい攻撃や進化する手法には到底かなわないと判断しました。当社の場合、どんなに小さな脆弱性であっても見逃すことなく防御できる高性能の企業向けWAFが必要だったため、セキュリティ分野で比較的知名度の高いブランドで技術力の高いCloudbric WAFを選択しました。

WAF選定時、最も重視されたポイントを教えてください。

先ほども言いましたが、知名度の高いブランドというのは、特にセキュリティ分野ではかなり重要なポイントであると思います。ただし同じ条件ならば、やはりコストが最もリーズナブルなサービスが優先されるでしょう。そういった意味で、リーズナブルな料金で高度のWebセキュリティ対策を利用できることが大きなメリットでした。Cloudbric WAFはクラウド基盤で提供されるため、オンプレミス型と比べたら初期費用を低く抑えることができます。それに「FQDN数」と「ピーク時のトラフィック」を基準にきめ細かいプランになっていて、当社環境に最適なプランを利用し高いレベルのWebセキュリティ対策を備えることができました。

クラウドブリックを利用した感想をお聞かせください。

Cloudbric WAFサービスは24時間365日技術サポートを提供してくれます。導入してからずっと思っていることでもありますが、お問い合わせに快速に対応してくれるという印象があります。コミュニケーションのスピードが速いながらも、充実にサポートしてくれてすごく助かった経験があります。

クラウドブリックの導入後、効果はございましたか。

Cloudbric WAFの導入後、 確実に当社サーバファーム(SERVER FARM)への攻撃が減っていて、攻撃対応にかかる手間やコストも大幅に削減することができました。そして、攻撃に対する綿密な対応ができるようになりました。Cloudbric WAFのダッシュボードにて詳細ログ情報の閲覧・SNMP登録・アラートボット(Notification Bot)の設定など様々な機能が提供されますが、それらをElasticsearchのような可視化ツールと連携させることで、攻撃ログやそのフローなどを把握することもできます。これによって、発生しうる攻撃への予防にも役立っています。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

誰でも簡単に使えるダッシュボードではないかと思います。セキュリティに詳しくない人でも、一回触ってみたらすぐに覚えられるほどの直観的で分かりやすくなっています。それに、リアルタイム性や正確度も優れていると思います。個人的には、攻撃のログ統計や分析のみならず自動レポート作成など、Cloudbric WAFにて提供される様々な機能を簡単に使えるようになっていて非常に便利でした。たった1回のクリックで例外URLを登録できるというところもユーザの立場を考慮した繊細な機能だと思います。

最後に一言お願い致します。

Web攻撃対応の基本対策としてのWAFの導入を検討している企業も多いと思いますが、多くの企業が見落としやすいことは、Web攻撃は「いつ攻撃してくるか分からない」「思ったより頻繁に起きている」「大したことじゃないと思った攻撃によって致命的なリスクを負う可能性もある」という点です。実際に、administratorのスクリプトと攻撃者のスクリプトは類似しているため区分が極めて難しいです。だからこそ、WAFの導入時には、あらゆる観点からの全ての項目を比較・検討した上で導入を決める必要があります。我々の経験からみると、セキュリティ技術、導入の手続き、自社環境に合わせて構築できるという点、徹底したサポート体制において、Cloudbric WAFは確信頼できる製品だと思っております。細かいところまでコントロールできるGUIやIPもしくはURL経路のThreshold Triggerなどが備わっているため、利便性が高いところもおすすめポイントだと思います。もしWAF導入を検討されているIT担当者なら、Cloudbric WAFをぜひチェックしてみても良いと思います。

オンプレミスとクラウド

オンプレミスとクラウドの違いを解説 特徴や項目を比較

by ブログ

オンプレミスとクラウド

 

「オンプレミス」と「クラウド」は、運用形態だけでなくサービスの利用においてもさまざまな違いがあります。オンプレミスとクラウドではサーバーの運用主体が異なるため、導入時に係るコストからサービスの内容、サービスを使用するために必要な管理保守の範囲なども違います。この記事では、オンプレミスとクラウドの違いを項目ごとに分けて紹介します。

 

オンプレミスとクラウドの特徴

オンプレミスとクラウドは、どちらもネットワークシステムの運用形態です。システムの構築方法からデータの保存方法などさまざまな違いがある各サービスの特長を紹介します。

 

・オンプレミス

オンプレミスとは、サーバー機器やネットワーク機器、ソフトウェアなどを自社内に設置し、社内の担当者が運用する形態のことです。「自社運用」とも呼ばれます。すべてのシステムを自社で運用、完結しているのが大きな特長です。

社内でのみ使うことから、自社の業務に最適なシステムを構築・運用できます。オンプレミスには、データセンター内でシステムを運用するタイプもあります。データセンターで運用する場合は、自社のサーバールームを利用するよりもセキュリティが高く災害に強いなどのメリットがあります。

 

・クラウド

クラウド(クラウドコンピューティング)とは、インターネットを介してクラウドサービス事業者が所有・管理しているサーバーやストレージ、アプリケーションなどにアクセスして使用する運用形態です。インターネット上からクラウドに接続するだけで、サービスとして提供されるソフトウェアの実行環境やソフトウェア、データサーバーなどを使用することが可能です。

そのためクラウドを使用すると、業務に使用するIT機器やソフトウェアなどを自社で購入して環境を構築・管理するなどの費用や手間がかかりません。インターネットに接続できる環境やパソコン・タブレットなどの端末があればどこからでも契約しているクラウドサービスをすぐに使用を開始できるところも、クラウドの特長のひとつです。

現在では、新型コロナウイルス感染対策や働き方改革などによるテレワークの推進・普及により、クラウドサービスへの移行を行う企業が増加しています。

関連記事:セキュリティ・サポート・コストパフォーマンス全てに優れたパブリッククラウドとは

関連記事:クラウドサービスの日本での利用実態と必要性

 

・クラウドハイブリック

上記のほかに、クラウドハイブリックの形態もあります。クラウドハイブリックは、複数の企業が共有で使用するクラウドサーバー「パブリッククラウド」と自社専用のクラウドサーバー「プライベートクラウド」、物理サーバーなどの各種クラウドや物理サーバーを組み合わせて行う形態です。

セキュリティが高いプライベートクラウドと拡張性が高いパブリッククラウド、処理能力が高い物理サーバーといった、各サービスのメリットを取り入れたハイブリッドなクラウドを構築して、メリットの高い運用が可能になります。

オンプレミスとクラウドの項目別による比較

オンプレミスとクラウドでは、メリットやデメリット、特長に大きな違いがあります。コスト、カスタマイズの自由度、災害リスク、セキュリティなど、項目別に異なる点を比較していきます。

 

・コスト

オンプレミスやクラウドの使用には、導入コストと運用コストがかかります。オンプレミスの場合はサーバーやネットワーク機器を購入して自社内に設置・環境を構築しなければならないため、かかる導入コストは高額です。導入後は、ソフトウェアやシステム使用にコストが発生しません。ただし、自社でシステムの運用保守をするために人件費がかかります。

クラウドでは、サービス事業者が管理しているサーバーやアプリケーションなどのサービスを使用するため、自社サーバーの設置費用がかかりません。サービスの使用料を支払うだけになり、導入コストは抑えられます。使用には月額料金が発生しますが、運用保守の人件費は不要、一度に高額のコストがかかることはありません。

 

・カスタマイズにおける自由度

クラウドよりもオンプレミスの方がカスタマイズ性が高い特長があります。オンプレミスは自社でサーバーを設計して専用のネットワークシステムを構築するため、自社の業務に適した仕様にカスタマイズすることが可能です。

クラウドではサービス事業者が提供しているサービスを使用します。提供されるサービスの範囲内で使用するため、自社専用システムを構築する場合と比較すると、細かいカスタマイズはできません。

 

・災害などのリスク

オンプレミスでは自社内にサーバーを設置しているため、建物が自然災害により被害を受けた場合、バックアップデータまで消失する恐れがあります。サーバーに不具合が出た際には自社で復旧を行わなければなりません。専門知識を持つIT人材の不足が懸念されている現在では、担当者の不在などにより災害時の備えが難しいケースもあり注意が必要です。

対してクラウドの場合は、企業が災害に遭ったとしてもシステムやデータはサービス事業者のサーバー上で管理されているため物理的な被害を受けにくい特長があります。システム上の不具合が発生した場合には、サービス事業者が復旧作業も行います。企業はインターネットを介して復旧されたことが確認できたら、そのままサービスの使用が可能です。

 

・セキュリティ

オンプレミスは、自社で設計・開発を行うため、高いセキュリティを求める場合には独自で強固なセキュリティ環境を構築することが可能です。ネットワークが企業の外部に接続していないことからも、利用者が制限され強固なセキュリティ体制が構築されます。

クラウド型では、サービス事業者が提供しているソリューションのセキュリティ対策により安全に使用することが可能です。サービス事業者は経済産業省が公表する「クラウドセキュリティガイドライン」など安全性を高めるための対策を実施し、事業者ごとにそれぞれ異なるセキュリティ対策が組まれています。クラウドサービスのセキュリティを重視する場合には、自社のセキュリティ基準に対応しているかなどを確認することが重要です。

 

・管理と保守の手間

社内にサーバーを設置しているオンプレミスの場合、サーバーの管理と保守が必要になります。それに伴い、管理・保守を行う運用担当者の人件費や管理費用などがかかります。サーバーの保守期限が訪れた際には、その都度アップグレードもしなければなりません。

対してクラウドの場合には、企業側はサービスを使用するだけで、管理と保守の手間がかかりません。サーバーの保守・管理はサービスを提供する事業者が行うため、サーバーのメンテナンスや保守期限への対応をすべて任せられるメリットがあります。

 

 

まとめ

オンプレミスは、自社内にネットワークやサーバーを設置して保守管理まですべてを行う運用形態です。仕様を自由にカスタマイズ可能、高いセキュリティが実現できますが、導入時には高額のコストがかかります。また、災害時のデータ損失、不具合時の復旧対応、保守管理の手間などに不安があります。

対して、クラウドでは業者がサービスとして提供しているサーバーやアプリケーションなどを使用します。月額料金を払って選択したサービスを利用する形になるため、セキュリティの高さは事業者によって異なり、導入時に大きなコストはかかりません。さらにデータの保護から保守管理までを事業者に任せられます。運用形態は特長がそれぞれ異なるため、目的に沿って導入を決めることが重要です。

 

 

シャトレーゼ株式会社

株式会社シャトレーゼ

by 導入事例

株式会社シャトレーゼ

株式会社シャトレーゼは素材にこだわった安全・安心なお菓子作りを行っています。自社工場近隣の契約農家から毎日新鮮な卵や牛乳、フルーツを使用し、ケーキや洋菓子、和菓子、アイスなど約400種類のスイーツを全国のシャトレーゼで販売しています。

Cloudbricの導入を検討したきっかけを教えてください。

シャトレーゼのホームページは十数年前に作られたものですが、比較的最近まではアプリケーションの脆弱性やセキュリティに関するところなどにあまり意識がありませんでした。それが、2015年に大規模な情報漏洩事件が国内外で続々と報じられたこともあり、「情報の管理体制を見直すべきだ」という声が上がってきました。数万人規模の会員を保有しているうちのホームページの場合、オンラインショップを通じての通信販売にも積極的で、沢山のお客様の個人情報を取り扱っていました。そういうわけで他社のWAFも含めて総合的に精査・検討した上で2018年、クラウドブリックのWAFの導入を決めました。そして、今回新しくロンチングしたYATSUDOKIという別ブランドのホームページに対しても、セキュリティを充実にさせたいというところでクラウドブリックを導入しています。

WAF選定時、最も重視されたポイントを教えてください。

コストです。費用対効果と言い換えられますが、クラウドブリックは非常にコストパフォーマンスに優れていると思います。企業規模に合わせて、エコノミーやビジネスなど様々なプランが用意されていたため、最適なプランで最高のセキュリティを導入することができています。

それに、無償トライアル期間中に実際使ってみてからずっと感じていたことでもありますが、管理画面のUIが使いやすくて機能面でも充実しているところがメリットだと思います。いくら良い機能がついていたとしても、使われない機能になってしまうと結局意味がないと思いますので、期間バーを少し調整するだけで特定の日の検知数を簡単に確認できるなど、必要な機能を分かりやすく、詳しく提供してもらえることは、ユーザの立場としてはかなり重要なポイントだと思います。

クラウドブリックを利用した感想をお聞かせください。

クラウドブリックの導入後、大変満足しておりまして感想を一言でいうと「導入しやすさ、運用のしやすさ、手厚いサポート」ですかね。普通、情報セキュリティに詳しくないと導入時の敷居も高くなりがちですが、クラウドブリックはその点について不便に思ったことは全くありませんでした。導入や運用のしやすさについては導入前にも説明していただきましたが、実際に導入・運用してみたらそれが思った以上に簡単でした。そして困ったことやお問い合わせに対して電話やメールで快速・丁寧に対応して頂きますし、導入時も、導入後も変わらない手厚いサポートを受けておりますので業務効率も高めることができました。Webサイトセキュリティはクラウドブリックに任せられるのでいつも安心して他の業務に取り組むことができます。

クラウドブリックの導入後、効果はございましたか。

大手企業N社のWAFがDDoS攻撃と間違えて正規のアクセスまで拒否してしまうということもあるらしいですが、他のWAFと違って基本ソフトが単純なパターンマッチングではないということで、ロジックを見極めて攻撃を検知・遮断するという方式だったのも導入時にクラウドブリックに決定した大きなきっかけでした。実際運用してみたら、シグネチャー型と違って攻撃パターンの更新がいらないため、非常に稼働率が高く手間がいらなかったです。そして、クラウドブリックWAFに採用されているAIエンジンにより誤検知がさらに軽減され攻撃だけを検知、遮断できるようになり、さらに高度なセキュリティを確保できたと思います。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

ダッシュボード機能です。これによりサイバー攻撃の見える化が実現できました。クラウドブリックではダッシュボード機能によりリアルタイムで攻撃状況を把握できます。それでITリテラシーの低い従業員でも視覚的に状況を確認することができています。そして、攻撃に関する詳しい情報やセキュリティ現況などをレポート出力できるため、関係者での情報共有や報告にも容易だと思います。

最後に一言お願い致します。

昨今、サイバー攻撃は激化の一途をたどっていると思います。ホームページについても連日、情報漏洩のニュースもあり、こうしたWebアプリケーションへの攻撃対策は必須です。クラウドブリックを導入することで安心してホームページを運用できるようになっております。弊社の場合海外にも店舗があって、それ用のWebサイトも構築するなど、今後も活発にビジネスに取り組みたいと思います。新規でホームページを立ち上げることになった場合は、積極的にクラウドブリックを活用していきたいと思います。

脆弱性診断とは

脆弱性診断とは?診断の必要性や種類を解説

by ブログ

脆弱性診断とは

社内システムや提供しているWebアプリケーションのセキュリティを向上させるには、「脆弱性診断」を実施することが大切です。
この記事では、脆弱性診断の「脆弱性」とは何かといった基本的な知識から、診断が必要な理由について解説します。また、脆弱性診断を行う方法や種類も紹介します。実施を検討される際には、ぜひ参考にしてみてください。

 

脆弱性診断とは

日常的にインターネットを使う現代において、不正アクセスやサイバー攻撃の脅威から身を守るための対策は不可欠です。ここではそのうちの「脆弱性診断」について、基本知識から解説します。

 

・脆弱性とは

「脆弱性(ぜいじゃくせい)」について、総務省では以下のように定義付けています。

「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと」

引用元:総務省「国民のための情報セキュリティサイト」

セキュリティ上の落とし穴といった意味から「セキュリティホール」とも呼ばれており、近年は脆弱性を悪用した不正アクセスなど、サイバー攻撃の手法も巧妙化してきています。あらゆる企業にとって、自社の脆弱性についてしっかり把握し、セキュリティ対策を講じることは非常に重要です。

 

・脆弱性診断について

「脆弱性診断」とは、ネットワークやOS、Webアプリケーション、サーバー、ミドルウェアなどに潜んでいるセキュリティ上の欠陥、つまり脆弱性をチェックし、悪用される恐れがないか診断することを指します。

悪意を持った不正アクセスやサイバー攻撃を未然に防ぎ、自社サイトや機密情報などを守るためには、基本的なウイルスチェックやバージョンアップなどの対策が不可欠です。しかし、それらとともに、定期的な脆弱性診断も併せて行うことで、さらにリスクを減らせるようになります。

 

脆弱性診断を行う必要性

・情報セキュリティにおける危険性を下げるため

脆弱性があるのにもかかわらず放置していると、セキュリティが甘い状態で不正にデータが抜き取られたり、ネットワークを破壊されたりするおそれがあります。また、サイバー攻撃を受けてからの対応になれば、その分被害が大きくなるリスクも高まります。

脆弱性診断は、攻撃を受ける可能性がある欠陥や不具合を、事前にチェックするものです。攻撃を受ける前に対策を打てれば、大事に至る前にリスクを減らせるようになります。また、脆弱性診断は比較的安価にできるセキュリティ対策のため、普段から定期的に実施しておけば、対策にかかる全体的なコストを低減させられるのもメリットです。

 

・ユーザーが安心してサービスを利用できるようにするため

今やインターネットは生活の必需品となり、日常的に使われる存在になっています。
自社のサービスが、Webサービスやアプリケーションなどインターネットを介して提供しているものであれば、ユーザーに安心して利用してもらえるように脆弱性診断は欠かせません。検査する項目ごとに診断頻度を設けて定期的に確認しておくと、ユーザーからの信頼感も高まり、結果としてサービス利用者が増えていくことにつながります。

 

脆弱性診断の種類

「脆弱性診断」と一言でいっても、実はさまざまな種類があります。ここでは実施方法として、「ツールで自動化する方法」と「手動で行う方法」の2パターンについて解説します。

・ツールによる脆弱性診断

脆弱性を発見する方法に診断ツールを利用する方法もあります。たとえば、Webアプリケーションのリリース(公開)前に自動的に実施するツールの多くは、有償でも価格の割に高性能なのが特徴です。

また、すでにリリースされているアプリケーションに対して診断するツールもあり、安価で気軽に使えることから必要に応じて利用するのも一案です。脆弱性診断ツールにはさまざまな種類があり、使いこなすための難易度も、それぞれ異なります。

 

・手動による脆弱性診断

セキュリティエンジニアと呼ばれるような、セキュリティに関する高度な知識や経験を持った専門家に依頼し、人の手で診断して結果を報告してもらう、といった方法があります。機械では発見するのが困難な脆弱性を発見できるのが強みで、たとえば仕様上のミスに起因する脆弱性などであれば、この方法がおすすめです。一方で、手動の脆弱性診断では診断に人員を動員するため、診断範囲や稼働日数などを踏まえた設定を行う必要があります。画面遷移が多く複雑なWebアプリケーションなどの場合は、おのずと検査項目も増えるため、予算とのバランスを考えることが必要です。

手動による脆弱性診断のサービスに「Cloudbric 脆弱性診断」があります。診断を行う技術者は定期的にインシデント情報や最新の脆弱性情報を収集・解析しているセキュリティのエキスパートです。また、診断の結果に合わせてサイバー脅威に対するサービスのご提案および導入サポートを行うほか、診断内容に応じたプランもあります。詳しくは下記サービスページをご確認ください。

関連記事:Cloudbric 脆弱性診断

 

脆弱性診断を行う箇所

脆弱性診断を実施する箇所としては、大きく分けると「プラットフォーム」と「Webアプリケーション」の2種類があります。

・プラットフォームにおける診断

プラットフォーム診断では、インターネットに公開されているネットワーク機器やPC、サーバーなどの状態をチェックします。そしてOSやミドルウェア、ソフトウェアなどに潜んでいる問題や不具合が起きうる脆弱性はないかを洗い出す診断です。OSやミドルウェアは世界中で使われているため、頻繁に脆弱性が発見されており、公表されています。

近年は、「ゼロデイ攻撃」と呼ばれる脅威が増加しています。これは、OSやソフトウェアに対する脆弱性が発見されたときに、メーカーが修正プログラムを配布するまでのわずかな間に行われる攻撃のことです。こうした知識についてもしっかり持っておくことが重要です。

 

・Webアプリケーションにおける診断

具体的な業務の遂行に特化したWebアプリケーションに対して、脆弱性診断を行うものもあります。Webアプリケーションの対象は多種多様で、脆弱性の発見箇所もさまざまです。ECサイトやゲームアプリ、SNSなどを運営していれば、顧客情報を管理していることも多いため、あらかじめ脆弱性がないかを定期的に診断し対策することが、利用者の安心につながります。

Webアプリケーションの脆弱性診断を行うことで、不正アクセスによる情報漏えいなどを防げるだけではなく、意図せず加害者になることも避けられます。

 

 

まとめ

近年はインターネットを介してサイバー攻撃の手法が巧妙化してきていることから、企業はより高度なセキュリティ対策を求められています。基本的なウイルスチェックのみならず、定期的な脆弱性診断を実施することで、機密情報や顧客情報など重要なリソースを守り、ユーザーに安心して利用してもらえることにもつながります。診断にはさまざまな種類があるため、自社にとって最適な方法をぜひ検討してみてください。