cloudbric - press release

クラウドブリック、「インターネットによる、人々のための革新と信頼 Interop Tokyo 22」に初出展

by お知らせプレスリリース

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(英文社名:Cloudbric Corp. 代表取締役:鄭 泰俊、http://139.162.127.206/jp)は、2022年6月15日(水)から17日(金)まで3日間、幕張メッセで開催される「インターネットによる、人々のための革新と信頼Interop Tokyo22」に出展いたします。クラウドブリックはクラウド及びエッジコンピューティング技術を活用し、IoT&End-Point保護サービス、サイバーセキュリティ研究所など、幅広い分野で活用できるクラウド型セキュリティサービスを研究・開発しています。 今回の展示会では、「Cloudbric WAF+」「Cloudbric ADDoS」「Cloudbric WMS」「Cloudbric CDN」を展示し、ますます高度化、巧妙化されているサイバー攻撃に対し、より安全に企業のWebシステムを守るセキュリティサービスを紹介します。

Interop Tokyo 22 logo

・これまでのWAFを超えるWAAPサービス、5in1Webセキュリティ対策「Cloudbric WAF+

Cloudbric WAF+はWebアプリケーション、Webサイト等のWebを基盤としたシステムを守るクラウド型WAAPサービスです。企業のWebセキュリティ確保のために必要とされているWAFサービスからDDoS防御対策、SSL証明書、悪性Bot遮断、脅威IP遮断まで5つのセキュリティ機能を一つのサービスにて統合的に提供します。マネージドサービスを提供することで、社内にセキュリティ担当者がいなくても手軽に導入・運用できる企業向けWebセキュリティ対策です。

・エッジコンピューティング技術で高度化されたDDoS防御対策「Cloudbric ADDoS

全世界の60のエッジロケーションのFull Stack Edge Networkを活用した高度化されたDDoS防御対策です。リアルタイムでトラフィックを監視し、発信元から最も近いEdgeにてワークロードを分散処理し、最大65Tbpsのトラフィックまで緩和することができます。各Edgeにて不正なふるまいに対して自動対応を行い、グローバルどのロケーションからの攻撃であっても検出・遮断できる最先端のサービスを提供します。

・ユーザからより近いところで、安全かつ迅速にコンテンツを配信するサービス「Cloudbric CDN

全世界の60のエッジロケーションを活用し、ユーザがいる場所から物理的に最も近いネットワーク拠点にてコンテンツをキャッシングし、待機時間を大幅に減らすことができるサービスです。各エッジロケーションからオリジンサーバに配信されるトラフィックを分散処理するため、トラフィックが急増してもCloudbric CDNネットワークにすべてのトラフィックをオフロードするだけで、サービスの停止やダウンタイムを最小化することができ、安定かつ円滑なサービスの提供が可能になります。

AWS WAFを最も効率的に管理する基準「Cloudbric WMS

ルール作成、新規脆弱性の対応、誤検知の対応などAWS WAFの導入から利用までセキュリティ専門家がサポートするマネージドサービスです。アクセスログ分析とモニタリングしたデータに基づき、ユーザ環境に最適化されたルールを反映し、脅威インテリジェンス基盤の高度化された攻撃検出性能と分析により最も効率的かつ安全なAWS WAFの運用を提供します。

 

■展示会概要
【リアル展示会】
▶名称:Interop Tokyo 2022
▶会期:2022年 6月15日(水)~6月17日(金)
▶会場:幕張メッセ(国際展示場 展示ホール4~6/国際会議場)
▶主催:Interop Tokyo 実行委員会
▶開催時間:10:00~18:00(最終日は17:00まで)
▶開催形式:会場開催(5,000円(税込み)/Web事前登録により無料)
▶ブース番号:5K13(ペンタセキュリティシステムズ、クラウドブリック)

【オンライン展示会】
▶会期:2022年6月20日(月)~7月1日(金)
▶会場: 公式サイトにて実施(https://www.interop.jp/)

■クラウドブリック株式会社について
クラウドブリック株式会社は、アジア・パシフィック地域マーケットシェア1位を誇るWebアプリケーションファイアウォールの開発企業「ペンタセキュリティシステムズ株式会社」の社内ベンチャーとしてスタートした、「クラウドに特化したセキュリティ企業」です。2015年クラウド型WAFサービスのリリース以来、 日本国内614社超、 7,582サイト以上(2021年12月末現在)を保護するなど成長を続けております。現在、Webセキュリティ対策「Cloudbric WAF+」、リモート・アクセス・ソリューション「Cloudbric RAS」、DDoSミティゲーション・サービス「Cloudbric ADDoS」など、企業のセキュリティ課題に応えるための様々なクラウド基盤セキュリティ・サービスを展開しております。尚、クラウド及びエッジコンピューティング技術を活用し、IoT&End-Point保護サービス、サイバーセキュリティ研究所など幅広い分野で活用できるセキュリティ・プラットフォーム・サービスを研究・開発しております。

cloudbric blog post

2022年ゴールデンウィーク休業のお知らせ

by お知らせ

時下ますますご隆昌のことと存じます。

日頃より、弊社へのご支援およびご協力を賜り厚く御礼を申し上げます。

さて、2022年ゴールデンウィーク休業期間における休業および営業について、下記のとおりお知らせいたします。

■ゴールデンウィーク休業期間

2022年4月29日(金) ~ 2022年5月5日(木)
※通常業務は、2022年5月6日(金)より開始致します。

■休業期間中の対応について

Customer Support Center上での受付は通常通り行います。
なお、休業中のお問い合わせにつきましては、2022年5月6日(金)以降に順次対応させて頂きます。

大変ご迷惑をおかけ致しますが、何卒ご了承くださいますようお願い申し上げます。

ZTNA image

ZTNAソリューションの種類、メリットから導入時のチェックポイントまで

by ブログ

ZTNA image

コロナ禍をきっかけにリモートワークの普及が進み、社外から社内のネットワークにアクセスするVPN接続の利用も広がっています。しかし昨今、VPN接続を狙ったサイバー攻撃も増加しつつあり、ネットワークのセキュリティ対策の重要性が見直されつつあります。近年、ネットワークのセキュリティに関して注目を集めているのが、ZTNAと呼ばれる考え方です。ここでは、ZTNAソリューションの種類やメリット、そして導入する際におさえておきたいチェックポイントについてご紹介します。

 

ZTNAとは?

ZTNAという概念について簡単に解説しておきます。ZTNAとは「Zero Trust Network Access」の略称です。「ゼロトラスト」とは、ネットワークの外側も内側も信頼しない、という考え方です。従来のセキュリティは、ネットワークの内側だけを信頼し、外側は信頼しない、という考え方に基づいた対策を採用していました。しかし昨今のクラウドのように、社外に情報資産を置いたシステムの利用も活発化しています。そのため、従来のセキュリティでは不十分とみなされつつあります。そうした現状の中で注目されているZTNAは、あらゆるアクセスを信頼せず、外部だけではなく内部からのアクセスもチェックし、信頼できるものだけを通過させる仕組みです。

ZTNAについて、詳しくはこちらの記事をご覧ください。

企業担当者必見!ZTNAとは?概念とセキュリティモデルを解説!

 

ZTNAソリューションを導入するメリット

ZTNAソリューションを導入するメリットとして、以下のようなことが挙げられます。

  • セキュリティの向上
  • 管理負担の軽減
  • アクセス負荷の低減

それでは、ZTNA導入におけるメリットを詳しく説明します。

セキュリティの向上

ZTNAソリューションを導入することで得られるメリットとして、まずはセキュリティの向上が挙げられます。VPNと異なり、すべてのアクセスを信頼せずにチェックを行うZTNAは、セキュリティの向上につながります。また、認証を通過したデバイスのみ、制限された領域にのみアクセスできるような仕組みを提供するため、万一デバイスの盗難等の被害に遭った場合にも、情報漏洩等の被害を最小限に抑えることができます。

管理負担の軽減

管理者の負担を軽減することも可能です。特に社員数が多い会社の場合、情報システム部門で管理すべき情報は膨大な数に上ります。ZTNAソリューションを導入することで、認証情報等を一括して管理することができるため、管理の負担を減らすことができます。ソリューションを選ぶ際には、管理インターフェースの使いやすさ等も考慮しておきましょう。

アクセス負荷の低減

アクセス負荷を低減することもできます。ユーザーは限られたアプリケーションにしかアクセスできなくなるため、必要なアクセスのみが発生し、無駄なアクセスを減らすことができるようになります。

 

ZTNAソリューションの種類

それでは、ZTNAに基づいたセキュリティ対策を実現する製品について、さらに詳しく解説していきます。ZTNAソリューションには、大きく分けて「サービス主導型」と「クライアント主導型」の二種類があります。それぞれの特徴と、向いている企業についてご紹介します。

 サービス主導型

「サービス主導型」のZTNAソリューションは、サービス(アプリケーション)を提供している側がアクセス権限等を主導的に管理する仕組みです。サービス主導型のソリューションはSDP(Software Defined Perimeter)という概念を取り入れています。SDPとは、ソフトウェア上に新しく境界線を設けることで、ユーザーのアクセス権限等を一括して管理する考え方です。サービス主導型のZTNAソリューションは、ユーザーのデバイスにインストール等を行う必要がありません。そのため、ユーザーが各々のデバイスを利用して業務に携わる形態を採っている企業に向いています。

 クライアント主導型

「クライアント主導型」のZTNAソリューションは、クライアントであるユーザーの状態やデバイスに応じてアクセス制御を行います。オンプレミスでもクラウド上でもアクセスが可能となるため利便性が高く、アプリケーションの構成変更も少ない場合が多いため、サービス主導型に比べ導入しやすいという特徴があります。クライアント主導型のZTNAソリューションは、デバイスの方にインストール等を行うことになります。社用のPCやスマートフォンを支給している場合など、デバイスを限定して管理している企業に向いています。

 

ZTNAソリューションを導入する際のチェックポイント

それでは、ZTNAソリューションを導入する際のチェックポイントについてご紹介していきます。複数のZTNAソリューションの中から自社の業務にとって適切なものを選ぶためにも、重要なポイントをおさえておきましょう。

セキュリティの固さ

1つ目のポイントはセキュリティの固さです。セキュリティソリューションである以上、性能の低いものであっては意味がありません。強固なセキュリティを実現可能か見極めるために、ソリューションの特徴をきちんと把握し、信頼できるベンダーを選定する必要があります。

操作性と管理のしやすさ

2つ目のポイントは操作性です。ユーザーにとっての認証画面にしても、管理者にとっての管理画面にしても、操作しやすいことに越したことはありません。ユーザーにとっては、あまりに煩雑な認証画面が与えられると業務効率の低下が想定されます。管理者にとっても、ユーザー情報をはじめ管理すべき情報が多いため、効率的な業務のためには管理用のインターフェースにも気を配りたいところです。

サポートの充実

ネットワークに関わるソリューションである以上、問題が起こった場合に即時に対応ができないと、業務に大きな支障をきたす恐れがあります。セキュリティ関係の事故が発生した場合など、ベンダーの助けがなければ原因究明や対応ができない可能性もあります。手厚いサポートが用意されているかどうか、ということも選ぶ際のポイントになります。

 

ZTNAソリューションのおすすめ「Cloudbric RAS」を紹介!

製品によって提供形態やサービス内容が異なるため、ZTNAの導入をする際は製品を見極めて自社にあったサービスを選ぶことが重要です。そして、導入するZTNA製品を見極める際のチェックポイントとしては、前述した内容である、下記の3つが挙げられます。

  • セキュリティの固さ
  • 管理のしやすさ
  • サポートの充実

これら3つのポイントからおすすめするZTNAソリューションは「Cloudbric RAS」があります。「End To Endのゼロトラストセキュリティ環境」を構築することができるクラウド型セキュリティサービスです。より詳しい内容を確認したい方は、こちらをご覧ください。

 

まとめ

今回は、ZTNAのソリューションの種類や導入のメリット、そして導入するために確認する必要があるポイントについて解説してきました。今まで解説してきた導入のメリットやチェックポイントを踏まえた上で、ZTNAソリューションから自社に適切なものを選択しましょう。

 

cloudbric - press release

【情報】2021年第4四半期の最新Web脆弱性トレンドレポート(EDB/CVE-Report)リリース

by お知らせ

2021年第4四半期の最新Web脆弱性トレンド情報

2021年10月から12月まで報告されたExploit-DBの脆弱性報告件数は119件です。

脆弱性の分析内容は、以下の通りです。

 

1. Web脆弱性の発生件数: 2021年第4四半期のWeb脆弱性は平均40件で、10月は最も多い62件が報告されました。

2. CVSS(Common Vulnerability Scoring System)* 推移: HIGH Levelの脆弱性を分析した結果、10月の6.45%から、11月の7.89%、そして12月は21.05%で増加傾向が見られました。MEDIUM Levelの脆弱性においては、58%から47%まで減少しました。
*脆弱性を点数で表記するため、0から10まで加重値を付与し計算する方式です。点数が高いほど、深刻度が高いです。

3. 上位Web脆弱性の攻撃動向:2021年第4四半期は前四半期に続き、Cross Site Scripting、SQL Injection、Remote Code Executionが主な脆弱性として観察されました。

1) 10月: SQL Injection 30%(19件) / Cross Site Scripting 29%(18件)

2) 11月: Cross Site Scripting 42%(16件) / SQL Injection 28%(11件)

3) 12月: Remote Code Execution 36%(7件) / Cross Site Scripting 15%(3件)

4. Web脆弱性の攻撃カテゴリ: Cross Site Scriptingが31%(37件)と最も多く発生しており、その次にはSQL Injectionが27%(33件)と続いています。この2つの脆弱性は第4四半期に発生したWeb脆弱性の半分以上(58%)を占めており、これに対する備えが必要となります。

 

当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートに基づいた、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。

*EDB/CVE-Reportはペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が四半期毎に公表している最新Web脆弱性トレンドレポートです。本レポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」より公開されている情報を踏まえ作成されています。EDB/CVE-Reportは、各Web脆弱性に対する危険度及び影響度を詳しく分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でもWeb脆弱性のトレンド情報を理解することができます。

 

[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]

 

製品・サービスに関するお問い合わせはこちら

サービス体験はこちら

無償トライアル申請はこちら

パートナー制度お問合せはこちら

 

マネジードルールイメージ

クラウドブリック、AWS WAFに特化したマネージドルールをリリース

by プレスリリース
クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(英文社名:Cloudbric Corp. 代表取締役:鄭 泰俊、http://139.162.127.206/jp)はAWS WAFに特化したマネージドルール「Clouldbric Managed Rules for AWS WAF」をリリースした。

マネジードルールイメージ

AWS WAFは、世界最大のシェアを誇るアマゾンウェブサービス(以下 AWS)が提供するクラウド型WAFサービスで、手軽に導入でき、AWS環境との親和性が高いことから、多くの企業で利用されている。事前に設定されたルールに基づいて攻撃パターンと一致するものは防御できるが、パターンマッチングで検出できない高度な脆弱性を狙った攻撃はWAFのみでは対応しきれないという問題がある。また、ユーザ自らルールを構成・更新など全てのサイクルにおける管理を行う必要があるため、より高度な設定や運用を行う場合には高度な知識とノウハウが求められる。

そこで、クラウドブリックはAWS Marketplaceで簡単に購入・適用できるAWS WAF専用マネージドルール「Cloudbric Managed Rules for AWS WAF」をリリースした。5ヶ国特許取得済みの論理演算検知ロジックに基づいて、Webアプリケーションを守るために必須となるルールグループを提案する。これらのルールグループはクラウドブリックの専門家たちにより定期的に自動更新されるため、セキュリティに関する知識がなくても、低コストで高いセキュリティレベルを実現できるという特徴がある。

今回リリースされる2つのマネージドルールは、OWASPが公開している最新のOWASP Top 10脆弱性に対応する「OWASP Top 10 Rule Set」と、95ヵ国700,000サイトから毎日収集される膨大な脅威インテリジェンスから危険度の高いIPとして厳選された脅威IPに対応する「Malicious IP Reputation Rule Set」であり、SQLインジェクションやクロスサイトスクリプティングなど危険性の高い脆弱性のみならず、従来のWAFでは防ぎきれない未知や最新の脅威からWebアプリケーションを保護できる。

クラウドブリック株式会社の代表取締役社長の鄭は「AWSのWebセキュリティ管理はユーザ自らルールの構成・管理する方法であるため、レベルの高いセキュリティ知識が必要で、持続的な管理に対する負担も大きい。そのため、ユーザはセキュリティ専門家を雇用しなければならないという困難に直面している」とし、「本サービスにより便利で安全にWebアプリケーションを保護すると同時に、自動更新による運用コストも節減できる」と述べた。

一方、クラウドブリック株式会社は、昨年AWS WAFに特化した運用サービス「Cloudbric WMS for AWS」をリリースするなど、AWS WAFを導入している企業様の悩みに多方面からサポートしていくという 。

 

【Cloudbric Managed Rules for AWS WAF】の情報

1.OWASP Top 10 Rule Set
https://aws.amazon.com/marketplace/pp/prodview-67jstscio2zyg
2.Malicious IP Reputation Rule Set
https://aws.amazon.com/marketplace/pp/prodview-7nz7liivgnhbu
Clouldbric Managed Rules for AWS WAFに関する詳細情報はこちら
https://www.cloudbric.jp/clouldbric-managed-rules/

【2021年12月】定期Webセミナーのお知らせ

by セミナー情報

本セミナーでは【2021年】今年のCloudbricをテーマとして、2021年Cloudbricの新規機能、仕様変更など、今年のCloudbricにあった変化についてご案内致します。

 

■お申込み : https://zoom.us/webinar/register/WN_FV6c5HzXQ2eQM7YAy4efPg

■日時 : 2021年12月21日 15:00~15:45

※ 14:50からご入場できます。

■場所: Zoomウェビナー

※ お申込みいただいた方に、視聴用URLをメールにてご案内いたします。

■参加費: 無料

 

WAAPとは

今、注目すべき次世代のWebセキュリティ対策「WAAP」とは?

by ブログ

Web脆弱性を突いた攻撃から、Webアプリケーションを守るセキュリティ対策として多くの企業で導入されているWAF(Web Application Firewall)」。企業のクラウド活用が加速している中、悪意のある第3者は次々に新たな手口を考案しており、サイバー攻撃の手法はますます巧妙化・多角化しています。従来のセキュリティ対策では守り切れないサイバー攻撃における新たな形のWebセキュリティ対策として、WAF、DDoS対策、ボット対策、APIセキュリティなどを組み合わせたクラウド型セキュリティサービス、「WAAP」という概念が登場しました。本記事では、WAFの進化型である「WAAP」について解説しています。

 

ガートナー社が提唱する「WAAP」とは?

「WAAP( Web Application and API Protection )」とは、主にIT分野でのリサーチを行っている企業であるガートナー社が提唱する概念で、Webアプリケーション保護対策に加えAPI保護機能を備えているクラウド型セキュリティサービスを示します。「2021 Gartner® Magic Quadrant™ WAAP」によると、今年「WAAP」を導入している組織の割合は10%を下回っていますが、2026年までに40%へと伸びると予想されます。また、2024年までに、マルチクラウド戦略を採用している組織の約70%がクラウド基盤のWAAPを検討するようになるということで、今後WAAPがWebセキュリティ対策の新たな主流となっていくと見られます。

前述しましたが、「WAAP」はWebアプリケーション保護対策に加えAPI保護機能を備えているクラウド型セキュリティサービスとなります。WAAPには以下の4つのコア機能が含まれています。

  • WAF
  • ボット対策
  • DDoS対策
  • APIセキュリティ

また、オプション機能としてDNSセキュリティやCDNといった機能を備えているWAAPもあります。

ガードナー社では、現在サービスを提供しているWAAP製品のアナリストたちによる評価をWebサイトで紹介しています。詳細はこちらをご覧ください。

 

WAFWAAPに進化していく理由とは

WAAPは、WebアプリケーションだけでなくAPIも保護対象としています。

実は、APIはWAFでも守ることが可能です。しかし、その保護が不十分であったことが、WAFがWAAPに進化していく理由の1つです。そもそもWAFでAPIが守れるのは、APIがHTTP通信を用いられ、WAFの検査対象に含まれるためです。つまり、WAFでのAPI保護は、その通信がサイバー攻撃なのかどうかを見分けるだけです。分類し、その結果に応じて危険なら通信を禁止し、安全だと判断されたら通信を許可します。

その判断基準として脆弱性を狙うサイバー攻撃かどうかを見極めますが、そもそもWAFが主な保護対象としているWebアプリケーションの脆弱性とは、アプリケーションを構成するシステムやプログラムの実装上の不備のことです。この不備を衝くサイバー攻撃はある程度パターン化しているため、そのパターンのノウハウの蓄積情報をもとに判断しているという特性を持ちます。

APIの脆弱性も実装上の不備ともいえますが、APIは取得したい情報や処理して欲しい内容をパラメータとして付与し、通信を行います。そのため、外部サービスとAPI連携の数だけ仕様が存在していることから、仕様の不備を狙うサイバー攻撃をパターン化することは事実上困難です。さらにAPI提供元が突然仕様を変更したことで、サイバー攻撃の見分けができなくなってしまう可能性もあります。そのため、API保護では下記の2つが重要です。

  • 攻撃者はAPI脆弱性調査するための、一般ユーザとは異なる挙動を検出し、アラートする機能
  • API通信における正常な動作をAIを用いて自動学習し、ベースラインから乖離している通信についてアノマリー検出を行う機能

現在、APIを通じて社内外のさまざまなサービスを連携することで顧客の利便性を高めつつ、事業成長に繋げる動きが進んでいることから、APIを狙うサイバー攻撃が急増しています。しかし、主にWebアプリケーションを保護対象としているWAFのみだと、サイバー攻撃の選別に時間がかかったり、誤検知や仕様変更による検知の見逃しなどが発生しているのも現状です。そのため、API保護も考慮しているWAAPの重要性が高まりつつあります。

また、悪意のある第3者によるサイバー攻撃は多角化しているため、Bot攻撃やDDoS攻撃のなかにはWAFの保護対象外のサイバー攻撃もみられます。そのため、WAAPの今後は、WAFの機能にはないボット対策やDDoS対策の機能を超えたさらなる進化もみられるでしょう。

 

Cloudbric WAF+」がガートナー社によるRepresentative Providersに選定!

新たなWAAP製品・サービスが次々と誕生しています。WAAPが全く新しい概念ではないとはいえ、がWAAP製品やサービスを選ぶ基準についてはまだ明確な基準がないのも事実です。だからこそ、ガートナーにより公開された報告書内容を前提に、WAAPについて理解し、自社システムに合った対策を導入することが重要です。

ガートナーは、 「Defining Cloud Web Application and API Protection Services」において、WAAPの定義、仕組み、特長などを解説しています。また、次のように代表プロバイダー も紹介してますので、是非参考にしてみてください。

今回、弊社の「Cloudbric WAF+」が、ガードナー社のRepresentative Providers(代表プロバイダー)に選定されました。Cloudbric WAF+は、1つのプラットフォームにて WAFサービスに加え、L3/L4/L7DDoS防御、SSL証明書、脅威IP遮断、悪性ボット遮断など、Webアプリケーションセキュリティに必要な機能を統合提供しております。APIセキュリティも提供しているため、あらゆる範囲からのサイバー攻撃に対し、強固なセキュリティでWebサイトを守ることが可能です。そして、高セキュリティでありながらリーズナブルに利用することができることから、日本国内だけでも6,550サイト以上の導入実績があります。

Cloudbric WAF+

Cloudbric WAF+へのお問い合わせはこちら

 

まとめ

今回は、ガートナー社によって提唱される「WAAP」について解説してきました。WAFだけでは守り切れない悪意のある第3者による攻撃は、今後も増えていくでしょう。そのような環境下で行うべきセキュリティ対策として、「WAAPの導入」や「API保護も可能なWAFを選ぶこと」は有効だと考えられます。ぜひ、自社にあったセキュリティ対策方法を導入して、万全なセキュリティ体制の構築してください。

 

cloudbric - press release

【情報】2021年第3四半期の最新Web脆弱性トレンドレポート(EDB/CVE-Report)リリース

by お知らせ

2021年第3四半期の最新Web脆弱性トレンド情報

2021年7月から9月まで報告されたExploit-DBの脆弱性報告件数は142件です。

脆弱性の分析内容は、以下の通りです。

    1. Web脆弱性の発生件数: 2021年第3四半期のWeb脆弱性は平均47件で、7月には最も多い53件が報告されました。
    2.  CVSS(Common Vulnerability Scoring System)* 推移:HIGH Levelの脆弱性を分析した結果、7月から9月にかけて、0%から2%、そして4%へと増加傾向が見られました。MEDIUM Levelの脆弱性においては、60%から65%まで増加した後、63%まで小幅ながら減少しました。
      *脆弱性を点数で表記するため、0から10まで加重値を付与し、計算する方式です。点数が高いほど、深刻度が高いです。
    3. 上位Web脆弱性の攻撃動向:2021年第3四半期は前四半期に続き、Cross Site Scripting、SQL Injection、Remote Code Executionが主な脆弱性として観察されました。

1) 7月: SQL Injection 26%(14件) / Remote Code Execution 26%(14件)

2) 8月: SQL Injection 30%(13件) / Cross Site Scripting 27%(12件)

3) 9月: Cross Site Scripting 28%(13件) / Remote Code Execution 21%(10件)

  • Web脆弱性の攻撃カテゴリ: Cross Site Scriptingが26%(38件)と最も多く発生しており、その次にはSQL Injectionが25%(36件)と続いています。この2つの脆弱性が第3四半期に発生したWeb脆弱性の半分以上(51%)を占めており、これに対する備えが必要となります。

 

当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートに基づいた、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。

*EDB/CVE-Reportはペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が四半期毎に公表している最新Web脆弱性トレンドレポートです。本レポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」より公開されている情報を踏まえ作成されています。EDB/CVE-Reportは、各Web脆弱性に対する危険度及び影響度を詳しく分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でもWeb脆弱性のトレンド情報を理解することができます。

 

[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]

 

製品・サービスに関するお問い合わせはこちら

サービス体験はこちら

無償トライアル申請はこちら

パートナー制度お問合せはこちら

 

北海度ビジネスEXPO_ブース案内

11月11~12日ビジネスEXPO「第35回北海道技術・ビジネス交流会」出展のお知らせ

by お知らせ

2021年11月11日(木)~ 12日(金)に開催されるビジネスEXPO「第35回 北海道 技術・ビジネス交流会」にラテラル・シンキング株式会社と共同出展致します。

今年で第35回目を迎える「ビジネスEXPO」は、約20,000人の来場者が見込まれる北海道最大級のビジネスイベントになっており、今年は「 持続可能な未来創造に向けて 〜新たな北海道ステージの扉を開く〜」をテーマに開催されます。

今回の出展は弊社の北海道パートナーであるラテラル・シンキング株式会社との共同出展になります。弊社は、 顧客のセキュリティ課題の解決を目指して、パートナー企業とのビジネス連携に積極的に取り組んでまいりました。今回の出展を通じて、北海度地域のパートナー企業であるラテラル・シンキング社のビジネス活性化の支援とともに、ビジネスネットワークの更なる拡大を図っていきたいと考えております。

弊社ブースでは、クラウド型WAFサービス「Cloudbric WAF+」とクラウド型DDoS攻撃対策サービス「Cloudbric ADDoS」のご紹介・デモなどを行います。Web脅威を可視化したダッシュボードやシンプルで使いやすいユーザインターフェイスを直接体験して頂けます。

  • Webセキュリティ対策としてWAFの導入を検討している
  • 情報セキュリティ対策を立てることが困難

お客様からお伺いしたニーズに沿った最適な解決方法をご提案致しますので、この機会に是非ご来場の上、弊社ブースへお立ち寄りください。

皆様のご来場を心よりお待ちしております。

 

ビジネスEXPO「第35回 北海道 技術・ビジネス交流会」開催概要

■ 主催:北海道 技術・ビジネス交流会 実行委員会

■ テーマ:持続可能な未来創造に向けて 〜新たな北海道ステージの扉を開く〜

■ 会期:2021年11月11日(木)10:00~17:30

2021年11月12日(金) 9:30~17:00

■ 会場:アクセスサッポロ会場 (北海道札幌市白石区流通センター4−3−55)

※地下鉄大谷地駅バスターミナルより、無料シャトルバス運行(15分間隔)

■ 入場料:無料

■ URL:https://www.business-expo.jp/

 

ブース情報

■ 出展ゾーン:ITビジネス展示ゾーン

■ 出展社情報:ラテラル・シンキング 株式会社 | 出展企業一覧 | ビジネスEXPO (business-expo.jp)

*ラテラル・シンキング株式会社との共同出展になります。

北海道技術・ビジネス交流会ブース

出展製品

クラウド型セキュリティ・プラットフォーム・サービス「Cloudbric」

:クラウド型WAFサービス「Coudbric WAF+」

:クラウド型DDoS攻撃対策サービス「Cloudbric ADDoS」

 

製品・サービスに関するお問い合わせはこちら

サービス体験はこちら

無償トライアル申請はこちら

パートナー制度お問合せはこちら

 

コーポレートサイトにもWebセキュリティ対策が必要な3つの理由を徹底解説!

コーポレートサイトにもWebセキュリティ対策が必要な3つの理由を徹底解説!

by ブログ

コーポレートサイトとは、一般的には企業の公式サイトのことですが、「会社案内」「会社概要」「事業内容」などが記載されていることから企業の顔ともいえる存在です。他にも、企業理念や採用情報、プレスリリースなども掲載するケースも多く、さまざまなユースケースに活用されています。

ところで、国立研究開発法人情報通信研究機構(NICT)が発表した観測レポートによると、下図のとおり日本国内で観測された悪意のある第3 者からのサイバー攻撃は年々増加傾向にあります。

2020年には、WebサイトへのDRDoS攻撃(DoSリフレクション攻撃)の観測結果が1,820,722件とのことで、なかにはコーポレートサイトへの攻撃も含まれていました。このような背景にありながら、コーポレートサイトは顧客情報を取り扱っているECサイトと比べ、Webサイトセキュリティ対策が甘い傾向があります。本記事では、コーポレートサイトもWebセキュリティ対策が必要な理由と最適な対策方法について解説しています。

 

コーポレートサイトにWebセキュリティ対策が必要な2つの理由とは? 

冒頭でも説明したとおり、日本国内で観測された悪意のある第3者からのサイバー攻撃は年々増加傾向にあります。そのため、顧客情報や社内情報を守るためのWebセキュリティ対策をしている企業も少なくありません。

悪意のある第3者からのサイバー攻撃には、コーポレートサイトを集中的に狙うケースも珍しくありませんが、コーポレートサイトのWebセキュリティ対策を行っている企業は、実はそれほど多くないのが現状です。例えば、2021年5月にはマッチングアプリ「omiai」などで知られる株式会社ネットマーケティングのコーポレートサイトがサイバー攻撃を受け、顧客の個人情報が流出した事件もありました。

コーポレートサイトへのサイバー攻撃が増えている理由は何でしょうか。

 

理由|経営者側のWebセキュリティに対する認識が甘い

コーポレートサイトへのサイバー攻撃が増加している理由の1つが、経営者側のWebセキュリティに対する認識の甘さです。以前はサイバー攻撃といえば、国家や企業などの組織体の戦略変更やイメージダウン・株価操作などを狙う組織犯罪、産業スパイ活動を目的とした内容が多くを占めていました。そのため、当時経営者は、政府機関や大企業でなければ攻撃のターゲットにはならないという認識を抱えていました。

しかし、現代社会では大企業を狙って多額の詐欺を行ったり、政治的な目的を持ったサイバー攻撃ではなく、中小企業をターゲットにしたサイバー攻撃も増加しています。

そもそも、サイバー攻撃の目的も、下記のように多様化しています。

  • 情報の悪用
  • 顧客信用度やブランドイメージの低下
  • 事業やサービスの中断や停止

そのため、資産や機密情報の規模にかかわらず、どんな企業でも攻撃される可能性があるため、セキュリティ対策を経営戦略として行うことは経営者としての責務となっています。それにもかかわらず、Webセキュリティに対する認識が甘い経営者が多いため、経済産業省とIPA( 情報処理推進機構 )は2015年に「サイバーセキュリティ経営ガイドライン」を策定し、経営者に対してセキュリティ対策を推進するよう求めています。

 

理由②|企業としてのセキュリティ投資への割合が低い

企業のWebセキュリティ対策にかける予算(投資)の割合が低いことも、コーポレートサイトへのサイバー攻撃が増えている理由の1つです。現在、日本でも多くの企業が、DX(デジタルトランスフォーメーション)時代に向けてIT関連に予算を投じています。しかし、海外の企業と比べ、日本の企業はその予算に占めるWebセキュリティ関連の予算の割合は低いです。

NRIセキュアテクノロジーズ(NRIセキュア)が発表した「企業における情報セキュリティ実態調査2019」によると、IT関連予算に占めるWebセキュリティ関連予算の割合が10%以上と回答した企業は、米国企業は80%弱。一方で、日本企業は約30%に留まりました。

Webセキュリティ対策にコストをかける(セキュリティ投資をしている)企業の割合が低いことに加え、中小企業の場合、そのセキュリティ投資が間違った投資手段となっていることも珍しくありません。下記の内容が、間違ったWebセキュリティ投資例といえます。

  • 被害の発生確率と被害額に合った攻撃対策ツール等を導入していない
  • 個人情報の重要度を理解していない
  • 専門家や担当者の意見を聞かず、経営者の判断のみで行っている
  • 社外との情報共有ができていない
  • 最新もしくは高価格な製品・サービスを短絡的に選択して導入している

コーポレートサイトをサイバー攻撃から守るためには、正しい方法でWebセキュリティ投資を行うことが重要です。

 

コーポレートサイトのWebセキュリティ対策を成功させたい!3つのポイントで徹底解説!

日本の中小企業におけるセキュリティ投資が、間違った方向性で行われていることも少なくないことは前述しました。それでは、コーポレートサイトの正しいWebセキュリティ対策方法は、どのようにすればよいのでしょうか?

結論をいえば、コーポレートサイトのWebセキュリティ対策を成功させるポイントは、下記の3つです。

  • 経営側のWebセキュリティに対する理解度を上げる
  • 個人情報の重要度を再認識する
  • セキュリティ対策を導入してもすべてを委託企業任せにしない

 

経営側のWebセキュリティに対する理解度を上げる

コーポレートサイトにおいて、専門家や担当者の意見を聞かず経営者の判断のみで行ったWebセキュリティ対策は間違った対策になりやすいです。経営者の多くが「自社は大丈夫」と思い込んで、攻撃を受けたり情報が漏れて初めてセキュリティ対策の不備を自覚するケースも多いです。

また、自社に合った対策でなく、一般に良く知られているFW(ファイアウォール)やログの監視といった、現在ではそれだけでは不十分な対策のみ実施している企業も多いです。そのため、正しいWebセキュリティ投資を行うためには、まず経営陣に現在に適した対策方法を理解してもらうことが必至です。

 

個人情報の重要度を再認識する

コーポレートサイトがサイバー攻撃を受けたことで、個人情報が盗み出されたり、改ざんされたりする可能性があります。そもそも、コーポレートサイトだから個人情報を扱わないわけではありません。コーポレートサイトで個人情報は扱わず別システムで管理していても、サイバー攻撃によって、お問い合わせ入力フォームを改ざんされる危険性が伴います。また、そこから別システムに侵入して、情報を盗み出すという手口も存在します。

コーポレートサイトで個人情報は扱っていなくても、情報流出の危険性はあるため、個人情報の重要度は十分に理解しておくことが大切です。

 

すべてを委託企業任せにしない

最新もしくは高価格な製品・サービスを選べば、正しいWebセキリティ投資ができるわけではありません。正しいWebセキュリティ投資には、被害の発生確率と被害額に合った攻撃対策ツールを導入しなければいけません。

多くの企業がコーポレートサイトのWebセキュリティ対策のすべてを委託企業任せにするケースも少なくありません。しかし、突発的な事例に対処することが困難なためおすすめしません。コーポレートサイトのWebセキュリティ対策のすべてを委託企業任せにしていた場合、下記のようなリスクがあります。

  • セキュリティ面でのリスク
  • 品質低下のリスク
  • 自社内にノウハウが蓄積されない

Webセキュリティ対策をベンダーに委託するのなら、この3つのリスクは意識しておく必要がありますが、まずはすべてを委託企業任せにしないことをおすすめします。

 

コーポレートサイトにWAFを導入すべき理由を解説!

悪意のある第3者のターゲットとなりやすいコーポレートサイトを、サイバー攻撃から守る方法としておすすめなのが「WAF」です。WAFとは「Web Application Firewall」の略で、簡単に説明すると、Webアプリケーションの前面に配置される下記のような特徴を持つセキュリティ対策のことです。

  • Webアプリケーションの脆弱性を悪用した攻撃を防御できる
  • 複数のWebアプリケーションへの攻撃をまとめて防御できる
  • 脆弱性を悪用した攻撃が検出できる

そもそも、FWやログの監視といったWebセキュリティ対策のみで十分だという認識は間違いです。そして、経営陣のそのような認識を改めることが、正しいWebセキリティ投資を行うために必要だということは前述しました。確かに、それらも必要なWebセキュリティ対策の1つですがが、それだけではコーポレートサイトは守れません。しかしWAFであれば、FWやIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることができない攻撃も防御可能です。

WAFには、下記の3つのタイプが存在し、それぞれで導入および運用方法が異なります。大手企業の場合はアプライアンス型を、中小企業はクラウド型のWAFを採用することが多いですが、自社のシステム環境に合ったWAFを導入することが重要です。

  • クラウド型
  • アプライアンス型
  • ソフトウェア型

そのため、サイバー攻撃による被害の発生確率と被害額に合った対策が行えることも、コーポレートサイトを守る方法としてWAFをおすすめする理由です。

ペンタセキュリティでは、オンプレミス環境に合わせたアプライアンス型WAF「WAPPLES」、AWS、Azure等パブリッククラウドやプライベート環境に最適化されたソフトウェア型WAFの「WAPPLES SA」、DNS情報変更のみで簡単導入できるクラウド型WAFサービス「Cloudbric WAF+」など、企業環境に合わせて様々なタイプのWAFを提供しております。

Cloudbric WAF+の場合、基本的なWAF機能に加え、無償SSL機能、DDoS対策、悪性ボット遮断、脅威IP遮断など5つのWebセキュリティサービスを1つの統合したプラットフォームにて提供するクラウド型セキュリティサービスとして注目されています。

 

まとめ

今回は、コーポレートサイトにもWebセキュリティ対策が必要な理由について解説してきました。悪意のある第3者がターゲットとするのは、ECサイトのような顧客情報を扱うサイトだけではありません。また、データサーバーを直接狙わず、コーポレートサイトから情報漏洩を誘発させる手口も存在します。

そのため、企業経営者は、正しいWebセキリティ対策とはどういったことなのかを正しく認識しておくことが重要です。また、Webセキュリティ投資への割合が低いのであれば、それを見直し、正しい方法でWebセキュリティ投資を行ってください。