AWS Activate

「AWS Activate」プロバイダーに認定、5,000ドルのAWSクレジットを提供

このたび、ペンタセキュリティ株式会社は、アマゾン ウェブ サービス(以下AWS)のスタートアップ支援プログラムである「AWS Activate」のプロバイダーに認定されました。

 

情報セキュリティ企業であるペンタセキュリティは、クラウド型WAFサービスの開発ノウハウを活かし、AWS認定ソフトウェアとしてAWS WAFに特化した運用管理サービス「Cloudbric WMS for AWS」やAWS WAF専用のマネージドルール「Cloudbric Rule Set」を提供してきました。

今回、ペンタセキュリティがAWS Activate プロバイダーに認定されたことにより、スタートアップ企業は5,000ドル(US)相当の AWSクレジットを受け取ることができ、Clourbricの利用料金に充当することが可能になります。また、AWS ソリューション アーキテクトによる技術支援、パーソナライズされたコンテンツや限定オファーを受けられるAWS Activateコンソールへのアクセスも可能になります。

AWS Activateを通じてClourbricのサービスを導入することで、スタートアップ企業のセキュリティを強固にできるとともに、ビジネス競争力の向上や事業成長にも貢献できると考え、今回の参画に至りました。

 

▼AWS Activate の詳細および申し込みはこちら

https://www.cloudbric.jp/aws-activate/

 

▽AWS Activateとは

https://aws.amazon.com/jp/activate/activate-landing/

basic-auth-image

Basic認証とは?メリット・デメリットや脆弱性を徹底解説

Webアプリケーションの認証方式の中でも、極めて簡便な方法のひとつがBasic認証(ベーシック認証)です。Basic認証は、手軽にアクセス制限をかけることができますが、セキュリティ上の問題点も指摘されています。今回の記事では、Basic認証とは何か、改めてわかりやすく解説し、メリットと注意点も紹介します。

 

Basic認証(ベーシック認証)とは

Basic認証(ベーシック認証)とは、Webサイトにアクセス制限を施すための認証方法のひとつで、比較的簡単に導入できるため、広く用いられています。Basic認証によって制限されたページを閲覧するには、正確なユーザー名(ID)とパスワードの入力が必要となります。正しく入力が行われないと画面にエラーメッセージが表示されます。「基本認証」とも呼ばれます。

一般に公開されているWebサイトの中で、有料会員のみが閲覧できるページを作成したり、社内の特定のメンバーのみ利用できるページを作ったりするときによく利用されます。また、公開前のページの閲覧に制限をかけたい場合や、自作のポートフォリオを特定のクライアントにのみ閲覧してもらいたい場合などにも利用できます。

Basic認証は「.htaccess」および「.htpasswd」の2種類のヘッダーによって設定されます。認証を施したいフォルダに「.htaccess」および「.htpasswd」のファイルを設定し、それぞれに特定のコードを作成するだけで完了します。

ユーザーがリンクをクリック、またはURLを入力すると、ブラウザからWebサーバーに向けてリクエストが送信されます。この時、Basic認証が導入されている場合、Webサーバーからブラウザに認証が必要であることが伝えられます。これにより、ブラウザ上に認証ダイアログが表示され、ユーザー名およびパスワードの入力認証を求めます。認証された後、特定のユーザーだけがアクセス可能なページや階層の利用が可能となります。

Basic認証は、Webサーバーの機能であり、基本的にはほとんどのWebサーバーで使用可能です。ただし、レンタルサーバーを使用している場合には設定が行えない場合があります。

 

Basic認証のメリット

Basic認証は長く用いられてきた認証方法であり、主に以下3つのメリットがあります。

 

・簡単に設定できる

Basic認証は「.htaccess」ファイルと「.htpasswd」ファイルの2つのヘッダーの設置のみで使用が可能なため、比較的簡便に設定できます。ファイルの作成はメモ帳で行えるため、急場しのぎの場合や簡易的にセキュリティ対策が必要な時に効果的です。手軽に認証機能を追加したい場合に有効な手段です。

 

・ログイン情報が記憶される

Basic認証に成功した後、ブラウザを閉じなければ、別のWebサイトを見た後でもまた認証なしで閲覧できます。また、Basic認証に一度成功すれば、ユーザー名とパスワードはこの時使用したブラウザに記憶されます。次にログインする際に再入力の手間がかかりません。

ただし、別のデバイスやブラウザからアクセスする際には再度認証が必要となります。また、ブラウザの種類やネットワーク状態によってはログイン情報の記録ができない場合があります。加えて、スマホでもログイン情報が記憶されないことが多いです。

 

・ディレクトリ単位でアクセス制限ができる

Basic認証は「.htaccess」ファイルを置いたディレクトリが認証の範囲となるため、同じ階層に一括でアクセス制限を加えることが可能です。また、「.htaccess」ファイル内に細かい設定を施すことで、特定のページや範囲にのみアクセスに制限を施すことも可能であり便利です。PDFファイルや画像などにもアクセスに制限をかけられます。

 

Basic認証のデメリット

Basic認証の主なデメリットは以下3点です。

 

・クローラーが巡回できない

クローラーとはWebサイトの情報を自動で収集するプログラムで、Webの検索結果を表示するために動いています。検索エンジンの検索結果はクローラーが巡回して収集した情報をもとに表示されています。

しかし、Basic認証を施すことで、クローラーも制限されたページを巡回できなくなり、検索結果に表示されなくなります。SEO対策で検索結果を上位表示させたい場合にはBasic認証は悪影響になるため、避けた方が望ましいです。

 

・サーバーをまたいだ認証設定が不可能

Basic認証によりアクセスが制限される範囲は、ディレクトリ単位となるため、複数のサーバーをまたいだ設定は不可能です。複数のサーバーが存在する場合は、それぞれのサーバーごとにファイルを設定する必要があります。

 

・セキュリティが脆弱

Basic認証では、ユーザー名とパスワードはBase64という簡単なコードに変換されますが、デコードによって元の文字列が簡単にわかってしまいます。認証を行うたびに、ユーザー名とパスワードが暗号化されないまま送信されるので、通信を傍受して情報を盗み取られるリスクがあります。

また、一度ログインすると、ブラウザにユーザー名とパスワードが保存される仕組みで、ログアウトの機能がありません。そのため、悪意のある第三者がブラウザを勝手に利用すれば、情報の漏えいや悪用のおそれがあります。パソコンの共用を避けたり、一時的に席を離れる時はパソコンの画面にロックをかけたりといった対策が必要です。

Basic認証は手軽な認証方法ですが、それだけでは不十分です。機密情報を含まない情報を、限られたユーザー間でやり取りする場合のみ、Basic認証を利用しても問題ありませんが、それ以外のケースでは、より安全性の高い認証方式を採用するべきです。また、WAFの導入によってセキュリティ対策を強化すると良いでしょう。

 

まとめ

Basic認証は簡単に設定することができるうえ、ディレクトリ単位でアクセス制限ができるため、急ぎでセキュリティ対策を行う場合や細かく制限をかけたい時に便利な認証方法です。ただし、脆弱性も指摘されています。

脆弱性をカバーするには、より安全な認証方式を採用するほか、Webサイトの保護に特化したセキュリティ対策・WAFサービスの導入が有効です。Basic認証で対応しきれない悪意のある攻撃からWebサイトを保護できます。

また、「Cloudbric WAF+」は、Webセキュリティに必須なWAF・DDoS攻撃対策・脅威IP遮断サービスなど5つのサービスがひとつに統合されているため、セキュリティをより強化したい企業におすすめです。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

JapanITWeekSpring2024

【イベント】「Japan IT Week 春」 情報セキュリティEXPOに出展

このたび、ペンタセキュリティ株式会社は、2024年4月24日(水)~26日(金)に東京ビッグサイトで開催される「Japan IT Week 春」の情報セキュリティEXPOに出展します。

 

■出展内容

ペンタセキュリティのブースでは、データ暗号化ソリューション「D’Amo」と、クラウド型セキュリティプラットフォーム「Cloudbric」を紹介します。

サイバー攻撃が巧妙化し、企業の持つ機密情報・個人情報の漏えい事故が多発する昨今、サイバーセキュリティ対策は急務です。ペンタセキュリティでは、外部からの攻撃を防御するサービス(Cloudbric)から企業内部にあるデータを暗号化する製品(D’Amo)まで取り揃えており、企業のセキュリティ課題を解決します。

 

■開催概要

 

GDPRとは EU版個人情報保護法の対象となる日本企業や行うべきこと

GDPRとは? EU版個人情報保護法の対象となる日本企業や行うべきこと

EU域内で事業を展開する際に避けて通れないのが、GDPRの遵守です。GDPRは、個人情報とプライバシーの保護に関するEUの法律であり、EU域内に拠点がない日本企業でも対象となり得ます。もし違反した場合、多額の制裁金が課される可能性があるため注意が必要です。
この記事でGDPRについて理解を深め、EU域内の個人や企業に向けてのビジネスにお役立てください。

 

GDPR (EU一般データ保護規則)とは?

GDPRとは、欧州連合(EU)におけるデータ保護に関する法律です。EU版の個人情報保護法ともいえます。どのような法律なのか、概要や個人情報の定義、違反した場合にどうなるかについて解説します。

 

・GDPRの概要

GDPRの正式名称は「EU一般データ保護規則(General Data Protection Regulation)」です。頭文字を取ってGDPRと呼ばれています。個人情報の保護と、基本的人権の確保を目的として、2018年5月25日から施行されました。

EU内、厳密には、EEA(欧州経済領域)内における個人データの扱いを規定しています。個人データを取り扱う際は本人の同意を得ること、個人データを暗号化すること、システムの機密性を確保することなどを求めています。ECサイトなどネット上の取引にも適用されるため、注意が必要です。

EUではもともと「EUデータ保護指令(Data Protection Directive 95)」によって、個人データの保護が規定されていました。しかし、EUデータ保護指令に代わって施行されたGDPRは、個人データとプライバシー保護をさらに厳格に規定しています。
なお、2020年にEUを脱退したイギリスについても、GDPRの内容に基づいた「UK GDPR」と呼ばれる法律が施行されており、同様の対策が必要です。

日本企業であっても、EU域内から自社サイトへのアクセスがある場合なども対象になります。GDPRの内容については、日本の個人情報保護委員会によって日本語訳されていますので、参照してみてください。

(参照:個人情報保護委員会|EU(外国制度)GDPR(General Data Protection Regulation:一般データ保護規則

 

・GDPRに違反した場合はどうなるか

GDPRに違反した場合、被害者への損害賠償責任を問われるほか、EUから高額な制裁金を科される場合があります。

制裁金の最高額は2,000万ユーロ、もしくは直前の会計年度における全世界売上総額の4%のうち、高いほうの金額です。1ユーロ160円の場合、日本円にしておよそ30億円以上の計算になります。
たとえ大企業だとしても、大きな打撃になる金額ですので、違反しないよう細心の注意が必要です。

(参照元:個人情報保護委員会|一般データ保護規則(仮日本語訳)第8章 救済、法的責任及び制裁 第83 条 制裁金を科すための一般的要件 94~97ページ)

 

・GDPRによる個人情報の定義

GDPR第4条において個人情報は以下のように定義されています。

引用”「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別され得る者をいう。”

(引用元:個人情報保護委員会|一般データ保護規則(仮日本語訳)第1章 一般規定 第4条 定義 3ページ)

例えば以下のようなデータが考えられます。

 

▼定義から想定される個人データの種類

  • 氏名、メールアドレス
  • クレジットカード情報
  • パスポート情報
  • オンライン識別子(IPアドレス、cookie)
  • 位置情報
  • 指紋や顔写真など生体認証のもととなり得る情報
  • 出身地、部族

 

GDPRの対象となる日本企業 (適用範囲)

GDPRの対象となるのは、以下の日本企業です。

  1. EUに支社・子会社を置く企業
  2. EU内の個人や企業に対してサービスを提供したり取引があったりする企業
  3. 自社WebサイトにEU圏からアクセスがある企業

これらの企業においては、個人情報に関するデータを扱う場合、GDPRの原則に基づく必要があります。また、現地法人であったり、EU域内で個人情報を収集して日本で処理したりする場合も対象になりますので注意が必要です。

 

・1. EUに支社・子会社を置く企業

支社や子会社など、拠点がEU域内に存在する企業は、GDPRが適用されます。顧客データはもちろん、現地法人の従業員のデータも適正に扱わなければなりません。

GDPRでは、CookieやIPアドレス、位置情報などの個人データも保護対象です。そのため、EU域内に個人データを扱うサーバーやデータベースが設置されている場合でもGDPRの対象となります。
また、EU域内で個人データを収集し、日本でデータを処理するケースでは、GDPRの原則に基づいたデータ処理が求められます。

 

・2. EU内の個人や企業に対してサービスを提供したり取引があったりする企業

GDPRは、日本からEU域内にインターネット上でサービスを提供している企業にも適用されます。例えば、日本からEU域内に発送しているECサイトも含まれます。EU域に向けてサービスを提供しているかどうかは、サイトの言語や取り扱う通貨などによって、総合的に判断されます。

 

・3. 自社WebサイトにEU圏からアクセスがある企業

EU域内から自社サイトにアクセスがあれば、GDPRの対象と見なされます。例えば、EU域内のユーザーに対してターゲティング広告を行ったり、レコメンドが表示されたりする場合です。GDPRではターゲティング広告で用いられるCookieも個人情報と定義されているので、注意する必要があります。

 

GDPR対策として日本企業が行うべきセキュリティ対策

GDPR対策のためにまず行うべきなのは、セキュリティ対策です。GDPRの第32条では、データ保護のために暗号化を推奨しています。個人情報を扱うものには、PCやPOS端末などの機器やHDDなどの記録媒体、SAPやERPといったソリューションが含まれ、そのすべてに対して暗号化を行うには多大の労力を要します。

(参照元:個人情報保護委員会|一般データ保護規則(仮日本語訳)第4 章 管理者及び処理者 第2 節 個人データの安全性 第32 条 取扱いの安全性 37ページ)

そんなときには、データ暗号化ソリューションD’Amo(ディアモ)(https://www.pentasecurity.co.jp/damo/)の導入がおすすめです。
D’Amoは、セキュリティ専門企業であるペンタセキュリティが開発した製品で、オンプレミスやクラウドどちらにも対応しており、あらゆるレイヤーに対して高度な暗号化を実装します。

また、外的要因による個人データの流出を防ぐためにはWAFの導入も有効です。WAFとは、「Web Application Firewall」の略で、Webアプリケーションの脆弱性をついた攻撃から、Webサイトを保護するものです。WAFを導入すると、サーバーへの通信を解析・検査して、悪意を持った攻撃と判断した場合は自動的に通信が遮断されます。ECサイトやインターネットバンキングなどの脆弱性を悪用したサイバー攻撃を防ぎ、安全なWeb環境が実現できます。

 

まとめ

GDPRはEU域内における個人情報保護に関する法律であり、違反すると多額の制裁金が課されるおそれがあります。日本企業であっても、EU域内から自社サイトへのアクセスがある場合なども対象になるので、注意が必要です。
GDPRへの対応として、セキュリティ対策を強化する必要があります。暗号化ソリューションやWAFなどを活用して、個人情報を保護しましょう。

Cloudbric WAF+(クラウドブリック・ワフプラス)は、セキュリティ専門企業ペンタセキュリティが提供するクラウド型のセキュリティプラットフォームです。社内にセキュリティ専門の担当者がいなくても運用・導入が容易で、Web環境のセキュリティを守れます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

ゼロデイ攻撃とは 増加する背景や主な手口、企業として行うべき対策 (800 x 450 px)

ゼロデイ攻撃とは? 増加する背景や主な手口、企業として行うべき対策

ここ数年ゼロデイ攻撃が増えつつあることから、企業はセキュリティ対策に早急に取り組むことが大切です。本記事では、ゼロデイ攻撃とは何かといった概要から主な手口、近年被害が増えてきた背景、過去の事例まで解説します。また、ゼロデイ攻撃の特性を押さえたうえで、被害を最小限にするために企業が講じるべき対策について紹介します。

 

ゼロデイ攻撃とは?

ゼロデイは英語で「Zero-Day」と表記し、セキュリティ対策の時間がない(0日)ことを意味します。通常、ソフトウェアのプログラムで脆弱性が見つかった場合、ベンダーは修正パッチなどを提供します。しかし、その提供がされる前に脆弱性を素早く突いて攻撃を仕掛けるのがゼロデイ攻撃の手口です。
また、ゼロデイ脆弱性とは、ソフトウェアで見つかった脆弱性のなかで、その存在が発表される前や、修正パッチが提供される前の脆弱性を指します。

 

・特徴

年々巧妙化するサイバー攻撃に注意を払っていたとしても、セキュリティホールは基本的に存在します。しかし企業が脆弱性を見つけられておらず、修正パッチ配布前のいわゆる「ゼロデイ脆弱性」の状態では、適切に対応できません。そのため未然に防ぐのが難しく、サイバー被害が広がりやすいのが特徴です。

 

・有名な事例:シェルショック事件 (2014年)

ゼロデイ攻撃で大きな問題となったのが、2014年9月に起こった「シェルショック事件」です。Linuxなどでユーザとの橋渡し役(シェル)として使われていたプログラム「Bash」において、遠隔からも不正にコマンドを実行されてしまうといった脆弱性が判明しました。
多くの企業では、Bashをサーバーの基幹部分で使っています。すぐにサーバーを停止できない企業などで適切に対応できず、大きな混乱を招きました。
このBashの脆弱性を突いて、実際にアメリカ国防総省では、データをスキャンされる事件が発生しています。日本では、警視庁が調査に入るといった事態にまで発展したこともありました。

 

近年ゼロデイ攻撃が増えている背景

IPAが公開している「情報セキュリティ10大脅威」によると、ゼロデイ攻撃は2021年時点でランク外だったのが、22年で7位、23年には6位と、その脅威は近年増す一方です。
その理由としては、以下のようなことが考えられます。

参照:IPA|情報セキュリティ10大脅威 2023

IPA|情報セキュリティ10大脅威 2022
参照元:https://www.ipa.go.jp/security/10threats/10threats2022.html

まずは、ゼロデイ攻撃の検出数増加です。未然に防ぐことが困難な脅威として認知され、近年多くのベンダーなどがゼロデイ脆弱性を検知し報告するようになりました。実際にゼロデイ攻撃を受けた数は確認できないものの、検出数が増えることで件数も平行して伸びていることが考えられます。

またデジタル化が進み、モバイルデバイスが一般社会で浸透しているほか、IoTを導入する企業は少なくありません。それら機器の内部に使われているソフトウェアも複雑化しています。IoTの場合、機器類がインターネットに常時接続されていることもゼロデイ攻撃を受けやすい一因です。

 

ゼロデイ攻撃に使われる主な手口

ゼロデイ攻撃の手口としては、大きく2つの種類があります。攻撃のターゲットを絞った「標的型」と、一気に不特定多数へ攻撃する「ばらまき型」です。
ゼロデイ攻撃ではばらまき型が多く見られますが、近年では標的型も増えています。特定の企業やユーザにターゲットを定め、マルウェアを含んだメールを送りつける方法がよく報告されています。

WordPressのセキュリティについて、詳しくは関連記事「WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策」もご覧ください。

 

企業として行うべきゼロデイ攻撃対策

ゼロデイ攻撃は脆弱性の判明前や修正パッチの適用前のわずかな時間に行われるため、多くのケースで被害が拡大してしまいます。そうした事態を防ぐために企業が対策できることとしては、主に以下の4つが考えられます。

 

・デジタル環境を常に最新状態にする

基本的な対策として確実にしておきたいのは、コンピュータのOSやインストールしているソフトウェアなどを最新化しておくことです。コンピュータまわりの環境を早めにバージョンアップしておくと、最新の更新内容に脆弱性の修正が含まれているため、被害を抑えやすくなります。

 

・サンドボックスを導入する

コンピュータ上の仮想環境として独立している「サンドボックス」を活用することも有効な対策です。先に述べたように、ゼロデイ攻撃ではマルウェアをしのばせてメール送信するケースが多く見られます。マルウェアが潜んでいるおそれのあるメールを開く際に仮想環境のサンドボックスで開くことで、万一、マルウェアが含まれた添付ファイルを開いてしまっても直接的な被害を避けられます。
セキュリティソフトでスキャンしているからと安心するのは危険です。検知できないうちに攻撃を受けているおそれがあるため、サンドボックスを早期発見に役立ててください。

 

・EDRを導入する

EDR(Endpoint Detection and Response:エンドポイントセキュリティ)製品は、コンピュータやサーバーなどで怪しい挙動をしていないかどうか監視する役目を担っています。
ゼロデイ攻撃を従来のセキュリティソフトですべてを検知することは困難です。しかしEDRを使うと、末端部分の怪しい挙動を検知しやすくなります。ゼロデイ攻撃を受けたとしても、EDRは未知の脆弱性に有効なため、早期にリカバリーできるのがメリットです。ただし、現時点では誤検知されることもあるため、まだ万全ではありません。

 

・ロジック方式のWAFを導入する

WAF(Web Application Firewall)は、ネットワークやWebアプリの手前に設置し、通信内容を確認するソフトウェアです。Webアプリに脆弱性が見つかった場合も、攻撃の影響が及ぶ前に遮断できるのが特徴です。
また、WAFは一般的なファイアウォール(FW)やアンチウイルスでは防げない、Webアプリへの攻撃に対応しています。それらをまとめて採用することで、攻撃防御力がより向上します。

ただ、現在WAFは「シグネチャー方式」、つまり既知の脅威となる情報と突き合わせ、脆弱性が見つかってから遮断するタイプが主流です。これではゼロデイ攻撃に特化した対策はできません。
そのため、近年はひとつの遮断ルールを設定するだけで数百もの攻撃を遮断できる「ロジック方式」が注目されています。

 

まとめ

ひとたびゼロデイ攻撃を受けると、企業はセキュリティ上の甚大な影響を受けかねません。近年は検知数自体が増えたことや、ソフトウェアの複雑化、インターネットの常時接続などにより、その脅威は増大しつつあります。

そのため、ひとつのルールを設定するだけで、ゼロデイ攻撃への対策が数多く可能になる、ロジック方式のWAFの導入がおすすめです。とくにクラウド型の「Cloudbric WAF+」なら、社内に情報セキュリティの専門的なスキルを持った人材がいなくても手軽に利用できるうえ、必要なセキュリティ機能を一元的に活用できます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

ASPICキャンペーン

「アスピック」レビューキャンペーン実施中

現在、ITサービスの比較・紹介サイト「アスピック」にて、レビュー投稿をすると1件につき1,500円のAmazonギフト券を贈呈するキャンペーンを実施しています。

新たにSaaS導入をお考えの方にとって、ご利用者様のレビューは検討する上で参考となる情報です。弊社サービスをお使いになったご感想やおすすめしたいポイントなどをぜひご投稿ください。

※レビュー投稿が規定数に達し次第、または2024年4月19日(金)に本キャンペーンは終了いたします。

 

キャンペーン概要

 

注意事項
  • 他サイトで投稿した内容の引用や転載はできません。
  • 企業名および氏名については「公開」「非公開」を指定することができます。
  • 投稿が規定数に達し次第、または2024年4月19日をもって本キャンペーンは終了いたします。
  • 公開までにコミュニティガイドラインに基づき審査を行います。審査結果によっては掲載ができない場合もあります。その場合はキャンペーン対象外となりますので、ご了承ください。
Pentasecurity_X_AWSISV

「AWS ISV Accelerate プログラム」 パートナー認定を取得しました

このたび、ペンタセキュリティ株式会社はアマゾン ウェブ サービス(以下AWS)より「AWS ISV Accelerate プログラム」のパートナーに認定されました。

AWS Web Application Firewall(以下AWS WAF)に適用可能なソリューションとしては、Cloudbric WMS for AWSCloudbric Rule Setがあります。

Cloudbric WMSは、CloudbricのセキュリティエキスパートがAWS WAFの最適化および運用管理を支援するサービスで、Cloudbric Rule Setは、AWS WAFに適用可能なマネージドルールです。マネージドルールはMalicious IP Reputation Rule Set、OWASP Top 10 Rule Set、Tor IP Detection Rule Set、Bot Protection Rule Setの4種類で、脅威インテリジェンスと最新の攻撃トレンドを研究し、セキュリティ脅威を事前に識別する Cloudbric Labsを活用して継続的にアップデートされており、AWS Marketplaceより購入が可能です。

 

ペンタセキュリティ代表 金 泰均のコメント

先日、クラウドセキュリティ分野の強化のため、ペンタセキュリティとCloudbricの合併、および社名変更を行いましたが、初めての成果がAWS ISV Accelerate プログラムの認定を取得したお知らせであり、嬉しい限りです。AWSとの継続的な協業を土台に、アジアを超えグローバル市場でも地位を高められるよう全力を尽くします。

 

AWS ISV Accelerate プログラムとは

AWS ISV Accelerate プログラムは、 AWS で実行される、または AWS と統合されるソフトウェアソリューションを提供する組織のための共同販売プログラムです。ISVとAWS 日本担当チームとの連携を強化し、新しいビジネスの推進と販売サイクルの迅速化を助けます。

WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策

WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策

WordPressは世界で広く使われるオープンソースのCMSです。プログラミングの知識が無くても、Webサイトを作成できるため非常に人気がありますが、広く普及している分、脆弱性を突かれた攻撃を受けることもあります。WordPressのセキュリティを高めるためにはどのような対策をしたらよいのか、実際の攻撃事例も含めて解説します。

 

WordPressのセキュリティに関する問題点:脆弱性の指摘

WordPress(ワードプレス)はWebサイトを作成できるCMS(Contents Management System)の1種です。
2003年に誕生したWordPressは、基本無料で利用できるオープンソースのソフトウェアで、プログラミングの知識が無くても、ブログやWebサイトを簡単に作れます。
デザインのテンプレートが豊富で、追加機能を付与できるプラグインの種類も多いため、世界中で広く使われています。W3Techsの調査によると、全てのWebサイトのうち約43%はWordPressを用いており(2024年1月時点)、もっとも人気のあるCMSです。
(参照元:W3Techs 「WordPress の使用統計と市場シェア」)

多くのWebサイトで用いられているWordPressですが、その使用率の高さや、オープンソースであることから、サイバー攻撃の標的にもなりやすいといわれています。

 

WordPressのセキュリティ脆弱性を狙われた事例

2022年には、テーマ変更ができるプラグイン「OneTone」の脆弱性を狙ったSQLインジェクション攻撃がありました。データベースに侵入し、リダイレクトで他のサイトへ転送するコードが埋め込まれる被害が多発しました。このプラグインの開発者はアップデートを停止しており、脆弱性への対策がなされなかったため、OneToneを使用していたWebサイト管理者の多くは、他のプラグインへ変更せざるを得ませんでした。

2017年頃には、WordPressに搭載された「REST API」という機能の脆弱性を狙ったゼロデイ攻撃がありました。全世界で155万を超えるサイトが改ざんの被害に遭い、大きな問題となりました。
2019年にはプラグインの「WP GDPR Compliance」の脆弱性へのゼロデイ攻撃がありました。管理者ではなくても新規ユーザー登録や管理権限の付与が可能だったため、サイト内にマルウェアを組み込まれるなどの被害が多発しました。

2015年頃には、プラグイン「Fancybox」の脆弱性を突かれたクロスサイトスクリプティング攻撃が行われました。サイト利用者を他の不正なサイトへ誘導するものです。人気のあるプラグインであったため、被害の数も多くなりました。

「SQLインジェクション」、「ゼロディ攻撃」については、詳しくは下記関連記事もご覧ください。

SQLインジェクションとは? 攻撃の仕組みや被害例、対策方法を解説

ゼロデイ攻撃とは? 増加する背景や主な手口、企業として行うべき対策

 

WordPress利用の際に行うべきセキュリティ対策

WordPressは便利なものですが、セキュリティ対策を怠れば、サイバー攻撃の被害に遭う可能性もあります。以下に取り上げるセキュリティ対策を行い、リスクを減らしましょう。

 

・WP本体・テーマ・プラグインのバージョンを常に最新にする

WordPressの動作環境に関わる全てのものを最新のバージョンに保ちます。
WordPress本体や、テーマ・プラグインのアップデートには、バグ修正だけではなく、脆弱性への対応が含まれます。そのため、特に理由が無い限り、アップデートされたものはすぐに更新するのを習慣にしましょう。
自動アップデート機能もありますので、こまめにチェックする余裕が無い場合は、この機能をオンにしておくのもおすすめです。

 

・不要なテーマ・プラグインは削除する

前段で紹介したテーマ「OneTone」などは開発者がアップデート対応をしなかったことで被害が拡大しました。
有効化していないテーマやプラグインだとしても、インストールしたまま放置していると、その脆弱性を突かれる可能性があります。そのため、利用しないテーマやプラグインに関しては、削除しておきましょう。

 

・ログインページをデフォルトから変更する

WordPressのログインページは、初期状態のままだと簡単にログインページを特定できます。

https://ドメイン名//wp-admin/
もしくは
https://ドメイン名//wp-login.php/

そのため、デフォルトのログインページからURLを変更することも有効なセキュリティ対策です。ログインページのURLを変更することで、悪意のあるユーザーがログイン画面にたどり着きにくくなります。
WordPress本体には、ログインページを変更する機能はありませんので、専用のプラグインを用いる必要があります。

 

・ID・パスワードを強化(画像認証・二段階認証)にする

ログイン画面にたどり着かれた場合でも、簡単に突破されないよう、ID・パスワードを複雑にすることも重要です。ログインパスワードは、小文字、大文字、記号や英数字を混ぜ、簡単に思い浮かばないものに設定します。なるべく長く、複雑なものにすることが有効です。

また、画像認証や二段階認証を実装すると、より不正アクセスを防ぎやすくなります。WordPressの機能に、画像認証や二段階認証は無いため、セキュリティ対策関連のプラグインを導入して実装します。

 

・IP制限をかける

WordPressのログインページにIPアドレス制限をかけるのも有効です。例えば、自社オフィス以外のIPを受け付けないように設定を変更することで、不正なアクセスを防げます。

 

・定期的に国内外で発見された脆弱性を把握する

国内外で発見される脆弱性の情報に定期的に目を通すことも必要です。新たに発見された脆弱性に速やかに対応することで、セキュリティを高めることができます。脆弱性を確認できるサイトには以下のようなものがあります。

▼脆弱性を確認できるサイト

・WAFを導入する

WAFとは、「Web Application Firewall」の略です。外部からの攻撃を検知してWebサイトを防御できます。悪意を持った攻撃と判断された場合は、自動的に通信が遮断されるので、クロスサイトスクリプティングやSQLインジェクションなど、WordPressの脆弱性を突いた攻撃を防ぐ効果があります。WAFを導入することで、Webサイトの改ざんや個人情報漏えいのリスクを減らしましょう。

 

まとめ

WordPressは便利なCMSですが、脆弱性を突いた攻撃を受けることがあります。WordPress本体だけでなく、テーマやプラグインも常に最新の状態に保つことで、安全性を高められます。また、セキュリティ対策にはWAFの導入も有効です。
ペンタセキュリティの「Cloudbric WAF+」は、クラウド型のWebセキュリティプラットフォームです。CVEソース基盤に対応しており、新種や亜種の脆弱性にも速やかに対応できます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

アイキャッチ_SQLインジェクションとは 攻撃の仕組みや被害例、対策方法を解説

SQLインジェクションとは? 攻撃の仕組みや被害例、対策方法を解説

Webサービスが広く普及するなか、脆弱性が放置されているWebサイトやWebアプリケーションが少なくないのが現状です。この脆弱性をついて第3者がSQL文を挿入し、データベースへ不正にアクセスしたりデータを改ざんしたり、情報を盗み取ったりするSQLインジェクションの被害が増加しています。本記事では、こうしたSQLインジェクションの仕組みや被害例、効果的な対策について解説します。

 

SQLインジェクションとは?

「SQLインジェクション」とは、第3者がWebサイトの脆弱性を悪用し、データベースへの不正なアクセスやデータの改ざん、情報窃取などを企むサイバー攻撃です。

「SQL(Structured Query Language)」は、最も普及しているデータベース言語のひとつです。ISO(国際標準化機構)によって標準化されており、データベースを操作・制御します。

SQLインジェクションでは、脆弱性が放置されたWebサイトの入力フォームや検索ボックスなどの入力欄に、不正な操作をさせるためのSQL文を挿入することで、データの削除や窃取、システムの認証を回避して不正にログインといった被害を発生させます。

関連記事:2023年のサイバー攻撃における代表的な事例や被害額まとめ

近年SQLインジェクションは増加傾向にあり、2023年1~3月には前年同期比で1.5倍もの被害件数が報告されています。
(参照元:株式会社サイバーセキュリティクラウド「『SQLインジェクション』が前年同期比で+150%増加 ~2023年1-3月『Webアプリケーションを狙ったサイバー攻撃検知レポート』を発表~」)

また、IPAの調査によると、2023年の脆弱性の種類・影響別累計届出件数において、SQLインジェクションは2番目に多く報告されています。
(参照元:IPA「ソフトウェア等の脆弱性関連情報に関する届出状況[2023年第3四半期(7月~9月)]」)

 

SQLインジェクション攻撃の仕組み

ユーザーがWebサイトのフォームに情報を入力した際、通常は入力値に基づいて、サーバに送信される適切なSQL文が生成されます。そのSQL文に従ってデータベースが操作され、適切な結果がユーザーに返ってくる仕組みです。

しかしWebサイトに脆弱性がある場合、悪意を持った第3者が入力欄から不正なSQL文を挿入すると、そのSQL文によってデータベース内のデータの改ざんや個人情報の窃取といった不正な操作が行われてしまいます。

 

SQLインジェクション攻撃の被害例

 

・情報が盗まれる

情報漏えいは、SQLインジェクションの代表的な被害のひとつです。
例えば、顧客の個人情報や企業の機密情報などの漏えいも多数発生しています。IDやパスワードの流出によりアカウントが乗っ取られたり、クレジットカード情報が悪用されて不正送金の被害に発展したりする恐れもあります。

 

・データベースのデータが改ざん・削除される

SQLインジェクションによるデータの改ざんでは、ECサイトにおける商品の紹介文や価格が書き換えられてしまうといった事例があります。Webサイトに偽の情報が掲載されていると企業の信用が損なわれてしまいます。
また、データベース内のデータをすべて削除・破壊される攻撃を受けて、事業継続が難しくなるケースもあります。

 

・Webサイトを改ざんされる

不正なSQL文の命令によってサーバのファイルが書き換えられ、Webページが改ざんされてしまうこともあります。閲覧するとマルウェアに感染してしまう悪質なサイトのURLがページに埋め込まれ、ユーザーがその悪質なサイトに誘導されてしまうという被害も報告されています。

 

・攻撃の踏み台にされる

SQLインジェクションによって乗っ取られたメールアカウントからスパムメールを大量に送付するなど、攻撃に利用されてしまうこともあります。
また、SQLインジェクションでバックドアという侵入経路がサーバに仕掛けられることで、知らないうちに別のサーバを攻撃する踏み台にされてしまう事例もあります。

 

SQLインジェクションの対策方法

SQLインジェクションの被害を受けてしまうと、企業価値の毀損やブランド力の低下など、大きな影響を及ぼします。従ってセキュリティの強化対策は、企業の将来性を左右する重要なポイントです。以下で、SQLインジェクションへの対策方法4点を紹介します。

 

・1. プレースホルダを利用する

Webサイト画面の入力値がそのままSQL文として読み込まれると、悪意のある第3者が入力した不正なSQL文が、そのまま実行されてしまいます。この問題を解決するには、プレースホルダを使ってSQL文を組み立てるのが有効です。
プレースホルダとは、SQL文の変数部分に当てはめる記号のことです。プレースホルダを入れることで、変数部分と操作命令に関わる特殊な文字列の部分がそれぞれ確定します。こうすることで、変数部分に特殊な文字列が入力されて不正なSQL文を生成しようとしても無効化できます。

プレースホルダは、次に解説する「エスケープ処理」と組み合わせることで、さらなる安全性を目指せます。
(参照元:IPA「安全なSQLの呼び出し方」)

 

・2. エスケープ処理 を行う

エスケープ処理とは、プログラム言語で利用される特殊な文字列や記号を、ルールに従って別の文字列に置き換えることです。SQLインジェクション対策の場合は、「シングルクォート(‘)」や「セミコロン(;)」などの記号が対象になります。

第3者によって挿入された、不正なSQL文に含まれる特定の文字列や記号を変換・削除し、攻撃を無効化します。なお、データベースごとに特殊記号の扱いは異なるので、それぞれのデータベースに合わせた対策が必要です。

 

・3. 動作環境をすべて最新に保つ

Webサイトを構築するためのCMS(WordPressなど)やOS、Webアプリケーションなど、すべての環境を最新の状態にアップデートすることも効果的です。

これらのアップデートは、バグ解消や機能追加だけではなく、脆弱性への対応も含まれています。サイバー攻撃は脆弱性を狙うため、動作環境をすべて最新の状態を保つことで、セキュリティを強化できます。

WordPressのセキュリティについて、詳しくは関連記事「WordPressのセキュリティ|脆弱性を狙った攻撃事例や対策」もご覧ください。

・4. WAFを導入する

「WAF(Web Application Firewall)」を導入すると、サーバに対して悪意のある通信が行われた場合は、自動的に通信をシャットアウトしてくれます。従来のファイアウォールでは防ぎきれなかった、Webサイトの脆弱性への攻撃防止が可能です。特にクラウド型のWAFであれば、常に自動で最新のセキュリティ環境を維持できます。

 

まとめ

SQLインジェクションの被害は近年増加しています。有効なセキュリティ対策方法としては、プレースホルダやエスケープ処理 の利用、動作環境のアップデート、WAFの導入などが挙げられます。

ペンタセキュリティのWAF、「Cloudbric WAF+」は、クラウド型のセキュリティプラットフォームです。常に最新のセキュリティ環境を維持できるので、SQLインジェクション対策にも役立ちます。

関連記事:Cloudbric WAF+

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

all3_1200_628_2

【オンラインセミナー】3月5日(火)13:00より「ITトレンドEXPO2024」にて講演

 

このたび、2024年3月5日(火)から開催されるオンライン展示会「ITトレンドEXPO2024」にて、講演を行うことが決定いたしました。

 

■「ITトレンドEXPO2024」概要

ITトレンドEXPOは、株式会社Innovation&Co.の運営する法人向けIT製品の比較・検討サイト「ITトレンド」が主催する業界最大級のオンライン展示会です。「ビジネスシーンに、新たな出会いを。」をコンセプトに、DX化をテーマにしたセッションや展示エリアを強化するとともに、ビジネスのテーマでもあるIT化や効率化など、課題を解決できる製品やサービスにも触れることが可能です。

 

  • 名称:ITトレンドEXPO2024
  • 開催日時:2024年3月5日(火)〜 3月8日(金)※ライブ配信による開催
  • 費用:無料
  • 主催:株式会社Innovation & Co.
  • 視聴申込:https://it.expo.it-trend.jp/

 

■セッション概要

近年、パブリッククラウドの利用は、ビジネスの効率化と価値創出の肝になっていますが、同時にサイバー攻撃リスクを回避するためにはセキュリティ対策を十分に考慮する必要があります。パブリッククラウドは「責任共有モデル」を採用しており、データやアプリケーションのセキュリティは企業自らが意思決定と施策を行わなければなりません。

本セッションでは、AWSを活用している企業のWebセキュリティにフォーカスして、情報システム部門がリーダーシップを発揮するために必要な3つのポイントを取り上げながら、クラウドネイティブな選択肢であるAWS WAF活用時のセキュリティ課題とベストプラクティスを紹介します。

 

  • タイトル:押さえておきたい!AWS WAF活用時のセキュリティ課題とベストプラクティス、企業リーダーシップの重要性
  • 講演日時:2024年3月5日(火)13:00~13:30
  • 講演者:日本法人代表取締役社長 陳 貞喜
  • 詳細:https://it.expo.it-trend.jp/session/time#session-239