blog_Introduction

Cloudbric(クラウドブリック)の主要機能をご紹介いたします!

by ブログ

ご紹介ㅣCloudbric WAFの主要機能

企業のセキュリティ関連予算が毎年増加している中、どのようなセキュリティ対策を立てていますか?

過去には攻撃履歴のあるIPアドレスからのアクセスを遮断したり知られている攻撃パターンと比較して遮断したりする方法でWebサイトを保護しましたが、もうこの方法ではWebサイトを安全に保護出来なくなりました。

新種の攻撃を検知出来なかったり悪意の無いアクセスも遮断してしまったりする事が多くなっている為です。

このような問題を解決してWebサイトを保護してくれるCloudbric(クラウドブリック)WAFの主要機能についてご紹介致します。
安全なWeb環境を作る為にはどういったセキュリティ対策が必要であるかご確認ください。

紹介

– Web攻撃遮断サービス

「ロジックベース検知エンジン搭載」

クラウドブリックはより安全なWebセキュリティサービスを提供する為、既存WAF市場の検知技術とは異なる「ロジックベース検知エンジン」を搭載しています。ロジック分析を通じた検知技術で、攻撃真偽まで把握して誤検知率が低く、今までなかったWeb攻撃パターンを正確に検知して遮断出来ます。また、データの意味を論理的に分析するので誤検知も少ないです。

「OWASP主要脆弱性Top10に対応」

クラウドブリックのWAFは、OWASPが発表した主要脆弱性Top10に全て対応出来ます。
ロジックベース検知エンジンの26種の検知ルールを基盤に多様なWebサイトの脆弱性を補完してWeb攻撃を防御出来て有害なトラフィックを正確に区分して遮断しています。

 

– DDoS防御

「DDoS攻撃の定義」

DDoSはハッカーがウィルスに感染させて操る多数のゾンビPCが一斉にWebサーバに負荷をかける攻撃です。以前はトラフィックを発生させてネットワークをフリーズさせる攻撃が流行っていましたが、最近はアプリケーションの脆弱性を悪用してWebサーバを直接攻撃する場合が増加しています。

このような攻撃は、Webサーバの全ての情報が消えたり流出したりする致命的な結果を用いることがあります。

「多様なDDoS攻撃を防御」

クラウドブリックのWAFはWebアプリケーションの脆弱性を悪用した全ての非正常的なアクセスを迅速でスマートに検知/遮断します。最も多いDDoS攻撃から最新トレンドであるマルチバクタ攻撃(Slowloris, RUDYなど)まで、全範囲のDDoS攻撃からWebサイトを保護します。また、ネットワーク拡張を通じてネットワークフリーズを防ぎます。

ddos

– 無料SSL

「SSL証明書」

SSL(Secure Socket Layer)はWebサイトユーザとWebサーバ間の通信を暗号化する為にWebサーバに保存する証明書です。
SSLを使用せずにHTTP通信を行ったら、ユーザとWebサーバ間の通信が第三者に露出する可能性があります。
ユーザの大事な情報を保護する為には、SSLでWebサイトの全ての通信を暗号化しなければいけません。

「無料SSL提供」

クラウドブリックはIDソリューション分野においてグローバルリーダであるIden Trustから認証されたLet’s Encrypt証明書を無料提供しています。

また、Webサイトの有効性を証明して発行した証明書をWebサーバに保存する手間を無くす為、ユーザがサービス登録さえ完了すれば追加作業が必要ない自動SSLを使用出来るようにして利便性を高めました。

現在行っているセキュリティ対策に足りない部分はありませんか?
クラウドブリックのサービスを利用すれば、簡単・迅速に強力なWebセキュリティを導入して顧客からより信頼される企業になります。
もっと詳しい情報を知りたい方はクラウドブリックのホームページを参照もしくはお問合せメニューを利用してご連絡をお願い致します。

vevo

【コラム】Webサイト改ざんの事例と対策

by ブログ

最近大型サイトが  改ざん される事件が目立っています。
ユーザがWebサイトにアクセスしたら他のサイトに繋がるようにしたり、Webページを他のサイトに換えたりする事件が増えています。
様々なハッキング方法からWebサイトを安全に保護する為にはどういう対策を立てるべきでしょう。
今回は最近話題になった改ざん事例と対策についてご紹介致します。

「Webサイト改ざんとは」

Webサイト改ざんとは、ハッカーがWebサイトのコンテンツやシステムを任意に変造するWeb攻撃です。
企業もしくは個人情報の一部、あるいはWebサイト全体を変える不正行為に該当します。
こうしたWeb攻撃の主な目的は営利的な事から他人(もしくは他企業)を誹謗しようとする事、政治的な目的まで様々ですが、はっきりした目的も無く攻撃するハッカーもいます。

「話題になった改ざん事例」

₋Youtube
2018年4月10日、米国Youtubeサイトにある人気アーティストのPVが改ざん被害に遭いました。
ストリーミングサイトVevoのYoutubeチャンネルがハッキングされて発生した事でした。
英国BBCと米国The Vergeの報道によると、Youtubeで視聴回数1位だった「Despacito」のサムネイル画像がマスク姿で銃を構える集団の画像に置き換えられ、その後一時的に視聴できなくなったそうです。ほかにもシャキーラ、セレーナ・ゴメス、テイラー・スウィフトといった人気アーティストの音楽ビデオが相次いで改ざんされました。
被害に遭った動画はいずれもレーベルがVevoのアカウントを通じてYoutubeに公開した公式ビデオでした。
改ざん Youtube

参考:ITmedia エンタープライズ「人気音楽ビデオが相次いで改ざん被害、YouTubeのVevoチャンネルでハッキング」
http://www.itmedia.co.jp/enterprise/articles/1804/11/news058.html

₋政府機関
今は対策を立て関連法律を制定していますが、2000年代には各政府機関のサイトが改ざんされる事件が相次いでいました。
2000年1月24日、科学技術庁のホームページが日本人をののしり、ポルノサイトへ誘導する内容に改ざんされました。
その他にも総務省統計局・自動車事故対策センターなどのデータが削除される攻撃が発生しました。

参考:kogures.com 「中央官庁Webページ集中改ざん事件(2000年)」
http://www.kogures.com/hitoshi/history/virus-2000-web-kaizan/index.html

₋トヨタ自動車
2013年6月18日、トヨタ自動車はホームページの一部が不正アクセスを通じて改ざんされたという経緯書とそれに対する謝罪声明を発表しました。
ホームページのニュースサイトを閲覧したら悪性プログラムがインストールされ、この状態が6月4日から6月14日まで続きました。
幸い個人情報流出は無かったですが、この為しばらくの間ホームページ内コンテンツを閲覧出来ませんでした。

参考:日経コミュニケーション 「トヨタのWebサイトが改ざん、不正プログラムを自動実行する状態に」
http://tech.nikkeibp.co.jp/it/article/NEWS/20130619/486291/

「改ざんに備える為には」

1.改ざんチェック方法
₋Webサイトの全ページソースコードを確認
ウェブサイト上に公開されている全ページについて、不正なスクリプト(意味不明な文字列)が含まれていないかを確認してください。
同様に、ウェブページを編集するパソコンに保存されているページもチェックしてください。
ウェブページのブラウザ上での見た目は、改ざんされる前と区別がつかないため、ホームページの編集ソフト等でページのソースを表示して確認してください。
₋ftp へのアクセスログを確認
ftp のアカウントを不正に利用され、正常なページに不正なスクリプトを埋め込む事例が確認されています。
自分がアクセスしていない日時に、ftp のアクセスが行われていないかを確認してください。
特に、企業の場合は、ftp のアクセスログを定期的にチェックし、不正アクセスや改ざん検知サービスの導入を推奨します。
※ftp:File Transfer Protocolの略。ネットワークでファイルを転送する為のプロトコル。
2.Webサイト運用の見直し
ウェブサイト更新用のアカウント情報が適切に管理されているかパスワード及びアカウント共有の側面から見直してください。
使用しているパスワードが十分に複雑でハッキングされる危険が無いか、アカウント情報の共有を必要以上の人員にしていないかに対する見直しが必要です。
3.一般利用者における対策
脆弱性を悪用して感染するウイルスからパソコンを守るため、Windows OS の利用者は Microsoft の自動アップデート機能を有効にしてください。
また、パソコンのすべてのアプリケーションソフトを定期的に最新版に更新してください。
そして、セキュリティ対策ソフトをインストールしたり無料オンラインサービスを利用したりすることをお勧めします。

参考:ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざん されたウェブサイトからのウイルス感染に関する注意喚起 (https://www.ipa.go.jp/security/topics/20091224.html)

4.企業などホームページ管理者における対策
WAFはWebサイトとアプリケーションの間に介入して通信を通したアクセスを監視及び防御するセキュリティソリューションです。
WAFを導入したらWebアプリケーションの脆弱性を狙ったWeb攻撃を検知して攻撃的通信のアクセスを防ぐ事が出来ます。
そして、Webページの改ざんだけではなく、DDoS攻撃など様々なサイバー攻撃に対応可能なWebサイトの総合セキュリティ対策を立てることが出来ます。
安全なWebサイトを作る事が企業財産を守る事です。ハッキングに遭遇する前に充分に備えてください。
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら
パートナーに関する情報はこちら
パートナーに関するお問合せはこちら

cloudbric_hp_owasp_2

【コラム】10大Webアプリケーション脆弱性と対策法

by ブログ

昨今ハッカーによるWeb攻撃が単純にWebサイトをフリーズさせるたけではなく、個人情報流出や重要資料の削除などの大問題になっています。
こういうニュースを見る際に「脆弱性」という単語をご覧になりましたか?
地下市場の発達により、今は専門ハッカーでなくてもWebページにアクセスして脆弱性を見つける事が出来て、脆弱性を多く持っているWebサイトを探してくれる自動化ツールまで出来ています。
Webサイトを安全に保護する為には、ハッカーの標的になる「脆弱性」を把握してそれに対する補完及び対策を立てることが重要です。
今回はOWASPが提示した10大Webアプリケーション脆弱性について述べ、脆弱性に備える方法をご説明致します。
脆弱性

1.10大Webアプリケーション 脆弱性

OWASP Top 10(2017年)
A1: インジェクション A6: 不適切なセキュリティ設定
A2: 認証の不備 A7: クロスサイトスクリプティング (XSS)
A3: 機微な情報の露出 A8: 安全でないデシリアライゼーション
A4: XML外部エンティティ参照(XXE) A9: 既知の脆弱性のあるコンポーネントの使用
A5: アクセス制御の不備 A10: 不十分なロギングとモニタリング

 

A1 : インジェクション
SQL, OS, XXE, LDAP インジェクションに関する脆弱性は、コマンドやクエリの一部として信頼されないデータが送信される場合に発生します。
攻撃コードはインタープリタを騙し、意図しな いコマンドの実行や、権限を有していないデータへのアクセスを引き起こします。
A2: 認証の不備
認証やセッション管理に関連するアプリケーションの機能は、不適切に実装されていることがあります。
不適切な実装により攻撃者は、パスワード、鍵、セッショントークンを侵害したり、他の実装上の欠陥により、
一時的または永続的に他のユーザーの認証情報を取得します。
A3: 機微な情報の露出
多くのウェブアプリケーションやAPIでは、財務情報、健康情報や個人情報といった機微な情報 を適切に保護していません。
攻撃者は、このように適切に保護されていないデータを窃取または 改ざんして、クレジットカード詐欺、個人情報の窃取やその他の犯罪を行う可能性があります。
機微な情報は特別な措置を講じないでいると損なわれることでしょう。
保存や送信する時に暗号 化を施すことや、ブラウザ経由でやり取りを行う際には安全対策を講じることなどが必要です。
A4: XML外部エンティティ参照(XXE)
多くの古くて構成の悪いXMLプロセッサーにおいては、XML文書内の外部エンティティ参照を指 定することができます。
外部エンティティは、ファイルURIハンドラ、内部ファイル共有、内部 ポートスキャン、リモートコード実行、DoS(サービス拒否)攻撃により、内部ファイルを漏え いさせます。
A5: アクセス制御の不備
権限があるもののみが許可されていることに関する制御が適切に実装されていないことがありま す。
攻撃者は、このタイプの脆弱性を悪用して、他のユーザのアカウントへのアクセス、機密 ファイルの表示、他のユーザのデータの変更、アクセス権の変更など、権限のない機能やデータ にアクセスします。
A6 : 不適切 なセキュリティ設定
不適切なセキュリティの設定は、最も一般的に見られる問題です。
これは通常、安全でないデ フォルト設定、不完全またはアドホックな設定、公開されたクラウドストレージ、不適切な設定 のHTTPヘッダ、機微な情報を含む冗長なエラーメッセージによりもたらされます。
すべてのオ ペレーティングシステム、フレームワーク、ライブラリ、アプリケーションを安全に設定するだ けでなく、それらに適切なタイミングでパッチを当てることやアップグレードをすることが求め られます。
A7 : クロスサイトスク リプティング (XSS)
XSSの脆弱性は、適切なバリデーションやエスケープ処理を行っていない場合や、HTMLや JavaScriptを生成できるブラウザAPIを用いているユーザ入力データで既存のWebページを更新 する場合に発生します。
XSSにより攻撃者は、被害者のブラウザでスクリプトを実行してユー ザーセッションを乗っ取ったり、Webサイトを改ざんしたり、悪意のあるサイトにユーザーをリ ダイレクトします。
A8 : 安全で ないデシリアライ ゼーション
安全でないデシリアライゼーションは、リモートからのコード実行を誘発します。
デシリアライ ゼーションの欠陥によるリモートからのコード実行に至らない場合でさえ、リプレイ攻撃やイン ジェクション攻撃、権限昇格といった攻撃にこの脆弱性を用います。
A9 : 既知の 脆弱性のあるコン ポーネントの使用
ライブラリ、フレームワークやその他ソフトウェアモジュールといったコンポーネントは、アプ リケーションと同等の権限で動いています。
脆弱性のあるコンポーネントが悪用されると、深刻 な情報損失やサーバの乗っ取りにつながります。
既知の脆弱性があるコンポーネントを利用して いるアプリケーションやAPIは、アプリケーションの防御を損ない、様々な攻撃や悪影響を受け ることになります。
A10 : 不十分なロギング とモニタリング
不十分なロギングとモニタリングは、インシデントレスポンスに組み込まれていないか、非効率 なインテグレーションになっていると、攻撃者がシステムをさらに攻撃したり、攻撃を継続でき るようにし、ほかのシステムにも攻撃範囲を拡げ、データを改竄、破棄、破壊することを可能に します。
ほとんどのデータ侵害事件の調査によると、侵害を検知するのに200日以上も要してお り、また内部機関のプロセスやモニタリングからではなく、外部機関によって検知されています。

(引用:OWASP Top10 – 2017 https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf)

2.脆弱性に備える為には

日々増加しているWeb攻撃に備えて、企業はWebアプリケーションを保護する為の効率的なプロセスと技術を持つ必要があります。
この為、まず自社のWebサイトに内在している脆弱性を認知・把握した後、必要に応じてWAF等のソリューションを導入するべきです。
多くの企業がWebサイトに数多くの顧客情報を保存しているので、企業は社会的責任と貢献の為に常にセキュリティを念頭に入れる義務を持っています。
全ての脆弱性について認知し、Web攻撃を防御してくれるWAFを導入して企業と顧客の資産を守りましょう。
Cloudbricのパートナーシップ制度はこちら
パートナーに関するお問合せはこちら
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら

WAFER_Report

分かりやすいWAFERガイド

by ブログ
前回の「安全なWebサイトを作る3つの方法」に続いて今回はWAFERの使用法を分かりやすくご説明いたします。

1.ドメイン入力
テストするWebサイトのURLを入力します。
この時、WAFERが評価のため実際にWebサイトに無害な攻撃を実行するので、本人所有または直接管理するWebサイトのURLを入力しなければいけません。
(一度WAFERにWebサイトを登録したら他の人はそのWebサイトを登録出来ません。)

WAFER_Main Page

2.利用中のWAFサービスを選択
クラウドブリックのWAFを利用していなくてもテスト出来ます!
選択肢に該当するサービスが無い場合、「その他」を選択してください(重複選択不可)
Select

3.ドメイン所有認証
先に述べたように、Webサイトに直接攻撃パターンを実行するので、ドメインの所有者である事を認証することで悪用を防止しています。
認証方法は以下の3つから選択出来ます。
Domain

1)Cloudbricログイン:弊社のサービスをご利用中の場合、DNSが既にクラウドブリックのサーバを振り向いていて認証が完了しているので、ログインさえすれば次のページへ移動します。
login

2)DNSレコード変更:ドメインの管理ページにログインしてTXTレコードを変更してください。
TXT

3)HTMLタグを追加:<HEAD>部分にクラウドブリック提供のMETAタグを追加してください。
「例を確認します。」をクリックしたら具体的にどこにMETAタグを追加するのかが確認出来ます。
HTML

4.評価進行
ドメインの所有者である事が認証されたら、ご利用中のWAFの評価が始まります。
評価中には、進行中の攻撃パターンのカテゴリーをリアルタイムで確認出来ますし、評価の所要時間が長引いてしまうと停止ボタンをクリックして停止させる事も可能です。
そして、評価結果を待ちながら下段のBlackIPediaのリンクから最近ブラックリスト処理されたIP住所リストも確認出来ます。
Evaluate

5.結果レポート確認
評価が完了したら、結果レポートが出されます。
レポートには以下の評価項目が記載されています。

₋正検知パターンの総数及び遮断数、正検知遮断率(%)
₋誤検知パターンの総数及び遮断数(誤検知数)、誤検知遮断率(%)
₋攻撃種類のうち正検知率上位10個
(該当する攻撃種類の全体数、正検知数、正検知率)
₋正検知した攻撃の影響度の統計
₋攻撃種類の結果ページへのリンク

Report

いかがでしたでしょうか。
このように少しの間を使用してWAFERで貴社のWAFのセキュリティ性能を無料測定出来ます。
このガイドを参考してもっと簡単にWAFERを使用してください。
専門家がいなくても利用中のWAFの長短所を把握出来ます。
また、疑問点などがありましたら以下のリンクにてお問合せください。

お問合せはこちら
パートナーに関する情報はこちら
Cloudbricの製品情報はこちら

WAFER_Inforgraphic

安全なWebサイトを作る為には~3分で分かるWAFER~

by ブログ

今回は WAFER に関する紹介を分かりやすくまとめました!

前回の説明が難しかった方は特にご注目です!

前回のポストはこちらへ(安全なWebサイトを作る3つの方法)

WAFER
※イメージをクリックすると該当ページへ移動します。

お問合せ:Cloudbric株式会社(ホームページへ
Tel: 050-1790-2188 E-Mail:japan@pentasecurity.com

製品情報はこちら
パートナーシップ情報はこちら

WAFER のお試しはこちら

WAFER

安全なWebサイトを作る3つの方法

by ブログ

昨今のWeb攻撃に関するニュースを見ると以前とはまた違う攻撃の被害に遭う事をよく目にしています。
最近発生した「歴代最悪のサイバー攻撃」に対してやっと対策を講じたと思ったらまた新しい攻撃が現れてWeb環境を脅かしています。
早いスピードで変化する特性を持つWebであるため、昨日までWebサイトを攻撃から守ってくれたWAFが今日も適切なセキュリティを提供出来るという保証は出来ません。
₋WAFは導入したけど、セキュリティ管理はベンダーに任せきりです!
₋Webサイトをもっと安全に運営したいです!
こうした思いを持っている企業もしくは個人のWebサイト所有者の為に、今回は安全なWebサイトを作る3つの方法をご紹介致します。

「目次」
 1.脆弱性対策は必須!
 2.攻撃履歴を把握して遮断IPリストをアップデート!
 3.WAFの定期点検
 ▣ 今すぐ貴社のWAFをテストしてみてください!

 

 1.脆弱性対策は必須!

いくらセキュリティを考慮して開発したWebサイトだとしても脆弱性はあるものですし、Webサイトの脆弱性を完璧に把握するのは難しいことです。
実際に第三者の通報によって脆弱性を知ることも少なくありません。
この為、知らぬ間にハッカーに脆弱性が露出されて情報流出や改ざん等の被害を受けることになります。
実際に、最近人気タルト専門店のオンラインショップが脆弱性攻撃によって顧客情報を流出するなど、
脆弱性を知らなったり放置したりして被害を受ける事例が増えています。
この問題を事前に備える為には、二つの方法があります。
直接手動診断する事と脆弱性スキャンツールを使用する事です。
このうち、早くて簡単に脆弱性を診断出来る脆弱性スキャンツールをいくつかご紹介致します。
OWASP ZAP:最も簡単に使用出来る自動診断型テストツールです。
Burp Suite : 広く使用されているツールで、改ざんテストまで出来ます。
Nikto:既に公表された脆弱性がWebサイト及びミドルウェアに存在するか確認出来ます。

 2.攻撃履歴を把握して遮断IPリストをアップデート!

多くのWAFサービスにはどのIPからよく攻撃を受けているのかに対する情報を提供する機能があります。
既にWAFを導入しているなら、この機能を使用する事をおすすめします。
この時、攻撃してきたIPのアクセスを遮断することでより安全にWebサイトを保護出来ます。
クラウドブリックのサービスコンソールにはユーザ自らが攻撃情報を確認して攻撃してきたIPまたは国を特定して遮断する機能があります。
また、指定IPもしくは国からのアクセスのみ許容する「ホワイトリスト」機能も提供しております。
このような機能を活用したら、ハッカーのアクセスを遮断して攻撃防止は無論、Webサイトの過度なトラフィック量増加による費用の増加やローディングスピードの低下などの被害を防止する事が出来ます。
特に、ECサイトのように特定地域のマーケットのみターゲットにする場合、ビジネスを展開している国のアクセスのみ許容することで攻撃に備えられます。
console

 3.WAFの定期点検

最近オーストラリアの16歳の少年がアップルのサーバを1年以上ハッキングした事件がありました。
誰でもハッキングが出来るようになりましたし、大手企業でも気付きにくい程の巧妙な攻撃が増加しています。
シグネチャー基盤のWAFの場合、新しい攻撃に対応する為には定期的なアップデートが必要になります。
その際、多くの時間と費用がかかりますし、頻繁なアップデートによる機能低下が発生する恐れがありますので、アップデートの後に性能の点検が必要です。
(→シグネチャー基盤のWAFの限界を克服できるクラウドブリックの論理演算基盤検知エンジン)
クラウドブリック・ラボ(Cloudbric Labs)のWAFERを使用したら現在利用しているWAFの性能を無料でテスト出来ます。
WAFERはWAFのセキュリティ性能を評価する為に制作された無料ツールであり、検知または遮断した攻撃(正検知)だけでなく、正常トラフィックの遮断(誤検知)に対する評価も出来ます。
そして、WAFERのテストパターンはOWASP・Exploit DBのパターン及びクラウドブリックのリサーチチームによって厳選された攻撃パターンで構成されていて、利用しているWAFが多様な種類の攻撃に対してどのような対応が可能なのか確認出来ます。
WAFER_Report

 ▣ 今すぐWAFERを使用してみてください!

WAFER
WAFを導入するだけでWebサイトの安全性が保証される訳ではありません。
安全なWebサイトを作る為には定期的にWAFを点検しなければいけません。
クラウドブリックのWAFERは簡単な認証だけで誰でもWAFを無料点検出来ますので、今すぐ貴社のWAFの防御能力を確認し、サイバー犯罪に備えてください。
次回はWAFERの使用方法についてご案内いたします。
パートナーに関するお問合せはこちら
製品に関するお問合せはこちら
WAFERのお試し利用はこちら

Asia-Pacific Stevie Awards Silver Winner

Cloudbric、2018 Stevie Awardsで銀賞受賞

by お知らせ

Stevie Awards
クラウドブリックが第5回スティービー・アジア・パシフィック賞の技術開発革新部門で銀賞を受賞いたしました。

“王冠”という意味のギリシャ語の“Stefanos”から名付けたスティービー賞は、過去16年間に亘って「国際・ビジネス賞」のようなプログラムを行っている世界有数のビジネスアワードであります。

2014年の初開催以来、スティービー・アジア・パシフィック賞はアジア太平洋地域の22か国から企業革新を認定して貰える唯一のビジネスアワードプログラムです。

今年のスティービー・アジア・パシフィック賞の金・銀・銅賞候補は、世界中の約100人以上の様々な分野のエグゼクティブより革新的な業績に対する優秀性を評価されました。

そのうち、銀賞を受賞したクラウドブリックは、2017年に成し遂げた革新的な技術開発を認定されました。特に、ユーザーのSSL証明書管理に手間が掛からないように自動リニューアルされる無料SSLサービスが高く評価されました。

クラウドブリックは今後もWebサイトセキュリティに関する知識が少ない人でも簡単にアクセスして使用出来るサービスを提供していきます。

(2018年アジア太平洋Stevie Awards受賞者リスト:http://asia.stevieawards.com/2018-stevie-winners)

「 Stevie Awards について」

Stevie Awardsは以下の7つのプログラムで構成されている。
‐スティービー・アジア・パシフィック賞 (the Asia-Pacific Stevie Awards)
‐ドイツ・スティービー賞 (the German Stevie Awards)
‐アメリカン・ビジネス賞 (The American Business Awards)
‐国際ビジネス賞 (The International Business Awards)
‐女性ビジネス賞 (the Stevie Awards for Women in Business)
‐優良雇用者スティービー賞 (the Stevie Awards for Great Employers)
‐セールス&カスタマーサービス・スティービー賞 (the Stevie Awards for Sales & Customer Service)
スティービー・アワードには、 毎年60ヶ国以上の組織から1万件以上の応募が寄せられている。
(Stevie Awards公式ホームページ:http://www.StevieAwards.com)

【コラム】情報セキュリティの環境変化とWAFの位置づけの変化

by ブログ

情報セキュリティの環境変化とWAFの位置づけの変化

22ヵ国50社の企業経営者を対象に行ったアンケート調査結果のまとめによると、今日の企業経営における最大のリスクは、「経済の不確実性」が1位で55%を占めており、「サイバー脅威」が50%の2位となっています。
しかし、経営の一線からは、「サイバー脅威」を最大リスクだと訴える声が多数です。
経済の不確実性は常に言及されているリスクであるため、水があるのがあたりまえのように当然のこととされますが、新しく登場したサイバー脅威はなじみの薄いものでありながら、その勢いはますます強くなっています。
また一度事故が起きたらすべてのメディアが先を争って報道しており、事後処理も困難でどうしたらいいのかという困惑の声も多くなっています。
サイバー脅威における最も深刻な問題は、その概念自体があまりにも難しくて何を言っているか解らないということです。
関連書籍を探してみても熟練された技術者向けの技術書か理論とは言えないでたらめな経営書かであるため、学びたくても学べないのが現実です。
そのため、経営と技術の間のギャップはさらに広がり、その隙間を狙う犯罪者や詐欺師によるICTに関する各種事件が相次いでいます。
経営者とエンジニア、生産者と消費者、両方とも問題の解決策が全く見つけられません。
恐らく、今日の企業経営における最大のリスクは「サイバー脅威の不確実性」かもしれません。
「サイバー脅威に対する対応ガイドが必要!」という現場からの要求が強く求められます。
要求があれば、その解決策も出てくるはずですので、世界有数の経営諮問機関から定期的に発行されるICTの市場分析レポートが大変役に立ちます。
「ガートナー(Gartner, Inc.)」は、米国コネチカット州スタンフォードにあるICTの研究・助言を行う企業です。
1979年に設立され、それならではの鋭利な分析力を武器として目覚ましい成長を成し遂げ、今や全体従業員5,700人のうち1,500人余りがリサーチアナリストとコンサルタントという世界最高で最大の研究集団です。
不確実性という海の灯台、ハイプサイクルとマジッククアドラント「ガートナー」レポートのクオリティは、
昨今の市場分析の象徴のように広く通用している2つのグラフだけでも十分証明できます。
「ハイプサイクル」と「マジッククアドラント」、企業経営の意思決定に重要な資料であるだけに、簡単にそれについて探ってみましょう。
「ハイプサイクル(Hype Cycle)」は、特定技術の成熟度を視覚的に表現するためのツールです。
当該技術の研究開発水準や市場の反応など様々な条件によって各項目を下記の5つに分類しグラフ上に表示します。
1)黎明期(技術の引き金、Technology Trigger)
2)流行期(過剰期待の頂、Peak of Inflated Expectations)
3)幻滅期(幻滅のくぼ地、Trough of Disillusionment)
4)回復期(啓蒙の坂、Slope of Enlightenment)
5)安定期(生産性の台地、Plateau of Productivity)
1)成長の可能性を秘めている技術に対する世間の関心が高まり、2)概念-モデルへの過度な注目のおかげで製品も造ってみるものの、その殆どは失敗になり、3)数多くの失敗でその関心が失われます。
そこから生き残ったわずかの企業から成功事例が出はじめ、4)利益を設ける製品が生産されることにより、再び注目を集め、, 5)市場に一定のポジションを占めるようになり、品質を争っていく一連の過程です。
殆どの技術がこのプロセスで進められます。
それを基にグラフを見てみますと、非常に面白いです。
世の中に新しい用語が登場し、メディアでも大話題になるものの、すぐ冷めてしまいます。
激しい競争の中で極わずかがやっと生き残り、成功していく過程が目に見えませんか。実に面白いですね。
要するに、よくできたグラフです。
ハイフサイクルの変化像を参考にすると、複雑なIT業界の不確実性もある程度消えていきます。
冬場に車のフロントガラスの曇りをとるワイパーのように。
次は「マジッククアドラント(Magic Quadrant)」を探ってみましょう。
「ガートナー」に負けないぐらい有名な研究集団である「フロスト・アンド・サリバン(Frost & Sullivan)」のグラフを探ってみましょう。
「フロスト・アンド・サリバン」は40年の歴史を持つ企業成長のコンサルティング会社です。
世界各国にある現地支社ネットワークを通じて、800人余りのアナリストから収集した情報を基に作成された市場分析レポートは、バランスのよい国際的視点と鋭利な解析力が高い評価を受けています。
縦軸は現在ンの市場分布状況を意味し、横軸は将来に向いた成長戦略の優秀性と実行可能性を意味します。
消費者の立場からは、アーリーアダプターの戦略にするか、レイトアダプターの戦略にするかなど、自社の意思決定基準により、グラフの4分割面上の候補群の位置と変化から異なるインサイトを得られます。
もちろん、最終意思決定の段階ではなく初期検討の段階でそれを活用することが賢明でしょう。
グラフ上の企業の位置は、売上、流通ネットワークの規模と品質、従業員数、特に開発者の数とそのレベル、販売、サポートといった各事業分野別における従業員の割合などによって決定されます。
最終結果物が単純な絵の形になっただけで、その裏にはなぜこのようなグラフを描いたかその理由を説明する読み終えるのが困難なほど分厚いレポートがあります。
重要なのはグラフではなく、その分厚いレポートです。
そのため、ハイプサイクルやマジッククアドラントなど簡単に描かれたグラフは、あまりにも忙しくてその分厚いドキュメントを読む時間のない役員などいわゆる「重役用のサマリー(Executive summary)」とみてもかまいません。
要するに、グラフは非常に主観的にみえますが、それを裏付ける普遍性は備えているため、客観性まで認められているのです。
「ガートナー」や「フロストアンドサリバン」など誰もが知っている有名なコンサルティング会社のアナリストは、実情は何も知らずただ机の前に座って難しい言葉だけを言っているわけではありません。
現場の傾向を実質的に把握するための研究体制も充実していることも、業界を問わず彼らの分析結果を認める理由です。皆一応その専門性を認めてから見ているのです。
「その会社のアナリストより私の方がより詳しい!」 社内の当該専門家がアナリストより優れたエンジニアではあるものの、彼らのように業界全体を把握することはできず、業界内の人的ネットワークなどのため、客観性を失う場合も度々あります。
簡単に言うと、アナリストの方がはるかにスマートです。
不愉快でも仕方がありません。それは、彼らの「仕事」であり、彼らは公的に認められた専門家ですので、むしろ詳しくないのがおかしなことではないでしょうか。
したがって、経営陣はこれらのレポートを閲覧し沈思熟考したうえで、意思決定の過程でそれを参考にすると、大変役に立ちます。
技術は、特にICT関連技術は、新陳代謝が非常に活発な生物で常に変化しているので、一度見たから十分理解したと思ってはいけません。
定期的かつ持続的な観察が必要です。少なくとも毎年更新されるグラフだけでもみましょう。
問題は常に新たに発生し、技術的判断の基準も常に変化しているため、その解決策も常に異なっていきます。
実際に重要なのはある要素のグラフ上の位置ではなく、状況の変化によってその要素がどこからどこへと移動していくかです。
つまり変化や、その変化の理由と根拠です。その一例を挙げてみます。

企業情報セキュリティ環境の変化とWAFの位置づけの変化

最近「ガートナー」のレポート上のWAFの位置づけが変わりました。
去年までは、WAFを「クレジットカードのデータセキュリティ標準(PCI DSS: Payment Card Industry Data Security Standard)」など法的規制のため、仕方なく導入するものでしたが、その効用性を疑い、適者生存のルールにより市場からすぐ姿を消す商品」と定義しました。
しかしながら、最近のレポートを見ると、「WAFは企業の情報セキュリティに必須不可欠な要素」へとその内容が変化しました。
文章表現からみても、「Hype Cycle for Application Security, Gartner 2013」では、「WAFは、他の競合製品に比べ、その効用性や拡張性が低いため、いまだにも小市場をせいぜい維持している」と評価を格下げしましたが、「Hype Cycle for Application Security, Gartner 2014」では、「規制対象に該当しないという理由でWAFを導入していなかった企業も、今はWebアプリケーションセキュリティの重要性に気づき、WAF導入がただ規制を充実させるための決定ではないことに気付いている。」とより現実的な評価をしています。
WAFに対する態度が完全に変わりました。
何よりも、ある要素の位置づけがどう変化したか、その理由と根拠は何かが重要です。
WAFの位置づけの変化の理由を類推してみると、
● 法的規制があるので嫌々買うのではなく、導入してみたら実際にセキュリティ効果が高かった。
● WAFの代案として挙げられている「セキュアコーデイング」は、結果的に非現実な希望にすぎなかった。
● 確実にセキュアなコーデイングを行って、管理・維持することはWAF導入より、多くのコストがかかる。
それで、WAFの位置づけが急速に上がったのです。このように変化そのものより、変化の理由に焦点を合わせてみる必要があります。
企業の情報セキュリティ環境は常に変化しており、そのリスクは日々高まっています。
相次いでいるセキュリティ侵害事故をみてもICTリスクは、ビジネスの連続性を損ない、投資家の投資心理にも悪影響を与え、深刻な場合は社会混乱を招いて災害災難レベルの経済活動のマヒや企業活動の停止という結果につながる恐れがあります。
それでも企業現場では、情報セキュリティに対する総合的な理解不足による意思決定の難しさを訴えています。
その時、「ガートナー」や「フロストアンドサリバン」のレポートを活用してください。
不確実性という海の灯台のように、企業の意思決定に大変役に立ちます。
 
<製品に関するお問い合わせ>
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

Blog_Web Application_4

【コラム】Webアプリケーションのセキュリティを強調する理由

by ブログ

ハッキングの70%以上がWebを通じて行われている分、Webセキュリティは必須になってきました。
Webセキュリティの安全性を確保する為には、
企業のセキュリティ担当者がWebセキュリティに対して充分理解した上で自社のITシステムに合ったWebセキュリティを構築する必要があります。
しかし、多くの企業がWebセキュリティを正確に理解出来ていません。
今回はWebセキュリティを簡単に理解出来るようにITシステムの全般的な仕組みからWebセキュリティがITシステムにどう適用されるかまでご説明いたします。
まず、ITシステムに関する理解とWebセキュリティの概要について述べます。

1.「クライアント₋サーバ」の仕組みに対する理解

私たちは一般的にPCやノートパソコン、スマートフォンなどを利用してWebサイトにアクセスします。
IT業界では、Webサイトにアクセスする為に利用するPCやノートパソコン、スマートフォンなどを「クライアント」といい、
Webサイトやモバイルアプリケーションの画面のようなWebコンテンツを保存してクライアントがアクセスしたらコンテンツを表示するシステムを「サーバ」といいます。
(ITシステムにおいてサーバが全てWebサーバではありませんが、今回はWebセキュリティに関して触れているので、Webサーバについてご説明いたします。)
そして、クライアントとWebサーバを繋いでくれる連絡網を「Web(ウェブ)」といいます。
Client-Web-Server
セキュリティの観点からすると、一般的にクライアントのセキュリティは個別システムの安全と関係があり、サーバのセキュリティは企業システムの安全と関係しています。
企業内部におけるクライアントのセキュリティもありますが、今回は企業内におけるWebセキュリティの核心となるサーバセキュリティについてご説明いたします。

2. 企業サーバシステムの仕組み

企業内サーバシステムの仕組みを理解する為に、まずITシステムの仕組みを確認する必要があります。
server system
ITシステムは大きくネットワーク・システム・アプリケーションの3つの段階で構成されています(図1)。
OSI7階層やTCP/IP階層のような色々なITシステムモデルがありますが、このような階層的分類ではネットワーク・システム・アプリケーションの3つの階層が最も共通的な仕組みです。
この3つの階層はお互いの相互作用を通じてITシステムを構成します。
ネットワーク層はデータの送受信に関した通信を担当して、システム層はWindows/Linuxのようなオペレーティングシステム(OS)のようにアプリケーションが作動出来るようにするプラットフォームの役割をします。
そして、アプリケーションは最上位層で様々な機能をするプロトコル(HTTP,FTPなど)及び応用サービスを提供します。
サーバシステムの仕組みも基本的にはこのITシステムの仕組みと同じです。
つまり、安全なサーバセキュリティとは、ITシステムにおいてネットワーク・システム・アプリケーションの全てのセキュリティが安全に構築されていることを意味します。

3. Webセキュリティの核心、アプリケーションセキュリティ

より理解を深める為、ITシステムの各階層はWebセキュリティを確保する為に実際どのように構築されているかみてみましょう。
ネットワークセキュリティの為には、安全ではないIPやポート(Port)に対するアクセス制御をする必要があり、
許可されたIPやポートからのトラフィックに対しても有害性チェックをする必要があります。
ですので、多くの企業ではファイアウォール(Firewall)と侵入検知/防止システム(IDS/IPS)を構築しています。
システムセキュリティはOSに関する事が多いです。
企業のセキュリティ担当者は、セキュリティのアップデートやパッチを更新する事と
定期的にシステムの悪性コードを検出してシステムを常に安全な状態に維持する事をしなければいけないですし、この為に企業はアンチウィルスソリューションを導入しています。
こうして大概の企業ではネットワーク及びシステムのセキュリティについてはその必要性を理解してセキュリティ構築に力を入れています。
しかし、アプリケーションセキュリティについてはそうでもありません。
アプリケーション層は、ネットワークやシステム層に比べて高度化されていて種類も多いので、セキュリティ管理者の多くはセキュリティを適用することを難しく感じています。
Web Application Security
我々が普段利用しているWebは皆アプリケーションで構成されています。
Webサイトやモバイルウェブなどは全てアプリケーションで構成されていて、それをターゲットとしたWeb攻撃もアプリケーションの脆弱性を狙った攻撃が多いです。
Webセキュリティ
Webセキュリティ業界で有名なOWASP(The Open Web Application Security Project)が選んだWeb脆弱性Top10も全てWebアプリケーション攻撃です。
つまり、現在行われているWeb攻撃の90%以上が全てWebアプリケーションを狙った攻撃だといえます。
安全なWebセキュリティを構築する為には、安全なWebアプリケーションセキュリティの構築が必須だということです。
Webセキュリティにおいてアプリケーションのセキュリティが最も重要であるにも関わらず、
どう構築すればいいか分からないという理由で適切なセキュリティが適用されていない事がほとんどです。
このような問題を解決する為には、アプリケーションのセキュリティを理解して安全なWebアプリケーションを構築する為に行うべき事を知らなければなりません。
クラウドブリックが提供するセキュリティコラムを読んで頂き、昨今増えているWeb攻撃に備えてください。
Cloudbric詳細はこちらㅣ Webセキュリティ 対策はCloudbric
製品に関するお問合せはこちら
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

Blog_SSL_1

【コラム】まだ有料SSL認証書を使用中のあなたに今、必要なのは?

by ブログ

無料で使える SSL 認証書「Let’s Encrypt」そして「クラウドブリック」

Webブラウザサービスが多様になって誰でも簡単に情報を共有出来るようになり、ハッキングに露出される危険も大きくなっています。
この為、暗号化通信は必須条件となりました。
暗号化通信はHTTPSプロトコルを使用する事で実現できますが、HTTPSプロトコルを使用する為には認証局(CA:Certificate Authority)からSSL証明書を発行して貰わなければいけません。
しかし、費用負担や複雑な認証プロセスなどにより発行率はとても低いです。
SSL

1.世界及び日本の主要企業のWebサイトSSL対応現況

Use_SSL
(引用: 国内主要企業サイトの約40%がHTTPS未対応 -Atlas21調査- https://at21.jp/web/topic/topic32.html)

2016年5月、日本のWebソリューション会社のAtlas21が東京証券取引所市場第一部に上場する主要企業を対象として実施した調査によると、
Webサイトの全ページに暗号化通信を適用しているHTTPS完全対応率は1%であり、世界主要企業が17%である事に比してとても低い数値を記録しました。
つまり、大半のWebサイトにSSL/TLSが適用されていなく、最も基礎的なセキュリティである暗号化通信も保証されていなかったという事です。
幸いなことに、2018年6月に実施した調査ではHTTPS完全対応率が40%まで増加しましたが、世界主要企業の数値である52.4%に比べたらまだ低いと言えます。

2.Let’s Encryptの登場

SSL証明書の発行には年間約80~400ドルの費用が発生します(認証局によって少し差は発生します)。
EV,Wildcardなどのオプションを追加する場合は費用はもっと高くなります。
費用の負担以外にも、複雑なドメイン認証作業が発生することがSSL証明書の発行率が少ない理由の一つです。
該当ドメインに対して、認証局より認証してもらう為にはメール認証・DNSレコード追加などの作業が必要です。
また、認証作業が終わったら発行されたSSL証明書を直接Webサーバにアップロードしなければなりませんし、証明書を更新する度に同じプロセスを繰り返す事になります。
この問題を認識し、SSL使用のハードルが高い問題を解決して、誰でも安全な暗号化通信を使用出来る環境を作るために、
Mozilla・Cisco・Akamai・Electronic Frontier Foundation(EFF)・Iden Trustなどの多様なグローバルIT企業がISRG(Internet Security Research Group)という
認証局を設立してLet’s Encryptというプロジェクトが始まりました。

3.Let’s Encryptの特徴

Let’s Encryptの登場で我々はSSLを無料で・簡単に・自動発行出来るようになりました。
1.無料発行
SSL証明書を発行する際に費用は発生しません。
ルートドメイン当りの発行数に制限はありますが、最大一週間に2,000個まで発行出来るので無制限だといえます。
2.簡単なドメイン認証
Cert botというソフトウェアをWebサーバにインストールしたら認証作業が自動的に実行されます。
メール認証・DNSレコード追加などの作業が別当必要ではありません。
3.自動証明書発行/更新
ドメインが認証されたらLet’s Encryptから自動的に証明書が発行されます。
発行された証明書はWebサーバに保存され、90日単位で自動更新されます。
証明書の発行・更新の作業が必要ないということになります。

4.Let’s Encryptは安全なのか

結論から言いますと、安全です!
Let’s EncryptはGlobal Sign、Geo Trustなどのルート認証局で発行する適用SSL証明書と同じレベルのセキュリティを確保しました。
SSL証明書は各OSやWebブラウザから信頼されるルート認証局のみ発行出来ます。
信頼出来るルート認証局は、Internet Explorerの場合、「設定→オプション→内容→証明書」で確認出来ます。
では、Let’s Encryptの場合、どう発行されるのでしょうか。
Let’s EncryptはWebブラウザから信頼されるルート認証局であるIden Trust(DST Root CA X3)が相互認証(Cross-Sign)する形でSSL証明書を発行します。

5.Let’s Encryptを簡単に適用する方法

Process_SSL
クラウドブリックに加入したらドメイン認証などの手続きを行わず、ただHTTPSを適用するWebサイトを登録するだけでSSL証明書を適用できます。
WebセキュリティサービスとSSL証明書の適用を一緒に利用できるので、企業のWebサービス担当者様・オンラインショップの運営者様・個人ホームページ運営者様には大変良いチャンスです。
まだお金を払ってSSL証明書を使用しているなら、これからはクラウドブリックで無料SSL証明書を使用してみてはいかがですか?!

Cloudbricの製品情報( SSL )はこちら
Cloudbricの製品情報(WAF)はこちら
パートナーに関するお問合せはこちら
製品に関するお問合せはこちら