cloudbric blog post

【Webセミナー】2020年9月クラウドブリックパートナー様・エンドユーザ様向けセミナーのご案内

この度、クラウドブリック(Cloudbric)は、パートナー様及びエンドユーザ様向けのWebセミナーを開催いたします。

本セミナーでは、クラウド型WAFクラウドブリックの性能向上及びセキュリティリスクの削減に役立つ「Black IP遮断機能」および改正されたユーザ情報取得シートと運用中発生する作業の費用・プロセスについてご案内致します。皆様のご参加を心よりお待ちしております。

 

テーマ

  • クラウドブリックの新規機能のご案内「Black IP遮断機能」(パートナー・エンドユーザ様向け)
  •  サービスポリシーのご案内 「ユーザ情報取得シート・運営中作業プロセス」(パートナー様向け)

※本セミナーの対象者はテーマによって異なります。対象者及び開催日程をご確認の上お申込みください。

場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)
 
参加料:無料

開催日時及びお申込み

【パートナー様向け】

日時 テーマ お申込み
9月1日(火) 11:00~11:30 新規機能追加のご案内「Black IP遮断機能」 お申込みはこちら
9月3日(木) 14:00~14:30 新規機能追加のご案内「Black IP遮断機能」 お申込みはこちら
9月15日(火) 11:00~11:30 サービスポリシーのご案内「ユーザ情報取得シート・運営中作業プロセス」 お申込みはこちら
9月17日(木) 15:00~15:30 サービスポリシーのご案内「ユーザ情報取得シート・運営中作業プロセス」 お申込みはこちら

【エンドユーザ様向け】

日時 テーマ お申込み
9月8日(火) 11:00~11:30 新規機能追加のご案内「Black IP遮断機能」 お申込みはこちら
9月10日(木) 14:00~14:30 新規機能追加のご案内「Black IP遮断機能」 お申込みはこちら
cloudbric blog post

【Webセミナー】クラウドブリック新規機能「Black IP遮断機能」の説明会のご案内

この度、クラウドブリック(Cloudbric)は、「Black IP 遮断機能」を追加させて頂きました。つきまして、パートナー様及びエンドユーザ様向けのWebセミナーを開催いたします。性能向上およびセキュリティリスクの削減に役立つ「Black IP遮断機能」についてご案内します。詳細資料を持って本機能を説明させて頂きますので、開催日程をご確認の上、お申込みください。皆様のご参加を心よりお待ちしております。

テーマ
クラウドブリックの新規機能として追加された「Black IP遮断機能」について
 
場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)
 
参加料:無料

開催日時及びお申込み

【パートナー様向け】

日時 お申込み
8月19日(水) 11:00~11:30 お申込みはこちら
8月21日(金) 16:00~16:30 お申込みはこちら
9月1日(火) 11:00~11:30 お申込みはこちら
9月3日(木) 14:00~14:30 お申込みはこちら

【エンドユーザ様向け】

日時 お申込み
8月26日(水) 11:00~11:30 お申込みはこちら
8月28日(金) 16:00~16:30 お申込みはこちら
9月8日(火) 11:00~11:30 お申込みはこちら
9月10日(木) 14:00~14:30 お申込みはこちら
cloudbric blog post

【2020年下半期】クラウドブリック Webセミナー開催のご案内

2020年下半期、クラウドブリック(Cloudbric)定期Webセミナーを開催いたします。
本セミナーは、クラウドブリックの新規機能の使い方、仕様変更のご案内を初め、セキュリティトレンド情報や、クラウドブリック導入事例など、パートナー様及びエンドユーザ様に役立つ情報をお届け致します。
 
■場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)

■参加料:無料

■お申込み:こちらをクリックしてください。

■日時・セミナー概要

日時 テーマ 内容
8月・9月 【新規機能追加のご案内】
Black IP遮断機能
性能向上およびセキュリティリスクの削減に役立つ「Black IP遮断機能」についてご案内致します。
9月 【サービスポリシーのご案内】
ユーザ情報取得シート・運営中作業プロセス
改正されたユーザ情報取得シートのご案内と共に、運用中発生する作業の費用・プロセスについてご案内致します。
10月 【新規機能追加のご案内】
Advanced DDoS対策(エンドユーザ様向け)
より高度化したクラウドブリックのDDoS対策についてご案内致します。
10月 【Cloudbric 活用法】
ユーザ設定(エンドユーザ様向け)
クラウドブリックのユーザインターフェースをもっと有効に活用して頂くために、「ユーザ設定」メニューで操作できる設定についてご案内致します。
11月 【Cloudbric 活用法】
二要素認証・Captcha
ユーザインターフェースのアカウントのセキュリティ強化に役立つ「二要素認証」、L7レイヤーに対する不正アクセス対策に役立つ「Captcha」機能についてご案内致します。
11月 【Cloudbric 活用法】
エンドユーザ管理ツール(パートナー様向け)
パートナー様の管理性・利便性のために提供している「エンドユーザ管理ツール」の基本的な使い方をご案内致します。
12月 Cloudbric Roadmap クラウドブリックのロードマップをお見せしながら、今年実現できたことや来年以降実現していくことについてご紹介いたします。
12月 導入実績・導入事例のご紹介(パートナー様向け) クラウドブリックの2020年の導入実績および導入事例についてご紹介いたします。
12月 今年のクラウドブリック WAF(エンドユーザ様向け) 2020年の新規機能、仕様変更など、今年のクラウドブリック WAFにあった変化についてご案内致します。
Webアプリケーションに潜む脆弱性TOP10を分析! 『OWASP Top 10 2017』とその対策

最新のWebアプリケーション脆弱性Top 10をまとめた「OWASP Top 10」とそのセキュリティ対策を紹介

『OWASP Top 10』をご存知でしょうか? これはOWASP(Open Web Application Security Project:オワスプ)が選定した最も重大なWebアプリケーション・セキュリティ・リスクのリストで、2~3年に一度発表されています。その時期に特に流行していて大きな被害が続出しており、Webセキュリティの警戒をしなければいけない項目がリスティングされています。今回は最新の『OWASP Top 10 2017』の内容を精査し、流行しているWebセキュリティの危機とその対策をご紹介します。

 

OWASP Top 10とは

OWASPはアメリカ東部メリーランド州に本部を持つ非営利組織であり、Webアプリケーションのセキュリティに関する研究や、ガイドラインの作成、脆弱性診断ツールの開発、イベントの開催等、多岐に渡る活動を2001年から行っています。OWASPは Webに関する脆弱性やリスク、攻撃手法、事例、情報漏えい、悪性ファイルやスクリプト、攻撃コードやマルウェアなどを研究しています。そして『OWASP Top 10』はWebセキュリティ上で多発する脅威の中で、その危険度が最も高いと判断された10個のトピックがまとめられたものです。

『OWASP Top 10』では、「悪用のしやすさ」「弱点の蔓延度」「弱点の検出のしやすさ」「技術面への影響」「ビジネスへの影響」の観点で、それぞれに点数をつけリスクの高さを可視化し、危険度の高い10種類の脆弱性を整理しています。具体的にはそれぞれの指針を3段階で評価し、「悪用のしやすさ」「蔓延度」「検出のしやすさ」の平均を求め、その数値と「技術面への影響」の数値の積を求めたものを総得点としています。『OWASP Top 10』は2~3年に1回更新されており、2020年現在の最新版は2017年に発表された「OWASP Top 10 2017」となります。「OWASP Top 10 2017」は、アプリケーションセキュリティの専門企業から寄せられた40以上のデータと、500人以上の個人による業界調査に基づいており、数百の組織の10万以上に上る実際のアプリケーションおよびAPIから集められた脆弱性データをもとにしています。

OWASP 2017で挙げられているTop 10の脅威は次になります。

  • A1:2017:インジェクション
  • A2:2017:認証の不備
  • A3:2017:機微な情報の露出
  • A4:2017:XML外部エンティティ参照(XXE)
  • A5:2017:アクセス制御の不備
  • A6:2017:不適切なセキュリティ設定
  • A7:2017:クロスサイト・スクリプティング(XSS)
  • A8:2017:安全でないデシリアライゼーション
  • A9:2017:既知の脆弱性のあるコンポーネントの使用
  • A10:2017:不十分なロギングとモニタリング


引用:OWASP

こちらは「OWASP Top 10 2013」と「OWASP Top 10 2017」のリストです。OWASP 2017で取り上げられた問題点のほとんどが2013でも見られ、その内容もまた酷似しています。これは WebアプリケーションのセキュリティがWebの進歩にまだ十分追いついていないことを示しています。次項ではTop 10の脅威について、1つずつ解説します。

 

OWASP 2017の10大脅威

A1: インジェクション

インジェクション攻撃(Injection Attack)とはソフトウェアへの攻撃手法の一つで、外部から文字列の入力を受け付けるプログラムに対し開発者の想定外の不正な文字列を与え、システムを乗っ取ったりデータの改ざんを行ったりする手法です。インジェクションは「悪用のしやすさ」が最高の3、「蔓延度」が2となっていて、依然警戒すべき脅威のひとつです。最も一般的でよく知られたインジェクション攻撃はSQLインジェクション(SQLi)で、攻撃者がデータベースのテーブルを公開するSQLステートメントを挿入することなどを指します。他にもディレクトリシステムを攻撃するLDAPインジェクション、不正なOSコマンドを送信するOSコマンド・インジェクションなどがあります。OWASPの脅威では1位になっていますが、「検出のしやすさ」としては3の評価で、コードを調べることで簡単に発見できるとレポートされています。

A2: 認証の不備

以前は「認証の不備とセッション管理」と呼ばれていました。認証やセッション管理に関連するアプリケーションの機能は、不適切に実装されていることがあります。不適切な実装により攻撃者はパスワード、鍵、セッショントークンを侵害でき、他の実装上の欠陥を利用して一時的または永続的に他のユーザの認証情報を取得します。強力な認証方式とセッション管理を実装し、ユーザが確実に本人であるかを検証しなければいけません。

A3: 機密データの露出

多くのウェブアプリケーションやAPIは財務情報、健康情報や個人情報といった重要な情報を適切に保護していません。攻撃者はこのように適切に保護されていないデータを窃取または改ざんして、クレジットカード詐欺、個人情報の窃取やその他の犯罪を行う可能性があります。OWASPは機密データについて、保存されているものも一時的なものもすべて暗号化し、できる限り早く廃棄することを強く推奨しています。

A4: XML外部実態参照(XXE)

XMLプロセッサはXMLドキュメントに指定された外部ファイルのコンテンツをロードするように構成されていることがよくあります。この脆弱性は、DoSやディレクトリトラバーサル(パストラバーサル)、SSRF(Server Side Request Forgery / サーバサイドリクエストフォージェリ)、Port Scan(ポートスキャン)といった攻撃にも繋がる脆弱性です。OWASPはXMLプロセッサのこの機能を無効化するよう推奨しています。

A5: アクセス制御の不備

アクセス制御の不備とは、ユーザが自分の権限以上の機能を実行できる場合や他のユーザの情報にアクセスできる場合を意味します。攻撃者はこのタイプの脆弱性を悪用して他のユーザのアカウントへのアクセス、機密ファイルの表示、他のユーザのデータの変更、アクセス権の変更など、権限のない機能やデータにアクセスすることができます。OWASPは機能へのアクセスを信頼したユーザに限定する「deny by default」ルールの徹底、アクセス制御チェックの実装等を推奨しています。

A6: セキュリティ設定のミス

不適切なセキュリティの設定は通常、安全でないデフォルト設定、不完全またはアドホックな設定、公開されたクラウドストレージ、不適切な設定のHTTPヘッダ、機微な情報を含む冗長なエラーメッセージによりもたらされます。すべてのオペレーティングシステム、フレームワーク、ライブラリ、アプリケーションを安全に設定するだけでなく、それらに適切なタイミングでパッチを適用することやアップグレードをすることが求められます。

A7: クロスサイト・スクリプティング(XSS)

クロスサイト・スクリプティングは、Webサイト閲覧者側がWebページを制作できる掲示板やTwitter等の動的サイトに対して、自身が制作した不正なスクリプトを挿入するサイバー攻撃です。攻撃者は信頼性の高いサイト上のページを変更することにより、信頼されていないサイトと通信して重要なデータを公開したり、マルウェアを拡散させたりする可能性があります。

A8: 安全でないデシリアライゼーション

安全でないデシリアライゼーション(Insecure Deserialization)は、リモートからのコード実行を誘発します。デシリアライゼーションの欠陥によるリモートからのコード実行に至らない場合でさえ、リプレイ攻撃やインジェクション攻撃、権限昇格といった攻撃にこの脆弱性を用います。OWASPはデシリアライズするオブジェクトの種類を制限するか信頼されていないオブジェクトを一切デシリアライズしないことを推奨しています。

A9: 機知の脆弱性を持つコンポーネントの使用

ライブラリ、フレームワークやその他ソフトウェアモジュールといったコンポーネントは、アプリケーションと同等の権限で動いています。脆弱性のあるコンポーネントが悪用されると、深刻な情報損失やサーバの乗っ取りにつながります。既知の脆弱性があるコンポーネントを利用しているアプリケーションやAPIは、アプリケーションの防御を損ない、結果的に様々な攻撃や悪影響を受けることになります。

A10: 不十分なロギングと監視

不十分なロギングとモニタリングは、インシデントレスポンスに組み込まれていないか、あるいは非効率なインテグレーションになっている可能性があります。その場合、攻撃者がシステムをさらに攻撃したり、攻撃を継続できたりするようにし、さらには他のシステムにも攻撃範囲を拡げデータを改竄、破棄、破壊することを可能にします。

 

OWASP Top 10の脅威へ対抗するWAF製品

多くの企業ではセキュリティ対策としてファイアウォールを導入しています。しかし、通常のファイアウォールは主にシステム及びネットワークを保護する機能であって、ここに挙げられているようなWebアプリケーションへの攻撃を保護するには限界があります。一般的にはWebアプリケーションファイアウォール(WAF)を導入することでWebアプリケーションに対する攻撃を防ぐことができます。

OWASPが発表した10大脆弱性にすべて対応した「クラウドブリック(Cloudbric)」を導入することで、これらの脆弱性に対し対策を講ずることができます。さらに、クラウド型で提供されるため、企業の規模に関係なく簡単に導入することができます。システム及びネットワークを保護するファイアウォールと併せてWAFを導入しWebサーバーを保護することで、二重のセキュリティで昨今の脅威からWebサイトを保護し情報漏えい等の被害を防ぐことが可能です。

フィッシングサイトの仕組みと セキュリティ対策

クロスサイトスクリプティング(XSS)攻撃からWebサイトを守るWAF対策

フィッシング詐欺とは名前通り、エサで魚を釣るようにメールと偽造のリンクを利用してID、パスワード、クレジットカード番号など、個人情報や機密情報を詐取することを言います。一見、金融機関といった信頼度の高いところから送られてきた正規のメールのように見えますが、メールに記載されたURLをクリックすると本物そっくりの偽サイトへ誘導され、知らないうちにフィッシング詐欺に引っかかってしまいます。

フィッシングサイトへ誘導する手段はメールだけではありません。Gmailのようなメールサービスに迷惑メールを自動的に識別し振り分ける機能が組み込まれることで、ある程度フィッシングメールを遮断できるようになりました。それで、ハッカーらはエサとなるメールの代わりに、企業やサービスのWebサイトにクロスサイトスクリプティング攻撃を行い、悪意のあるURLを記載することで、ユーザを偽サイトに誘導し、個人情報及び機密データを要求する手法を使用します。

クロスサイトスクリプティング(Cross-site Scripting、XSS)攻撃とは、信頼できるWebサイトに悪意のあるスクリプトを埋め込むサイバー攻撃の一種です。問題はCross-site Scripting攻撃が行われても、正規サイトそっくりで、その違いを判別することは非常に難しいということです。

話題になったクロスサイトスクリプティング攻撃の事件としては2014年に起きた世界最大級のオークションサイトeBay(イーベイ)での事例が挙げられます。eBayはクロスサイトスクリプティング攻撃により約1億4500万件ユーザーアカウントの個人情報をフィシングで盗まれてしまいました。日本も例外ではありません。今年開かれる東京オリンピックが注目されていますが、最近公式サイトではないオリンピックのチケット販売サイトの存在が確認されるなど、フィッシング詐欺の被害リスクの高まりが懸念されています。

クロスサイトスクリプティング攻撃に対して、Webサイトを保有している企業には最も注意が求められます。Webサイトがフィッシングサイトへの踏み台として利用されることは大変な信用失墜につながります 。特に、ECサイトなど、顧客情報や機密データを取り扱う企業にとっては、一度失われた信頼を回復には莫大な時間と費用がかかりますので、事前に脅威を防ぐための防御態勢を整える必要があります。

それではこのようなフィッシング詐欺に巻き込まれないために企業が取る対策とはなんでしょうか。クレジットカード情報保護のためのセキュリティ基準であるPCI-DSS(Payment Card Industry Data Security Standard)によりますと、顧客データを取り扱うWebサイトにはWebアプリケーションファイアウォール(WAF)を導入し、受信及び発信トラフィックをモニタリングすることが薦められます。

クラウド型WAFであるクラウドブリック(Cloudbric)はPCI-DSSに準拠したエンタープライズ向けWAFサービスを提供します。クラウドブリックを導入することで、企業はハッカーの不正な動きを事前に発見し遮断することができるため、顧客情報を安全に守れます。

では、 クラウドブリックが特別な理由は何でしょうか。クラウドブリックのロジックベースの検知エンジンが搭載されています。アジア・太平洋マーケットシェア1位のWAF「WAPPLES」のロジックベースの検知エンジンを搭載し、従来のシグネチャー基盤のWAFでは検知できない未知や亜種の攻撃に対応できます。 不審なトラフィックが発見されると事前に設定されたクラウドブリックの約26種の検知ルールをベースに攻撃を類型別に分析及び検知し、様々なWeb攻撃からWebサイトを安全に保護します。シグネチャーを使用しないため、頻繁なシグネチャーのアップデートせずに、脅威を防止することができます。

今後もハッカーの手口はさらに巧妙化していくことが懸念されます。したがって、企業はWebサイトへの保護を強化する対策を行わなければなりません。Webサイトから大事な情報を持ち出された後ではもう手遅れです。「うちのWebサイトは安全だ」と思い込んではいませんか。セキュリティ対策がしっかりできていると考えられる大手企業であっても、いくらでもWebサイトフィッシングリンクの踏み台になれます。自社のWebサイトを守り、顧客情報や機密データなど大事な情報を安全にするために、Webセキュリティ対策を取り組んでいきましょう。ビジネスを守るWebセキュリティの第1歩はWAFの導入から始まります。