クラウドブリック(Cloudbric)が「ITトレンド年間ランキング2019」のWAF(Web Application Firewall)部門にて1位を獲得しました。
「ITトレンド年間ランキング2019」は累計1000万以上が利用する法人向けIT製品の比較・資料請求サイト「ITトレンド」のお問い合わせや資料請求件数をもとに決定しているもので、クラウドブリックはWAFにおいて最も市場から注目を集めているサービスとして認められました。
クラウドブリックはDNS変更だけで簡単導入できるクラウド型WAFで、独立したWAFサービス環境にてWAF+DDoS対策+SSL証明書を提供するなど、低コストと高セキュリティの両立を実現しました。現在、15ヵ国23ヵ所のIDCを基盤に活発にグローバルビジネスを展開するとともに、日本国内でも最近2ヶ月の間で導入実績が2,000サイトを突破するなど急成長を続けています。
クラウドブリックは今後もサービスの品質向上につとめ、お客様に継続して選ばれ続ける企業を目指してまいります。
今後とも変わらぬご支援のほど、よろしくお願い申し上げます。
昨今、AI がセキュリティ業界にまで浸透しています。
多くのセキュリティベンダーが自社のソリューションにAIを導入する準備をしていて、クラウドブリックも、AIが既存のセキュリティエンジンをより進化させる為に研究をしてきました。その結果、ディープラーニングマシンをセキュリティエンジンに適用できる技術を開発し、現在日本・米国・韓国で特許出願を完了しています。
一般的にディープラーニングマシンの学習には68個の文字のみが認識されます。これは英語の小文字・数字・一部の記号になっており、英語の大文字や様々な記号、各国の言語まで使用されるWebトラフィックを学習するには限界があります。
このような問題を解決する為に、クラウドブリックはWebトラフィックをUTF-8の16進数にイメージ化してWebトラフィックをディープラーニングするようにしました。
無論、クラウドブリックの既存のセキュリティエンジンは高度な検知能力によりエンタープライズ・レベルのセキュリティを提供しています。今回開発したAI技術は既存のセキュリティエンジンをより利便性のあるものにするために考案されました。
ディープラーニングマシンの適用が完了したら、各Webサイトのトラフィック特性を学習してカスタマイズ面において他製品より強みを持つ事になります。
企業でWebセキュリティサービス(WAF)の導入を検討する際に、該当企業のWebサイトのトラフィック特性を理解出来ないWAFが正常アクセスを攻撃だとご認識してしまい(誤検知)、Webサービスに問題が発生する事を最も恐れる傾向があります。
クラウドブリックのAI技術VISIONは、このようなお客様のお悩みを解消します。
AIリモコン・AI家電・AIリセプションまで、人工知能(AI)は日常生活でもよく見られるようになってきています。これは全て生活を便利にしてくれて、人々の手間をかからないようにしてくれます。
クラウドブリックの人工知能VISIONはサイバー世界をより安全で便利にする事に寄与します。各Webサイトのトラフィック特性を学習する事で、Webサービスが円滑に運営出来るようにし、Web攻撃に対しては鋭く区別できます。該当技術は今年の4月以内に適用されてBetaサービスを実施する予定であり、Betaサービスオープンを記念した様々な活動を行う予定です。
世界50カ国で1万以上のユーザを持つ、クラウド型WAFサービスのCloudbric(クラウドブリック)は、日本市場において前年比570%の 売上 増を実現したことを明らかにしました。これは、グローバル市場でのノウハウを活かし、日本市場をターゲットに本格的に進出してからわずか1年の成果として、その意味があると言えます。
海外製品として、日本市場に対しては後発で市場参入した分、既存の日本国内サービスベンダーによって形成されているサービス型WAF市場においての差別化ポイント、海外製への懸念としてサポート体制の不安、日本国内の名前を挙げられる導入実績等、多くの難題を解決しなければならない状況に直面しました。
昨今Webセキュリティに対する日本ユーザのリテラシー向上に伴い、クラウドブリックの攻撃検出の特許技術であるCOCEPエンジン※1が注目され始め、従来型WAFのシグネチャーベースではなく、構文解析(Semantic)・ふるまい(Heuristic)・比較解析(Comparison)の手法により高度に解析される検出方法こそ、サービス型WAFを選定する際の決め手になりました。
海外製品のサポート不安を払拭するために、英語を共通言語とするグローバルサポートセンター内に、日本に特化したサポート制度を導入し、日本語でのサポートを徹底して行うことで、安心して利用できるCloudbricサービスを安着させました。
高度なセキュリティサービスを提供する側として、継続的にユーザシステムの安全・安定を第一の価値としてビジネス活動を展開しております。
2018年の成果としては、もう一つ、より良いものを提供する為に技術開発に専念し、4つのグローバルアワーズを受賞しました。また、同年7月には、日本国内では初めてのパートナー会を開催し、同じ方向性を持つ方々とロードマップを始め、コンソール2.0のリリース情報、そしてビジョンを共有する場として、有意味な時間が設けられました。
今年の2019年上半期サービス反映を予定している、人工知能(AI)の、「VISION(ビジョン)」が、その一つに該当します。
現在のAIアルゴリズムでは英語の小文字26字、数字20字、そして記号32字の合計68文字を認識する設計が多く、当然ながらWebトラフィックは68文字では表現できず、WebトラフィックをDeep Learningさせることに限界がありました。
当社は、WebトラフィックをUTF-8の16進数でイメージ化して増分学習を行う世界初の技術を開発し、日本・韓国・米国特許出願しました。代表取締役ジョン テ・ジュンは、「この特許技術をクラウドブリック基盤側に反映し、個々のユーザのWebアプリケーションのトラフィックを学習することで、その特性にあわせたセキュリティポリシーを提案致します。
クラウドブリックのCOCEPエンジンは高度な検知能力によりエンタープライズ・レベルのセキュリティを提供していますが、ビジョンは、ユーザ個々の特性にあわせたトラフィック分析により、セキュリティポリシーを「デザイン」してくれると確認しています」という。
昨今のWebサイトへのサイバー脅威は、明らかに増加傾向にあり、それに付随する形でセキュリティ対策についての需要も右肩上がりと予想されます。セキュリティが「サービス化」されることにより、簡単導入・リーズナブルな料金で対策がとれることで、その簡単さ故に、セキュリティレベルを求めることを諦めるユーザも存在します。
代表取締役ジョン テ・ジュンは、「リーズナブルな料金だからといってセキュリティレベルも適当でいいという感覚は、20年以上セキュリティ専門ベンダーとして研究・開発を重ねてきた当社としては考えられません。
クラウドブリックを利用しているユーザについても同じです。下位プランを利用されるので、セキュリティ機能が一部制限されるなどの措置は、しておりません。
上位プランのユーザ、そして下位プランのユーザは、同じレベルのセキュリティサービスを受ける権利があり、プランの違いは、クラウドブリックで保護しているシステムの大きさだけです。
ユーザも料金とセキュリティで妥協してはいけません」と語りました。
クラウドブリックは、WAFサービスとしてリーズナブル料金でより多くのユーザに導入して頂き、ユーザの誰もがエンタープライズ・レベルのセキュリティで守られるように、安価ではなく、「セキュリティ」で特別化していくことに力を入れていくと方向性を示しました。
クラウドブリックが第5回スティービー・アジア・パシフィック賞の技術開発革新部門で銀賞を受賞いたしました。
“王冠”という意味のギリシャ語の“Stefanos”から名付けたスティービー賞は、過去16年間に亘って「国際・ビジネス賞」のようなプログラムを行っている世界有数のビジネスアワードであります。
2014年の初開催以来、スティービー・アジア・パシフィック賞はアジア太平洋地域の22か国から企業革新を認定して貰える唯一のビジネスアワードプログラムです。
今年のスティービー・アジア・パシフィック賞の金・銀・銅賞候補は、世界中の約100人以上の様々な分野のエグゼクティブより革新的な業績に対する優秀性を評価されました。
そのうち、銀賞を受賞したクラウドブリックは、2017年に成し遂げた革新的な技術開発を認定されました。特に、ユーザーのSSL証明書管理に手間が掛からないように自動リニューアルされる無料SSLサービスが高く評価されました。
クラウドブリックは今後もWebサイトセキュリティに関する知識が少ない人でも簡単にアクセスして使用出来るサービスを提供していきます。
(2018年アジア太平洋Stevie Awards受賞者リスト:http://asia.stevieawards.com/2018-stevie-winners)
Stevie Awardsは以下の7つのプログラムで構成されている。
‐スティービー・アジア・パシフィック賞 (the Asia-Pacific Stevie Awards)
‐ドイツ・スティービー賞 (the German Stevie Awards)
‐アメリカン・ビジネス賞 (The American Business Awards)
‐国際ビジネス賞 (The International Business Awards)
‐女性ビジネス賞 (the Stevie Awards for Women in Business)
‐優良雇用者スティービー賞 (the Stevie Awards for Great Employers)
‐セールス&カスタマーサービス・スティービー賞 (the Stevie Awards for Sales & Customer Service)
スティービー・アワードには、 毎年60ヶ国以上の組織から1万件以上の応募が寄せられている。
(Stevie Awards公式ホームページ:http://www.StevieAwards.com)
情報セキュリティ製品の広告によく登場する特定の’標準’が幾つかありますが、
その中でも「 PCI DSS 」は特によく登場します。
「弊社の製品はPCI DSSの要求事項を充足していて、PCI DSS基準の適合認証を保有しています。」
という広告用メッセージも見かけになっていると思いますが、
弊社も同じくCloudbric WAFに関して強調している内容の一つです。
‘重要な事っていうのは分かったけど、どういう事だろう?’と思っている方々もいらっしゃると思いまして、
今回はPCI DSSに対して簡単にご紹介致します。
PCI DSSはクレジットカード業界で共通的に使用されるセキュリティ標準です。
クレジットカード会社で会員のカード情報及び取引情報を安全に管理する為にカードの決済過程の全てにおいて遵守しなければいけない基準であります。
PCI DSSが標準として制定される前にはクレジットカード会社別に各自異なるセキュリティ基準を要求していたので、一般の業者は色んな基準に充足する為に多くの費用と努力をかけなければならなかったです。
こうした不便を解消する為にJCB・American Express・Discover・MasterCard・Visa等の国際的なクレジットカード会社が共同委員会を組織して「PCI DSS」という標準を制定しました。
NIST・ISO等の国際的な標準制定機関ではない民間企業が決めた規格を「標準」にしていいのか疑問を持たれた方もいるでしょう。
しかし、PCI DSSの場合、内容がとても詳細で細緻な規格で構成されていて標準として充分だといえます。
全般的なセキュリティ状態の診断及び審査過程、アプリケーションやシステム、ネットワーク等の領域別に実施する浸透テストの回数や時期などのセキュリティ政策だけではなく、不正ログインを何回試すとロックがかかるのか、顧客のPCに個人アプリケーションファイアウォールが設置されているかの確認などの些細な基準まで完備している規格であるからです。
このように具体的で厳しい基準を提示しているので、クレジットカード取引と関係の無い企業や組織でもPCI DSSを情報セキュリティ基準として採択している場合が多いです。
クレジットカードのセキュリティといえば、カード端末機やネットワークのようなハードウェアが大事だと考えがちですが、データが移動してアプリケーションに到達したらその内容は全てアプリケーション(大半がWebアプリケーション)で管理されます。
従って、Webアプリケーション開発のプロセスの基準となる「PCI PA-DSS」の内容の大部分はWebセキュリティ関連内容であり、内容の核心はデータの暗号化です。
敏感な情報を扱う全般的なセキュリティ政策ともなる「PCI DSS」も、内容を見てみると多くがWebセキュリティとデータ暗号化に関連しています。どうしてでしょう。
IoT・フィンテック(FinTech)等の技術が登場してWebはもっと日常生活の一部になっています。
データはWebが主要環境であるアプリケーションを通じて移動し、これからはアプリケーションもWeb環境で開発されて運用する事になります。
データ保護の為には分野に関係なくWebセキュリティを重視するしかありません。
PCI DSSの究極的な目的は敏感な情報を安全に保護する事です。
昨今の情報セキュリティの中心はネットワークやサーバ等のハードウェアを保護するセキュリティ政策からデータとアプリケーションを保護するWebセキュリティに移っています。
クラウドブリックのWAFを導入したら複雑なプロセスも無くPCI DSSのセキュリティ基準を遵守出来ます。
今すぐWAFを導入してWebサイト保護とオンライン決済セキュリティ基準遵守を全て解決しましょう。
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら
パートナーに関するお問合せはこちら
22ヵ国50社の企業経営者を対象に行ったアンケート調査結果のまとめによると、今日の企業経営における最大のリスクは、「経済の不確実性」が1位で55%を占めており、「サイバー脅威」が50%の2位となっています。
しかし、経営の一線からは、「サイバー脅威」を最大リスクだと訴える声が多数です。
経済の不確実性は常に言及されているリスクであるため、水があるのがあたりまえのように当然のこととされますが、新しく登場したサイバー脅威はなじみの薄いものでありながら、その勢いはますます強くなっています。
また一度事故が起きたらすべてのメディアが先を争って報道しており、事後処理も困難でどうしたらいいのかという困惑の声も多くなっています。
サイバー脅威における最も深刻な問題は、その概念自体があまりにも難しくて何を言っているか解らないということです。
関連書籍を探してみても熟練された技術者向けの技術書か理論とは言えないでたらめな経営書かであるため、学びたくても学べないのが現実です。
そのため、経営と技術の間のギャップはさらに広がり、その隙間を狙う犯罪者や詐欺師によるICTに関する各種事件が相次いでいます。
経営者とエンジニア、生産者と消費者、両方とも問題の解決策が全く見つけられません。
恐らく、今日の企業経営における最大のリスクは「サイバー脅威の不確実性」かもしれません。
「サイバー脅威に対する対応ガイドが必要!」という現場からの要求が強く求められます。
要求があれば、その解決策も出てくるはずですので、世界有数の経営諮問機関から定期的に発行されるICTの市場分析レポートが大変役に立ちます。
「ガートナー(Gartner, Inc.)」は、米国コネチカット州スタンフォードにあるICTの研究・助言を行う企業です。
1979年に設立され、それならではの鋭利な分析力を武器として目覚ましい成長を成し遂げ、今や全体従業員5,700人のうち1,500人余りがリサーチアナリストとコンサルタントという世界最高で最大の研究集団です。
不確実性という海の灯台、ハイプサイクルとマジッククアドラント「ガートナー」レポートのクオリティは、
昨今の市場分析の象徴のように広く通用している2つのグラフだけでも十分証明できます。
「ハイプサイクル」と「マジッククアドラント」、企業経営の意思決定に重要な資料であるだけに、簡単にそれについて探ってみましょう。
「ハイプサイクル(Hype Cycle)」は、特定技術の成熟度を視覚的に表現するためのツールです。
当該技術の研究開発水準や市場の反応など様々な条件によって各項目を下記の5つに分類しグラフ上に表示します。
1)黎明期(技術の引き金、Technology Trigger)
2)流行期(過剰期待の頂、Peak of Inflated Expectations)
3)幻滅期(幻滅のくぼ地、Trough of Disillusionment)
4)回復期(啓蒙の坂、Slope of Enlightenment)
5)安定期(生産性の台地、Plateau of Productivity)
1)成長の可能性を秘めている技術に対する世間の関心が高まり、2)概念-モデルへの過度な注目のおかげで製品も造ってみるものの、その殆どは失敗になり、3)数多くの失敗でその関心が失われます。
そこから生き残ったわずかの企業から成功事例が出はじめ、4)利益を設ける製品が生産されることにより、再び注目を集め、, 5)市場に一定のポジションを占めるようになり、品質を争っていく一連の過程です。
殆どの技術がこのプロセスで進められます。
それを基にグラフを見てみますと、非常に面白いです。
世の中に新しい用語が登場し、メディアでも大話題になるものの、すぐ冷めてしまいます。
激しい競争の中で極わずかがやっと生き残り、成功していく過程が目に見えませんか。実に面白いですね。
要するに、よくできたグラフです。
ハイフサイクルの変化像を参考にすると、複雑なIT業界の不確実性もある程度消えていきます。
冬場に車のフロントガラスの曇りをとるワイパーのように。
次は「マジッククアドラント(Magic Quadrant)」を探ってみましょう。
「ガートナー」に負けないぐらい有名な研究集団である「フロスト・アンド・サリバン(Frost & Sullivan)」のグラフを探ってみましょう。
「フロスト・アンド・サリバン」は40年の歴史を持つ企業成長のコンサルティング会社です。
世界各国にある現地支社ネットワークを通じて、800人余りのアナリストから収集した情報を基に作成された市場分析レポートは、バランスのよい国際的視点と鋭利な解析力が高い評価を受けています。
縦軸は現在ンの市場分布状況を意味し、横軸は将来に向いた成長戦略の優秀性と実行可能性を意味します。
消費者の立場からは、アーリーアダプターの戦略にするか、レイトアダプターの戦略にするかなど、自社の意思決定基準により、グラフの4分割面上の候補群の位置と変化から異なるインサイトを得られます。
もちろん、最終意思決定の段階ではなく初期検討の段階でそれを活用することが賢明でしょう。
グラフ上の企業の位置は、売上、流通ネットワークの規模と品質、従業員数、特に開発者の数とそのレベル、販売、サポートといった各事業分野別における従業員の割合などによって決定されます。
最終結果物が単純な絵の形になっただけで、その裏にはなぜこのようなグラフを描いたかその理由を説明する読み終えるのが困難なほど分厚いレポートがあります。
重要なのはグラフではなく、その分厚いレポートです。
そのため、ハイプサイクルやマジッククアドラントなど簡単に描かれたグラフは、あまりにも忙しくてその分厚いドキュメントを読む時間のない役員などいわゆる「重役用のサマリー(Executive summary)」とみてもかまいません。
要するに、グラフは非常に主観的にみえますが、それを裏付ける普遍性は備えているため、客観性まで認められているのです。
「ガートナー」や「フロストアンドサリバン」など誰もが知っている有名なコンサルティング会社のアナリストは、実情は何も知らずただ机の前に座って難しい言葉だけを言っているわけではありません。
現場の傾向を実質的に把握するための研究体制も充実していることも、業界を問わず彼らの分析結果を認める理由です。皆一応その専門性を認めてから見ているのです。
「その会社のアナリストより私の方がより詳しい!」 社内の当該専門家がアナリストより優れたエンジニアではあるものの、彼らのように業界全体を把握することはできず、業界内の人的ネットワークなどのため、客観性を失う場合も度々あります。
簡単に言うと、アナリストの方がはるかにスマートです。
不愉快でも仕方がありません。それは、彼らの「仕事」であり、彼らは公的に認められた専門家ですので、むしろ詳しくないのがおかしなことではないでしょうか。
したがって、経営陣はこれらのレポートを閲覧し沈思熟考したうえで、意思決定の過程でそれを参考にすると、大変役に立ちます。
技術は、特にICT関連技術は、新陳代謝が非常に活発な生物で常に変化しているので、一度見たから十分理解したと思ってはいけません。
定期的かつ持続的な観察が必要です。少なくとも毎年更新されるグラフだけでもみましょう。
問題は常に新たに発生し、技術的判断の基準も常に変化しているため、その解決策も常に異なっていきます。
実際に重要なのはある要素のグラフ上の位置ではなく、状況の変化によってその要素がどこからどこへと移動していくかです。
つまり変化や、その変化の理由と根拠です。その一例を挙げてみます。
最近「ガートナー」のレポート上のWAFの位置づけが変わりました。
去年までは、WAFを「クレジットカードのデータセキュリティ標準(PCI DSS: Payment Card Industry Data Security Standard)」など法的規制のため、仕方なく導入するものでしたが、その効用性を疑い、適者生存のルールにより市場からすぐ姿を消す商品」と定義しました。
しかしながら、最近のレポートを見ると、「WAFは企業の情報セキュリティに必須不可欠な要素」へとその内容が変化しました。
文章表現からみても、「Hype Cycle for Application Security, Gartner 2013」では、「WAFは、他の競合製品に比べ、その効用性や拡張性が低いため、いまだにも小市場をせいぜい維持している」と評価を格下げしましたが、「Hype Cycle for Application Security, Gartner 2014」では、「規制対象に該当しないという理由でWAFを導入していなかった企業も、今はWebアプリケーションセキュリティの重要性に気づき、WAF導入がただ規制を充実させるための決定ではないことに気付いている。」とより現実的な評価をしています。
WAFに対する態度が完全に変わりました。
何よりも、ある要素の位置づけがどう変化したか、その理由と根拠は何かが重要です。
WAFの位置づけの変化の理由を類推してみると、
● 法的規制があるので嫌々買うのではなく、導入してみたら実際にセキュリティ効果が高かった。
● WAFの代案として挙げられている「セキュアコーデイング」は、結果的に非現実な希望にすぎなかった。
● 確実にセキュアなコーデイングを行って、管理・維持することはWAF導入より、多くのコストがかかる。
それで、WAFの位置づけが急速に上がったのです。このように変化そのものより、変化の理由に焦点を合わせてみる必要があります。
企業の情報セキュリティ環境は常に変化しており、そのリスクは日々高まっています。
相次いでいるセキュリティ侵害事故をみてもICTリスクは、ビジネスの連続性を損ない、投資家の投資心理にも悪影響を与え、深刻な場合は社会混乱を招いて災害災難レベルの経済活動のマヒや企業活動の停止という結果につながる恐れがあります。
それでも企業現場では、情報セキュリティに対する総合的な理解不足による意思決定の難しさを訴えています。
その時、「ガートナー」や「フロストアンドサリバン」のレポートを活用してください。
不確実性という海の灯台のように、企業の意思決定に大変役に立ちます。
<製品に関するお問い合わせ>
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201
Webセキュリティ、これでもかとあきれるほど耳にする言葉です。それにもかかわらず、その重要性があまり認識されていないのが実情です。
そのため、何度も繰り返して言いますが、Webセキュリティは、重要です!物事はすべてインターネット、つまりWebを介して行われているのに、どうしてWebセキュリティは疎かにされているのか、考えてみましょう。残念なことに、その答えは既に出ています。「安全なインターネットとは何か」、に対する正確な概念がないためです。
世の中には、重要であっても、その重要性が十分認識されていないことがあります。ICTセキュリティこそ、その代表例でしょう。世の中に広く浸透しているICTの時代、ICTセキュリティが重要であることは誰もが知っているはずです。しかし重要であることを知りながらも、何を、どうすればいいか分からず、多くの場合疎かにされています。それが状況をより深刻にさせています。
世の中は一見カオスな世界のように見えますが、その中には、様々なシステムが複雑に絡み合っていて、どうにかして効率的且つ合理的に動いているのです。問題と解答が飛び交う混迷した世界ですから、ICTセキュリティが本当に深刻な問題であるなら、解決策やセーフティネットが整っていたはずです。
もちろん、そのソリューションはあります。調べてみましょう。
ICTセキュリティは個人にとっても集団にとっても、大きな懸念材料です。「国際標準」は、それらを収集して洞察し、ほぼ完璧にまとめたものです。
代表例として挙げられるのが、イギリスのBSI(British Standards Institute)が制定したBS7799基盤のセキュリティ認証であり、フレームワークの「ISO27001」です。また、経営に焦点を合わせた「情報セキュリティマネジメントシステム(ISMS;Information Security Management System)」も重要な標準規格です。これらのフレームワークを参照し、それぞれの仕様に合わせて企業のセキュリティシステムを構築すれば、ある程度安全なICTセキュリティのポリシー確立や仕組構築が可能となります。
ある企業がISO27001を取得したということは、全体で11の評価項目で「安全」と認められたことです。それは、その企業がICTセキュリティに関わる全てのリスクを総合的に管理し、改善できる基本的な仕組が整っているという意味です。ICTセキュリティは単なるシステムや技術ではなく、組織全体と個人それぞれが生活を営む「文化」であり、「環境」でもあるため、認証を取得したからといって、100%安全になったとは言えませんが、「代替的に」安全になったとは言えます。
では、安全なインターネットの基準となる国際標準はあるのでしょうか?
答えは、「あります」。
世界的なNGOオンライン信頼度監査機関である「OTA(Online Trust Alliance)」は、毎年、有名Webサイトを対象にセキュリティ性を点検し、安全なインターネット文化の確立に向け先駆けて取り組んでいるWebサイトを選定し、「オンライントラスト栄誉賞(OTHR;Online Trust Honor Roll)」を授与しています。政府をはじめ、金融機関、SNSなど、様々な分野にわたって約1000の有名サイトが対象となります。今年は、そのうち約46%がセキュリティ性の不足を理由に選定対象から外され、1位の「最も信頼できるWebサイト」には、「Twitter」が選定されました。
それでは、OTHRの選定基準は何でしょうか。
まず、着目すべきなのは、今年から「WAF(Web Application Firewall、Webアプリケーションファイアウォール)の使用有無」が評価に関わる重要項目として追加されたことです。それを受けて「安全」ランクを取得した企業は、去年の30%から今年は44%へと増えるなど、選定結果に大きな影響を与えました。やや遅きに失した感はありますが、その決定は当然なことです。
WAFはそもそもWebセキュリティの基本であり、核心であるWebアプリケーションセキュリティに特化して開発されたものです。外部からの攻撃を事前に遮断し、マルウェアなどの有害物がサーバーへ侵入することを防ぎ、Webセキュリティ脆弱性が外部にさらされないようにするなど、Webセキュリティの全般にわたって最も重要な役割を行っています。そのため、WAFは他のセキュリティ機器に比べ、Webサイト全体の安全性に与える影響力非常に大きなものがあります。また、OTAは、これからWAFの使用有無がOTHRの選定に大きな影響を及ぼすと述べました。この決定も当然でしょう。
「なら、WAFを買えば済むのか? いくら?」
このように簡単に決定できるものなら、売り手も買い手も楽でしょうが、企業における意思決定は企業の成長や発展、ひいては企業の死活にかかわる大事なことです。何事も簡単には決定できません。またそうしてはいけません。特にコストが決め手となる新規スタートアップ企業にとっては、なおさらです。世の中は、欲しいものであふれています。残念ながら、その全てを手に入れることはできません。WAFも同じです。高い機器ではありませんが、安いとも言えません。いくら良いものであっても、すぐ買えるわけではありません。
そうなら、とりあえずクラウド型WAFサービスを試してみましょう。簡単な操作だけで実際にWAFを導入したような効果が得られます。マウスを数回クリックするだけで、ICTセキュリティ事故の9割をも占めるWebハッキング攻撃を全て遮断できます。最も頻繁に発生しているWebサイトハッキングをはじめ、Webからのデータ漏洩、不正アクセス、Webサイト改ざんなど、その全てを遮断します。
クラウド型のサービスで提供されるため、機器の保守コストもかからず、利用初期は一定期間無料で利用できます。その後、オンラインビジネスが軌道に乗れば、トラフィック量によって最適なプランを選択し、所定の使用料を払えばいい訳です。
ならば、クラウド型WAFの中でもどのサービスを選ぶべきでしょうか。
実際現場における最重要なWebセキュリティ作業は何でしょうか?長年にわたる経験を基に、意見を述べさせていただきますと、管理者のモニタリングではないでしょうか。日に日に激変するWeb脆弱性のトレンド分析、実際に御社のWebサイトを狙う者たちの行動分析、日々溜まっていく攻撃と防御のログなど、完璧なWebセキュリティは持続的なモニタリングを通してのみ確保できます。
いくら早いスピードや優れた性能を持つWebセキュリティ機器を使用するとしても、モニタリング・ユーザーインターフェースに力を入れなければ無用の長物になってしまうのが事実です。優れたWAFの性能で知名度の高い様々な製品を比べ、その中で最も直感的にわかるユーザーインターフェースを持つ製品を選ぶことを推奨します。何回も強調しましたが、Webセキュリティ作業の核心はモニタリングであるためです。
そして重要なのは、当該クラウド型WAFサービスがどのハードウェア型WAFの技術をもとに作られたかを調べることです。企業が成長するにつれWebサイトも成長していき、理由はともあれWebに関わる全ての設備を自ら運用する必要がある場合もでてきます。その時になってから、クラウド型サービスではなく定番のハードウェア型WAFに移行しても遅くはありません。同一技術をもとに形のみ変えた製品ですので、システムの変更による非効率や業務の空白は発生しません。ただし、クラウド型WAFサービスとハードウェア型WAFサービスが「同一技術」でなければ、順調な移行を期待できません。クラウド型サービスを利用しているうちに必要性を感じてハードウェア型を導入することになったら、当該クラウド型サービスの基盤となる製品を選択することを推奨します。そうすると、システム構成の変更も認識せず、スムーズにビジネスを引き続き継続できます。
要するに、いいWAFとは何でしょうか。
シグネチャ基盤ではなく論理演算基盤のものを勧奨します。論理演算検知技術は、時代の要請によるものだからです。安全か危険かを基準に作成された対象リストをもとに検知する既存のシグネチャ基盤技術は、なんとか命脈を保ってきましたが、今やIoT時代。Webが爆発的に拡張していく本格的なWeb時代の到来です。まず、トラフィック量が膨大していきますが、いつまでリストをいちいち参照しながら安全か危険かを探るつもりでしょうか。不可能なことは明らかです。これこそが論理演算基盤のWAFでなければならない理由です。
ここまで考えると答えがまとまってきます。便利なモニタリングを可能にする直感的ユーザーインターフェースとクラウド型WAFサービスを提供するロジックベースのWAFが正解です。
一瞬の迷いもないはずです。両方の長所を持つ製品はそれほど多くはありません。
Cloudbric(クラウドブリック)
Cloudbricは、ロジックベース検知エンジン(COCEP:COntents Classification and Evaluation Processing)を基に開発されたSaaS型Webセキュリティサービスです。
Cloudbricは、Web攻撃や情報漏洩を恐れながらも、高価でインストールが難しいということなどから導入できなかった個人や中小零細企業を主なターゲットに、リーズナブルな価格で、簡単に導入できる強力なWAFサービスを提供致します。
ハッキングの70%以上がWebを通じて行われている分、Webセキュリティは必須になってきました。
Webセキュリティの安全性を確保する為には、
企業のセキュリティ担当者がWebセキュリティに対して充分理解した上で自社のITシステムに合ったWebセキュリティを構築する必要があります。
しかし、多くの企業がWebセキュリティを正確に理解出来ていません。
今回はWebセキュリティを簡単に理解出来るようにITシステムの全般的な仕組みからWebセキュリティがITシステムにどう適用されるかまでご説明いたします。
まず、ITシステムに関する理解とWebセキュリティの概要について述べます。
私たちは一般的にPCやノートパソコン、スマートフォンなどを利用してWebサイトにアクセスします。
IT業界では、Webサイトにアクセスする為に利用するPCやノートパソコン、スマートフォンなどを「クライアント」といい、
Webサイトやモバイルアプリケーションの画面のようなWebコンテンツを保存してクライアントがアクセスしたらコンテンツを表示するシステムを「サーバ」といいます。
(ITシステムにおいてサーバが全てWebサーバではありませんが、今回はWebセキュリティに関して触れているので、Webサーバについてご説明いたします。)
そして、クライアントとWebサーバを繋いでくれる連絡網を「Web(ウェブ)」といいます。
セキュリティの観点からすると、一般的にクライアントのセキュリティは個別システムの安全と関係があり、サーバのセキュリティは企業システムの安全と関係しています。
企業内部におけるクライアントのセキュリティもありますが、今回は企業内におけるWebセキュリティの核心となるサーバセキュリティについてご説明いたします。
企業内サーバシステムの仕組みを理解する為に、まずITシステムの仕組みを確認する必要があります。
ITシステムは大きくネットワーク・システム・アプリケーションの3つの段階で構成されています(図1)。
OSI7階層やTCP/IP階層のような色々なITシステムモデルがありますが、このような階層的分類ではネットワーク・システム・アプリケーションの3つの階層が最も共通的な仕組みです。
この3つの階層はお互いの相互作用を通じてITシステムを構成します。
ネットワーク層はデータの送受信に関した通信を担当して、システム層はWindows/Linuxのようなオペレーティングシステム(OS)のようにアプリケーションが作動出来るようにするプラットフォームの役割をします。
そして、アプリケーションは最上位層で様々な機能をするプロトコル(HTTP,FTPなど)及び応用サービスを提供します。
サーバシステムの仕組みも基本的にはこのITシステムの仕組みと同じです。
つまり、安全なサーバセキュリティとは、ITシステムにおいてネットワーク・システム・アプリケーションの全てのセキュリティが安全に構築されていることを意味します。
より理解を深める為、ITシステムの各階層はWebセキュリティを確保する為に実際どのように構築されているかみてみましょう。
ネットワークセキュリティの為には、安全ではないIPやポート(Port)に対するアクセス制御をする必要があり、
許可されたIPやポートからのトラフィックに対しても有害性チェックをする必要があります。
ですので、多くの企業ではファイアウォール(Firewall)と侵入検知/防止システム(IDS/IPS)を構築しています。
システムセキュリティはOSに関する事が多いです。
企業のセキュリティ担当者は、セキュリティのアップデートやパッチを更新する事と
定期的にシステムの悪性コードを検出してシステムを常に安全な状態に維持する事をしなければいけないですし、この為に企業はアンチウィルスソリューションを導入しています。
こうして大概の企業ではネットワーク及びシステムのセキュリティについてはその必要性を理解してセキュリティ構築に力を入れています。
しかし、アプリケーションセキュリティについてはそうでもありません。
アプリケーション層は、ネットワークやシステム層に比べて高度化されていて種類も多いので、セキュリティ管理者の多くはセキュリティを適用することを難しく感じています。
我々が普段利用しているWebは皆アプリケーションで構成されています。
Webサイトやモバイルウェブなどは全てアプリケーションで構成されていて、それをターゲットとしたWeb攻撃もアプリケーションの脆弱性を狙った攻撃が多いです。
Webセキュリティ業界で有名なOWASP(The Open Web Application Security Project)が選んだWeb脆弱性Top10も全てWebアプリケーション攻撃です。
つまり、現在行われているWeb攻撃の90%以上が全てWebアプリケーションを狙った攻撃だといえます。
安全なWebセキュリティを構築する為には、安全なWebアプリケーションセキュリティの構築が必須だということです。
Webセキュリティにおいてアプリケーションのセキュリティが最も重要であるにも関わらず、
どう構築すればいいか分からないという理由で適切なセキュリティが適用されていない事がほとんどです。
このような問題を解決する為には、アプリケーションのセキュリティを理解して安全なWebアプリケーションを構築する為に行うべき事を知らなければなりません。
クラウドブリックが提供するセキュリティコラムを読んで頂き、昨今増えているWeb攻撃に備えてください。
Cloudbric詳細はこちらㅣ Webセキュリティ 対策はCloudbric
製品に関するお問合せはこちら
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201
Webブラウザサービスが多様になって誰でも簡単に情報を共有出来るようになり、ハッキングに露出される危険も大きくなっています。
この為、暗号化通信は必須条件となりました。
暗号化通信はHTTPSプロトコルを使用する事で実現できますが、HTTPSプロトコルを使用する為には認証局(CA:Certificate Authority)からSSL証明書を発行して貰わなければいけません。
しかし、費用負担や複雑な認証プロセスなどにより発行率はとても低いです。
1.世界及び日本の主要企業のWebサイトSSL対応現況
2.Let’s Encryptの登場
3.Let’s Encryptの特徴
4.Let’s Encryptは安全なのか
5.Let’s Encryptを簡単に適用する方法
2016年5月、日本のWebソリューション会社のAtlas21が東京証券取引所市場第一部に上場する主要企業を対象として実施した調査によると、
Webサイトの全ページに暗号化通信を適用しているHTTPS完全対応率は1%であり、世界主要企業が17%である事に比してとても低い数値を記録しました。
つまり、大半のWebサイトにSSL/TLSが適用されていなく、最も基礎的なセキュリティである暗号化通信も保証されていなかったという事です。
幸いなことに、2018年6月に実施した調査ではHTTPS完全対応率が40%まで増加しましたが、世界主要企業の数値である52.4%に比べたらまだ低いと言えます。
SSL証明書の発行には年間約80~400ドルの費用が発生します(認証局によって少し差は発生します)。
EV,Wildcardなどのオプションを追加する場合は費用はもっと高くなります。
費用の負担以外にも、複雑なドメイン認証作業が発生することがSSL証明書の発行率が少ない理由の一つです。
該当ドメインに対して、認証局より認証してもらう為にはメール認証・DNSレコード追加などの作業が必要です。
また、認証作業が終わったら発行されたSSL証明書を直接Webサーバにアップロードしなければなりませんし、証明書を更新する度に同じプロセスを繰り返す事になります。
この問題を認識し、SSL使用のハードルが高い問題を解決して、誰でも安全な暗号化通信を使用出来る環境を作るために、
Mozilla・Cisco・Akamai・Electronic Frontier Foundation(EFF)・Iden Trustなどの多様なグローバルIT企業がISRG(Internet Security Research Group)という
認証局を設立してLet’s Encryptというプロジェクトが始まりました。
Let’s Encryptの登場で我々はSSLを無料で・簡単に・自動発行出来るようになりました。
1.無料発行
SSL証明書を発行する際に費用は発生しません。
ルートドメイン当りの発行数に制限はありますが、最大一週間に2,000個まで発行出来るので無制限だといえます。
2.簡単なドメイン認証
Cert botというソフトウェアをWebサーバにインストールしたら認証作業が自動的に実行されます。
メール認証・DNSレコード追加などの作業が別当必要ではありません。
3.自動証明書発行/更新
ドメインが認証されたらLet’s Encryptから自動的に証明書が発行されます。
発行された証明書はWebサーバに保存され、90日単位で自動更新されます。
証明書の発行・更新の作業が必要ないということになります。
結論から言いますと、安全です!
Let’s EncryptはGlobal Sign、Geo Trustなどのルート認証局で発行する適用SSL証明書と同じレベルのセキュリティを確保しました。
SSL証明書は各OSやWebブラウザから信頼されるルート認証局のみ発行出来ます。
信頼出来るルート認証局は、Internet Explorerの場合、「設定→オプション→内容→証明書」で確認出来ます。
では、Let’s Encryptの場合、どう発行されるのでしょうか。
Let’s EncryptはWebブラウザから信頼されるルート認証局であるIden Trust(DST Root CA X3)が相互認証(Cross-Sign)する形でSSL証明書を発行します。
クラウドブリックに加入したらドメイン認証などの手続きを行わず、ただHTTPSを適用するWebサイトを登録するだけでSSL証明書を適用できます。
WebセキュリティサービスとSSL証明書の適用を一緒に利用できるので、企業のWebサービス担当者様・オンラインショップの運営者様・個人ホームページ運営者様には大変良いチャンスです。
まだお金を払ってSSL証明書を使用しているなら、これからはクラウドブリックで無料SSL証明書を使用してみてはいかがですか?!
Cloudbricの製品情報( SSL )はこちら
Cloudbricの製品情報(WAF)はこちら
パートナーに関するお問合せはこちら
製品に関するお問合せはこちら
連日と言っていいほどサイバー犯罪のニュースを耳にするようになったと思うが、この増加傾向は何を表しているんだろうか。
そのベースにあるのは、まさに「脆弱(ぜいじゃく)なWeb」が多いことである。今の時代、悪意のある人間はいとも簡単にWebページにアクセスでき、脆弱な部分を見抜いてしまう。
このような行為を手助けするかのように自動化されたツールが出回っているのも事実である。つまり、サイバーテロを試みる者さえいれば「専門的」なハッカーである必要はないのだ。
「安全なWeb」の実現には、努力目標としてセキュリティレベルを上げていくようなさまざまな行動を起こさなければならない。
本稿では2016年上半期のWeb脆弱性TOP4を取り上げる。下半期のセキュリティ対策を設けるにあたり、微力ながら参考になればと願っている。
1.SQLインジェクション(SQL Injection)
Webサイト攻撃の定番ともいえるSQLインジェクションは、アプリケーションプログラムの脆弱性を突き、開発レベルでは想定していなかったSQL文を実行することでデータベースを不正に操作する攻撃手法である。
この攻撃が成功すると、ハッカーはデータベースサーバに対してファイルの読み込みや書き込みが可能な状態になり、任意のプログラミングを実行できるようになる。
WHO(世界保健機構)のような大きな団体ですらSQLインジェクション攻撃にさらされたことがある。
悪意のある者はWebから簡単に自動化されたツールを入手し、攻撃のための下見に利用している。
例えば「sqlmap」という自動化ツールを使用すれば、ターゲットのURLに対してSQLインジェクションが可能となる脆弱性がないかどうかスキャンできる。
しかし、Exploit(エクスプロイト)攻撃を通じて、間違ったコードを挿入する場合、MySQLシンタックスエラーが生じることもある。
2014年、ハッキングの被害にあったソニープレイステーションのケースもSQLインジェクションによるもので、この昔ながらの脆弱性を突いた攻撃は現在でも十分すぎるほどの破壊力がある。
SQLインジェクションの試みが通ってしまうと、そこから抜かれる情報によって、企業側には計り知れない被害を及ぼすことになる。
2.クロスサイトスクリプティング(Cross Site Scripting:XSS)
ユーザーの入力に対し適切な措置が設けられていないシステムの脆弱性を突くXSS(クロスサイトスクリプティング)も定番の攻撃だ。
ユーザーに対し入力を許可する部分は、悪意のある者にとっては利用価値が高く、常に攻撃の対象になるのである。
実行可能なコードやスクリプトのタグをシステム側に挿入し、意図した行動を起こすようにコントロールできる強力な攻撃の入口となるからだ。
一般ユーザーが、XSSが仕込まれたWebサイトを訪問し、ページを閲覧するために1クリックするだけで悪意のあるコードが実行され、セッションクッキーや個人情報等が何者かに渡されてしまう。
実際クレジットカード情報も抜かれ、本人の覚えのない買い物をしてしまうケースも多々ある。
WhiteHat Securityが公開しているホワイトペーパーによれば、どんなWebサイトでも67%はXSSの脆弱性にさらされているという。
つまり、XSSを利用したWebハッキングは攻撃を行う側にとってコストパフォーマンスが高い方法であるのだ。
セッション・ハイジャック(Session Hijacking)を決行し、政府のWebサイトを改ざんする等、その効果の高さは大したものである。
ただし近年、Webブラウザ側で事前にXSSの試みをチェックする機能が実装されていることは不幸中の幸いである。
3.ファイルインクルージョン(File Inclusion)
ファイルインクルージョンは、Webサーバ上のデータに対し入力検証の不備を突いて不正なスクリプトを挿入する攻撃手法である。
そのパターンとしては、RFI(Remote File Inclusion)とLFI(Local File Inclusion)がある。
RFIは不正なスクリプトをサーバに挿入し、ターゲットのページを介して悪意のあるコードを実行させることで、サーバ側はもちろん、クライアント側にも被害を及ぼすことになる。
LFIは、ターゲットのサーバ上のファイルに対し、不正なスクリプトを挿入し、デフォルトファイル名の変更、データのアップロード/ダウンロードの実行等やりたい放題ができる。
この脆弱性をうまく利用できれば、ログファイルからIDとパスワードを洗い出し、他の攻撃と組み合わせてログインジェクション攻撃なども実行できてしまう。
このような脆弱性に対応するためには、入力検証の仕組みの脆弱性を把握し、不備を改修していくことを推奨する。
4.不完全な認証及びセッション管理(Broken Authentication and Session Management)
Webアプリケーションでは、HTTPのリクエストトラッキング機能がない故に認証のリクエストとそのセッションを継続的に管理する必要がある。
悪意のある者は、このセッション情報から、ユーザーのタイムアウト、パスワード、ログアウト等さまざまな情報を入手できる。
この脆弱性の記憶に新しい事例は、マイクロソフトが提供するHotmailに悪意のあるスクリプトを挿入し、ユーザーのパスワードを入手しようとする攻撃を改修した際に発覚したものだ。
この脆弱性ではユーザーインタフェースにトロイの木馬を仕掛け、ユーザーにパスワードの入力を複数回求めるものだった。
そして、その入力データは即座に悪意ある者に送られるというシンプルながら非常によくできたものであった。
この種の脆弱性は、企業側で認証システムをカスタマイズし、セッション管理の不備があらわになってしまった場合に起こり得る。
ユーザーがログアウトの処理をせずにそのままサイトを閉じてしまうようなケースでこのような脆弱性にさらされる可能性が高い。
開発者レベルでセッション管理の確認はもちろん、SSLによるセッションの暗号化も基本中の基本の対策であろう。
まずは、行動を起こす このコラムで紹介した脆弱性は、Webアプリケーション、Webサーバ、Webページにおける最も有名な攻撃手法である。
ありとあらゆる対策は開示されていて対応は進んでいるものの、まだまだ道は長いと言える。
開発時における優先順位の上位に「Webセキュリティ」を持ってきてもらえるように認識を変えることも伴わなければならない。
まずは、この4つの脆弱性に対し、企業側で行動を起こすことをお願いしたい。
脆弱性を認識しているのか、対策は取っているのか。現実問題として確認してほしい。
次のステップは、WAFなどの適切なソリューションの検討だ。脆弱性はセキュリティホールとも言われる。
しかし、この小さい穴を利用して、貴重な情報を盗み出したいと思う者がたくさんいる。
企業としての社会的責任、そして貢献を考える際に、経営側は「セキュリティ」を念頭に置かなければならない。
セキュリティホールはしっかりと埋めておかなければならないのである。
製品に関するお問合せはこちら
パートナーに関するお問合せはこちら
Cloudbricの製品情報はこちら
