pc_img_01

Remote Access Solutionの、VPNとの差別化ポイント

新型コロナウイルスによって急遽始まったテレワークが、今も続いている、という方も多くいらっしゃると思います。それに伴い、多数の企業がセキュリティ対策に目を向け始めました。その一つとして幅広く使われているのが「VPN」です。しかし、VPNだけが有効なセキュリティ対策だというわけではありません。クラウドブリックの Remote Access Solution もまた、安全かつ低コストで従業員のテレワークの安全を守る、セキュリティ対策です。今回は、VPNと Remote Access Solution それぞれについて簡単に説明し、三つのポイントで VPNと Remote Access Solutionを比較しようと思います。  

VPNとは

VPN(Virtual Private Network)とは、指定されたWebサーバとユーザ間に暗号化された通路を設置し、安全な接続を可能とするものです。言い換えれば、VPNはインターネットを利用しプライベートなネットワークへ接続するものであり、この「仮想」のプライベートネットワークは、安全な内部ネットワークのように稼働します。この過程のおかげで、ユーザは私設・社内サーバを含めたWebサーバに遠隔接続できるようになります。もちろん、すべてのデータは第3者から奪取されても安全なように、暗号化される必要があります。  

Remote Access Solutionとは

Remote Access Solution はクラウドブリックが持つセキュリティ技術が詰め込まれた、クラウドベースのビジネス用テレワークソリューションです。ユーザは Remote Access Solution を通じ、全てのトラフィックを暗号化し安全な状態にさせた上で、社内ネットワークに接続できます。また、認証を経たユーザのみが、デバイスや場所に関係なく企業の情報とデータに接近できます。これだけを見れば、さほどVPNとの差がないように見えますが、そうではありません。Cloudbric Remote Access Solution はVPNと比べ、次のような三つの差別化ポイントを持ちます。  

Remote Access Solution の、三つの差別化ポイント

その1、簡単な利用方法

VPNの場合、安全な接続環境を構築するためには、サードパーティ製のアプリケーションが必要です。しかし Remote Access Solution の場合、お客様は何も設置する必要はありません。モバイル機器で接続する場合にも、VPNを利用するにはサードパーティ製のアプリケーションをダウンロードする必要があります。 しかし、クラウドベースである Remote Access Solution は、この場合にもいかなるダウンロードも要求しません。ただWebブラウザからログインするだけで、社内ネットワークを利用することができます。

その2、より確実なセキュリティ

VPNとは違い、Remote Access Solution は全てのトラフィックをモニタリングし、マルウェア、ボット、ハッキングなどの不審な動きをを自動的に遮断します。 また、VPNは通常シンプルなIDとパスワードを利用し、ゲートウェイにログインします。つまり、この情報を持つだれでも容易にゲートウェイへアクセスできるという事になります。しかし、Remote Access Solution の場合、FA認証を通じて認証されたユーザのみ、プライベートネットワーク(Private Network)内のWebサーバとデータへのアクセスを許可します。 ログデータの収集が気になる、という企業にも Remote Access Solution はうってつけです。VPNの場合、ベンダーごとにログデータへのポリシーは異なります。例えば、「No Log」ポリシーを随行しているというベンダーであっても、セッションログなどのデータを保存している場合があります。しかし、Remote Access Solution は、企業及び従業員のどのようなデータも保存しません。

その3、合理的な価格

前述したように、多数の企業がエンタープライズ級VPNソリューションを利用しています。しかし、規模によってはオンプレミスのVPN用機器や個別回線の設置が必要になる場合もあり、これには莫大な費用が伴います。 一方、Remote Access Solution はクラウドベースのソリューションなので、前述したとおり、設置を一切要求しません。よって、設置から発生する料金も、一切ありません。また、クラウドベースという利点を生かし、柔軟にサービス規模を調整できるので、納得できる範囲の中で料金が設定されます。さらに、2020年10月7日まで無料お試しプロモーションを実施中ですので、負担なく試していただけます。  

最後に

日本でも広がったテレワークは、今や典型的な働き方の一つともなりえる程に浸透しています。しかし、セキュリティ対策なしのテレワークは、コロナが人体に与える被害と同じ様に、企業を傷つけ、さらには再起不能にまで陥らせる危険があります。クラウドブリックのすでに検証されたセキュリティ技術に基づいた Remote Access Solution は、テレワークに対する最も簡単な答えです。 Webサイトにて、もっと詳しい情報をご覧ください。 ...
seminar

■6/22(月) Webセミナー■ 「脱VPN、全社員在宅勤務の切り札、ゼロトラスト」開催のご案内

新型コロナウイルス感染拡大により、テレワークが普及しました。ポストコロナ時代では、常時テレワーク化が求められ、VPN渋滞とセキュリティが問題となります。20年以上の実績をもつ韓国セキュリティ専門企業が解決策を提案いたします。 テーマ ポストコロナ時代、ビジネス継続性を支える考え方としてのセキュリティとは ~求められている脱VPNと、セキュリティ課題への新たな取り組み方~ 日時:2020年6月22日 16:30~17:30(16:10から接続開始) 場所:オンライン ※ライブ配信で行われます。 参加費:無料 内容
  1. コロナがもたらした働き方改革の加速化
  2. ポストコロナ時代企業の課題とは
  3. なぜ、脱VPN? 渋滞問題とVPN越しのゼロセキュリティ問題
  4. ゼロトラストの概念と、CRAS(Cloudbric Remote Access Solution)
  5. セキュリティにおける企業のアカウンタビリティ
主催:大韓貿易投資振興公社(KOTRA) 東京IT支援センター お申し込み:こちらからお申し込みください。 ※ お申込みいただいた方に、ライブ配信のURLをお送りします。 ...
pc_img_02

テレワーク導入に悩みを抱える企業向けに、Cloudbric Remote Access Solution をリリース

新型コロナウイルスの影響で業務形態もまた急速な変化を重ねています。テレワークを導入する企業が急増していますが、セキュリティ上の懸念もあると考えられます。このような状況を鑑み、我々はオフィスから離れた場所でも安心して社内環境にアクセスできるようにセキュリティを強化した、「Cloudbric Remote Access Solution」をリリースしました。  

新型コロナウイルスがもたらした働き方の変化

新型コロナウイルス感染症の感染拡大により全国に出された「緊急事態宣言」が5月25日に解除されました。しかし、 第二波の懸念もあり、完全な終息には相当な時間がかかりそうです。まだ安心できるレベルまでに至らず、依然としてその影響は我々に響いています。 コロナ過という言葉も出てきている中、新型コロナウイルスは人々の生き方を大きく変えるきっかけとなっています。多くの企業で導入しているテレワークもその例の一つであり、オンラインで業務に当たる割合が増え続けるだろうといっても過言ではありません。 日本では政府が長年テレワークを推進してきたもののあまり成果を得られなかったのですが、これを機にテレワークが働き方の一つとして定着すると考えられます。しかし、これまで日本でなかなか普及していなかったテレワークが急に広がった分、予想できなかったテレワークの加速化による懸念も存在します。  

エンタープライズVPNの問題点

緊迫した状況での急な転換によりテレワーク導入を決めた企業の場合、セキュリティ対策が事前に十分に講じられていないため、常にハッキングや情報流出等の脅威にさらされているといっても過言ではありません。 テレワークにおけるセキュリティ対策として多くの企業がVPNサービスを取り入れています。確かに、VPNは数々のメリットを持つセキュリティ対策ですが、システムを構築するにはサーバへのゲートウェイ設置や、追加的なソフトウェア等のインストールが伴います。このような過程は、企業側にとっても、セキュリティ管理者にとっても、従業員側にとっても相当な手間を要するはずです。  

簡単に安全なテレワーク環境を提供する Cloudbric Remote Access Solution

Cloudbric Remote Access Solutionは、クライアント側やサーバに対し、どのようなインストールも要求しません。従来のVPNサービスと違い、DNS変更など簡単な設定のみですぐ利用できるため、導入に対する負担を軽減させ、より効率的にテレワーク環境を構築することができます。 また、E2E暗号化を適用するなど、セキュリティを一層強化したリモートアクセスソリューションを提供します。ユーザが社内ネットワークに対し受送信する全てのトラフィックを暗号化するため、ハッカーの攻撃やあらゆるサイバー脅威を防げます。また、場所やデバイスに関係なく、予め承認されたユーザのみが企業の情報とデータにアクセスすることができます。 セキュリティ専門企業の技術とノウハウが詰まった「Cloudbric Remote Access Solution」は社内ネットワークにアクセスするすべての社員が安心して働けるように安全なテレワーク環境を作ります。  

Cloudbric Remote Access Solutionを3ヶ月間無償で利用できます。

2020年10月7日まで無料お試しプロモーションを実施中です。今なら、「Cloudbric Remote Access Solution」の全ての機能を、無料でご利用いただけます。最も簡単で、万全のセキュリティ技術を適用し、さらに安全なテレワーク環境を実現する「Cloudbric Remote Access Solution」をこの機会に、ぜひお試しください。 ...
ui ux waf console

クラウドブリック、安全なテレワークのためのセキュリティソリューション「Remote Access Solution」をリリース

クラウド基盤Webセキュリティソリューションを提供するクラウドブリック株式会社(本社:韓国、ソウル、 代表取締役:鄭 泰俊、http://139.162.127.206/jp)はテレワークに最適なセキュリティソリューション「Cloudbric Remote Access Solution(リモートアクセスソリューション)」を6月8日より公開し、2020年9月30日まで期間限定で無償提供することを発表した。 新型コロナウイルス感染症(COVID-19)の世界的な大流行で、日本でも在宅勤務を導入する企業が増加している。自宅から社内ネットワークにアクセスする場合、不正アクセスや、情報漏洩など、脆弱性を狙ったサイバー攻撃のリスクが存在するため、テレワークを導入する企業においてITインフラの安全性を強化することが重要な課題となっている。 多くの企業ではVPN(Virtual Private Network)を導入し、テレワーク環境を構築しているが、VPNゲートウェイを設置し、各ユーザに対する認証作業を行いながら運用するには手間がかかる。 Cloudbric Remote Access Solutionは全てのトラフィックを暗号化して送受信するため安全性を確保しつつ、いつ、どこでも社内ネットワークに簡単にアクセスすることができる、テレワークのためのセキュリティソリューションである。 Cloudbric Remote Access Solutionは、既存のVPNソリューションとは異なり、3-Layer Security(3重セキュリティ)を提供することで安全性をさらに高めた。ハッキングやDDoS攻撃など、すべてのWeb脅威を防御する機能のほか、二要素認証(2FA) 機能の実装により、許可されたユーザのみWebサーバ及びデータにアクセスすることができる。さらに、通信トラフィックに潜む不正や疑わしい動きを検知及び遮断するためのモニタリング機能も備えている。 また、追加のソフトウェアやハードウェアのインストールが不要で、インターネット環境であれば ブラウザーからログインするだけで社内ネットワークにアクセスできる。導入が簡単なため、テレワーク体制が必要な企業だけでなく、オンライン教育を行う教育機関や公的機関などオンラインサービスを展開する企業でも簡単に導入することができる。 今回公開されたRemote Access Solutionは、2020年10月7日まで企業・機関・団体に無償で提供される。 クラウドブリック公式サイト(https://v2.cloudbric.com/remote-access)から申し込みできる。 クラウドブリック株式会社代表取締役の鄭 泰俊は、「これまでなかなか進まなかったテレワークがわずか数カ月で急速に広がったが、その分テレワーク環境での脆弱性を狙ったサイバー攻撃のリスクも高くなっている」とし、「セキュリティと利便性を両立したリモートアクセスソリューションを提供することによって、新型コロナウイルスがもたらした働き方の変化により早く対応し、テレワーク化の最前線で取り組みを続けていきたい」と述べた。 ...
Webアプリケーションに潜む脆弱性TOP10を分析! 『OWASP Top 10 2017』とその対策

「OWASP Top 10」とは?最新のWebアプリケーション脆弱性と対策を紹介

「OWASP Top 10」をご存知でしょうか? これはOWASP(Open Web Application Security Project:オワスプ)が選定した最も重大なWebアプリケーションセキュリティリスクのリストで、2~3年に一度発表されています。その時期に特に流行していて大きな被害が続出しており、Webセキュリティの警戒をしなければいけない項目がリストアップされています。今回は「OWASP Top 10 2017」の内容を精査し、流行しているWebセキュ ...

WordPressで作成されたWebサイト、セキュリティ対策は万全ですか?

WordPressで作成されたWebサイト、セキュリティ対策は万全ですか?

Webサイトを作成するために使われているCMS(Contents Management System)ツール。オープンソースCMSといえば、WordPress(ワードプレス)、 Joomla (ジュームラ)、 Drupal (ドルーパル)などが広く使われていますが、世界的に高いシェアを誇っているのがWordPressです。WebサイトにおけるWordPress利用率は30%を超えているという報告もあります。 WordPressは日本でも企業、個人を問わず多く使われています。WordPressが提供するテーマ、プラグイン等、様々な機能を活用すれば誰でも簡単にWebサイトを制作することができます。しかし、誰でも手軽に編集することができるからこそ、セキュリティ問題も付き物になっています。ペンタセキュリティは毎四半期ごとに最新Web脆弱性を分析した結果をまとめたトレンドレポートを公開しておりますが、その結果によると2019年第2四半期から最も多く報告されたのが、WordPressに関する脆弱性ということが分かります。それでは、実際にはWordPressにどのようなセキュリティ問題があるのか、そしてどう対応すればいいのかをご紹介します。  

セキュリティ問題とその対策

1. WordPressで制作されたといった事実を隠す

WordPressで作成されたWebサイトの場合、普通Webサイト管理者はドメインの後に「wp-admin」 または 「wp-login.php」をつけることでWordPressの管理画面にアクセスすることができます。つまり、ハッカーもドメインに少し手を加えるだけで容易にWordPressの管理画面にアクセスでき、その状況を知ることができるということです。しかし裏を返せば、このような情報を隠すことだけでもセキュリティ面で一定の成果を上げることができるということになります。「Hide My WP Plugin」などのプラグインを使うことで、管理画面のURLやその他「WordPressを利用している」という情報を隠し、簡単に対策をとることができます。

2. 便利なログイン機能はハッカーにも有効。ログインの試行回数を制限する

WordPressは普通のWebサイトと違ってパスワードに有効期限がないため、間違ったパスワードをいくら入力してもログイン機能がロックされません。Webサイト管理者にとっては便利な機能ですが、これはハッカーにも有効で、この脆弱性を狙い、成功するまで無限の数のパスワードで試し続けることができます。これに対応するには、「Limit Login Attempts」などログインの試行回数を制限するプラグインが有効です。 また前述の様に、ドメインの後に「wp-admin」 または 「wp-login.php」をつけることでWordPressの管理画面にアクセスすることができますが、このURLを変えることでけでもハッカーからの無差別攻撃の試しを防ぐことができます。 他にも、Webサイト管理者のアカウント名を変える、特定のディレクトリを閲覧専用に設定する、ディレクトリリスティングを非活性化する等の対策をとることができます。

3. 旧バージョンは弱点が丸見え。常に最新バージョンを使おう

WordPressは他のソフトウェアと同様に定期的なアップデートを実施しています。しかし、使用しているプラグインの互換性などの問題で、アップデートをすぐさま実行するWebサイト管理者はほんの少しにすぎません。ハッカーは、このように新規パッチが発表されたにもかかわらず、旧バージョンを使用しているページを狙います。アップデートは主に旧バージョンの弱点を補完するものであるので、逆に旧バージョンの弱点をさらすものにもなるのです。その為、できる限り迅速なアップデートの適用をおすすめします。

4. Web脆弱性を狙った多数の攻撃。WAFで対応しよう

冒頭で述べたように、WordPressでは多数のWeb脆弱性が発見されており、またそれを狙った攻撃も多発しています。 2020年第1四半期のWeb脆弱性トレンドレポートによると、WordPressのWeb脆弱性を狙った攻撃には以下の3種類がありました。
  • Cross Site Scripting: 特定のWebサイトからブラウザを通じ情報を奪取する攻撃
  • Authentication Bypass: 認証を迂回し、管理者コンソールへ不正アクセスする攻撃
  • CSV Injection: データをCSVファイルに出力するとき、不正な命令語を差し込む攻撃
このようにWeb脆弱性を狙ったサイバー攻撃を防ぐためには、セキュリティ対策を講じる必要があります。特に、WAF(Webアプリケーションファイアウォール)を導入することも一つの有効な対策となります。WAFはWeb脆弱性に対する攻撃に対応するだけではなく、ハッカーがWebサイトにアクセスすること自体を防ぐことができます。つまりWordPressのようなアプリケーション自体に脆弱性が存在する場合も、それによる被害を事前に防ぐことができるということです。  

最後に

WordPressは業界随一のCMSツールですが、セキュリティ面で問題を抱えていることも事実です。決して「安全ではない」わけではありませんが、Webサイト管理者の不注意によっては脆弱性を抱えることになるでしょう。しかし、簡単な対策をとることでより安全に使用することができます。ご紹介した対策を念頭に置き、安全にWordPressを運用しましょう! 最新Web脆弱性トレンドレポートの情報はこちら ...
中小企業のためのセキュリティ対策、クラウド型セキュリティサービス

中小企業のためのセキュリティ対策、クラウド型セキュリティサービス

新型コロナウイルスに関する緊急事態宣言が5月末に延長するなど、以違とは違った生活になったり、社会的に混乱な状況が続いています。変わっていく日常だけに目が行きがちですが、こういう時こそセキュリティ対策に気を付けなければいけません。実際、新型コロナウイルスの影響でオンライン教育やWeb会議などが拡大される中、それを狙ったような攻撃も続々発生しています。
オンライン教育に冷や水、ベネッセHD子会社で不正アクセス ベネッセホールディングス(HD)子会社、Classi(クラッシー)が不正アクセスを受けて情報を流出した可能性があると発表した4月13日、インターネット上のSNSなどには高校生や教員とみられる利用者の不満の声が相次いだ。新型コロナウイルスの感染拡大でオンライン教育が広がる中、利便性の裏側に潜むリスクをあらためて示した。…教員や保護者を含む全利用者約122万人分のユーザーIDと、パスワードを暗号化した文字列、2031人の教員が作成した自己紹介文が流出した可能性がある。…「1人当たり3万3000円」。学校のIT化などに関する調査・研究や情報発信を行う教育ネットワーク情報セキュリティ推進委員会(ISEN)が試算した、生徒の成績情報が流出した場合の損害賠償額だ。 引用:日経ビジネス
このような被害を防ぐためには、セキュリティ対策が必須です。しかしセキュリティ対策となると、大規模な装備を用いて大勢の人が対策する姿を浮かべがちであり、なかなか手が出せないという声が多く聞かれます。そんな方にお勧めするのが、「クラウド型セキュリティサービス」です。  

クラウド型セキュリティサービスとは

クラウド型セキュリティサービスは、セキュリティ担当者を配置しづらい、もしくは多くの予算を省けない中小企業に適切なセキュリティサービスとして利用されるようになってきました。 クラウド型セキュリティサービスはSaaS型セキュリティサービス、またはSECaaS(Security as a Service、サービスとしてのセキュリテイ)とも呼ばれます。 まず、SaaSとは何かをご紹介しましょう。SaaSとは「Software as a Service」の略で、言葉通り、従来に高価な製品やソフトウェアを導入し利用してきたサービスを、インターネットのクラウド上で簡単に利用できるようにするということです。代表的な例としてはグーグルの「Gmail」等が挙げられます。厳密にはクラウドサービスの中にSaaS等が含まれるという形ですが、同じようなものとして捉えても無理はないでしょう。 つまり、SaaS型セキュリティサービス、すなわちクラウド型セキュリティサービスとは、既存の高度なセキュリティ対策をインターネット経由で利用する形です。SECaaSという言葉通り「セキュリティーをサービスとして受ける」ので機材を導入する必要がなく、使用した分だけ払えるのでリーズナブルな料金で利用できるのが特徴です。クラウド型セキュリティサービスとしてはWebアプリケーションファイアウォール(WAF)、ネットワークセキュリティ、メールのセキュリティ、暗号化等が主に提供されます。  

クラウド型セキュリティサービスの機能と選び方

Webセキュリティにおいて重要な要素には、Webアプリケーションファイアウォールと暗号化が挙げられます。Webアプリケーションファイアウォール(WAF)とは、ハッカーの攻撃を内部に侵入させぬべくそれを検知し遮断するものです。一方、暗号化はWebサイトのデータが奪取されたとしてもその悪用を防ぐものです。Webサイトの管理者はこれらに関するクラウド型セキュリティサービスを導入することにより、安全なWeb環境を構築できるだけではなくセキュリティへの手間を省くことができるので、一石二鳥の効果を得られると言えるでしょう。 それでは、クラウド型セキュリティサービスを選ぶときにはどのような部分を考慮すべきでしょうか。まず、複数のサービスを導入する場合、相互に互換性が保障されているかを検討しなければいけません。サービス間の衝突が発生した場合、さらなる脅威にさらされる場合があるからです。その他にも、サービスが主なセキュリティ案件に対するログを提供するのか、カスタマーサービスが有効であり信頼できるのかなどを考慮する必要があります。 ペンタセキュリティはクラウド型セキュリティサービスとして、クラウド型WAF(Webアプリケーションファイアウォール)であるクラウドブリック(Cloudbric)を提供しております。Webサイト防衛機能だけではなく、暗号化のためのSSL証明書サービスなど多様な機能と信頼性を併せ持っております。ぜひ、導入をご検討ください。 ...
サイバーセキュリティ対策促進助成金申請ガイド

最大1500万円!サイバーセキュリティ対策促進助成金申請ガイド

新型コロナウイルスに対する緊急事態宣言が全国に拡大されるなど、混乱した日々が続いています。新型コロナウイルスの感染拡大を受け、多くの企業が自宅勤務に切り替えテレワークを実施するケースも増え続けています。以前より強力な全社的サイバーセキュリティ対策が求められている一方で、企業のIT資産の保護は手薄な状態になってセキュリティリスクは高まっているのが実態です。但し、小規模事業者を含む中小企業にとっては、セキュリティの必要性を認識しても導入するまでのハードル(時間や費用等のコストの負担)は高いものです。このハードルを越えるには、国や自治体などで提供する助成金制度を利用することも一つの方法です。今回は、2020年東京都から提供するサイバーセキュリティ対策促進助成金について紹介していきたいと思います。  

サイバーセキュリティ対策促進助成金とは

サイバーセキュリティ対策促進助成金はIPA(独立行政法人 情報処理推進機構)が実施する「SECURITY ACTION」の2つ星を宣言している東京都内の中小事業者を対象に企業で管理する企業機密、個人情報などを保護し、あらゆるサイバー攻撃を防止するためのセキュリティ対策や設備(暗号化製品、アクセス管理など)の導入を支援する制度です。 それでは、サイバーセキュリティ対策促進助成金をもらうための必須条件である「SECURITY ACTION」とはいったい何でしょうか。中小企業自らが、情報セキュリティ対策に取り組むことを自己宣言する制度で、企業の自発的なセキュリティ対策への取り組みにより、信頼を獲得しセキュリティ対策への持続的な取り組み「SECURITY ACTION 自己宣言者サイト」より申請できます。サイバーセキュリティ対策促進助成金の申請対象は段階目の「★★二つ星」を宣言している中小事業者や中小企業団体が対象となるため、先に手続きを行う必要があります。IPAによりますと「2つ星」を宣言するには、「情報セキュリティ5か条」「5分でできる!情報セキュリティ自社診断」で自社のセキュリティ状況を把握したうえで、情報セキュリティ基本方針を定め、申請するとSECURITY ACTIONロゴマークを使用することができます。2つ星の宣言には情報セキュリティ基本方針を策定し、公開している状態になったうえで、IPAへ申請する必要があります。  

サイバーセキュリティ促進助成金の申請要件

サイバーセキュリティ対策促進助成金を申請すると、中小企業者を対象にサイバーセキュリティ対策を実践するために必要な設備やサービスの導入にかかる経費の一部を支給されます。助成金は最大1500万円、 助成対象経費の1/2以内となります。申請基準や申請手続きについて詳しく見てみましょう。

助成金対象事業者

東京都お内中小企業者、中小企業団体、個人事業主が助成金の対象事業者となり、特定非営利活動法人、財団法人、学校法人、宗教法人、社会福祉法人、医療法人及び政治・刑事団体は対象外になります。

助成金支援対象機器

中小企業のサイバーセキュリティ対策に必要な物品・設備購入費、メール 訓練委託費、クラウドサービス利用料などを対象に経費が支給されます。助成金支援対象機器は以下の項目となります。 (1)統合型アプライアンス(UTM等) (2)ネットワーク脅威対策製品(FW、VPN、不正侵入検知システム等) (3)コンテンツセキュリティ対策製品(ウィルス対策、スパム対策等) (4)アクセス管理製品(シングル・サイン・オン、本人認証等) (5)システムセキュリティ管理製品(アクセスログ管理等) (6)暗号化製品(ファイルの暗号化等) (7)サーバー(最新のOS搭載セキュリティ対策が施されたものに限る) (8)標的型メール訓練 Webサイトを守るWAF(Webアプリケーション・ファイアウォール)は、助成金の対象になるのか?と問い合わせが多く寄せられます。助成金支援対象機器として上記には言及されてはいませんが、 端的に対象となりますので、新型コロナウイルスでテレワークが多く実施されている中、Webにつながっている企業様のITシステムを保護するためにぜひチェックしてみてください。 当社ではクラウド型WAFサービスのクラウドブリック(Cloudbric)を提供しております。ハードウェアを購入し、ネットワークを設計し、導入スケジュールを立てる等の手間は必要ありません。DNS情報を置き換えて、アクセスの向き先をCloudbricへ変更して頂くだけで、導入し利用できます。Cloudbricは、サイバー攻撃を遮断するWAFサービスに加え、DDos対策とSSL証明書まで同時に利用できる優れもので、日本、韓国、米国にて特許取得済みの論理演算型解析エンジンを搭載しているため、そのセキュリティは、証明されています。最も推奨するポイントは、セキュリティの運用・管理を専門家にお任せできることです。各企業では提供されるユーザインターフェースにアクセスし、セキュリティ運用状況を確認するだけです。  

申請スケジュール

2020年の第2期サイバーセキュリティ対策促進助成金の申請受付は518日(月)~25日(月)となります。助成金予算の執行状況により新規受付を早期終了する場合があります。また、申請には事前予約が必要なため、早めの申請をお勧めします。  

あらゆるサイバー攻撃を遮断する「クラウドブリック」

当社はクラウド型WAFサービスのクラウドブリック(Cloudbric)を提供しております。DNS変更だけで簡単に導入できるクラウド型サービスで、どのプランであっても同じレベルで高精度のエンタープライズセキュリティを提供するため、企業規模に関わらず安心してWebサイトを保護することができます。それでは、クラウドブリックが中小企業者に選ばれる理由について説明したいと思います。
  • 特許取得済みのロジックベース検知エンジンを搭載

クラウドブリックは中小企業者のセキュリティレベルを画期的に向上させることができます。日本・韓国・米国にて特許取得済みの独自開発のロジックベース検知エンジン(COCEP)を搭載し、あらゆるサイバー攻撃に対しロジカルに分析・即遮断を行います。シグネチャー基盤のWAFと違いシグネチャーの更新が不要なため、新種・亜種の攻撃に対応できる高精度のセキュリティを提供します。また、Cyber Defense Magazine Infosec Awards 2019の「Hot Company Website Security」に選ばれるなど、数々の海外受賞歴を保有しており、世界で評判のクラウド型WAFです。
  • 企業別に独立したWAFサービス環境を構築

クラウドブリックは他社と共有せず、企業単位で完全に独立したWAFサービス環境を構築、提供します。企業の状況に合わせてカスタマイズされたセキュリティ運用ポリシーを策定することができるため、より安全な環境で、セキュリティ対策を実施することができます。
  • WAFサービス+DDoS対策+SSL証明書を基本提供

クラウドブリックはWAFサービスに加え、DDoS対策及びSSL証明書を提供し、企業の高セキュリティを実現できるよう手助けします。日々巧妙化かつ高度化が進むDDoS攻撃に対し、L3・L4だけでなく、アプリケーション対象(L7)攻撃にまで対応ます。さらに、WebサイトとWebサーバー間で通信データを暗号化するためのSSL証明書サービスを無料で発行でき、常時SSL化によるWebサイトの安全を確保できます。中小企業にとってリーズナブルな価格でより良いサービスを利用できるということになります。
  • Webサイトの状況を一目で確認できるユーザインタフェース提供

クラウドブリックはWebサイトへの攻撃を可視化し、一目でわかるような直観的なダッシュボードを提供します。攻撃数、閲覧数、不正アクセス件数、IPアドレス情報、攻撃回数など、誰が、いつ、どこから、どのような目的で攻撃したかというWebサイトセキュリティ状況をリアルタイムに把握できます。また、月次単位で提供されるレポートを通じて自社のWebサイト情報をより詳しく分析することも可能です。 クラウドブリックの直観的なユーザインターフェースに関する資料はこちらからダウンロードできます。 クラウドブリック・ユーザインターフェース紹介 今回紹介したサイバーセキュリティ対策促進助成金などを利用して、ビジネスを守るWebセキュリティ対策の第一歩を踏み出してみてはいかがでしょうか。セキュリティ対策への悩み、不安を抱えている中小企業の担当者をしっかりとサポートしていきますので、この機会に、ぜひ当社のクラウド型WAF「クラウドブリック」もご検討していただけたらと思います。 サイバーセキュリティ対策促進助成金に関する詳しい情報は中小企業における危機管理対策促進事業「サイバーセキュリティ促進助成金【募集要項】」をご参照ください。 出典:東京都中小記号振興公社「令和2年度サイバーセキュリティ対策促進助成金申請案内」 ...
Webサイト最適化:表示速度とセキュリティを両立する5つのコツ

Webサイト最適化:表示速度とセキュリティを両立する5つのコツ

Webサイト運営はもはやビジネスにおいて欠かせないものとなってきました。最近は、HTMLやCSSといった専門的な知識がなくても、様々なCMS(Contents Management System、コンテンツ・マネジメント・システム)ツールを利用することで、誰でも簡単にWebサイトを構築できます。潜在顧客を発掘するチャンスを無駄にしないためには、Webサイトを作る際に「Webサイトの表示速度」と「セキュリティ」の両立を考慮することが重要です。これらはSEO的にもGoogleの検索順位を上げる重大な要因となります。本日はWebサイトの表示速度とセキュリティを両立できる5つの方法について説明していきたいと思います。  

1.画像及びメディアファイルの最適化

Webページを構成するデータの中で最もデータ量が多いのが画像データです。http archiveによると、動画はWebページの重さの平均25%を占めています。画像サイズが大きいほどWebページの表示速度が遅くなるため、Web用に画像最適化を行うことが重要です。Webサイト速度の改善につながる画像及びメディアファイル最適化方法について説明します。
  1. 画像を保存する形式としてよく使われるのは「JPG」と「PNG」です。それぞれ特徴はありますが、一般的にPNGよりJPGの方が軽量なので、なるべくJPGで保存するのがおすすめです。
  2. GIFは容量が大きいため、ページロードに時間がかかります。形式を変更し容量を小さくするか、または控えた方がいいでしょう。
  3. HTML上で画像の直接横幅と縦幅を設定するより、画像をWeb用のサイズに変更してから保存した方がWebサイトの最適化に役立ちます。
  4. 画像や動画などをサーバに直接保存するより、YoutubeやSlideshareといった共有サイトにアップロードし、コンテンツシェア機能を活用することもおすすめです。
 

2.専用ホスティングを利用する

Webサイトオンライン上で公開するために使われる「ホスティングサービス」。ホスティングの種類には複数のユーザが1つのサーバを共同で利用する「共有ホスティング」、1ユーザーで1つのサーバを専有している「専用ホスティング」があります。共有ホスティングは専用ホスティングに比べ、運用コストが低いかもしれませんが、予想外の費用が掛かる可能性もあります。その費用とは潜在顧客を獲得するのにかかる費用のことを言います。 同じサーバー内の他のユーザの利用量が増え高負荷状態になったり、多数のアクセスが発生するサイトが存在すると、別のユーザまで速度低下になってしまう場合があります。 潜在顧客の多くがWebサイトを通じて資料調査などを行うといった調査結果もありますので、サーバーに障害が発生することは潜在顧客を失うことと言っても過言ではありません。専用ホスティングを利用することでこのような問題を防げます。  

3.Webサイトを常時SSL化する

SSL(Secure Sockets Layer)とは インターネット上でのセキュア通信のための通信プロトコルのことです。常時SSL未対応のWebサイトの場合「http://」から始まり、SSL化されたWebサイトはSecure(セキュア)を意味する「S」が加わり、「https://」から始まります。HTTPSが通信速度が低下させるといった話がありましたが、それは昔の話で、「HTTP/2」という通信方法に高速化になってきています。これは、Webページのデータをサーバーから取得するための技術で、容量の大きなデータやWebページを速やかに表示させます。  

4.CDNを使用する

CDN(Content Delivery Network、コンテンツデリバリネットワーク)とはWebコンテンツをインターネット経由で配信するために最適化されたネットワークのことを言います。CDNを使用することによってサーバーが不安定になる可能性が減るため、速度を改善することができます。CDNはユーザに最も近い所にあるキャッシュサーバーからデータを配信する仕組みで、データのダウンロードが安定され、Webページの表示速度が速くなります。さらに、CDNはサイバー攻撃、特にDDoS攻撃からWebサイトを守るセキュリティ対策にもなります。

5.WAF(Webアプリケーションファイアウォール)を利用する

限られた予算で専用ホスティングを利用することが不可能であれば、WAFを導入することで速度とセキュリティを両立できます。一般的にWAF導入はWebサイトを安全に保護するセキュリティ対策として考えられていますが、どのように速度を上げることができるのでしょうか。スパムボット(Spambot)と悪意のある攻撃をフィルタリングしないとWebサイトのサーバーリソースが過度に消費され、Webサイトの全般的な速度とパフォーマンスの低下につながります。しかし、WAFを導入すると確認されたトラフィックのみ通過させ、セキュリティと速度の両立が実現できるということです。 Webサイトのパフォーマンスとセキュリティがお客様の信頼を得ることにつながります。Webサイトを構築する際にはWebサイトの表示速度とセキュリティを考慮したうえで適した最適化方法を選ぶ必要があります。画像の最適化、専用ホスティングの利用、常時SSL化、CDNの使用、WAF導入に至るまで、様々なWebサイト最適化方法を適用していきましょう。 ...
不正アクセス

不正アクセスのターゲットの約9割は一般企業!被害事例と有効な対策について

不正アクセスとは、本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。その結果、サーバや情報システムが停止してしまったり、重要情報が漏えいしてしまったりと、企業や組織の業務やブランド・イメージなどに大きな影響を及ぼします。インターネットは世界中とつながっているため、不正アクセスは世界中のどこからでも行われる可能性があります。 今回は深刻な不正アクセス被害についてのレポートと、その対策についてまとめてみました。  

不正アクセスによる被害とは

  • 情報の流出

不正アクセスされると、企業が管理している外部に漏えいしてはいけない機密データや個人情報などが流出します。個人だけでなくアカウントが保持している他人の機密データの内容までもが流出する危険があります。その結果、通販サイト等のアカウントに不正アクセスされることでクレジットカード情報等が流出してしまい、商品を勝手に購入されたり、ポイントが不正に使用されてしまうといった被害が起こります。金融系のサービスでは、正規ユーザーのIDやパスワードなどを入手した第三者が勝手にログインし、不正に送金を行うなど、ユーザーの預金が消失するケースもあります。
  • ウェブサイトやファイルの改ざん

攻撃者は、インターネットを通じて企業や組織のサーバや情報システムに侵入を試みます。手口としては、ツールを用いてアカウント情報を窃取するための総当たり攻撃を行ったり、OSやソフトウェアの脆弱性、設定の不備など利用して攻撃することが知られています。 攻撃者は侵入に成功すると、その中にあるホームページの内容を書き換えたり、保存されている顧客情報や機密情報を窃取したり、重要なファイルを消去したりすることもあります。 ホームページの書き換えは、いたずらでまったく関係ない画像を掲載するものから、最近はホームページにあるリンクやファイルの参照先を不正に書き換え、接続してきた利用者をウイルスに感染させたり、パソコンから情報を盗み取ったりするものが増えています。ホームページが書き換えの被害を受けるということは、その企業や組織のセキュリティ対策が不十分であることを示すことになり、社会に対するイメージ低下は避けられません。
  • 他のシステムへの攻撃の踏み台にされる

不正アクセスによって侵入されたシステムは、攻撃者がその後いつでもアクセスできるように、バックドアと呼ばれる裏口を作られてしまうことが知られています。攻撃者は、そのシステムを踏み台として、さらに組織の内部に侵入しようとしたり、そのシステムからインターネットを通じて外部の他の組織を攻撃したりすることもあります。 この場合に多く見られる例は、攻撃者によってボット ウイルスを送り込まれ、自分がボットネットの一員となってしまうというものです。ボットネットとは、攻撃者によって制御を奪われたコンピュータの集まりで、数千~数十万というネットワークから構成されていることもあります。攻撃者はボットに一斉に指令を送り、外部の他の組織に対して大規模なDDoS攻撃を行ったり、スパムメールを送信したりすることもあります。  

後をたたないWebサイトへの不正アクセス被害事例

象印から個人情報漏洩 フィッシング被害も - 日経XTECH 2020年1月23日 象印マホービンのグループ会社が運営する通販サイト「象印でショッピング」が不正アクセスを受け、最大28万件の個人情報が漏洩した。個人情報には、名前や住所、メールアドレスが含まれていたが、クレジットカード情報は含まれていなかった。システムの脆弱性を悪用されたとしている 漏洩した個人情報を使ったとみられるフィッシング被害も発生した。偽の当選通知が被害者に届き、そこには当選した金券の送料を負担してほしいと書かれていた。この送料の支払い画面にクレジットカード情報を入力させる手口だった。支払い画面には、同サイトのWebページを改ざんしたものが使われた。 出典:https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/012000011/ JR東の「えきねっとアプリ」 3729人が不正ログイン被害  - 日本経済新聞 2020年3月3日 JR東日本は3日、在来線の指定席列車の予約や購入がチケットレスでできるスマートフォンアプリの「えきねっとアプリ」で不正ログインの被害があったと発表した。2日の午後5時30分ごろから3日の午後0時37分までの間に3729人のえきねっと会員が不正ログインされた。 不正ログインのあった期間中に、13人分の氏名や住所、電話番号や下4ケタのクレジットカード番号の閲覧があった。13人のうち、自身で会員情報を見ていた利用者もおり、不正ログインによる閲覧があったかどうかは調査中という。JR東は不正ログインのあった3729人分のパスワードを強制的に変更して通知したほか、セキュリティー対策を強化した。 出典:https://www.nikkei.com/article/DGXMZO56358570T00C20A3TJC000/ 「宅ふぁいる便」不正アクセスで480万件のユーザー情報流出 メアド・パスワードも - Tmedia NEWS 2019年1月26日 大容量ファイル送信サービス「宅ふぁいる便」を運営するオージス総研は1月26日、同サービスの一部サーバが不正アクセスを受け、約480万件の顧客情報が流出したことを確認したと発表した。流出した情報には、メールアドレスやログインパスワードなどが含まれているという。23日からサービスを一時停止しており、再開のめどは立っていない。 出典:https://www.itmedia.co.jp/news/articles/1901/26/news015.html 宅ふぁいる便は不正アクセス事件以降サービスを休止して、再発防止を含めた対策を1年ほど検討していましたが、結局2020年3月31日をもって、サービスの終了を決定しました。理由としては、サービス再開には相当程度のシステムの再構築が必要であり、再構築に要する時間・費用等を踏まえ総合的に判断した結果、サービスを終了せざるえないとの判断になったと公式ページで説明しています。 このような不正アクセスの事例は後をたちません。 情報処理推進機構(IPA)が毎年発表している『情報セキュリティ10大脅威 2019』でも、組織に対する脅威の7位に「インターネットサービスからの個人情報の窃取」がランクインしています。インターネットサービスの脆弱性が悪用され、インターネットサービス内に登録されている個人情報やクレジットカード情報等の重要な情報を窃取される被害が発生しています。攻撃者は窃取した情報を悪用して不審なメールを送信したり、クレジットカードを不正利用したりします。 一度不正アクセスされクリティカルな情報漏えいが発生してしまうと、その為の対策費用や賠償が重くのしかかって、最悪宅ふぁいる便のようにサービスの停止や終了につながります。  

Webサイトへの不正アクセスを防ぐには?

総務省は過去5年間の「不正アクセス行為の発生状況」において、平成30年における不正アクセス行為の認知件数注1は1,486件であり前年から284件上昇したと報告しています。このうちターゲットとなったのは一般企業が1,314件でほとんどの不正アクセスが企業であることを示しています。企業において、不正アクセスによる被害を回避するには一般的に次のような対策をとることがすすめられています。
  • セキュリティソフトやファイアウォールを活用する
  • OSやソフトを最新の状態にアップデートする
  • 社内のモバイル機器の管理を徹底する
  • 社内無線LANルーターのセキュリティを高める
セキュリティソフトやファイヤーウォールを導入している企業は多いと思いますが、それでも毎年被害が減ることはありません。一般的なファイヤーウォールは外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品や機能のことを言います。ポート番号、IPアドレス、プロトコル、通信方向を制御するルールに基づいて通信の許可/拒否を判断します。しかし通常のファイヤーウォールは「通信の中身」まで識別することはできません。 一方でWAF(ウェブアプリケーションファイアウォール)はHTTPプロトコルでやり取りされる要求行や要求ヘッダ、要求本文(パラメータの名前、パラメータの値)などを検査することで、SQLインジェクションなどのウェブアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するという役割を果たします。以前はコストも高かったり、運用が難しい等の理由で導入を見送る企業も多かったですが、現在はホスト型、ゲートウェイ型の他クラウド型のWAFも登場し、専門知識がなくても簡単に運用できる製品が出ています。クラウド型は専用ハードウェアを用意する必要や、物理的なネットワーク構成を変更する必要がなく、WAF運用をベンダーに任せられるのがメリットです。 サイバー攻撃の手法は多様化し、従来の技術だけでは防御することが難しくなってきています。サイバー攻撃に特化したWAFを導入し、高度な防御体制を構築していくことをお勧めします。 ...