cloud security cloudbric

常時SSL・部分SSL、どちらをご利用中ですか?

password

クラウドブリックの調査によると、国内各県の公式サイト47カ所中28カ所は部分 SSL を、19カ所は常時SSLを適用中であり、大半のサイトが部分SSLを適用していました(2018年10月基準)。このようなサイトのみならず、日本の多くのWebサイトが部分SSLを適用しています。 常時SSLと部分SSLの違いは何でしょうか。また、どちらの方がWebサイトのセキュリティにとって良いのでしょうか。今回はSSLの適用範囲についてご説明いたします。

₋SSLとは

SSLとは、Webサイト訪問者とWebサーバ間の通信を暗号化する為にWebサーバに保存すべき証明書です。 SSLを使用せずにHTTP通信を行ったらサイト訪問者とWebサーバ間の通信が第三者に露出されてしまう恐れがあります。特に、個人情報やクレジットカード情報などを収集するWebサイトではSSLの適用が必須で、大半のサイトがその必要性を認知して適用しています。

₋SSLの適用範囲と現況:部分/常時

SSLはサイト全体に適用出来る常時適用と、個人情報などを入力するページのみ適用する部分適用があります。サイト全体にSSLを適用する場合、メインページを含むすべてのページがhttpsに表示されてURLの隣に錠マークが表示されます。2018年7月にリリースされたGoogle Chrome 68からは、全HTTPページに警告ラーベルが表示されるようです。Googleは常時SSLを促進しており、HTTPページには常に警告表示が出されます。

₋部分SSLの盲点

SSLの部分適用ページに警告表示を出すのはなぜでしょうか。 まだ多くの方々がSSLは個人情報保護の為に適用すべきだと考えています。ですので、会員登録・ログイン・お問合せなどのページのみSSLを適用する場合が多くみられます。 しかし、SSLは暗号化を通じて改ざんを防止し、フィッシングサイトへの誘導を防止する機能もあり、SEO対策にもなるので、Webサイトの信頼性及び安全性を高めます。また、SSLの属性についてきちんと把握せずに部分SSLを適用したら設定に誤りがあったりして機能を果たせない場合もあります。

-常時SSLに対する誤解

常時SSLはよく「Webページの速度が遅くなる」、「費用が高い」、「導入が複雑で難しい」と誤解されています。 サーバに負荷が生じてアクセス速度が遅くなるのでは、とよく言われていますが、以前のSSLとは異なって現在使用されているSSLは速度の差がほぼ生じません。 また、費用面においては、もちろん高額のSSLもありますが、Webページの改ざん・個人情報流出などによる被害が発生してSSL導入費用の何倍以上の被害額が生じる事を想定したら大きい負担とは言い難いはずです。 trust

-常時SSLの利点

常時SSLは保護が必要な各ページにSSL適用の作業をしなくてもいいので、不必要なリソースの無駄遣いを防げますし、一度に適用して統合管理する事が可能です。そして、何より良いことは、Webサイトの信頼度及び安全性が高まってSEOも良くなることです。 Googleは2014年からSSLの適用可否を検索結果露出順位の測定方法に含むなど、SSL適用を促進しています。 ssl

-結局選択すべきなのは?

Webサイトのパフォーマンス・費用・導入過程の全てを考えたら、結局選択すべきなのは常時SSLです。CloudbricはIDソリューション分野のグロバールリーダーであるIden Trustから認証を貰ったLet's Encrypt証明書を無料で提供しております。 また、WAFを導入するだけでSSL証明書を自動発行するのでとても簡単に適用できます。 また、3か月に一回行わなければならない更新も自動適用出来るようサポートしています。 まだSSL証明書を導入していなかったり、部分SSLを適用しているのであれば、常時SSL導入をご検討するのは如何でしょうか。 Webサイトを安全に保護する為の第一歩になります。 ...
NICTER

Webサイトを守る最も安全な方法

賢い WAF製品 の選び方

NICTER(国立研究開発法人 情報通信研究機構)が発表した2017年観測レポートによると、2017年に30万IPを対象に観測を実施した結果、約1,500億パケットが観測されてIP当パケット数は約56万に至りました。 これは2016年に比べて約1.2倍の増加になります。 Report (NICTER観測レポート2017,NICTERサイバーセキュリティ研究所サイバーセキュリティ研究室,2018,http://www.nict.go.jp/press/2018/02/27-1.html) このように、Web攻撃は毎年増加していてその攻撃方法も多様になっています。これによって、多くの企業がWAFの必要性を認識して各社の基準に合うWebセキュリティサービスを導入しています。数多くのWAFサービスの中でどのサービスを選択すればいいのか悩んでいる方々の為に、今回はクラウドブリックを選択すべき理由を3つの側面からお話しさせて頂きます。

【機能面】

今まで受けた攻撃のパターンをデータベース化して該当する攻撃を受けた際に防御する事を「シグネチャ型WAF」といい、大半のWAFサービスがこの方式を採用しています。 企業で直接データアップデートをしなくてもいいので社内業務負荷が軽減し、様々な攻撃パターンに備える事が出来るのがポイントです。 しかし、今まで一度も無かった攻撃は防御出来なくて、データベース肥大化によってパフォーマンス鈍化や過剰検知などが発生して誤検知率が増加する恐れがあります。 Cloudbric WAF このような問題を解決する為、クラウドブリックのWAFは自社独自開発のロジックベース検知エンジンを搭載して攻撃のパターンだけではなく属性まで把握して、今まで無かった攻撃を防御出来るようにしました。 この機能によって誤検知率が低くなり、Webサイトユーザが比較的にストレス無くサイトを利用出来てユーザの離脱を防止出来ます。 該当技術は日本/韓国/米国で特許を取得しました。

【運用面】

クラウドブリックのWAFは顧客専用サービス環境を構築してカスタマイズされたセキュリティ政策で運営出来ますし、DNS変更だけでWAFの導入が出来るので現在使用しているシステム環境を変更しなくても利用可能です。 また、維持においても素早い対応で社内リソース負担を減少させ、社内業務過負荷を防止出来ます。 Console そして、クラウドブリックの紹介で外せない機能の一つに「ダッシュボード」があります。 インターネットが使用出来る環境であればいつどこでもWebサイトの管理現況を確認出来て、WAFに関する知識があまり無い方でもすぐ把握出来る見やすい画面構成になっています。 この点はWebセキュリティ状況を可視化して社内セキュリティ意識を高めるだけではなく、クライアントに可視化されたセキュリティ状況を提示して信頼度を高める事も出来ます。

【費用面】

今までWAFは高価のハードウェアと維持費用の負担により大手企業のような費用負担が可能な企業のみ導入出来るサービスでした。 しかし、クラウドブリックのWAFはハードウェアが必要ないクラウド型WAFであり、月別支払いが可能なリーズナブルな価格政策を提供していて、スタートアップ企業や中小企業も少ない費用でご利用されています。 Price また、SSL(Let's Encrypt)及びDDoS防御などのオプション機能を無料提供して、簡単な予算案の作成を手助けしています。他にもOWASP主要脆弱点Top10対応・既存SSL適用可能などの様々な長所を持っているクラウドブリックのWAFは、簡単に高い技術力のWebセキュリティを適用するに最適なサービスです。 このページをお読みになってクラウドブリックのWAFを利用してみたいと思いましたら以下のリンクにてお問い合わせください。 現在利用中のWAFの評価とクラウドブリックのWAFの体験を無料でご利用頂けます。 ...
Blog_signature_Signature_FREE

【すぐ分かるセキュリティ用語】シグネチャーとWAF

Webセキュリティについて関心をお持ちの方なら、メディアでよくWAFという単語を目にするはずです。 しかし、WAFとは何なのか、どういう点がWebセキュリティに役立つのか正確にご存知ですか? 「我が社のWebサイトにもセキュリティサービスの導入が必要だと思うんだけど、上司にどう説明すればいいんだろう?」 「WAFの意味はわかるけど、仕組みまではわからない。」 こういった疑問・悩みをお持ちの方のために、この ...

console_1

ひと目で分かる新コンソール 【Console2.0】

コンソール アップデートのご案内_Console2.0

Cloudbricは コンソール を提供する事で、Webセキュリティに詳しくない方でも利用しやすいサービスになるように日々努力しております。サービス使用の利便性・アクセスの容易性はコンソールから始まりますので、より滑らかな使用感の為に新しいUI/UXをご用意致しました。 今からCloudbricの新しいコンソールをご紹介致します。

【変更事項概要】 内容

※詳細は下記をご参照ください。

コンソール 1.Dashboard UIをより柔らかい色合いにして見やすく変更しました。また、利便性を考慮したデザインと主要情報を一斉にモニタリング出来る配置で、攻撃トラフィックと一般トラフィックを簡単に区分出来ます。 IP/CNAME登録 2.複数のWebサーバのIP/CNAME登録 複数のWebサーバのIP/CNAME登録でユーザのロードバランシング(負荷分散)をサポート致します。ユーザが場合によってCNameを登録したり複数のWebサーバを手動で登録したり出来ます。 Webseal Webシール

3.セキュリティ認証マーク(WebSeal)の適用

Webサイトの信頼性を高められるWebシール登録機能が追加されました。ユーザがWebシールの露出位置を選択出来て、マウスカーソルの位置によってWebシールのデザインが変わります。 Whitelist 4.国別IPアクセス制御 ユーザの接近性を考慮して国別IP遮断オプションの位置をダッシュボードから設定ページに変更しました。また、既存の遮断国(ブラックリスト)オプション以外にも許容国(ホワイトリスト)の設定機能を追加しました。許容国の設定(ホワイトリスト)は、ユーザが設定した指定国のIP保有者のみ該当サイトにアクセス可能であり、それ以外の全ての国は自動的にアクセスが制限されます。遮断したい国が多いユーザは許容国、許容したい国が多いユーザは遮断国の設定を使用する事をお勧めします。 URL 5.URL除外 URL除外オプションを使用してより細密な検知/遮断設定が可能になりました。特定URLに入ってくるトラフィックに対して、検知/遮断を望まない場合は該当タップでURLを登録してください。 ※注意:登録した該当URLのトラフィックに対してはCloudbricのWAFが保護しなくなります。この点に留意して設定してください。 DDoS 6.DDoS防御設定機能の追加 DDoS防御機能がコネクション・リクエスト数制限オプションの追加によってさらに高度化されました。既存のDDoS攻撃の検知基準は標準値に固定されていましたが、新規オプションによってサイトの特性に応じた別途管理が出来るようになりました。 ※注意:FTP・IMAP及びHTTPのようなプロトコールは数々のコネクションを生成出来るので、制限をあまり低く設定しない事をお勧めします。また、会社・公共施設などでも、内部ネットワークの多くのPCが一つの共用IPアドレスを共有する点に留意して設定を行ってください。
これで新しいコンソールについてのご紹介を終わります。 より使いやすくなったコンソールを是非お試しください! ...
blog_Introduction

Cloudbric(クラウドブリック)の主要機能をご紹介いたします!

ご紹介ㅣCloudbric WAFの主要機能

企業のセキュリティ関連予算が毎年増加している中、どのようなセキュリティ対策を立てていますか? 過去には攻撃履歴のあるIPアドレスからのアクセスを遮断したり知られている攻撃パターンと比較して遮断したりする方法でWebサイトを保護しましたが、もうこの方法ではWebサイトを安全に保護出来なくなりました。 新種の攻撃を検知出来なかったり悪意の無いアクセスも遮断してしまったりする事が多くなっている為です。 このような問題を解決してWebサイトを保護してくれるCloudbric(クラウドブリック)WAFの主要機能についてご紹介致します。 安全なWeb環境を作る為にはどういったセキュリティ対策が必要であるかご確認ください。 紹介

- Web攻撃遮断サービス

「ロジックベース検知エンジン搭載」

クラウドブリックはより安全なWebセキュリティサービスを提供する為、既存WAF市場の検知技術とは異なる「ロジックベース検知エンジン」を搭載しています。ロジック分析を通じた検知技術で、攻撃真偽まで把握して誤検知率が低く、今までなかったWeb攻撃パターンを正確に検知して遮断出来ます。また、データの意味を論理的に分析するので誤検知も少ないです。

「OWASP主要脆弱性Top10に対応」

クラウドブリックのWAFは、OWASPが発表した主要脆弱性Top10に全て対応出来ます。 ロジックベース検知エンジンの26種の検知ルールを基盤に多様なWebサイトの脆弱性を補完してWeb攻撃を防御出来て有害なトラフィックを正確に区分して遮断しています。  

- DDoS防御

「DDoS攻撃の定義」 DDoSはハッカーがウィルスに感染させて操る多数のゾンビPCが一斉にWebサーバに負荷をかける攻撃です。以前はトラフィックを発生させてネットワークをフリーズさせる攻撃が流行っていましたが、最近はアプリケーションの脆弱性を悪用してWebサーバを直接攻撃する場合が増加しています。 このような攻撃は、Webサーバの全ての情報が消えたり流出したりする致命的な結果を用いることがあります。

「多様なDDoS攻撃を防御」

クラウドブリックのWAFはWebアプリケーションの脆弱性を悪用した全ての非正常的なアクセスを迅速でスマートに検知/遮断します。最も多いDDoS攻撃から最新トレンドであるマルチバクタ攻撃(Slowloris, RUDYなど)まで、全範囲のDDoS攻撃からWebサイトを保護します。また、ネットワーク拡張を通じてネットワークフリーズを防ぎます。 ddos

- 無料SSL

「SSL証明書」

SSL(Secure Socket Layer)はWebサイトユーザとWebサーバ間の通信を暗号化する為にWebサーバに保存する証明書です。 SSLを使用せずにHTTP通信を行ったら、ユーザとWebサーバ間の通信が第三者に露出する可能性があります。 ユーザの大事な情報を保護する為には、SSLでWebサイトの全ての通信を暗号化しなければいけません。

「無料SSL提供」

クラウドブリックはIDソリューション分野においてグローバルリーダであるIden Trustから認証されたLet's Encrypt証明書を無料提供しています。 また、Webサイトの有効性を証明して発行した証明書をWebサーバに保存する手間を無くす為、ユーザがサービス登録さえ完了すれば追加作業が必要ない自動SSLを使用出来るようにして利便性を高めました。
現在行っているセキュリティ対策に足りない部分はありませんか? クラウドブリックのサービスを利用すれば、簡単・迅速に強力なWebセキュリティを導入して顧客からより信頼される企業になります。 もっと詳しい情報を知りたい方はクラウドブリックのホームページを参照もしくはお問合せメニューを利用してご連絡をお願い致します。 ...
vevo

【コラム】Webサイト改ざんの事例と対策

最近大型サイトが  改ざん される事件が目立っています。 ユーザがWebサイトにアクセスしたら他のサイトに繋がるようにしたり、Webページを他のサイトに換えたりする事件が増えています。 様々なハッキング方法からWebサイトを安全に保護する為にはどういう対策を立てるべきでしょう。 今回は最近話題になった改ざん事例と対策についてご紹介致します。 「目次」 ₋Webサイト改ざんとは ₋話題になった改ざん事例 ₋改ざん ...

cloudbric_hp_owasp_2

【コラム】10大Webアプリケーション脆弱性と対策法

昨今ハッカーによるWeb攻撃が単純にWebサイトをフリーズさせるたけではなく、個人情報流出や重要資料の削除などの大問題になっています。 こういうニュースを見る際に「脆弱性」という単語をご覧になりましたか? 地下市場の発達により、今は専門ハッカーでなくてもWebページにアクセスして脆弱性を見つける事が出来て、脆弱性を多く持っているWebサイトを探してくれる自動化ツールまで出来ています。 Webサイトを安全に ...

WAFER_Report

分かりやすいWAFERガイド

前回の「安全なWebサイトを作る3つの方法」に続いて今回はWAFERの使用法を分かりやすくご説明いたします。 1.ドメイン入力 テストするWebサイトのURLを入力します。 この時、WAFERが評価のため実際にWebサイトに無害な攻撃を実行するので、本人所有または直接管理するWebサイトのURLを入力しなければいけません。 (一度WAFERにWebサイトを登録したら他の人はそのWebサイトを登録出来ません。) 2.利用中のWAFサービ ...

WAFER_Inforgraphic

安全なWebサイトを作る為には~3分で分かるWAFER~

今回は WAFER に関する紹介を分かりやすくまとめました! 前回の説明が難しかった方は特にご注目です! 前回のポストはこちらへ(安全なWebサイトを作る3つの方法) ※イメージをクリックすると該当ページへ移動します。 お問合せ:Cloudbric株式会社(ホームページへ) Tel: 050-1790-2188 E-Mail:japan@pentasecurity.com 製品情報はこちら パートナーシップ情報はこちら WAFER のお試しはこちら