【コラム】情報セキュリティの環境変化とWAFの位置づけの変化

情報セキュリティの環境変化とWAFの位置づけの変化

22ヵ国50社の企業経営者を対象に行ったアンケート調査結果のまとめによると、今日の企業経営における最大のリスクは、「経済の不確実性」が1位で55%を占めており、「サイバー脅威」が50%の2位となっています。
しかし、経営の一線からは、「サイバー脅威」を最大リスクだと訴える声が多数です。
経済の不確実性は常に言及されているリスクであるため、水があるのがあたりまえのように当然のこととされますが、新しく登場したサイバー脅威はなじみの薄いものでありながら、その勢いはますます強くなっています。
また一度事故が起きたらすべてのメディアが先を争って報道しており、事後処理も困難でどうしたらいいのかという困惑の声も多くなっています。
サイバー脅威における最も深刻な問題は、その概念自体があまりにも難しくて何を言っているか解らないということです。
関連書籍を探してみても熟練された技術者向けの技術書か理論とは言えないでたらめな経営書かであるため、学びたくても学べないのが現実です。
そのため、経営と技術の間のギャップはさらに広がり、その隙間を狙う犯罪者や詐欺師によるICTに関する各種事件が相次いでいます。
経営者とエンジニア、生産者と消費者、両方とも問題の解決策が全く見つけられません。
恐らく、今日の企業経営における最大のリスクは「サイバー脅威の不確実性」かもしれません。
「サイバー脅威に対する対応ガイドが必要!」という現場からの要求が強く求められます。
要求があれば、その解決策も出てくるはずですので、世界有数の経営諮問機関から定期的に発行されるICTの市場分析レポートが大変役に立ちます。
「ガートナー(Gartner, Inc.)」は、米国コネチカット州スタンフォードにあるICTの研究・助言を行う企業です。
1979年に設立され、それならではの鋭利な分析力を武器として目覚ましい成長を成し遂げ、今や全体従業員5,700人のうち1,500人余りがリサーチアナリストとコンサルタントという世界最高で最大の研究集団です。
不確実性という海の灯台、ハイプサイクルとマジッククアドラント「ガートナー」レポートのクオリティは、
昨今の市場分析の象徴のように広く通用している2つのグラフだけでも十分証明できます。
「ハイプサイクル」と「マジッククアドラント」、企業経営の意思決定に重要な資料であるだけに、簡単にそれについて探ってみましょう。
「ハイプサイクル(Hype Cycle)」は、特定技術の成熟度を視覚的に表現するためのツールです。
当該技術の研究開発水準や市場の反応など様々な条件によって各項目を下記の5つに分類しグラフ上に表示します。
1)黎明期(技術の引き金、Technology Trigger)
2)流行期(過剰期待の頂、Peak of Inflated Expectations)
3)幻滅期(幻滅のくぼ地、Trough of Disillusionment)
4)回復期(啓蒙の坂、Slope of Enlightenment)
5)安定期(生産性の台地、Plateau of Productivity)
1)成長の可能性を秘めている技術に対する世間の関心が高まり、2)概念-モデルへの過度な注目のおかげで製品も造ってみるものの、その殆どは失敗になり、3)数多くの失敗でその関心が失われます。
そこから生き残ったわずかの企業から成功事例が出はじめ、4)利益を設ける製品が生産されることにより、再び注目を集め、, 5)市場に一定のポジションを占めるようになり、品質を争っていく一連の過程です。
殆どの技術がこのプロセスで進められます。
それを基にグラフを見てみますと、非常に面白いです。
世の中に新しい用語が登場し、メディアでも大話題になるものの、すぐ冷めてしまいます。
激しい競争の中で極わずかがやっと生き残り、成功していく過程が目に見えませんか。実に面白いですね。
要するに、よくできたグラフです。
ハイフサイクルの変化像を参考にすると、複雑なIT業界の不確実性もある程度消えていきます。
冬場に車のフロントガラスの曇りをとるワイパーのように。
次は「マジッククアドラント(Magic Quadrant)」を探ってみましょう。
「ガートナー」に負けないぐらい有名な研究集団である「フロスト・アンド・サリバン(Frost & Sullivan)」のグラフを探ってみましょう。
「フロスト・アンド・サリバン」は40年の歴史を持つ企業成長のコンサルティング会社です。
世界各国にある現地支社ネットワークを通じて、800人余りのアナリストから収集した情報を基に作成された市場分析レポートは、バランスのよい国際的視点と鋭利な解析力が高い評価を受けています。
縦軸は現在ンの市場分布状況を意味し、横軸は将来に向いた成長戦略の優秀性と実行可能性を意味します。
消費者の立場からは、アーリーアダプターの戦略にするか、レイトアダプターの戦略にするかなど、自社の意思決定基準により、グラフの4分割面上の候補群の位置と変化から異なるインサイトを得られます。
もちろん、最終意思決定の段階ではなく初期検討の段階でそれを活用することが賢明でしょう。
グラフ上の企業の位置は、売上、流通ネットワークの規模と品質、従業員数、特に開発者の数とそのレベル、販売、サポートといった各事業分野別における従業員の割合などによって決定されます。
最終結果物が単純な絵の形になっただけで、その裏にはなぜこのようなグラフを描いたかその理由を説明する読み終えるのが困難なほど分厚いレポートがあります。
重要なのはグラフではなく、その分厚いレポートです。
そのため、ハイプサイクルやマジッククアドラントなど簡単に描かれたグラフは、あまりにも忙しくてその分厚いドキュメントを読む時間のない役員などいわゆる「重役用のサマリー(Executive summary)」とみてもかまいません。
要するに、グラフは非常に主観的にみえますが、それを裏付ける普遍性は備えているため、客観性まで認められているのです。
「ガートナー」や「フロストアンドサリバン」など誰もが知っている有名なコンサルティング会社のアナリストは、実情は何も知らずただ机の前に座って難しい言葉だけを言っているわけではありません。
現場の傾向を実質的に把握するための研究体制も充実していることも、業界を問わず彼らの分析結果を認める理由です。皆一応その専門性を認めてから見ているのです。
「その会社のアナリストより私の方がより詳しい!」 社内の当該専門家がアナリストより優れたエンジニアではあるものの、彼らのように業界全体を把握することはできず、業界内の人的ネットワークなどのため、客観性を失う場合も度々あります。
簡単に言うと、アナリストの方がはるかにスマートです。
不愉快でも仕方がありません。それは、彼らの「仕事」であり、彼らは公的に認められた専門家ですので、むしろ詳しくないのがおかしなことではないでしょうか。
したがって、経営陣はこれらのレポートを閲覧し沈思熟考したうえで、意思決定の過程でそれを参考にすると、大変役に立ちます。
技術は、特にICT関連技術は、新陳代謝が非常に活発な生物で常に変化しているので、一度見たから十分理解したと思ってはいけません。
定期的かつ持続的な観察が必要です。少なくとも毎年更新されるグラフだけでもみましょう。
問題は常に新たに発生し、技術的判断の基準も常に変化しているため、その解決策も常に異なっていきます。
実際に重要なのはある要素のグラフ上の位置ではなく、状況の変化によってその要素がどこからどこへと移動していくかです。
つまり変化や、その変化の理由と根拠です。その一例を挙げてみます。

企業情報セキュリティ環境の変化とWAFの位置づけの変化

最近「ガートナー」のレポート上のWAFの位置づけが変わりました。
去年までは、WAFを「クレジットカードのデータセキュリティ標準(PCI DSS: Payment Card Industry Data Security Standard)」など法的規制のため、仕方なく導入するものでしたが、その効用性を疑い、適者生存のルールにより市場からすぐ姿を消す商品」と定義しました。
しかしながら、最近のレポートを見ると、「WAFは企業の情報セキュリティに必須不可欠な要素」へとその内容が変化しました。
文章表現からみても、「Hype Cycle for Application Security, Gartner 2013」では、「WAFは、他の競合製品に比べ、その効用性や拡張性が低いため、いまだにも小市場をせいぜい維持している」と評価を格下げしましたが、「Hype Cycle for Application Security, Gartner 2014」では、「規制対象に該当しないという理由でWAFを導入していなかった企業も、今はWebアプリケーションセキュリティの重要性に気づき、WAF導入がただ規制を充実させるための決定ではないことに気付いている。」とより現実的な評価をしています。
WAFに対する態度が完全に変わりました。
何よりも、ある要素の位置づけがどう変化したか、その理由と根拠は何かが重要です。
WAFの位置づけの変化の理由を類推してみると、
● 法的規制があるので嫌々買うのではなく、導入してみたら実際にセキュリティ効果が高かった。
● WAFの代案として挙げられている「セキュアコーデイング」は、結果的に非現実な希望にすぎなかった。
● 確実にセキュアなコーデイングを行って、管理・維持することはWAF導入より、多くのコストがかかる。
それで、WAFの位置づけが急速に上がったのです。このように変化そのものより、変化の理由に焦点を合わせてみる必要があります。
企業の情報セキュリティ環境は常に変化しており、そのリスクは日々高まっています。
相次いでいるセキュリティ侵害事故をみてもICTリスクは、ビジネスの連続性を損ない、投資家の投資心理にも悪影響を与え、深刻な場合は社会混乱を招いて災害災難レベルの経済活動のマヒや企業活動の停止という結果につながる恐れがあります。
それでも企業現場では、情報セキュリティに対する総合的な理解不足による意思決定の難しさを訴えています。
その時、「ガートナー」や「フロストアンドサリバン」のレポートを活用してください。
不確実性という海の灯台のように、企業の意思決定に大変役に立ちます。
 
<製品に関するお問い合わせ>
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】安全なインターネットの基準、WAF

「今やWeb時代、その時代こそ Webセキュリティ が肝心!」

Webセキュリティ、これでもかとあきれるほど耳にする言葉です。それにもかかわらず、その重要性があまり認識されていないのが実情です。
そのため、何度も繰り返して言いますが、Webセキュリティは、重要です!物事はすべてインターネット、つまりWebを介して行われているのに、どうしてWebセキュリティは疎かにされているのか、考えてみましょう。残念なことに、その答えは既に出ています。「安全なインターネットとは何か」、に対する正確な概念がないためです。
 

「安全なインターネットとは何か」

世の中には、重要であっても、その重要性が十分認識されていないことがあります。ICTセキュリティこそ、その代表例でしょう。世の中に広く浸透しているICTの時代、ICTセキュリティが重要であることは誰もが知っているはずです。しかし重要であることを知りながらも、何を、どうすればいいか分からず、多くの場合疎かにされています。それが状況をより深刻にさせています。
世の中は一見カオスな世界のように見えますが、その中には、様々なシステムが複雑に絡み合っていて、どうにかして効率的且つ合理的に動いているのです。問題と解答が飛び交う混迷した世界ですから、ICTセキュリティが本当に深刻な問題であるなら、解決策やセーフティネットが整っていたはずです。
もちろん、そのソリューションはあります。調べてみましょう。
 
ICTセキュリティは個人にとっても集団にとっても、大きな懸念材料です。「国際標準」は、それらを収集して洞察し、ほぼ完璧にまとめたものです。
代表例として挙げられるのが、イギリスのBSI(British Standards Institute)が制定したBS7799基盤のセキュリティ認証であり、フレームワークの「ISO27001」です。また、経営に焦点を合わせた「情報セキュリティマネジメントシステム(ISMS;Information Security Management System)」も重要な標準規格です。これらのフレームワークを参照し、それぞれの仕様に合わせて企業のセキュリティシステムを構築すれば、ある程度安全なICTセキュリティのポリシー確立や仕組構築が可能となります。
ある企業がISO27001を取得したということは、全体で11の評価項目で「安全」と認められたことです。それは、その企業がICTセキュリティに関わる全てのリスクを総合的に管理し、改善できる基本的な仕組が整っているという意味です。ICTセキュリティは単なるシステムや技術ではなく、組織全体と個人それぞれが生活を営む「文化」であり、「環境」でもあるため、認証を取得したからといって、100%安全になったとは言えませんが、「代替的に」安全になったとは言えます。
では、安全なインターネットの基準となる国際標準はあるのでしょうか?
答えは、「あります」。
世界的なNGOオンライン信頼度監査機関である「OTA(Online Trust Alliance)」は、毎年、有名Webサイトを対象にセキュリティ性を点検し、安全なインターネット文化の確立に向け先駆けて取り組んでいるWebサイトを選定し、「オンライントラスト栄誉賞(OTHR;Online Trust Honor Roll)」を授与しています。政府をはじめ、金融機関、SNSなど、様々な分野にわたって約1000の有名サイトが対象となります。今年は、そのうち約46%がセキュリティ性の不足を理由に選定対象から外され、1位の「最も信頼できるWebサイト」には、「Twitter」が選定されました。
それでは、OTHRの選定基準は何でしょうか。
まず、着目すべきなのは、今年から「WAF(Web Application Firewall、Webアプリケーションファイアウォール)の使用有無」が評価に関わる重要項目として追加されたことです。それを受けて「安全」ランクを取得した企業は、去年の30%から今年は44%へと増えるなど、選定結果に大きな影響を与えました。やや遅きに失した感はありますが、その決定は当然なことです。
WAFはそもそもWebセキュリティの基本であり、核心であるWebアプリケーションセキュリティに特化して開発されたものです。外部からの攻撃を事前に遮断し、マルウェアなどの有害物がサーバーへ侵入することを防ぎ、Webセキュリティ脆弱性が外部にさらされないようにするなど、Webセキュリティの全般にわたって最も重要な役割を行っています。そのため、WAFは他のセキュリティ機器に比べ、Webサイト全体の安全性に与える影響力非常に大きなものがあります。また、OTAは、これからWAFの使用有無がOTHRの選定に大きな影響を及ぼすと述べました。この決定も当然でしょう。
「なら、WAFを買えば済むのか? いくら?」
このように簡単に決定できるものなら、売り手も買い手も楽でしょうが、企業における意思決定は企業の成長や発展、ひいては企業の死活にかかわる大事なことです。何事も簡単には決定できません。またそうしてはいけません。特にコストが決め手となる新規スタートアップ企業にとっては、なおさらです。世の中は、欲しいものであふれています。残念ながら、その全てを手に入れることはできません。WAFも同じです。高い機器ではありませんが、安いとも言えません。いくら良いものであっても、すぐ買えるわけではありません。
そうなら、とりあえずクラウド型WAFサービスを試してみましょう。簡単な操作だけで実際にWAFを導入したような効果が得られます。マウスを数回クリックするだけで、ICTセキュリティ事故の9割をも占めるWebハッキング攻撃を全て遮断できます。最も頻繁に発生しているWebサイトハッキングをはじめ、Webからのデータ漏洩、不正アクセス、Webサイト改ざんなど、その全てを遮断します。
クラウド型のサービスで提供されるため、機器の保守コストもかからず、利用初期は一定期間無料で利用できます。その後、オンラインビジネスが軌道に乗れば、トラフィック量によって最適なプランを選択し、所定の使用料を払えばいい訳です。
ならば、クラウド型WAFの中でもどのサービスを選ぶべきでしょうか。
実際現場における最重要なWebセキュリティ作業は何でしょうか?長年にわたる経験を基に、意見を述べさせていただきますと、管理者のモニタリングではないでしょうか。日に日に激変するWeb脆弱性のトレンド分析、実際に御社のWebサイトを狙う者たちの行動分析、日々溜まっていく攻撃と防御のログなど、完璧なWebセキュリティは持続的なモニタリングを通してのみ確保できます。
いくら早いスピードや優れた性能を持つWebセキュリティ機器を使用するとしても、モニタリング・ユーザーインターフェースに力を入れなければ無用の長物になってしまうのが事実です。優れたWAFの性能で知名度の高い様々な製品を比べ、その中で最も直感的にわかるユーザーインターフェースを持つ製品を選ぶことを推奨します。何回も強調しましたが、Webセキュリティ作業の核心はモニタリングであるためです。
そして重要なのは、当該クラウド型WAFサービスがどのハードウェア型WAFの技術をもとに作られたかを調べることです。企業が成長するにつれWebサイトも成長していき、理由はともあれWebに関わる全ての設備を自ら運用する必要がある場合もでてきます。その時になってから、クラウド型サービスではなく定番のハードウェア型WAFに移行しても遅くはありません。同一技術をもとに形のみ変えた製品ですので、システムの変更による非効率や業務の空白は発生しません。ただし、クラウド型WAFサービスとハードウェア型WAFサービスが「同一技術」でなければ、順調な移行を期待できません。クラウド型サービスを利用しているうちに必要性を感じてハードウェア型を導入することになったら、当該クラウド型サービスの基盤となる製品を選択することを推奨します。そうすると、システム構成の変更も認識せず、スムーズにビジネスを引き続き継続できます。
要するに、いいWAFとは何でしょうか。
シグネチャ基盤ではなく論理演算基盤のものを勧奨します。論理演算検知技術は、時代の要請によるものだからです。安全か危険かを基準に作成された対象リストをもとに検知する既存のシグネチャ基盤技術は、なんとか命脈を保ってきましたが、今やIoT時代。Webが爆発的に拡張していく本格的なWeb時代の到来です。まず、トラフィック量が膨大していきますが、いつまでリストをいちいち参照しながら安全か危険かを探るつもりでしょうか。不可能なことは明らかです。これこそが論理演算基盤のWAFでなければならない理由です。
ここまで考えると答えがまとまってきます。便利なモニタリングを可能にする直感的ユーザーインターフェースとクラウド型WAFサービスを提供するロジックベースのWAFが正解です。
一瞬の迷いもないはずです。両方の長所を持つ製品はそれほど多くはありません。
 
Cloudbric(クラウドブリック)
Cloudbricは、ロジックベース検知エンジン(COCEP:COntents Classification and Evaluation Processing)を基に開発されたSaaS型Webセキュリティサービスです。
Cloudbricは、Web攻撃や情報漏洩を恐れながらも、高価でインストールが難しいということなどから導入できなかった個人や中小零細企業を主なターゲットに、リーズナブルな価格で、簡単に導入できる強力なWAFサービスを提供致します。
 

Blog_Web Application_4

【コラム】Webアプリケーションのセキュリティを強調する理由

ハッキングの70%以上がWebを通じて行われている分、Webセキュリティは必須になってきました。
Webセキュリティの安全性を確保する為には、
企業のセキュリティ担当者がWebセキュリティに対して充分理解した上で自社のITシステムに合ったWebセキュリティを構築する必要があります。
しかし、多くの企業がWebセキュリティを正確に理解出来ていません。
今回はWebセキュリティを簡単に理解出来るようにITシステムの全般的な仕組みからWebセキュリティがITシステムにどう適用されるかまでご説明いたします。
まず、ITシステムに関する理解とWebセキュリティの概要について述べます。

1.「クライアント₋サーバ」の仕組みに対する理解

私たちは一般的にPCやノートパソコン、スマートフォンなどを利用してWebサイトにアクセスします。
IT業界では、Webサイトにアクセスする為に利用するPCやノートパソコン、スマートフォンなどを「クライアント」といい、
Webサイトやモバイルアプリケーションの画面のようなWebコンテンツを保存してクライアントがアクセスしたらコンテンツを表示するシステムを「サーバ」といいます。
(ITシステムにおいてサーバが全てWebサーバではありませんが、今回はWebセキュリティに関して触れているので、Webサーバについてご説明いたします。)
そして、クライアントとWebサーバを繋いでくれる連絡網を「Web(ウェブ)」といいます。
Client-Web-Server
セキュリティの観点からすると、一般的にクライアントのセキュリティは個別システムの安全と関係があり、サーバのセキュリティは企業システムの安全と関係しています。
企業内部におけるクライアントのセキュリティもありますが、今回は企業内におけるWebセキュリティの核心となるサーバセキュリティについてご説明いたします。

2. 企業サーバシステムの仕組み

企業内サーバシステムの仕組みを理解する為に、まずITシステムの仕組みを確認する必要があります。
server system
ITシステムは大きくネットワーク・システム・アプリケーションの3つの段階で構成されています(図1)。
OSI7階層やTCP/IP階層のような色々なITシステムモデルがありますが、このような階層的分類ではネットワーク・システム・アプリケーションの3つの階層が最も共通的な仕組みです。
この3つの階層はお互いの相互作用を通じてITシステムを構成します。
ネットワーク層はデータの送受信に関した通信を担当して、システム層はWindows/Linuxのようなオペレーティングシステム(OS)のようにアプリケーションが作動出来るようにするプラットフォームの役割をします。
そして、アプリケーションは最上位層で様々な機能をするプロトコル(HTTP,FTPなど)及び応用サービスを提供します。
サーバシステムの仕組みも基本的にはこのITシステムの仕組みと同じです。
つまり、安全なサーバセキュリティとは、ITシステムにおいてネットワーク・システム・アプリケーションの全てのセキュリティが安全に構築されていることを意味します。

3. Webセキュリティの核心、アプリケーションセキュリティ

より理解を深める為、ITシステムの各階層はWebセキュリティを確保する為に実際どのように構築されているかみてみましょう。
ネットワークセキュリティの為には、安全ではないIPやポート(Port)に対するアクセス制御をする必要があり、
許可されたIPやポートからのトラフィックに対しても有害性チェックをする必要があります。
ですので、多くの企業ではファイアウォール(Firewall)と侵入検知/防止システム(IDS/IPS)を構築しています。
システムセキュリティはOSに関する事が多いです。
企業のセキュリティ担当者は、セキュリティのアップデートやパッチを更新する事と
定期的にシステムの悪性コードを検出してシステムを常に安全な状態に維持する事をしなければいけないですし、この為に企業はアンチウィルスソリューションを導入しています。
こうして大概の企業ではネットワーク及びシステムのセキュリティについてはその必要性を理解してセキュリティ構築に力を入れています。
しかし、アプリケーションセキュリティについてはそうでもありません。
アプリケーション層は、ネットワークやシステム層に比べて高度化されていて種類も多いので、セキュリティ管理者の多くはセキュリティを適用することを難しく感じています。
Web Application Security
我々が普段利用しているWebは皆アプリケーションで構成されています。
Webサイトやモバイルウェブなどは全てアプリケーションで構成されていて、それをターゲットとしたWeb攻撃もアプリケーションの脆弱性を狙った攻撃が多いです。
Webセキュリティ
Webセキュリティ業界で有名なOWASP(The Open Web Application Security Project)が選んだWeb脆弱性Top10も全てWebアプリケーション攻撃です。
つまり、現在行われているWeb攻撃の90%以上が全てWebアプリケーションを狙った攻撃だといえます。
安全なWebセキュリティを構築する為には、安全なWebアプリケーションセキュリティの構築が必須だということです。
Webセキュリティにおいてアプリケーションのセキュリティが最も重要であるにも関わらず、
どう構築すればいいか分からないという理由で適切なセキュリティが適用されていない事がほとんどです。
このような問題を解決する為には、アプリケーションのセキュリティを理解して安全なWebアプリケーションを構築する為に行うべき事を知らなければなりません。
クラウドブリックが提供するセキュリティコラムを読んで頂き、昨今増えているWeb攻撃に備えてください。
Cloudbric詳細はこちらㅣ Webセキュリティ 対策はCloudbric
製品に関するお問合せはこちら
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

Blog_SSL_1

【コラム】まだ有料SSL認証書を使用中のあなたに今、必要なのは?

無料で使える SSL 認証書「Let’s Encrypt」そして「クラウドブリック」

Webブラウザサービスが多様になって誰でも簡単に情報を共有出来るようになり、ハッキングに露出される危険も大きくなっています。
この為、暗号化通信は必須条件となりました。
暗号化通信はHTTPSプロトコルを使用する事で実現できますが、HTTPSプロトコルを使用する為には認証局(CA:Certificate Authority)からSSL証明書を発行して貰わなければいけません。
しかし、費用負担や複雑な認証プロセスなどにより発行率はとても低いです。
SSL

1.世界及び日本の主要企業のWebサイトSSL対応現況

Use_SSL
(引用: 国内主要企業サイトの約40%がHTTPS未対応 -Atlas21調査- https://at21.jp/web/topic/topic32.html)

2016年5月、日本のWebソリューション会社のAtlas21が東京証券取引所市場第一部に上場する主要企業を対象として実施した調査によると、
Webサイトの全ページに暗号化通信を適用しているHTTPS完全対応率は1%であり、世界主要企業が17%である事に比してとても低い数値を記録しました。
つまり、大半のWebサイトにSSL/TLSが適用されていなく、最も基礎的なセキュリティである暗号化通信も保証されていなかったという事です。
幸いなことに、2018年6月に実施した調査ではHTTPS完全対応率が40%まで増加しましたが、世界主要企業の数値である52.4%に比べたらまだ低いと言えます。

2.Let’s Encryptの登場

SSL証明書の発行には年間約80~400ドルの費用が発生します(認証局によって少し差は発生します)。
EV,Wildcardなどのオプションを追加する場合は費用はもっと高くなります。
費用の負担以外にも、複雑なドメイン認証作業が発生することがSSL証明書の発行率が少ない理由の一つです。
該当ドメインに対して、認証局より認証してもらう為にはメール認証・DNSレコード追加などの作業が必要です。
また、認証作業が終わったら発行されたSSL証明書を直接Webサーバにアップロードしなければなりませんし、証明書を更新する度に同じプロセスを繰り返す事になります。
この問題を認識し、SSL使用のハードルが高い問題を解決して、誰でも安全な暗号化通信を使用出来る環境を作るために、
Mozilla・Cisco・Akamai・Electronic Frontier Foundation(EFF)・Iden Trustなどの多様なグローバルIT企業がISRG(Internet Security Research Group)という
認証局を設立してLet’s Encryptというプロジェクトが始まりました。

3.Let’s Encryptの特徴

Let’s Encryptの登場で我々はSSLを無料で・簡単に・自動発行出来るようになりました。
1.無料発行
SSL証明書を発行する際に費用は発生しません。
ルートドメイン当りの発行数に制限はありますが、最大一週間に2,000個まで発行出来るので無制限だといえます。
2.簡単なドメイン認証
Cert botというソフトウェアをWebサーバにインストールしたら認証作業が自動的に実行されます。
メール認証・DNSレコード追加などの作業が別当必要ではありません。
3.自動証明書発行/更新
ドメインが認証されたらLet’s Encryptから自動的に証明書が発行されます。
発行された証明書はWebサーバに保存され、90日単位で自動更新されます。
証明書の発行・更新の作業が必要ないということになります。

4.Let’s Encryptは安全なのか

結論から言いますと、安全です!
Let’s EncryptはGlobal Sign、Geo Trustなどのルート認証局で発行する適用SSL証明書と同じレベルのセキュリティを確保しました。
SSL証明書は各OSやWebブラウザから信頼されるルート認証局のみ発行出来ます。
信頼出来るルート認証局は、Internet Explorerの場合、「設定→オプション→内容→証明書」で確認出来ます。
では、Let’s Encryptの場合、どう発行されるのでしょうか。
Let’s EncryptはWebブラウザから信頼されるルート認証局であるIden Trust(DST Root CA X3)が相互認証(Cross-Sign)する形でSSL証明書を発行します。

5.Let’s Encryptを簡単に適用する方法

Process_SSL
クラウドブリックに加入したらドメイン認証などの手続きを行わず、ただHTTPSを適用するWebサイトを登録するだけでSSL証明書を適用できます。
WebセキュリティサービスとSSL証明書の適用を一緒に利用できるので、企業のWebサービス担当者様・オンラインショップの運営者様・個人ホームページ運営者様には大変良いチャンスです。
まだお金を払ってSSL証明書を使用しているなら、これからはクラウドブリックで無料SSL証明書を使用してみてはいかがですか?!

Cloudbricの製品情報( SSL )はこちら
Cloudbricの製品情報(WAF)はこちら
パートナーに関するお問合せはこちら
製品に関するお問合せはこちら

【コラム】2016年、知っておくべきWeb脆弱性4大項目

連日と言っていいほどサイバー犯罪のニュースを耳にするようになったと思うが、この増加傾向は何を表しているんだろうか。
そのベースにあるのは、まさに「脆弱(ぜいじゃく)なWeb」が多いことである。今の時代、悪意のある人間はいとも簡単にWebページにアクセスでき、脆弱な部分を見抜いてしまう。
このような行為を手助けするかのように自動化されたツールが出回っているのも事実である。つまり、サイバーテロを試みる者さえいれば「専門的」なハッカーである必要はないのだ。
「安全なWeb」の実現には、努力目標としてセキュリティレベルを上げていくようなさまざまな行動を起こさなければならない。
本稿では2016年上半期のWeb脆弱性TOP4を取り上げる。下半期のセキュリティ対策を設けるにあたり、微力ながら参考になればと願っている。
1.SQLインジェクション(SQL Injection)
Webサイト攻撃の定番ともいえるSQLインジェクションは、アプリケーションプログラムの脆弱性を突き、開発レベルでは想定していなかったSQL文を実行することでデータベースを不正に操作する攻撃手法である。
この攻撃が成功すると、ハッカーはデータベースサーバに対してファイルの読み込みや書き込みが可能な状態になり、任意のプログラミングを実行できるようになる。
WHO(世界保健機構)のような大きな団体ですらSQLインジェクション攻撃にさらされたことがある。
悪意のある者はWebから簡単に自動化されたツールを入手し、攻撃のための下見に利用している。
例えば「sqlmap」という自動化ツールを使用すれば、ターゲットのURLに対してSQLインジェクションが可能となる脆弱性がないかどうかスキャンできる。
しかし、Exploit(エクスプロイト)攻撃を通じて、間違ったコードを挿入する場合、MySQLシンタックスエラーが生じることもある。
2014年、ハッキングの被害にあったソニープレイステーションのケースもSQLインジェクションによるもので、この昔ながらの脆弱性を突いた攻撃は現在でも十分すぎるほどの破壊力がある。
SQLインジェクションの試みが通ってしまうと、そこから抜かれる情報によって、企業側には計り知れない被害を及ぼすことになる。
2.クロスサイトスクリプティング(Cross Site Scripting:XSS)
ユーザーの入力に対し適切な措置が設けられていないシステムの脆弱性を突くXSS(クロスサイトスクリプティング)も定番の攻撃だ。
ユーザーに対し入力を許可する部分は、悪意のある者にとっては利用価値が高く、常に攻撃の対象になるのである。
実行可能なコードやスクリプトのタグをシステム側に挿入し、意図した行動を起こすようにコントロールできる強力な攻撃の入口となるからだ。
一般ユーザーが、XSSが仕込まれたWebサイトを訪問し、ページを閲覧するために1クリックするだけで悪意のあるコードが実行され、セッションクッキーや個人情報等が何者かに渡されてしまう。
実際クレジットカード情報も抜かれ、本人の覚えのない買い物をしてしまうケースも多々ある。
WhiteHat Securityが公開しているホワイトペーパーによれば、どんなWebサイトでも67%はXSSの脆弱性にさらされているという。
つまり、XSSを利用したWebハッキングは攻撃を行う側にとってコストパフォーマンスが高い方法であるのだ。
セッション・ハイジャック(Session Hijacking)を決行し、政府のWebサイトを改ざんする等、その効果の高さは大したものである。
ただし近年、Webブラウザ側で事前にXSSの試みをチェックする機能が実装されていることは不幸中の幸いである。
3.ファイルインクルージョン(File Inclusion)
ファイルインクルージョンは、Webサーバ上のデータに対し入力検証の不備を突いて不正なスクリプトを挿入する攻撃手法である。
そのパターンとしては、RFI(Remote File Inclusion)とLFI(Local File Inclusion)がある。
RFIは不正なスクリプトをサーバに挿入し、ターゲットのページを介して悪意のあるコードを実行させることで、サーバ側はもちろん、クライアント側にも被害を及ぼすことになる。
LFIは、ターゲットのサーバ上のファイルに対し、不正なスクリプトを挿入し、デフォルトファイル名の変更、データのアップロード/ダウンロードの実行等やりたい放題ができる。
この脆弱性をうまく利用できれば、ログファイルからIDとパスワードを洗い出し、他の攻撃と組み合わせてログインジェクション攻撃なども実行できてしまう。
このような脆弱性に対応するためには、入力検証の仕組みの脆弱性を把握し、不備を改修していくことを推奨する。
4.不完全な認証及びセッション管理(Broken Authentication and Session Management) 
Webアプリケーションでは、HTTPのリクエストトラッキング機能がない故に認証のリクエストとそのセッションを継続的に管理する必要がある。
悪意のある者は、このセッション情報から、ユーザーのタイムアウト、パスワード、ログアウト等さまざまな情報を入手できる。
この脆弱性の記憶に新しい事例は、マイクロソフトが提供するHotmailに悪意のあるスクリプトを挿入し、ユーザーのパスワードを入手しようとする攻撃を改修した際に発覚したものだ。
この脆弱性ではユーザーインタフェースにトロイの木馬を仕掛け、ユーザーにパスワードの入力を複数回求めるものだった。
そして、その入力データは即座に悪意ある者に送られるというシンプルながら非常によくできたものであった。
この種の脆弱性は、企業側で認証システムをカスタマイズし、セッション管理の不備があらわになってしまった場合に起こり得る。
ユーザーがログアウトの処理をせずにそのままサイトを閉じてしまうようなケースでこのような脆弱性にさらされる可能性が高い。
開発者レベルでセッション管理の確認はもちろん、SSLによるセッションの暗号化も基本中の基本の対策であろう。
まずは、行動を起こす このコラムで紹介した脆弱性は、Webアプリケーション、Webサーバ、Webページにおける最も有名な攻撃手法である。
ありとあらゆる対策は開示されていて対応は進んでいるものの、まだまだ道は長いと言える。
開発時における優先順位の上位に「Webセキュリティ」を持ってきてもらえるように認識を変えることも伴わなければならない。
まずは、この4つの脆弱性に対し、企業側で行動を起こすことをお願いしたい。
脆弱性を認識しているのか、対策は取っているのか。現実問題として確認してほしい。
次のステップは、WAFなどの適切なソリューションの検討だ。脆弱性はセキュリティホールとも言われる。
しかし、この小さい穴を利用して、貴重な情報を盗み出したいと思う者がたくさんいる。
企業としての社会的責任、そして貢献を考える際に、経営側は「セキュリティ」を念頭に置かなければならない。
セキュリティホールはしっかりと埋めておかなければならないのである。
製品に関するお問合せはこちら
パートナーに関するお問合せはこちら
Cloudbricの製品情報はこちら

【コラム】安全なWebサイトの基準になる国際標準とは?

このWeb全盛期時代、 セキュリティ は最も重要ーー。
いくら強調しても、なぜWebセキュリティが重要なのか、その本質まで理解してもらえないケースがよくあります。
今回もこの場を借りてWebセキュリティの大切さについて訴えたいと思います。
今の時代、グローバルはインターネットですべてつながっており、インターネットを介しすべてのことが疎通していると言っても過言ではありません。
にも関わらず、Webのセキュリティについては、誰も目を向けようとしない。その理由は、「安全なインターネット」は、一体何なのかよく分かっていない人が多いからだと考えます。
「安全なインターネット」とは? 皆さんがよく使う言葉で、実はその意味を明瞭に分からずに使っている言葉が案外存在するかと思います。
このITの分野でいうと、「ICTセキュリティ」が丁度いい例になります。
「ICT時代」と言われると、普通に肯くかもしれませんが、「ICTセキュリティとは」と訊かれたら、「あれ、何だったっけ?」になる人も多いのではないだろうか。
「セキュリティ」は重要であるということは分かっていながらも、何をどうすればいいのか、私たちは明瞭に把握できている人は少ない。
実際私たち個人だけがこのICT時代のセキュリティ迷子になっているわけではなく、会社や団体などもセキュリティ迷子になっていると言えます。
しかしながら、この社会は迷える人々のためにきちんとした社会的安全措置を用意してくれています。
セキュリティへの悩みを解消できる「国際標準」が、それです。
代表的なのは、イギリスBSI(British Standards Institute)が制定したBS 7799をベースに構成されたセキュリティ認証であり、フレームワークである「ISO 27001」が挙げられます。
そして、より経営中心の性質が強い「ISMS(Information Security Management System) 情報セキュリティ経営システム」も重要な基準と言えます。
このようなフレームワークを基準に企業側のセキュリティシステムを構築すれば、かなり安全なICTセキュリティポリシーを構築できるということです。
例えば、ある企業がISO 27001フレームワークの評価の11項目の全てに対し、安全という判定を受け認証を取得したとします。
これは、ICTセキュリティの危機に対し、全社的に取り組んで総合的に管理を行い、今後持続的に改善していくためのシステムを構築できたということを意味します。
もちろん、認証を取得しているから100%安全になったではなく「相当安全である」ということです。

安全なWebサイトの基準になる国際標準は?

国際的非営利NGO団体として、オンライン信頼度評価機関である「OTA(Online Trust Alliance)」は、毎年著名なWebサイトを対象にそのセキュリティをチェックし、その結果を以て安全なインターネット文化の形成のために努力したWebサイトを選定する「OTHR(Online Trust Honor Roll、オンライン信頼度優秀)」の企業を発表しています。
OTHRは政府、マスコミ、金融、SNS等、様々な部門にわたり、約1,000以上の世界的に著名なWebサイトを対象にします。
2015年の選定結果としては常連の約46%がセキュリティの面で減点されランクインできず、「最も信頼できるWebサイト」として「Twitter」が選定されました。
OTAは、どのような基準を以てOTHRを選定しているのか。
基準は色々ある中ここで注目すべき点は、去年から「WAF(Web Application Firewall)の採用」が加算項目になっているということです。WAF採用の有無は、OTHRの選定結果を大きく左右しました。
WAFは、Webアプリケーションのセキュリティとして特化して開発されたソリューションです。
外部からの攻撃を検出し遮断することで悪意のあるコードをWebサーバに挿入しようとする試みを未然に防ぐ、そして、システムの脆弱性を外部に漏出しないように制御するなど、Webセキュリティにおいて、最もコアで重要な部分を対応しています。
Webサイトのセキュリティは、システム全体に及ぼす影響が大きく、OTAは今後もWAF採用有無によるOTHRの選定への影響を強めていくことを明らかにしました。
「じゃ、WAFを購入すればいいわけ?それっていくら?」
WAFを導入すれば、セキュリティ問題はいかにも簡単に解決できそうですが、そんな上手い話ではありません。
また、生産性のない「セキュリティ」に投資をすることは、営利団体である企業側にとって簡単なことでもありません。第一、WAFはとても高価とはいわないものの、安価でもありません。
ここでコストパフォーマンスを考慮したら、クラウド型WAFサービスの出番となります。
簡単な導入の手続きかつ、リーズナブルなサービス価格にて実際のWAFを導入したことと同等のレベルのセキュリティを確保できます。
言い切ってしまうと、Webのサービス開始のための数回のクリックで、全体のICTセキュリティ脅威の90%を占める「Webハッキング攻撃」を防ぐことができるようになります。
このようなクラウド型のWAFサービスの場合、ハードウェアを持つ必要がなく、インストール作業は発生しませんし、コーディングなどの必要もありません。
実際、システムの実務者を対象にWebセキュリティにおいて一番重要なことは?と聞いたところ「モニタリング」という回答が多い結果を示したといいます。
Web攻撃のトレンド把握や未知の攻撃を予想するよりは、今この時間に自社のWebサイトが狙われている現状を知りたい、といったニーズが高いようです。
このような管理者のために必要なのは、持続的、かつ効果的にモニタリングができるインターフェースが重要です。
システムにおいては専門家である管理者でもこれがセキュリティになると“話は別”になるのも、よくある話です。
様々なクラウド型WAFサービスがリリースされていますが、弊社では、専門家ではなくても簡単に導入でき、ユーザーフレンドリーなインターフェースに力を入れ、クラウドブリック(cloudbric)を提供しています。
一度お試しになることをオススメ致します。体験してみて損はありません。
WebセキュリティにおいてWebアプリケーションに特化したセキュリティとして、まずWAFの導入をご検討して頂きたい。
そして、そのスタートとしてクラウド型WAFサービスは、魅力的なソリューションであることを今一度覚えて頂けると幸いです。
製品に関するお問合せはこちら
パートナーに関するお問合せはこちら
Cloudbricの製品情報はこちら

【コラム】ハッカーはなぜ中小企業をターゲットにするのか

今回の話をする前に、「 ハッカー は大手企業のみを攻撃のターゲットにしている」という固定観念は、捨てた方がいいと言っておきたい。「どうせ盗みに入るなら、お金持ちを狙う」という一般的な認識から、“ハッキングするなら価値のある情報を「たくさん」保有していそうな大手を狙うもの”といった考えに至るだろう。しかし、ここが穴場である。大手を狙うコストを考えると、いくら成功した時に得られる情報が「たくさん」あってもハッキング自体、割に合わない仕事になってしまうのだ。最近では、大手に比べIT予算が豊富にないことから、セキュリティ対策が十分でない可能性の高い中小企業をターゲットにする傾向が見られているのである。
先日、シマンテック(Symantec)が公開したインターネットセキュリティ脅威レポート(Internet Security Threat Report 2016)によると、サイバー攻撃の約6割は中小企業やスタートアップ企業をターゲットとする攻撃と記述している。当事者の立場から考えると驚く程の数値である。今回このコラムを借りて、なぜハッカーは、中小企業を狙うのかを簡単に説明したいと思う。
 

中小企業は狙われやすい

本来なら、価値のある情報が多そうなところを狙うと思われていたハッカーは、なぜ中小企業にそのターゲットを定めてきているのか。
実は、かなり論理的な考え方に基づいた賢い(?)選択だと筆者は思う。中小企業の場合、この「サイバーセキュリティ」についてかなり誤解している部分がある。まず、ホスティング業者やシステム委託先にセキュリティは考えて(対策して)もらっていると勝手に思い込んでいるのである。サイバーセキュリティは、当事者の責任の下対応していかなければならないものである。
2つ目は、「ハッキングされたら、その時に対応策を考えれば良い」と認識していることである。つまり事後対応すれば良いと考えているのである。セキュリティへの投資は、リターンのない投資だ。予算や人に限りのある中小では、やっぱり後回しにされがち。最近のIncマガジン(The Big Business of Hacking Small Businesses, 2015)でも、71%のデータ漏洩事故は会社規模100人以下の中小を対象に行われていると言っている。サイバー攻撃による各企業側の被害額を平均すると約3万6,000ドルを上回るそうだ。大企業としては大した金額でないかもしれないが、中小企業には死活問題に陥る危険性もあるだろう。中小企業は、サイバーセキュリティに目を向けられないという現状を、ハッカーらは把握しているのである。
その他、理由は色々とあるものの、いまだにセキュリティ対策について全社的に真剣に取り組む中小企業は数少ないのが現状である。重要な個人情報や企業機密等を安全に管理しなければならないのは、大企業でも中小企業でも差はない。よってハッカーらも、「たくさん」情報を持っている大手を狙うコストとセキュリティのスカスカな中小を狙うコストを天秤にかけるだろうし、非常に合理的な判断として、中小企業を狙う方にシフトしていくのである。
 

それでは、中小のセキュリティ対策は、どうすればいいのか。

ここで言っておきたいが、セキュリティ対策は、継続的に取り組んでいかなければならないということである。つまり、一回の投資ですべてが万々歳ではないということ。そして、外部からの攻撃は知られているが、内部者による情報漏洩にも気をつけるべきだ。攻撃者がサイバー攻撃を試みる際、45%が試験的に自社に攻撃を仕掛けてみており、そのうちの29%は成功しているそうだ。
 

中小企業のセキュリティ、どのようにアプローチすべきなのか。

まず、自社のWebサイトが脆弱(ぜいじゃく)であることを認めることから始まる。Webサイトの脆弱性を突いた攻撃は、場所を問わず起こり得る。サイバーセキュリティについて考え方を変えることが、サイバーセキュリティのための第一歩である。
次に、重要情報に対してのアクセスポリシーを策定することである。これは、サイバーセキュリティを考慮する際には必須だ。内部者による犯行を未然に防ぐ、そして、社内にて情報管理の担当者としても、万が一の事故があっても本人を守ることができるのである。
そして攻撃ターゲットにある対象を守るためのソリューションを導入することである。例えば、Webサイトのセキュリティであれば、Webアプリケーションファイアウォール(WAF)が考えられるだろう。最近は、クラウド基盤WAFサービスもかなり出ているので、リーズナブルな価格でシンプルにセキュリティ対策を実施することも可能である。
まずは、一歩を踏み出してみることが大切だ。非常に合理的な理由で中小企業を狙ってくるハッカーらに立ち向かうべく、中小企業側でも、サイバーセキュリティの第一歩を踏み出していくよう願いたい。
 

hacker_cloudbric_180820

【コラム】ハッカー の6つの行動パターン

ハッカー は何の為にWebサイトをハッキングするのでしょう。

ハッカー
 インターネットが普及されていなかった頃のハッカーは、自分の能力を見せつける為にWebサイトをハッキングしました。
しかし、日常がWebで繋がっているとも言える昨今の社会のハッキングは、もっと巧妙に変化してその被害も大きくなりました。
例えば、数回のクリックで金融取引が出来るネットバンキングは、個人情報及び銀行取引情報のような重要情報が「ハッカー」によって流出され、莫大な被害が発生することもあります。

 ハッカーが欲しがる情報とその情報を手に入れる為の行動にはいくつかのパターンがあります。今回はハッカーの6つの行動パターンをご紹介致します。

任意コード実行
1.脆弱性スキャン

 脆弱性スキャンはその名称から分かるように、システム内部の脆弱性を探る為の手法です。
一般的には自社システムの弱点を調査して改善を行い、セキュリティを強化する行為であります。
しかし、ハッカーは同じ方法を用いて標的にしたシステムに侵入するための脆弱性を見つけ出します。
 ハッカーにとって脆弱性スキャンはハッキングを実行する為の情報収集であり、システム脆弱性を事前調査する行為であります。つまり、次の攻撃へのゲートウェイのようなものです。

脆弱性スキャン
2.サーバ運用妨害

 サーバ運用妨害は、Webサイトへのアクセスをブロックしてサービスを正常に運営出来ないよう妨害する事です。
サーバ運用妨害攻撃の中で最も知られているのは分散型サービス拒否攻撃(Distributed Denial of Service attack : DDoS)があります。
 DDoS攻撃をする為には、ハッカーが「ボットネット(Botnet)」と呼ばれるゾンビPCのネットワークを介しPC端末を制御下に置きます。
そうすると、そのボットネットがまるでゾンビ集団のように継続的にWebサイトに負荷をかけてサーバをダウンさせ、Webサイトに接続エラーを起こします。

サーバ運用妨害
3.金銭的損害

 ハッカーによる攻撃の中で被害者が最も大きい打撃を受ける攻撃結果は金銭的損害です。
先に述べたように、インターネットの普及によってオンライン化された各種サービスは、便宜性を持つ同時に金銭的被害のリスクも持つ事になり、ハッカーのターゲットになります。

金銭的被害
4.個人情報漏洩

 金銭的被害と共に、個人情報漏洩はネット社会の課題であり社会全般的な問題になっています。
個人情報を手に入れたハッカーは他の者を装って管理者情報を取得した後、また他の攻撃をしたり奪取した情報を第三者に販売したりして2次被害者を増やしています。
このような個人情報漏洩で大きい波紋を引き起こした事件としては、不倫サイトであるアシュレイ・マディソンというサイトの会員情報をWeb上に露出させた事があります。

個人情報漏洩
5.Webサイト改ざん

 Webサイト全体または一部Webページに悪意を持って内容を変える行為をWebサイト改ざんといいます。
攻撃後にWebサイトを確認したら改ざんされた部分が把握できるので、ニュースになる同時に「人々の注目を浴びる攻撃として」とても効果が良いと言われています。
 また、政治的な理念によって、選挙などで有力候補者のWebサイトを改ざんする事例が多数発生しています。
このようなハッカーは自己顕示欲が強い傾向があります。最近米国ではこうしたハッキングに対して処罰するより「倫理的なハッカー」になるように’教育’を勧めています。

Webサイト改ざん

6.任意コード実行

 システム上に意図していなかったコードが実行される場合、かなりの注意が必要です。
ハッカーは悪意的なコードを挿入して命令を実行させる事で標的システムを制御します。
この為には任意のコードを実行させる為に先に述べた「脆弱性スキャン」のような事前調査を実施してそのシステムでセキュリティが最も脆弱な部分を狙って攻撃します。
次の攻撃の為の一歩だといえます。
任意コード実行
 時代の流れや技術の進歩などと共に、世の中の必要悪として「ハッカー」と「ハッキング」という単語が出てきました。
サイバー攻撃は莫大な被害を起こす事が出来て、無差別な攻撃も多いです。
“自分の事じゃなければ大丈夫”という考えで放置すると何も解決出来ません。
自社システムの脆弱性を定期的に把握してその弱点を補完出来るセキュリティソリューションを導入しなければいけません。

オランダの哲学者のエラスムスの「Prevention is better than cure(備えあれば憂いなし)」という言葉に従って、
ハッキングに備えた強力なセキュリティを事前に準備してください。

CloudbricのWAFはこちら
製品に関するお問合せはこちら