thumbnail

ハッカーの高速道路、知らぬ間に組み込まれる「バックドア」

「泥棒」という言葉に、どのようなイメージを思い浮かばれますか。顔を隠し風呂敷を背負って、裏口を静かに通り過ぎて家に侵入するキャラクターが泥棒の代名詞ですが、サイバー空間での泥棒であるハッカーにも同じようなイメージが当てはまります。Webサイトに忍び込み、金銭を狙って情報を盗むハッカーは「バックドア」と呼ばれる裏口を設置し、忍び込んで情報を奪取するのです。そこで今日は、バックドアとは何か、そしてどのようなセキュリティ対策をとれるのかを紹介します。

 

ハッカーの代表的な手口、「バックドア」とは

「バックドア」とは正規の認証プロセスを経ず迂回して、製品やシステムまたはアプリケーションに接続する方法です。主に設計や開発の段階で意図的に作られます。しかし、ハッカーはこれを悪用し情報を奪取するための「通路」として利用します。特にシステムネットワークを経由して他のPCを攻撃する「リモート攻撃」の手段としてよく使われています。デバイスの持ち主に認識されることなくシステムに侵入できるので、被害が実際に発生しないとバックドアの存在を認識できないケースが多く、とてつもない被害が発生しかねます。逆にハッカーにとっては、いったん設置に成功さえすれば楽に大きな利益を狙えるということになるのです。そのためハッカーは、バックドアを設置するため様々な手段を駆使します。代表的な2つの手段を見てみましょう。

トロイの木馬

ギリシャ神話によると、ギリシャ連合軍はトロイを滅ぼすため「トロイの木馬」を建造したそうです。外見は無害なものに見えましたが、中には武装した兵士が潜んでいました。サイバー空間でのトロイの木馬も、同じように作動します。一見「使えるプログラム」に見えますが、実際にはユーザをだますソフトウェアが潜んでいるのです。主にメールの添付ファイルやWeb情でダウンロードできるファイルとして流通され、ユーザが何も考えず実行するとすぐさまバックドアを設置します。ScanNetSecurityによると、最近にはPCプログラムの形だけではなくスマホアプリの形でも流通されるなどその手口がさらに巧妙化されており、格別な注意が必要とされます。

Webアプリケーションを狙った攻撃

Webアプリケーションの脆弱性を狙ったハッキングは、Webの使用頻度が増加するにつれその威勢を増しています。OWASP TOP10は、その多数がWebサイトのコードを悪意的に改ざんして隙を狙う形だと報告しています。代表的な例にはコードに対するハッキングである「SQL Injection」を挙げることができます。これはバックドアを設置するための足がかりになりえます。例えば、トロイの木馬が含まれたプログラムをWebサイトに不正アップロードすることなどが可能になります。その他にもCross-Site Scripting(XSS)を通じバックドアを設置するソフトウェアを拡散するなど、様々な手段がバックドアを設置するため使用されています。

このような手段で設置されるバックドアは単に情報を奪取するだけではなく、他のデバイスに対する攻撃に使われるなど、様々な被害をもたらす可能性があります。

 

ハッカーの通行を防ぐ方法

あなたならどうやって裏口から潜みこむ泥棒を防ぎますか。裏口を閉鎖してしまう方法もあれば、セキュリティ業者と契約し監視カメラを設置するという方法もあります。しかし、「物理的な通路」が目に見えない、サイバー空間のハッカーはどう防ぐのでしょうか。実は、ハッカーの通行を防ぐ方法は驚くほど現実世界と似ています。

裏口を閉鎖する: 既に設置されたバックドアを塞ぐ方法

既に設置されたバックドアを除去する方法は、現実世界で裏口を無くす方法に当てはまります。現在使用されているほとんどのOSとソフトウェアにはセキュリティーホールが点在しており、100%安全だと言い切れない状況です。例えば、マイクロソフトは2020年8月にもWindowsを含む多数のソフトウェアから脆弱性が発見されたと報告しています(引用: Impress Watch)。もちろん開発する側も設計過程から脆弱性を排除するための手を加えていますが、それにも関わらず新しい脆弱性が発見されているのです。よって、常に最新パッチやアップデートを適用する必要があります。特にベンダーから公開された脆弱性は多数のハッカーに目を付けられる可能性があるので、できるだけ早く対処する必要があります。

監視カメラを設置する: バックドアを未然に防ぐ方法

泥棒を防ぐために最も徹底しなければいけないのは、「泥棒に対する意識」です。常に鍵の掛かり具合を確認し、窓がよく閉まっているのかを確認するなど注意を注ぐ必要があります。ハッカーに対しても、同じことが言えます。「セキュリティに対する意識」が重要なのです。怪しいWebサイトに近づかず、正体が確認できないファイルを開かないという事を徹底するべきです。

しかし、一個人がいくら努力をしようと、一から百まで全ての可能性を考慮するのはほぼ不可能です。そのため、現実世界ではセキュリティ企業と契約し、監視カメラを設置するなど様々なセキュリティ対策を取ります。サイバー空間でも、同じくセキュリティ企業と契約することができます。そして一番怪しいと思われる場所に監視カメラを設置するように、一番危険な領域からセキュリティ対策を取っていくのです。よって、最近攻撃が最も多く発生しているWebアプリケーションの安全を守ることが、もっとも合理的な判断になるでしょう。

WAF(Webアプリケーションファイアーウォール)はWebアプリケーションを防御するためのセキュリティ対策であり、ネットワーク上で防御と監視を同時に行います。単純に脆弱性を保護するだけではなく、通信を監視し怪しい接近を遮断するのです。最新パッチを適用しづらいWebアプリケーションを守り、SQL InjectionやXSSなどバックドアを設置するため用いられる攻撃の存在を監視します。そのため、WAFはWebアプリケーションを通じバックドアを設置しようとするハッカーを防ぐための、最も総合的で最も確実な対策だと言えるでしょう。

 

最後に

ハッカーの攻撃は、現実世界の泥棒がもたらすものよりもはるかに莫大な被害をもたらします。特に自分のパソコンなどにバックドアが設置された場合、一回に止まらずいつでも情報を盗まれる可能性が高く、他人を攻撃する踏み台として利用される可能性も十分存在するので、被害規模は予想すらできません。そのため、バックドアに対して格別な注意を注ぐ必要があるでしょう。
ペンタセキュリティは簡単に利用できるクラウド型WAF「クラウドブリック」を提供しています。Webアプリケーションの脆弱性を通じバックドアを設置しようとするハッカーを効率的に防ぎ、リモート攻撃までも防御する最善の対策です。リンクを通じ、詳細をご確認ください。

thumbnail

情報流出事故1位のWebアプリケーション攻撃、セキュリティ対策は?

楽天市場で買い物をしたり、必要な情報をグーグルで調べたりなど、日常生活の半分以上がWebを通じ行われているという言葉がもはや過言ではない時代です。企業にとっても、オンラインビジネスは今や当たり前になっています。しかし、Webがメリットだけをもたらすわけではありません。Web、その中でも特に「Webアプリケーション」を狙ったサイバー攻撃が増加しており、いつ事故が起こってもおかしくない状況なのです。そこで今回は、Webアプリケーションを守るべき理由と、企業が手軽に取れる対策である「クラウド型WAF」について説明していきます。

 

ITシステムの安全には、アプリケーション領域のセキュリティが必須

Webアプリケーションが属するアプリケーション領域は、ITシステムの中でもユーザと最も近い領域です。よって、ハッカーには格好のターゲットとなっています。実際、2019年に発表された「IPA 情報セキュリティ白書」でも「Webアプリケーション攻撃」が情報流出事故の1位を記録しており、より強固なセキュリティが求められている状況なのです。

引用: IPA 情報セキュリティ白書 2019

まず、ITシステム全般のセキュリティから見ていきましょう。データの送受信が行われるネットワーク領域では、IP/Portに対する接近の制御や、有害なトラフィックの検知などのセキュリティ対策が行われます。システム領域には身近なWindowsなどのOSが含まれており、アプリケーションが作動するためのプラットフォームの役割を果たしています。システム領域に対しては、一般的にセキュリティパッチの適用、システムの不正コード探知などの対策が行われます。


それでは、アプリケーション領域に対してはどのようなセキュリティ対策を取るべきなのでしょうか。アプリケーション領域ではWebサイトやアプリケーションなど、一般的に利用されている機能やサービスが作動しており、データを保存・利用するケースが多く見られます。特に、Webアプリケーションには膨大な量のデータが蓄積されていることが多々あります。そのため、ハッカーのターゲットになるケースが多く見られるので、より強固なセキュリティ対策が必要になってきます。しかし、ネットワークやシステム領域に比べるとまだセキュリティに対する意識が浸透しているとは言えない状況です。企業が取っている代表的なセキュリティ対策としては、WAFを挙げることができます。

 

Webアプリケーションセキュリティを担うWAF

WAF(Webアプリケーションファイアーウォール、Web Application Firewall)はその言葉通り、Webアプリケーションを防御するセキュリティ対策です。ダイレクトに迫る攻撃を防御する他にも、情報流出やWebサイトの偽変造を防ぎます。現在様々なWAFが市場に出回っていますが、その形によって大きく「アプライアンス型WAF」、「ソフトウェア型WAF」、「クラウド型WAF」の3種類に分かれます。

アプライアンス型WAF

アプライアンス型WAFはハードウェアにて運用されます。WAFの基本形だと言えるでしょう。サーバのすぐ隣に設置されるので、迅速な処理速度と高い性能を誇ります。

ソフトウェア型WAF

ソフトウェア型WAFは物理的なハードウェアを利用せず、仮想マシン(VM, Virtual Machine)の形で運用されます。クラウド上で作動するシステムが注目されていますが、それに合わせWAFを利用できるようにしたものです。

クラウド型WAF

クラウド型WAFはクラウド上に設置されたWAFをサービスとして利用する形です。つまり、WAFのサブスクリプションサービスと言えるでしょう。物理的な機器及びハードウェアを利用する必要がないため、簡単にWAFを利用したいというユーザに利用されています。例としては、ペンタセキュリティのクラウドブリックを挙げることができます。

この中でもクラウド型WAFは「便利さ」と「合理的な価格」という特徴を持つため、数々の企業から注目されています。アプライアンス型WAFやソフトウェア型WAFと違ってDNSを変更するだけで簡単に設置でき、管理費やアップデート費用などの追加コストを要しないため、実際に多数の企業から利用されています。クラウドブリックもまた、国内の5,500個以上のサイトを保護しています。

 

ロジックベース検知エンジンでセキュリティを担う、クラウドブリック

クラウドブリックはアジア・太平洋マーケットシェア1位である「WAPPLES」のエンジンを搭載したクラウド型WAFです。「便利さ」と「合理的な価格」という特徴を通じ、多数のお客様から高い評価を得ています。DNSの変更だけでサービスを利用でき、ユーザ様の状況に合わせ様々な料金プランを提供しています。しかし、クラウドブリックの特徴はそれだけではありません。クラウドブリックの最大の武器は「攻撃を論理的に分析・判断し防御する」という機能です。

多くのWAFは「シグネチャマッチング」という技術を使用しています。事前に作成されたリストを参照し、トラフィックを検査する方法です。しかし、クラウドブリックはロジックベースの「ロジックベース検知エンジン」を搭載しており、ルールに従って攻撃を検知します。シグネチャマッチングを利用するWAFの場合には、リストに存在しない攻撃を防ぎきれないケースが見られます。しかし、クラウドブリックはロジックベースで攻撃を徹底的に分析するため、ゼロデイ攻撃などの未知の攻撃にも適切に対応することができます。その他にも、DDoS遮断やSSL証明書の無料発行など、Webサイトを安全に保護するための総合的機能を備えています。

 

最後に

Webアプリケーションはこの先にも様々な用途で利用されるでしょう。しかし、セキュリティ対策が施されていないWebアプリケーションは、ハッカーの獲物にすぎません。クラウドブリックはクラウド型WAFのメリットである便利さと合理的な価格に加え「知能的に働く」ので、多数のお客様から高い評価をいただいています。クライアントの情報を守るため、そして会社のイメージを守るためにもセキュリティ対策が必要な今、無償評価でクラウドブリックをお試しください

Main

WAFを選ぶ際、チェックすべき4つのポイントとは

近年、企業のWebアプリケーションの脆弱性を狙ったサイバー攻撃が多発し、その有用なセキュリティ対策としてWAF(ワフ)を導入する企業が増えています。現在色々な製品が市場にでていますが、どういった基準で選定すべきなのか、今回はWAFを選ぶ際に見るべき4つのポイントを中心にお届けします。

 

ウェブ脅威を可視化し遮断するWAF(ワフ)

WAFはWeb Application Firewallの略で、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。Webサーバーの前段に設置して通信を解析・検査してWebサイトを保護し、不正ログインを防ぐ役割で用いられます。Webサイトやインターネット上のサービスは今や重要な社会インフラとなっています。オンラインショッピング、ネットバンキングを始め、ゲーム、SNSなどエンターテインメントでの利用、企業間での受発注などビジネスでの活用等、Webサイトの活用はどんどん広がっています。そうした社会インフラとしての拡大に伴い、Webサイトはサイバー攻撃の格好のターゲットにもなっています。

引用:JPCERT/CC

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)による最新のインシデント報告対応レポート(2020年4月1日~2020年6月30日)によると、フィッシングサイトに分類されるインシデントが73.9%、スキャンに分類されるシステムの弱点を探索するインシデントが13.8%、Webサイトの改ざんによるインシデントが4.1%を占めています。ここで脅威の1位に位置するフィッシングサイトのインシデントは、この期間で3,839件発生しています。クロスサイトスクリプティング(Cross-site Scripting、XSS)攻撃やSQLインジェクション等を用いて信頼できるWebサイトに悪意のあるスクリプトを埋め込んだ後、フィッシングサイトへ訪問者を誘導し、マルウェアに感染させたり秘密情報・個人情報の漏えいを起こしたりします。また、対象のウェブサイトを改ざんすることも可能です。企業がもしこうした攻撃を受けた場合の被害はかなり深刻なものとなりますが、WAFを用いる事でこうした高度なサイバー攻撃を防御することも可能になります。

 

WAFを選ぶ際に見るべき4つのポイント

1. 初期費用・運用コスト

まずは、初期費用と運用コストを合わせた総合的なコストを考慮する必要があります。導入にかかる費用に関しては、導入時の初期費用だけに目を奪われないよう注意する必要があります。自社での運用が発生する場合や、稼動状況に応じてコストが膨らむケースも想定されます。そのため、コストは導入と運用のトータルでのコストを比較するようにします。オンプレミス型や複雑な製品等、自社での運用が前提のものは、自社内で人員リソースを確保する費用も発生します。クラウド型のWAFなら専用ハードウェアを必要としないため、導入が簡単で運用の手間も少ないと言われています。従業員の運用スキルの有無も考慮してタイプも選定しましょう。

2. セキュリティのクオリティ

自社に合わせたWAFを選ぶためには、最適なセキュリティレベルで稼動できるかどうかも重要です。セキュリティレベルが低いと、導入しても意味がありませんし、高度過ぎると場合によっては正常なアクセスを遮断してしまい、結果としてWebサイトやアプリケーションの利便性を損なう危険性があります。またセキュリティ強度が高くなるほど、誤検知率も高くなる可能性があります。検知率、誤検知率、性能面において総合的に優れた製品を選ぶようにしましょう。

3. サポート体制

緊急時のサポート体制が整った企業の製品であることは言うまでもありません。WAFを適切に運用するためには高度な知識が必要です。また、セキュリティ製品という性質上、未知の事象に遭遇する場面も多く存在します。何かあった時、しっかりしたサポートが受けられるのかどうかは事前にしっかり確認しておく必要があります。

4. 導入実績

導入実績が豊富な製品は最新のセキュリティに対応するノウハウ・経験が蓄積されています。実績に比例して、ノウハウやナレッジが十分蓄積されていると考えられます。多くの顧客に選ばれているということは、多種多様な業種のセキュリティニーズに応え、質の高い製品とサービスを提供できているという証でもあります。実績が多い製品は、セキュリティ製品として信頼されていると見ることができるため、確認すべきポイントの一つです。

 

さいごに

Webサイトを守るセキュリティ対策としてよく知られたものに、FW(ファイアウォール)やIPS(不正侵入防御)があります。すでにFWやIPSによる対策をしていても、対策は十分と言えません。FWはネットワークレベルでのセキュリティ対策です。送信元と送信先の情報(IPアドレスやポート番号など)を元にアクセスを制限します。ポートスキャンなどの外部公開が不要なサービスを狙った通信は制限できますが、通信の中身までは検査しません。80番ポートや443番ポートへの通信など、正常な通信を装った攻撃には対処できません。IPSはプラットフォームレベルでのセキュリティ対策です。OSやミドルウェアのぜい弱性を悪用した攻撃や、ファイル共有サービスへの攻撃など、さまざまな種類の攻撃を検査・防御します。しかし、Webアプリケーションへの攻撃は多種多様に増えており、アプリケーション固有の脆弱性を狙ったもの等、高度化した攻撃を防ぎきれないケースがあります。WAFはFWやIPSよりも上位のアプリケーションレベルでのセキュリティ対策で、Webアプリケーションに特化した防御対策です。WAFとFW、IPSはそれぞれ異なるネットワークレベルで機能します。WAFを導入すればFWやIPSが不要になるといったことではなく、どれが欠けてもセキュリティレベルが落ちるため、それぞれで補完しあうことが必要です。WAFを選ぶ際は、ここであげたポイントを基に、コスト、セキュリティ、サポート、導入実績で優れた製品を選ぶようにしましょう。

 

導入実績1万件を超えるクラウドブリック(Cloudbric)

クラウドブリック(Cloudbric)はクラウド型WAFサービスで、アジア・太平洋マーケットシェア1位のWAF「WAPPLES」のロジックベースの検知エンジンを搭載し、既知の攻撃パターンだけでなく高精度な新種の攻撃にも対応可能です。独自のロジックベース検知エンジンを使用し検知率、誤検知率、性能面にて優位性を確保しています。その技術力は世界の専門家にも認められ、全世界13,500以上、国内5,500以上のユーザに支持されています。
従来のシグネチャー基盤のWAFでは検知できない未知や亜種の攻撃に対応し、不審なトラフィックが発見されると事前に設定されたクラウドブリックの約26種の検知ルールをベースに攻撃を類型別に分析及び検知します。シグネチャーを使用しないため、頻繁なシグネチャーのアップデートなしに脅威を防止することができます。高セキュリティながらリーズナブルな価格で導入可能であり、追加料金不要でWAF・DDoS対策・無償SSL証明書が利用できます。24時間365日安心の監視体制と専門家による手厚いサポートも受けられます。既に導入実績も1万件を超え、高品質な独自セキュリティ、コスト、サポート体制と全てのポイントにおいて高い評価を得ています。

partnership_cloudbric

クラウドブリック、BLUE STYLEとパートナーシップ締結…安全なECサイト運営を後押し

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人) は、8月11日にECサイトを企画・運用する株式会社BLUE STYLE(以下BLUE STYLE)とパートナーシップを締結し、クラウド型WAF「クラウドブリック(Cloudbric)」の提供による安全なWebサイトの運用管理に向けて協力していくと発表した。

新型コロナウイルス感染症(COVID-19)の影響でテレワークの普及が急速に進む中、企業のITシステムのクラウド化も本格的に進められている。また、ビジネスにおけるオンラインシフトもより一層進行し、WebサイトやECサイトの重要性がさらに高まっている。しかし、このような急速な変化に対する備えが未だ不十分である状況の中、日々高度化するサイバー脅威にさらされているため、企業にはセキュリティ対策のさらなる強化が求められる。

そこで、ペンタセキュリティはEC-CUBEのエバンジェリストとして様々な情報サイト及びECサイトを制作・管理するBLUE STYLEとパートナーシップを締結し、Webサイトを構築・運用する際に必要となるWebセキュリティ対策としてクラウドブリックを提供する。

クラウドブリックは、ロジックベースの検知エンジンを搭載し高い精度のセキュリティを提供するクラウド型WAFサービスである。高度なセキュリティを必要とする企業ニーズに応じ、各企業に合わせてカスタマイズされたセキュリティサービスを提供している。また、プランに関係なく全ての機能を利用できる高いコストパフォーマンスを実現する。BLUE STYLEは、Webサイトで発生しうる各種脆弱性へのセキュリティ対策としてクラウドブリックを提案し、安全なWebサイト環境の実現を目指す。そして、セキュリティへの専門性をさらに高め、顧客の満足度向上およびビジネスパフォーマンス向上に貢献していく。

ペンタセキュリティ日本法人代表取締役社長の陳は、「ビジネスのオンライン化が進むにつれ、さらなる活性化が予想されるWeb基盤ビジネスにおいてセキュリティが肝となるだろう。」とし、「今回のパートナーシップを通じて、クラウドブリックの高いセキュリティ技術とBLUE STYLEのWebサイト構築運用能力など、両社の長所を活かし、お客様により安心してWebビジネスを推進していただけるよう、高度なセキュリティを提供していきたい。」と述べた。

 

■BLUE STYLE

2013年に個人事業BLUE STYLEを立ち上げ、2017年に株式会社BLUE STYLEに法人化する。代表は9年の EC の運用経験から、2013年にEC-CUBE公式エバンジェリストとして任命され、交流会の立上げや講演を通してサービスの普及に従事。2016年にはbaserCMSの公式エバンジェリストに就任し、ECに限らない、様々なサイトの構築・運用を得意としている。また、代表自身の子育て経験から「子育て子供服の課題」に着目し、自社サービスとして2015年に子供服のシェアリングエコノミーLynksをプレリリース。2016年には福岡スタートアップセレクションにおいてグローバルチャレンジ賞を受賞。課題の普遍性、大きさを確信し、2018年5月に Lynks を正式リリース。

■ペンタセキュリティシステムズ

ペンタセキュリティは創業23年目を迎えた情報セキュリティ専門企業であり、DB 暗号化・Webセキュリティ・認証セキュリティなどの企業情報セキュリティのための製品やサービスを研究・開発し、優れたセキュリティを認められた。優秀な技術力を基にし、国内はもちろん、海外市場でも技術力を認められ、多数受賞している。IoTセキュリティやコネクテッドカー向けのセキュリティ関連技術の開発にも力を注いており、最近はブロックチェーン研究所を新設し、ブロックチェーン技術を活用した製品およびサービスの商用化に集中している。
URL:https://www.pentasecurity.co.jp/

cloudbric blog post

【Webセミナー】クラウドブリック新規機能「Black IP遮断機能」の説明会のご案内

この度、クラウドブリック(Cloudbric)は、「Black IP 遮断機能」を追加させて頂きました。つきまして、パートナー様及びエンドユーザ様向けのWebセミナーを開催いたします。性能向上およびセキュリティリスクの削減に役立つ「Black IP遮断機能」についてご案内します。詳細資料を持って本機能を説明させて頂きますので、開催日程をご確認の上、お申込みください。皆様のご参加を心よりお待ちしております。

テーマ
クラウドブリックの新規機能として追加された「Black IP遮断機能」について
 
場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)
 
参加料:無料

開催日時及びお申込み

【パートナー様向け】

日時 お申込み
8月19日(水) 11:00~11:30 お申込みはこちら
8月21日(金) 16:00~16:30 お申込みはこちら
9月1日(火) 11:00~11:30 お申込みはこちら
9月3日(木) 14:00~14:30 お申込みはこちら

【エンドユーザ様向け】

日時 お申込み
8月26日(水) 11:00~11:30 お申込みはこちら
8月28日(金) 16:00~16:30 お申込みはこちら
9月8日(火) 11:00~11:30 お申込みはこちら
9月10日(木) 14:00~14:30 お申込みはこちら
cloudbric blog post

【2020年下半期】クラウドブリック Webセミナー開催のご案内

2020年下半期、クラウドブリック(Cloudbric)定期Webセミナーを開催いたします。
本セミナーは、クラウドブリックの新規機能の使い方、仕様変更のご案内を初め、セキュリティトレンド情報や、クラウドブリック導入事例など、パートナー様及びエンドユーザ様に役立つ情報をお届け致します。
 
■場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)

■参加料:無料

■お申込み:こちらをクリックしてください。

■日時・セミナー概要

日時 テーマ 内容
8月・9月 【新規機能追加のご案内】
Black IP遮断機能
性能向上およびセキュリティリスクの削減に役立つ「Black IP遮断機能」についてご案内致します。
9月 【サービスポリシーのご案内】
ユーザ情報取得シート・運営中作業プロセス
改正されたユーザ情報取得シートのご案内と共に、運用中発生する作業の費用・プロセスについてご案内致します。
10月 【新規機能追加のご案内】
Advanced DDoS対策(エンドユーザ様向け)
より高度化したクラウドブリックのDDoS対策についてご案内致します。
10月 【Cloudbric 活用法】
ユーザ設定(エンドユーザ様向け)
クラウドブリックのユーザインターフェースをもっと有効に活用して頂くために、「ユーザ設定」メニューで操作できる設定についてご案内致します。
11月 【Cloudbric 活用法】
二要素認証・Captcha
ユーザインターフェースのアカウントのセキュリティ強化に役立つ「二要素認証」、L7レイヤーに対する不正アクセス対策に役立つ「Captcha」機能についてご案内致します。
11月 【Cloudbric 活用法】
エンドユーザ管理ツール(パートナー様向け)
パートナー様の管理性・利便性のために提供している「エンドユーザ管理ツール」の基本的な使い方をご案内致します。
12月 Cloudbric Roadmap クラウドブリックのロードマップをお見せしながら、今年実現できたことや来年以降実現していくことについてご紹介いたします。
12月 導入実績・導入事例のご紹介(パートナー様向け) クラウドブリックの2020年の導入実績および導入事例についてご紹介いたします。
12月 今年のクラウドブリック WAF(エンドユーザ様向け) 2020年の新規機能、仕様変更など、今年のクラウドブリック WAFにあった変化についてご案内致します。
main

クラウドブリックの花形、ダッシュボード機能をご紹介します!

クラウドブリック(Cloudbric)は2015年からクラウド型WAFサービスを始めており、約4年ぶりとなる2019年には日本の某IT製品まとめサイトでWAF部門の1位を獲得するなど、日本のお客様から盛大な支持をいただいています。クラウドブリックはお客様の便利のための機能を多数提供させていただいておりますが、その中でも特に好評をいただいているのが、「ダッシュボード」機能であります。そこで今回は、そのダッシュボード機能の詳細を紹介させていただきます。

クラウドブリックは、サービスを利用されていない方でもダッシュボード機能を体験なされるよう、デモページを提供しております。まずは、こちらのリンクから2番目の「cloudbric-demo.site」をクリックしてください。すると、次のようなページが現れます。

これが、クラウドブリック ダッシュボードのメインページになります。もし、「日本語版ではなく英語版が出力される」という方は、お手数ですが、サイト最下段の右側にある言語設定にて、設定を日本語に変えていただければ幸いです。
それでは、詳細を紹介させていただきます。

 

サイトの状況を一目で瞬時に把握できるレイアウト

ダッシュボードでは、ユーザが設定した期間内のWebサイトのステータスや、攻撃数とその目的・手段など様々な情報を一目で把握することができます。今回は、期間を2020年6月に設定し、詳細を調べていきましょう。

まず、緑色のボックス(1)の部分を通じ、現在の月次及び直近の三か月の中で一つを選択した後、オレンジ色の矢印(2)の部分を操作することによって、ダッシュボードで確認する期間を決めることができます。それによって現れる「Webサイトのステータス」では、攻撃数、閲覧数、ハッカーの数、閲覧者数を確認できます。現在は青色のボックス(3)に攻撃数と閲覧数に関するグラフが表示されておりますが、赤色のボックスの部分(4)をクリックすることによって、ハッカーと閲覧者数に関するグラフを表示させることができます。

また、そこから下へスクロールしていただくと、攻撃数の詳細を確認していただけます。まず攻撃マップの場合、赤色のボックス(1)内にある移動・拡大・縮小機能を利用し、全世界からの攻撃を視覚的に認識することができます。次に、オレンジ色のボックス(2)の部分をクリックしていただくと、指定された期間内での攻撃頻度数によって上位に位置されたIPを即時に遮断、またはその解除をされることができます。

なお、緑色のボックス(3)をクリックしていただくと、攻撃頻度数によって整列された国家を下り順に閲覧することができ、それに対する遮断やその解除も即時に行われることができます。また、青色のボックス(4)をクリックすることによって、ハッカーの動向だけではなく、Webサイトに対する全閲覧数に関する情報をご覧になることができます。単純にWebサイトに対する接続動向を調べたい、という時に便利な機能です。

 

完全なローカリゼーションにより、全ての項目を日本語で確認可能

先ほど、ページ情報を閲覧数に設定したその左をクリックしていただき、設定を攻撃数に戻していただくと、指定された期間内の攻撃目的・攻撃ターゲット・最新の検知ログ及びその一覧を確認されることができます。

実は、この部分は「完全な日本語で構成されていて他のWAFのダッシュボードより理解しやすい」という好評を多数受けております。まず、赤色のボックス(1)では期間内で最も多かった5つの攻撃理由を、日本語にて提示しております。この情報は、そのすぐ上にある円型グラフでもご確認いただくことができ、発生した各攻撃理由が全体から占める割合を直観的に把握できるようになっています。また、青色のボックス(2)ではリアルタイムの最新検知ログのなかで発見された攻撃名を、日本語で提示しております。最後に、緑色のボックス(3)の部分をクリックしていただくと、すべての検知ログを一覧されることができます。是非、お試しください。

 

報告の手間を省く、月間レポート作成機能

最後にご紹介するのは、月間レポート作成機能です。ITシステムを担当されている方なら、誰にしろ一回は報告方法についてお悩みになったのではないでしょうか。クラウドブリックの場合、ダッシュボードを通じ月間レポートを自動で作成できるので、報告に掛ける手間を少しでも省けられると思います。ページの上段にお戻りいただき、「レポート」をクリックされると、次のようなレポートページが現れます。

ご覧の通り、ダッシュボードを通じて提供されるレポートは次の内容で構成されています。

  • 指定した月次の状況サマリー
  • ブロックされた攻撃の概要と、最も多かった攻撃の解説
  • 上位の攻撃元IPアドレスと、全世界で最も危険だと判断された攻撃元のIPアドレス
  • 上位の攻撃目的と、主な攻撃目的の割合
  • 上位の攻撃発信国

そして、特にご注目いただきたいのは、これらの内容を含む「直近3か月のレポートを作成できる」点と、PDFファイルにてそのレポートをダウンロードできるという点です。次のイメージをご覧ください。

赤色のボックスの部分を通じ、直近3か月の中でどの月次のレポートを作成するかを決めることができます。また、青色のボックスの部分をクリックしていただくと、現在ご覧になられているレポートをPDFファイルにてダウンロードすることができます。随時に最近の状況を確認できるだけではなく、参考資料として保存もできるとして、実際にお客様から高い評価を得ています。

 

さいごに

いかがだったでしょうか。このようなダッシュボード機能は、Web上だけではなくモバイルアプリという形でもご提供しておりますので、PCを使うことができない場合にも、Webサイトの状況を瞬時に把握することができます。

また、クラウドブリックのメインページからも、サポートの「無償評価お申込み」をクリックされた後、「サービス体験」と「cloudbric-demo.site」をクリックすることでダッシュボード機能をご体験できます。ご参照いただければ幸いです。
これからも、お客様の便利と安全のために、クラウドブリックは日々努力してまいりますので、これからもご関心を是非、お願いいたします。

uploading_1

クラウドブリックの始め方、DNSの変更方法

初めてのWAFとしてクラウドブリック(Cloudbric)をご利用中のお客様、そして他社WAFからの乗り換えでクラウドブリックをご利用中のお客様など、クラウドブリックの導入数がますます増えています。特に導入手続きが簡単ということで、多くのお客様から好評を頂いております。クラウドブリックはクラウド型WAFであるため、ハードウェアやソフトウェアのインストールが不要で、導入時にDNS設定を変更するだけですぐ利用でき、システム管理者の負担を最小限に抑えることができます。

そこで、今回はDNSの変更方法について、詳しくご案内させて頂きます。ご存じの通り、DNS設定を変更するには、WAFサービスを提供する側でなく、ドメインを提供するホスティングサービスにて変更していただく必要があります。ほとんどのWebホスティングサービス業者で提供する方式が似ていると予想されますので、DNS変更にお困りの方にこの記事がお役に立てれば幸いです。
まずは、DNS変更の前にクラウドブリックコンソールでのサイト登録が必要となります。

サイト登録の場合、japan@cloudbric.comにご連絡いただければ、迅速な対応が可能ですので、ご協力をお願いいたします。

 

【DNS変更位置】

1. ご使用中のドメインが登録されているホスティングサービスホームページにアクセス及びログインします。

2. ドメイン管理(My Domain、ドメイン管理者など、メニュー名はホスティングサービスによって異なる場合があります。)をクリックします。

3. DNS管理(DNS設定、DNSレコード編集など、メニュー名はホスティングサービスによって異なる場合があります。)をクリックします。

 

【DNSレコードの確認方法】

1. DNS管理ページへアクセスすると、一般的に下図のように現在登録されているDNSレコードを確認できます。

2. 様々な形で登録されているDNSレコードをクラウドブリックサービスに切り替えるためには、AレコードとCNAMEレコードの2つの変更が必要となります。情報を確認してから表示画面を閉じずに次の段階(クラウドブリックDNS情報の確認)へ進みます。

 

【クラウドブリックDNS情報の確認】

1. クラウドブリックより付与されたアカウントでコンソール(https://console2.cloudbric.com/)にログインします。

2. ログイン後、メニューにて「Webサイト追加」をクリックし、保護するWebサイトのドメインを登録します。

3. ドメインを登録した後、IDCを選択します。クラウドブリックがお薦めするIDCが自動的に表示されます。

4. 保護したいドメインに対するSSL証明書の発行が必要です。クラウドブリックでLet’s Encryptと連動し無料で提供するSSL証明書の発行を選択します。

5. 上の4段階を経ていただくことで、必要なDNS情報を確認することができます。下図をご覧いただきますと、「ネームサーバ変更」と「DNSレコード変更」の2択がありますが、「DNSレコード変更」をクリックし、変更しようとする情報を確認します。画面に表示される情報をメモ帳にコピーしたり、すぐコピー&ペーストできるように該当ページを閉じずに次の段階へ進んでいただいても構いません。


 

【クラウドブリックのDNS情報に切り替える】

1. 先に確認したホスティングサービスのDNS管理ページに戻り、DNS情報が登録されている表にて「修正」をクリックします。

2. Aレコードの@のTarget項目にクラウドブリックが提供するAレコード値を入力します。この際、重要なのはTTL値を300にすることです。上記の手順が終わりますと「保存」をクリックします。


3. 先の手順と同じように、CNAME項目も「修正」をクリックし、wwwのTarget項目にクラウドブリックが提供するCNAMEレコード値を入力、TTL値は300に設定し保存をクリックします。

※wwwがないドメインのことを示すNaked Domain(e.g. cloudbric.com)のCNAMEは一般的にすでに設定されていますが、wwwが含まれたドメイン(e.g. www.cloudbric.com)に関しては、CNAMEが含まれている場合もありますし、そうでない場合もあります。したがって、Sub-domainにwwwが登録されていない場合は、wwwを入力して頂き、Target項目には同じようにクラウドブリックが提供するCNAMEレコード値を入力して頂きます。

これでドメインに対するDNS変更設定が完了しました。

 

DNS変更作業の際、下記の事項にご注意ください。

1. サブドメインが存在する場合には、クラウドブリックコンソールにてサブドメインを登録し、該当するAレコードとCNAMEレコード値を確認してから、上記と同様の手順で変更作業を行ってください。

2. MXレコードやFTP接続アドレスなどをルートドメインとして使用されている場合、ルートドメインのAレコードをクラウドブリックIPに切り替えると、ご利用中のFTPやメールサービスに障害が発生する可能性があります。この場合はMXレコードやFTP接続アドレスをクラウドブリックIPを眺めるルートドメインではなく、WebサーバIPで直接修正していただくか、或いはWebサーバIPとマッピングされたサブドメインとして設定していただく必要があります。もし、自社製ではない他のメールサービスをご使用中でしたら、変更される必要なく、クラウドブリックから提供するCNAMEレコードのみを切り替えることで問題ありません。

今回はDNSの変更方法についてご紹介させていただきました。この内容がクラウドブリックに乗り換えの際、システム担当者様に少しでもお役に立てれば幸いです。DNS変更方法に関して、ご不明なところがありましたら、遠慮なくご質問ください。

6

A百貨店

業種 各種商品小売業
規模 大企業
導入時期 2019年

※本事例は、お客様のご希望により匿名で掲載しております。

ビジネスにおいて、一回失った信頼を取り戻すことは非常に難しいと思います。セキュリティ事故が発生した場合、莫大な被害が発生するだけではなく、お客様の信頼を失うことになるため、事前にしっかりとしたセキュリティ対策を整えることが非常に重要だと思います。特に、多数のお客様の個人情報を取り扱っている弊社としては、さらに強力なセキュリティ対策を取る必要があると判断しました。(A百貨店 ITインフラ担当者)

 

WAFを導入したきっかけ

「お客様の個人情報保護とリスクヘッジの実現」

弊社が運営している百貨店ECサイトはお客様を対象にする会員制サイトであるため、普段から個人情報の取り扱いには幾分気を使っていました。しかし、2018年から1日平均接続者数が増えるにつれ、管理すべきデータも急増してきました。お客様の個人情報をより安全に管理するために現在のセキュリティ対策が十分なのかを再検討した結果、Webサイトに対する新たなセキュリティ製品を導入することを決めました。その中で、「お客様の個人情報保護」と「リスクヘッジ」の両方を実現できるWAF(Webアプリケーションファイアウォール)が候補に挙がり、導入にまで至りました。

 

クラウドブリック(Cloudbric)を選択した理由

「導入の容易性、高い信頼性、合理的な価格」

数々のWAFを比較するにあたり、次の3つのポイントを考慮しました。

  • 簡単に導入や運用できるか
  • 性能面で信頼できるか
  • 合理的な価格で利用できるか

WAFを導入するとき、導入にかかる手続きが複雑だったり、要する時間が長い場合にはIT担当者に相当な負担がかります。クラウドブリックの場合、クラウド基盤で提供されるため、システムを停止せずDNS情報を変更するだけで導入できるという点が大きなメリットでした。
また、個人的にセキュリティソリューションで最も重要なのは「性能面で信頼できる製品なのか」という部分だと思いますが、クラウドブリックは特許技術を保有しており、グローバルから技術力を認められ受賞した履歴を持っていますので、この部分も意思決定に大きく作動しました。日本・米国・韓国で特許を持ち、グローバル受賞歴も持っているという事で、クラウドブリックに対する信頼がさらに増しました。
最後に、合理的な価格設定も大きなメリットだと感じた部分です。優れた技術を提供しながらも企業の状況に応じ多彩なプランを提供しており、柔軟な価格設定のおかげで思ったよりもコストを抑えることができました。

 

クラウドブリック(Cloudbric)の導入効果

「発生していたのかすらわかっていなかった、サイバー攻撃の存在を認知」

クラウドブリックを導入し間もなく、大量のサイバー攻撃を受けたという事を確認できました。クラウドブリックで提供されているダッシュボード機能を使い、サイバー攻撃状況をリアルタイムで確認し、遮断することが可能になったのです。このユーザインターフェースを通じ、三日間にわたった集中攻撃の中84.94%がSQL Injectionによる不正アクセスであり、個人情報の漏えいを目的としていたことを把握できました。もし、攻撃が起きていたこと自体を認知できない状況だったら、大きな事故が発生することは間違いなかったでしょう。事前に防止することで、大きな被害を防ぐことができました。
もう一点便利な部分を挙げるとすれば、クラウドブリックはダッシュボードを通じ把握できるサイバー攻撃の情報及びセキュリティ状況に関するレポートを毎月作成してくれます。一目で攻撃状況に目を通すことができ、またその報告書を社内報告にも使え、業務の手際を軽くするという点も自分にとっては大きなメリットです。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

大きな事故と化す可能性があったサイバー攻撃を経験した後、さらにWAFの必要性を痛感するようになりました。目にも見えず、いつ起こるか予想すらできないサイバー攻撃はまさに「潜在的な脅威」であり、そこに費用を費やすという事を疑問に感じられるかもしれません。今までよかったからこの先もよいだろう、と思う方も多数いらっしゃるでしょう。しかし今回クラウドブリックを導入して感じたことは、「Webサイトを持ち、個人情報を取り扱う」企業ならどの企業でもハッカーのターゲットになる、という事です。備えあれば患いなしという言葉通り、あらかじめ対策をとっておく必要があるでしょう。
WAFの導入を検討している企業の方なら、コスト、性能、便利性全てを満たすクラウドブリックを利用することをお勧めします。

 

engineer

テレワーク導入時、IT担当者が検討すべきセキュリティ対策

新型コロナウイルス感染症に対する緊急事態宣言が5月25日をもって解除されましたが、それでも東京都では7月2日にも100人以上の感染者が確認されるなど、コロナの勢いが収まる気はありません。こういう状況下で、すぐに終わるだろうと思われたテレワークを続けている方も、また多数おられると思います。

このような状況を鑑み、多数の政府機関がテレワークにおけるセキュリティ対策を紹介しています。その中でも今日は、苦労されているIT担当者の方々に、少しでも手掛かりになるようなテレワーク対策をお伝えします。

 

セキュリティポリシーを策定し、ルールとして守る

テレワーク環境を安全にするにあたりもっとも重要なことは、「脅威が存在する」状況であると認めることです。現状に対する認識なしでは、セキュリティ対策にしっかり取り組むことなどできません。実際、警察庁などもセキュリティ対応を呼びかけてるのが現状です。

テレワーク標的か 国内でサイバー攻撃6500件超
2020年4月26日

新型コロナウイルスの感染が拡大し、外出自粛が求められるなか、出社せず自宅などで仕事を進めるテレワークが広がっている。こうした動きに照準を合わせるように、不正サイトに誘導するサイバー攻撃の被害が国内で6500件超に上っていることが26日、分かった。… 「前例のない危険な状況」。警視庁サイバーセキュリティ対策本部の幹部はテレワークの急増に危機感をあらわにする。十分な準備なしに急遽導入に踏み切る事例が多いためで、3月31日にはテレワークの防犯対策をホームページに掲載し、警戒を呼び掛けた。警察庁が検知した昨年のサイバー攻撃関連の疑いがある不審アクセスは1日平均で4192件。前年比約1・5倍と急増しており、テレワークが標的にされる例が目立っているという。

引用: 産経新聞

このように、テレワークを実施している企業の情報を狙っている攻撃はすでに多発しており、またその数を増やすであろうと予想できます。これに対応するには、まずルール、つまり「セキュリティポリシー」を策定することが対策の第一歩となるでしょう。仕事を始める前に計画を練るのと同様に、セキュリティ対策もまた同じ過程を要します。また、統一されたルールを持つことによって、従業員が悩みなしにルールを従い安全に仕事をできる、というメリットももたらせるでしょう。

 

暗号化されたネットワーク手段を使う

多くの企業で社外と社内の間の通信を暗号化するためにVPN等を導入していると思います。警視庁は、テレワーカーの通信経路に対し、次のような勧告を出しています。

使用するパソコンから勤務先等の接続先までの通信経路が、VPNで暗号化されているか否かを勤務先のネットワーク担当者に確認してから業務を行う

通信経路が暗号化されていないと情報を盗み見されるおそれがあります。
VPNサービスを利用するときは、運営者が明確であり、かつ情報が健全に取り扱われるものを利用する
VPNサービスの中には、通信の盗み見や改ざん、マルウェア(ウイルス)の組み込みがされている場合があるので信頼のあるものを利用しましょう。

引用: 警視庁

総務省もまた、重要情報の盗聴に対する対策として機密性が求められる電子データを送受信する際には必ず暗号化をすることを要求しています。暗号化をすることによって、盗聴を許したとしても、その情報の悪用を防ぐという事です。暗号化をせず通信を行った場合、通信に利用している機器を強固に防衛しているとしても、その対策が破られた瞬間に全ての情報が奪取されます。

しかし、暗号化を施すことによって、例え機器に対する防衛手段が破られたとしても、攻撃者が容易に情報を悪用するのを防げるのです。警視庁はその手段としてVPNを勧めておりますが、実はVPNもまた完全なセキュリティ対策だとは言えません。VPNと他のセキュリティ対策を併用したり、リモート・アクセス・ソリューションを導入したりするなどセキュリティ面を最優先し、自社にあった対策を取ることが重要です。

 

容易に突破されない認証方法を従業員に提供する

警視庁は、テレワーカのパスワードに関しても、次のような勧告を出しています。

パスワードは他人に推測されにくい複雑なものにする
簡単なものは、他人に不正アクセスされるリスクが高くなります。
パスワードを他のサービスと使い分け、テレワーク専用にする
他のサービスと同じパスワードを使用していると、そのサービスがサイバー犯罪の被害によって情報が流出した場合、テレワークのシステムに不正アクセスされるおそれがあります。
引用: 警視庁

パスワードに対する対策は、テレワークに限らず全ての情報セキュリティ対策としてよく知られています。しかし、実際にこれを守るのはそう簡単ではありません。パスワードを複雑にしたり、用途別に違うパスワードを設定するなどの対策はユーザの業務における効率を阻む可能性があります。多彩なパスワードを設定したのち記憶に残らず、パスワードを再設定するのにかなりの時間を費やしてしまった、などの例を挙げることができるでしょう。なので、二要素認証(2FA)などの機能を通じ、パスワード単体ではなく他の認証手段を同時に利用するなどの対策を取ることをお勧めします。

 

不正なパケットを自動的に発見・遮断するシステムを導入する

テレワークでは、社内ネットワークに接続する際、必然的に外部のネットワークを利用することになります。社内で勤務する場合は、オフィスに設置されたネットワークの安全を確保するだけで一定のセキュリティを得られました。しかし、テレワークの場合はそうはいかない、という事です。そこで、総務省は次のような勧告を出しています。

外部のネットワークを利用する場合は、テレワーク実施者が定められたVPN回線に接続してアクセスするルールやシステムを導入する、あるいは不正な通過パケットを自動的に発見、もしくは遮断する措置のできるシステムが求められます。
引用: 総務省

つまり、テレワーカー以外が社内ネットワークに接続するかを常に監視し、摘発するシステムが必要だという事です。社内ネットワークがいくら安全だといっても、それは社内にいる認証された人々だけが利用する場合のことであり、誰もが潜みこめるとなると、もはや安全とは言えません。よって、社外から社内に接続する場合は、怪しい接近を最初から遮断するソリューションを予め導入しておく必要があります。

 

コストをできるだけ削減する

情報セキュリティ対策へのコストを支払うにはに制約があるという理由での反対がある、という方も多いでしょう。しかし、無論自社に対する攻撃だけではなく、他人に対する攻撃への足掛かりにもなりかねない状況で、最低限のセキュリティ対策は必須です。総務省もまた、次のような見解を示しています。

対策の程度は企業により異なりますが、電子メールやWeb等のインターネットに繋がったサービスを使う以上は、他人に迷惑を与えないという意味で、最低限の対策は必要であると考えられます。
引用: 総務省

セキュリティ対策をとるにあたっては、「脅威が存在する」状況であると認めることが重要だとお伝えしました。しかし、そのような状況認識下でも、費用の問題で戸惑う企業もまた、多くいらっしゃると思います。しかし、会社の扉を閉めなければ泥棒が入るから防犯会社と契約するのと同じく、対処をしなければ、もっと大きな被害がいずれは訪れるでしょう。被害が出た後ではなく、被害が出る前に備えるのが重要です。そして、そのための手段を選ぶときには、最も状況にあった、優秀なコストパフォーマンスの製品を選択すべきでしょう。

 

最後に

いかがだったでしょうか。前述したとおり、テレワークは確かに人の「健康」を守るため有効な手段です。しかし、それによって企業情報の「健康」が損なわれることは、最大限防がなければなりません。クラウドブリックもまた、暗号化・二要素認証・モニタリング及び遮断といった機能を持つ Remote Access Solutionを通じ、企業情報の健康を守ろうとしております。そして、その二つの「健康」を守るため尽力しておられるIT担当者の方々に、Cloudbric Remote Access Solution が役に立てれば、と思う一方であります。

Cloudbric Remote Access Solution の詳しい情報は、こちらをご覧ください。