アイキャッチ_58809 ペネトレーションテストとは?脆弱性診断との違いややり方を解説.png のコピー

ペネトレーションテストとは?脆弱性診断との違いややり方を解説

ITシステムやネットワークなどに脆弱性があると、サイバー攻撃の対象となりかねません。システムのセキュリティに懸念があるのなら、ペネトレーションテストの実施が有効です。本記事では、ペネトレーションテストの基礎知識や脆弱性診断との違い、具体的なやり方などについて解説します。実施によって得られるメリットや取り組み方を把握し、この機会にぜひ取り入れてみましょう。

 

ペネトレーションテストとは?

ペネトレーションテストとは、システムへ意図的に攻撃、侵入しセキュリティ能力を検証するテストです。ペネトレーション(penetration)は、侵入や貫通を意味する英単語であり、このことからペネトレーションテストは侵入テストとも呼ばれます。

システムに存在する特定の脆弱性や、攻撃を受けたときの被害レベルを把握するために行われるテストです。シナリオに基づきシステムへの侵入を試みるため、実施する際には専門の技術者が担当します。

なお、テストの調査対象は検証内容によって異なります。これは、悪意をもつ攻撃者が求める結果を出せるかどうか、テストによって確認するためです。

 

・ペネトレーションテストと脆弱性診断との違い

ITシステムなどのセキュリティをチェックする手法として、脆弱性診断が挙げられます。脆弱性診断とは、システム全体に存在する脆弱性を網羅するためのテストです。サイバー攻撃は、システムの脆弱性を狙ったものが多いため、どのような弱点があるのか把握し、適切な対策を行わなくてはなりません。脆弱性診断はそのために実施します。

脆弱性診断は、専門の技術者が行うこともあれば、ツールを利用するケースも少なくありません。診断によって、介在している脆弱性の特定や脅威レベルの設定、レポートへの記載などを行います。

ペネトレーションテストとの大きな違いは、目的と調査対象です。ペネトレーションテストの目的は、特定の脆弱性や被害レベルの抽出で、検証内容によって調査対象が変わります。一方、脆弱性診断はシステム全体が調査対象であり、侵入口となる脆弱性を網羅的に発見するのが目的です。

なお、目的に応じた脆弱性診断を実施したいのであれば、以下のサービスが適しています。

Cloudbric 脆弱性診断

Cloudbric脆弱性診断

 

ペネトレーションテストの種類

ペネトレーションテストは、大きく分けて内部テストと外部テストに分類されます。前者は、アプリケーションサーバやセキュリティシステムなど内部のシステム、後者は公開サーバや機器など、外部からアクセスできるシステムなどが対象です。

 

・内部ペネトレーションテスト

内部ペネトレーションテストは、アプリケーションサーバや認証サーバ、セキュリティシステム、DBサーバなど、外部とシャットアウトされた内部システムを調査対象としたテストです。これらは、外部からのアクセスが困難であるものの、攻撃の対象にならないわけではありません。

また、外部からの攻撃にしっかりと備えていても、すでに侵入されていた、内部に不正を働く者がいる、といった状況ではシステムを守り切れません。このような状況の回避や、ダメージ最小化を実現するためテストを行います。

 

・外部ペネトレーションテスト

外部ペネトレーションテストは、ネットワークを介して外部からアクセス可能な、公開サーバやシステム、機器などを対象に行うテストです。実際に専門の技術者が外部からシステムなどへ侵入を試み、脆弱性や被害レベルなどを可視化します。

外部からの代表的なサイバー攻撃と言えば、標的型メールが挙げられます。標的型メールとは、特定の対象をターゲットとしたメール攻撃です。主に、ターゲットとした組織が保有する重要な情報を盗むために用いられる手法で、マルウェアを仕込んだメールを添付して実行されるケースがほとんどです。

そのため、外部ペネトレーションテストでも、疑似マルウェアを用いて侵入を試みるテストがよく行われています。疑似マルウェアを添付したメールを送付し、侵入可能な領域などを抽出します。

 

ペネトレーションテストの手法

ペネトレーションテストには、ホワイトボックステストとブラックボックステストの2種類があります。双方に特徴があるほか、どちらを実施するかで費用が変わることも覚えておきましょう。

 

・ホワイトボックステスト

ホワイトボックステストは、システムの設計や仕様、ソースコードなどを共有して行われるテストです。すべてのロジックを対象にテストを行うため、表面化していない潜在的な脅威を検出できる可能性があります。

ホワイトボックステストを行う際、場合によっては思うような成果が得られないケースがあるため注意が必要です。当該テストは、システムの詳細設計書に基づき実施されます。そのため、詳細設計そのものに誤りがあると、正しく検証を行えず問題を抽出できません。

 

・ブラックボックステスト

ブラックボックステストは、システム情報を開示しないまま実施される侵入テストです。検証を実施する技術者に、システムの情報を何ひとつ教えないため、実際のサイバー攻撃に限りなく近いシチュエーションのもとテストを実施できる点が特徴です。

また、システム利用者の目線でテストを行えるため、システムの改善につながるヒントを得やすいのも魅力です。開発側では把握できていなかった、システムの使いにくさ、画面の見にくさなどに気づくきっかけとなりえます。

一方、システムの性能を評価するテストとしては優れていません。システムの設計や仕様といった情報を共有しないままテストを実施するためです。

 

ペネトレーションテストの手順

ペネトレーションテストを実施するには、まずシナリオを作成します。たとえば、「マルウェアが添付されたメールを従業員が開いてしまう」といった具合に、実際のサイバー攻撃を想定したシナリオを作成しましょう。

シナリオが完成したら、調査対象への攻撃を開始します。検査を行う技術者の技量によって、結果が大きく左右されることがあるため、その点に注意が必要です。

テストが終了したら、検証を担当した技術者や企業が報告書を作成し、提出します。外部に依頼する場合、報告は書面で渡されるだけのケースもあれば、結果内容について担当者が説明してくれることもあります。このあたりの対応は、依頼先によって異なるため、事前に確認しておきましょう。

 

まとめ

実際のサイバー攻撃を想定したペネトレーションテストの実施により、脆弱性の特定と適切な対策が可能です。各種システムのクラウド化が進む昨今では、クラウドセキュリティの重要性が高まっています。クラウドを含めたシステムの情報セキュリティに問題があると、機密情報の漏えいにつながり、社会的な信用を失いかねません。このような状況を回避するためにも、セキュリティ向上を実現できるペネトレーションテストの実施を検討してみましょう。

 

 

▼Cloudbirc 脆弱性診断の詳細はこちら

▼製品・サービスに関するお問い合わせはこちら

▼パートナー制度のお問い合わせはこちら

Emotet

Emotetとは? その特徴や被害のほか、対策についても解説

企業の扱うデータ量が膨大になり、クラウド環境が一般的になると、懸念されるのが情報セキュリティの問題です。この記事では、「Emotet(エモテット)」と呼ばれるマルウェアの一種について、特徴や攻撃方法、万一感染した場合の影響について解説します。また、大切な情報を守り、円滑に事業活動を進めるためにどのような対策ができるのかについても紹介します。ぜひ参考にしてみてください。

 

Emotetとは

Emotet(エモテット)とは、悪意のあるソフトウェアやプログラムとして働くマルウェアの一種です。初めて確認された2014年頃は、メールを介してオンラインバンキングのIDやパスワードを盗み取られる被害が頻発しました。2021年1月には欧州刑事警察機構が対応に動いたことでいったん被害が減ったものの、一方で同年11月にも活動が確認されました。
業務上必要と思われそうなメールで送られてくるため、その手口は非常に巧妙です。企業における情報セキュリティ上の重大な脅威として、近年あらためて注目を集めています。

 

Emotetの特徴

 

・添付ファイルを媒体として感染する

Emotetは、WordやExcelなどのOfficeファイルが添付されたメールを送付する手口がよく見られます。そのファイルにはマクロが組み込まれており、対策が十分ではない企業の社員や一般ユーザーが開くとマルウェアに感染してしまうという仕組みです。
ほかにも、メール本文から別のWebサイトへ誘導し、「無料」とうたってウイルス対策ソフトをダウンロードさせるように促す手口もあります。もちろんそれを信じてダウンロードしてしまうと不正プログラムが取り込まれ、マルウェア感染は避けられません。

マルウェアに感染してしまうと、Emotetが置かれているサーバーへアクセスし、企業の情報漏えいにつながります。さらに、被害者になりすまして関連する取引先などのPCへ同様のメールを送付することから、被害が拡大してしまいます。

 

・マルウェアだとバレないような巧妙な工夫が施されている

Emotetのやっかいなところは、送付するメールがまるで正規のメールのように工夫されている点です。業務上、Officeの添付ファイルを送るといったシーンはとくに珍しくありません。近年は、正規にやり取りされたメールに「Re:」を付けることでスレッドに割り込み、見分けがつかないようにする手口も見られるようになりました。季節的、社会的な事柄に関するメールが送られてくることもあり、疑う余地もなくマルウェアに感染しているケースは十分ありえます。

また、あくまでEmotet自身には、不正コードが組み込まれているわけではありません。受信者がメールの添付ファイルを開くとEmotetのサーバーへアクセスし、情報搾取するモジュールをダウンロードすることで機能します。このモジュールはローカルファイルとして保存されず、メモリ上で動くというのが特徴です。
そのため、セキュリティの担当者ですら発見しにくく、被害が大きくなりやすい点も多くの企業を悩ませています。

 

Emotetによる被害

 

・情報漏えいなど企業活動に影響が出る

Emotetによってマルウェアに感染すると、情報を搾取するためのモジュールによって重要なデータが盗み取られ、情報漏えいにつながるおそれが高まります。ひとたびこうした事態が起きると、社会的な信用を失い、事業活動を安定的に継続していくことが難しくなってしまうかもしれません。

 

・さらなる感染の拡大が起きる

Emotetは情報搾取のモジュールだけではなく、ほかのマルウェアにも感染させようとすることがあります。たとえば、データを勝手に暗号化して復旧するのに身代金を要求する「ランサムウェア」に感染してしまうと、何の情報が漏れたのかすら不明となり、通常業務が滞ってしまうことも問題です。
なりすましメールによって社内のみならず社外にも感染が拡大するため、取引先など関係者にも大きな迷惑をかけてしまいます。

 

Emotetへの対策

Emotetの仕組みは巧妙であるため、なかなか対策を打ちにくいのではないかと思われるかもしれません。それでも、以下で説明するように被害を起きにくくしたり、最小限にとどめたりするための対策があります。

 

・予防策を講じる

Emotetは基本的にメールが感染経路となるため、まず届いたメールが誰からのものか、送信元を必ず確認しましょう。また、マクロが自動実行しないように設定しておくことも大切です。Officeのマクロ設定を「警告を表示してすべてのマクロを無効」としておきます。
さらにWindowsなどのOSでは、新型の脅威に対応するためにセキュリティパッチを更新しています。そのため、OSの新しいバージョンが配布されれば、忘れず早めに更新作業をしておくと安心です。

 

・対処法を用意する

細心の注意を払って予防していても、ついうっかり誤ってファイルを開いてしまうかもしれません。そのため、万一疑わしいファイルを開いてEmotetに感染してしまった場合、どのように対処すればよいのかをあらかじめ確認しておくようにしましょう。
たとえば、すぐさまネットワークを遮断する、関連部門へ連絡する、といった方法が挙げられます。

 

・セキュリティソフトを導入する

マクロの組み込まれたファイルが添付されているなどの怪しいメールを検知できるように、セキュリティソフトを導入するのも一案です。ただ、直近に確認されたEmotetでは、メールに添付されたZIPファイルを展開すると大きなサイズのファイルとなり、既存のウイルス対策ソフトの検知機能をすり抜けることも指摘されています。
そのため、ソフトを選ぶ際には機械学習型の検索機能以外に、サンドボックス機能も使えるものを検討するとより安心です。

 

まとめ

Emotetの被害は一時期下火となっていましたが、近年はまた企業のセキュリティに対する脅威として注目されています。マルウェアだと気付かないような巧妙さが特徴で、社内外へあっという間に被害が拡大してしまい、企業活動にも重大な影響を及ぼしかねません。そのため、できる対策はすべて打っておくことが大切です。

サイバー攻撃の種類が増えてきている昨今、どのような対策を取るべきか、どのようなサービスを導入すべきか、判断に迷うこともあるかもしれません。クラウド型セキュリティサービス「Cloudbric」は、企業において情報セキュリティ上必要なソリューションが一元的なプラットフォームで提供されているため、様々なサイバー攻撃に対応できるセキュリティサービスの導入をお考えであれば、ぜひ導入を検討してみてください。

 

Cloudbric(クラウドブリック) トップページ
製品・サービスに関するお問い合わせはこちら
Cloudbirc WAF+の無償トライアルはこちら
パートナー制度のお問い合わせはこちら

株式会社ワールドスカイ

株式会社ワールドスカイ

 

株式会社ワールドスカイ

株式会社ワールドスカイは、お客様が本当に必要なICT技術は何か、その技術のセキュリティリスクに問題は無いかを常に考え、研究し、最高のご提案を行えるように取り組んでいます。創業より、海外セキュリティ製品にこだわり、良い技術・製品・サービスを探してまいりました。海外の特性を活かし、日本独自の風習に合うようにコーディネイトすることにより、多くの企業様へ安心してご利用いただけるICT技術を導入させて頂いております。これからも「セキュリティを活かしたICTでお客様の課題解決」をモットーに、お客様の最高のパートナーになれるように日々精進いたします。

Cloudbric WAF+」の導入を検討したきっかけを教えてください。

弊社は、SI(システムインテグレーション)ビジネスを展開する企業として、Webアプリケーションへのセキュリティ対策としてコンサルティング、脆弱性診断などを提供しております。Webサイト上に大幅な追加・修正が生じた際は、脆弱性診断で対策を取る方法もありますが、金額面・恒久的な対策という側面を考慮した際、24/365で運用をサポートしてくれるサービス兼セキュリティ専門チームを活用することが効果的であるという判断に至り「Cloudbric WAF+」を採択しました。実際に「Cloudbric WAF+」を使用してみたところ、アプライアンスタイプのWAFに比べて初期費用や運用コストが非常に安く、予算を抑えることができました。運用面におきましても、弊社側で常にログを分析せずとも、脅威IPや最新の脅威データベースに基づいた対策をメーカ側で行っているため安心して利用できます。結果的に運用負荷の軽減にもつながっています。「Cloudbric WAF+」は弊社で取り扱っている製品でもあるため、性能、さまざまなメリットについても詳細を把握していたため、金額面、機能面、運用面を考慮し、導入を決めました。

Cloudbric WAF+」選定時、最も重視されたポイントを教えてください。

実際に「Cloudbric WAF+」をご利用いただいているお客様、セキュリティ関連でお付き合いのあるSI企業様などの評価は大事にしました。様々なWAFサービスがある中で、あるサービスは「知名度は高いが検知率が低い」といった声や、あるサービスでは「性能は良いが運用後のカスタマイズ費用が高い」など、それぞれのサービスには一長一短あることが判りました。弊社の場合セキュリティビジネスをしていく上でお客様視点からの声が直接聞けるので、そういう評価を重視しながら選定しました。

また、費用面でのメリットというところも気になるポイントでした。他社サービスの価格表と比較しながら、弊社のシステム環境と合わせて総合的に検討してみると、トータル的には他社より「Cloudbric WAF+」の方が安くなるという結論に至りました。結局、他社の評価と費用面でのバランスというところが「Cloudbric WAF+」を選ぶ決め手となったのではないかと思います。

Cloudbric WAF+」を利用した感想をお聞かせください。

「Cloudbric WAF+」を導入すると、30日間検知モニタリングを行い、ログ分析の詳細や運用状況などをまとめたレポートを共有してもらえます。実際、不正アクセスではない管理者IPが不正ログとして検知されていたため例外処理をするなど、本格運用する前に自社環境に合わせてセキュリティポリシーを提案してもらい、カスタマイズできるところが印象的でした。他社の場合、例外処理やお客様に沿ったポリシー調整となるとそこに対する追加費用が発生するケースがありますが、「Cloudbric WAF+」のサービスは、そのような部分がプランに含まれているので、そういう点がメリットではないかと思います。

デメリットとしては、やはり国産製品ではないため、国内においては、他社と比べて知名度が低めであることは少し残念だと思います。しかし、海外では世界中から数々の賞を受賞し、実際ご利用頂いているお客様にもそのセキュリティ技術力も相当認められているので信頼をおき利用しています。

Cloudbric WAF+」の導入後、効果はございましたか。

「Cloudbric WAF+」の導入後、ダッシュボードでログの確認などが分かりやすく構成されているので非常に助かっています。担当者としてセキュリティは気にしなければいけませんが、どうしてもフロント部分やサービス部分をメインとして見るため、その部分の比重が高くなってしまう傾向があることも事実です。その点、ダッシュボードやレポートでサイバー攻撃や不正アクセスをひと目で把握できるため、現状を把握するまでの手間を省くことができたと思います。また、「Cloudbric WAF+」はWAF機能だけでなく、無償SSLや基本的なDDoS攻撃対策など、プラスアルファ的なサービスも提供しているため、その他セキュリティ対策を導入する必要はなく、一元管理できるという点も管理者としては大きなメリットであると思います。

Cloudbric WAF+」を使用した際、最も気に入った機能を教えていただけますか。

ダッシュボードが見やすいところが「Cloudbric WAF+」の大きなメリットだと考えています。ダッシュボードからは各種設定ができ、ユーザエクスペリエンスに相当気を使っていることが目に見てわかります。

「Cloudbric WAF+」の導入を検討されているセキュリティ担当者様は、無償評価版を使用し、ダッシュボードから操作性を見てみるのは如何でしょうか。又は、無償評価版を申込みせずともクラウドブリックのホームページにて提供されるダッシュボードで実際に体験いただけるようです。

https://www.cloudbric.jp/free-trial/

あとは、サポート面がしっかりしていることだと思います。海外企業だとサポート面で日本語対応ができていないところも多く、どうしても不安が生じてしまうところもあります。しかし、クラウドブリックは日本法人があるため、サポート面において完全日本語で対応してくれるところ、そしてWebからも24/365できちんとと問い合わせ回答してくれるため、安心して利用できると思います。

最後に一言お願い致します。

「Cloudbric WAF+」はグローバルで販売しているサービスで、現在95ヵ国の10万以上のレファレンス実績を上げています。ですので、最近だと世界中から収集した脅威インテリジェンス(Threat Intelligence)などを活用して、最新の脅威データベースにも対応していると思います。そして、機能改善とか、拡張というところも積極的に行っているところは、更なる製品の質の向上という観点から個人的に期待している部分でもあります。弊社としては、「Cloudbric WAF+」のメリットとそういうところを含め、「セキュリティ専門家でなくても安心して使えるWAFサービス」としてお客様に積極的に提案していきたいと思います。WAF導入を検討されている担当者様なら、まず30日の無償トライアルからお気軽にご利用されることをご検討ください。

サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドラインVer3.0|改訂内容を解説

クラウドサービスやAI、IoTなど、企業は劇的に変化していくIT環境に適応するために、適切なセキュリティ対策を講じる必要があります。この記事では、2023年3月に改訂された「サイバーセキュリティ経営ガイドライン」について、基本事項を紹介しつつVer2.0との違いを解説します。改訂内容を把握した上で、自社に適したセキュリティ対策を検討する際に、ぜひお役立てください。

 

サイバーセキュリティ経営ガイドラインとは?

近年、AIやIoTなど最新のデジタル技術が急速に発達し、浸透してきました。企業が扱うデータ量も膨大になり、ITの利活用は不可欠です。一方で、クラウド環境ではインターネットを介することから、サイバーセキュリティ犯罪には一層警戒を強め、適切な対策を講じていかなければなりません。

こうした企業の課題への向き合い方について、経済産業省が独立行政法人情報処理推進機構(IPA)と協議し策定したのが、「サイバーセキュリティ経営ガイドライン」です。脅威となっているサイバーセキュリティへの対策を効果的に進めるためには、経営者がリーダーシップを発揮し、このガイドラインを確認の上、着実に実行していかなければなりません。
本ガイドラインの内容は、サイバー攻撃からいかに自社を守るかといった観点から、主に以下の2つの柱を掲げているのが特徴です。

  • 経営者が認識すべき3原則
  • サイバーセキュリティ経営の重要10項目

 

「経営者が認識すべき3原則」の改訂内容

サイバーセキュリティ経営ガイドラインは2023年3月にVer2.0からVer3.0へ改訂されました。ここでは「経営者が認識すべき3原則」の項目で主にリニューアルされたところを解説します。

 

・重要課題として経営者のリーダーシップのもとでの対策が必要

サイバーセキュリティは今や社会的にも大きな関心事です。企業の代表である経営者がこうした脅威を放置していては、取り返しのつかない大きな被害を受けかねません。
そこでVer3.0では、経営者の責務としてリーダーシップを発揮することや対策の重要性を明文化しています。今やITの利活用とあわせて、自らサイバーセキュリティ対策を積極的に推進できる経営者が求められているといっても過言ではありません。

 

・自社のみならず全体にわたる対策への目配りが必要

次に、経営者がどのような範囲で対策を打つべきかが改訂されたことも注目すべきポイントです。
これまで多くの企業では、社内だけの問題としてセキュリティ対策を検討すればよいといった認識が一般的でした。しかし、サイバー犯罪は日々刻々と巧妙化の一途をたどっています。また、サプライチェーンも複雑化しています。
したがって、自社が関わる社外のサプライチェーン全体を見た上で、最適なサイバーセキュリティ対策とは何かを考えなければなりません。そうした意味から、今回のガイドライン改訂では、より広範囲まで目配りしなければならないといった内容が明示されました。
常日頃から連絡体制を整えられていれば、万一のインシデント発生時にも復旧に向けた素早い初動対応が可能になります。

 

・関係者との積極的なコミュニケーションが必要

サイバー攻撃を受けたときに初めて関係者と密に連絡を取ろうとしても、なかなかスムーズにいかないことは往々にしてあります。
そのため、緊急時のみならず、何も問題が起きていない平常時であってもさまざまな関係先と継続的にコミュニケーションを図っておくことが大切です。そこでどういった対策が必要かを議論しておけば、互いの課題を共有し、より効果的な方法を模索できます。

 

「サイバーセキュリティ経営の重要10項目」の改訂内容

ガイドラインのもうひとつの柱である「サイバーセキュリティ経営の重要10項目」では、全体的に項目の見直しがなされました。ここではその中で4つの項目を取り上げて紹介します。

    • 「指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保」

セキュリティにまつわるインシデントを防ぐためには、IT部門のみならず、すべての従業員がセキュリティ対策を「自分ごと」と捉えなければならないこと、また確実に遂行できるスキルを身に付けたり予算を確保したりしなければならないといった内容が追記されています。

    • 「指示8:インシデントによる被害に備えた復旧体制の整備」

サプライチェーン全体がインシデントに対応できる体制づくりや留意点、訓練を実施しない場合に起きうる影響などについて、具体的に追記されています。

    • 「指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」

セキュリティ対策を打つ範囲はサプライチェーン全体におよぶこと、また効果的な方法を検討するとともに状況把握も的確に行う必要があること、関係先との役割を明確化し、責任の所在を明らかにすることなどが盛り込まれています。

    • 「指示10:情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供」

サイバーセキュリティに関する新しい情報を受け取るためには情報共有を進んで行うことも大切であること、被害を受けた場合の報告や公表体制、ステークホルダーへの開示などが追記されています。

 

サイバーセキュリティ経営ガイドラインが改訂された背景

サイバーセキュリティ経営ガイドラインが改訂された背景には、いくつかの要因があります。とくに、近年のサイバー攻撃は多様化、巧妙化しているのが特徴です。対策を打てば打つほど、今度はそれらを回避するような攻撃が仕掛けられることもよくあり、各企業ではさらなる対策の強化が求められています。その際には、現場に任せきりにするのではなく、経営者がリーダーシップを発揮することが重要です。こうした社会的なニーズの高まりから、ガイドラインは企業の対策をサポートする形で改訂されました。

 

まとめ

経済産業省がIPAと協力して策定、公表している「サイバーセキュリティ経営ガイドライン」は、企業がサイバー犯罪から身を守り、セキュリティ対策をどう打てばよいのかといった指針となるものです。
クラウド環境が浸透しつつある昨今では、社内外のネットワークを包括的に見据え、柔軟な対策が求められています。そこでおすすめなのが「Cloudbric」です。一元化されたプラットフォーム上で企業は自社にとって必要なソリューションを選択、導入できます。
セキュリティ対策の強化に課題をお持ちであれば、ぜひご検討ください。

 

Cloudbric(クラウドブリック) Webセキュリティ
製品・サービスに関するお問い合わせはこちら
Cloudbirc WAF+の無償トライアルはこちら
パートナー制度のお問い合わせはこちら

サプライチェーン攻撃

サプライチェーン攻撃とは? 攻撃方法やその対策を紹介

サプライチェーン攻撃

サプライチェーン攻撃は、標的となる企業に対して直接攻撃を行わず、セキュリティの脆弱な関連企業や取引先・委託先を狙うサイバー攻撃です。
この記事では、自社が取引先企業などに重大な損失を与える原因とならないためにも、企業の経営者が把握しておくべきサプライチェーン攻撃について、概要や攻撃方法、攻撃への対策などを解説します。

 

 

サプライチェーン攻撃とは

サプライチェーンとは、製品の企画から原材料の調達、製造、販売、消費までの一連の流れのことです。メーカー以外にも、製品の原材料を販売する企業や部品を製造する企業など、複数の企業が関連しているケースも少なくありません。

サプライチェーン攻撃は、こうした組織間または企業間のつながりを悪用して、目的の企業に直接攻撃するのではなく、セキュリティが弱い関連企業や取引先を標的に行われる間接攻撃です。業務委託先の企業や周囲の取引先などを攻撃して侵入してから、その企業を介して強固なセキュリティ対策を行っている企業に対して攻撃を仕掛けます。

ターゲットとする企業が使用するソフトウェアや更新プログラム、ハードウェアなどに不正なプログラムを組み込んで、マルウェアなどに感染させる攻撃方法もあります。

 

 

サプライチェーン攻撃の攻撃方法

・ハードウェアやソフトウェアを介した攻撃

ハードウェアやソフトウェアを介して実施される攻撃は、ソフトウェアサプライチェーン攻撃と呼ばれます。攻撃者が製造段階や提供段階で不正なコードを入れたソフトウェアを制作・提供し、企業内に入り込んだ不正コードの働きにより攻撃が開始される手法です。企業が使用しているソフトウェアをアップデートした際にマルウェアに感染し、不正にアクセスされるケースなどが考えられます。

自社が対策を行っていても、セキュリティの弱い関連企業のソフトウェアが感染させられ、ほかの企業を介してネットワークに侵入されるケースもみられます。比較的感染に気づきにくい方法のため、充分に対策を行うことが重要です。

 

・サービス事業者を介した攻撃

攻撃者がプロバイダなどに対して不正アクセスを行ってから、プロバイダがサービスを提供している顧客を狙う手法です。プロバイダを介して、顧客の企業にランサムウェアを拡散させるため、広範囲にわたって攻撃が実行されます。

サプライチェーンには、ターゲット企業の子会社、海外拠点、関連会社などさまざまな企業が該当します。サービス事業者を介した攻撃はサービスサプライチェーン攻撃とも呼ばれ、狙われるのは主に企業が利用しているWebサービスやMSP(Managed Service Provider)などです。

 

・委託先を介した攻撃

委託先を介した攻撃とは、ターゲット企業の取引先を調査してから、セキュリティが弱い委託先に攻撃を仕掛ける手法です。システム開発や顧客情報の管理などを委託している場合には、業務を委託している企業が狙われ不正アクセスが実行されます。

委託先企業から機密情報を盗み、ターゲット企業から金銭を脅し取るケースも見られます。

 

 

サプライチェーン攻撃への対策

・サプライチェーン全体の状況を把握する

サプライチェーン攻撃は自社だけでなく、取引先や委託先など、サプライチェーン全体で取り組む必要があります。そのためには、ビジネスを始める際にセキュリティ対策の内容を明確に定めてから契約を行うことが重要です。対策を共同で行うため、系列企業や委託先企業などが取り入れている対策の状況を把握する必要もあります。

対策状況は、定期的に確認を行います。万が一サプライチェーン攻撃を受けた場合に備えて、攻撃の被害を確認、報告する体制を整えることも重要です。

 

・情報セキュリティ教育の実施や対応フローの確立をする

社員の情報セキュリティに対する意識改革も対策のひとつです。たとえ情報セキュリティ対策を実施していても、社員のセキュリティ意識が低い場合には確実な対策ができません。

社内の情報セキュリティに対する意識を高めるには、研修や社員教育を行うことが重要です。社員が必要な知識を身につけることで、ヒューマンエラーによるマルウェア感染の防止にもつながります。

サイバー攻撃を受けたケースまで想定し、トラブル発生時の対応フローを設定しておくと、迅速な対応も可能です。

 

・OSやソフトウェアは最新にしておく

OSやソフトウェアには、「セキュリティホール」と呼ばれる情報セキュリティ上の脆弱性が発生する場合があります。セキュリティホールを狙って攻撃が行われるケースもあるため、OSなどは常に最新の状態にアップデートしておきましょう。

OSやソフトウェアメーカーは、発見したセキュリティホールを修復するため、更新プログラムをユーザーに配布しています。OSなどの脆弱性を修正する更新プログラムは、受け取った際にすぐ実行することが大事です。

 

・セキュリティソフトを導入する

ウイルス感染を防ぐには、セキュリティソフトの導入が適しています。これは基本的なセキュリティ対策として多くの企業が導入している方法です。

セキュリティソフトは、ウイルス対策やファイアウォールなどの機能で、ウイルス感染や不正侵入、さまざまなサイバー攻撃からネットワークとコンピュータを守ってくれます。導入後にはこまめなアップデートを行い、最新の状態を維持しておきましょう。

 

・ネットワーク対策を行う

サプライチェーン攻撃では、関連企業などを介して攻撃される恐れがあるため、被害を最小限に抑える目的でネットワーク上の対策も必要です。たとえば、重要な情報に関わるデバイスやネットワークは、他のネットワークとはつなげずに独立させておくことも対策になります。

ネットワークが独立していると、万が一攻撃を受けた際にも、他のネットワークから重要なデータへのアクセスを防ぐことが可能です。また、アクセス制限を設けるなどの対策も、外部からの攻撃を阻止するのに役に立ちます。

 

・パスワード対策を行う

不正なアクセスを防ぐため、推測や解析されにくいパスワードを設定することも重要です。さまざまなシステムやネットワークで同じパスワードを使い回していると、万が一パスワードが外部へ流出した際に被害が拡大しかねません。

パスワード対策では、長く、複雑なパスワードを設定し、パスワードの使い回しを防止しましょう。さらに、パスワードが流出した場合に備えて、多要素認証と組み合わせる方法でセキュリティを強化することも効果的です。

 

まとめ

サプライチェーン攻撃は、製品の企画、原材料の調達から消費まで、事業活動の一連の流れにおいて関係する企業を介し、目的の企業に攻撃を仕掛けるサイバー攻撃です。主に企業が使用するソフトウェア、サービス事業者、委託先などを介して行われます。
サプライチェーンのなかでもセキュリティが脆弱な企業を狙って攻撃されるため、全体のセキュリティ対策状況を把握することが重要です。ほかにも、OSを最新にしておく、セキュリティソフトを導入するなどの対策が考えられます。

より万全な対策を求める場合には、WAFに加えて脅威IPや悪性ボットの遮断といった機能を備えるクラウド型WAFサービス「Cloudbric WAF+」の導入をご検討ください。

 

cloudbric - press release

【情報】2023年第1四半期の最新Web脆弱性トレンドレポート(EDB/CVE-Report)発行

2023年1月から3月までに公開されたExploit-DBの脆弱性報告件数は195件でした。

報告された脆弱性の分析内容は、以下の通りです。

 

1. Web脆弱性の発生件数:2023年第1四半期の月平均Web脆弱性発生件数は65件で、3月には最も多い72件が報告されました。

2. CVSS(Common Vulnerability Scoring System)* 推移:HIGH Level脆弱性は1⽉54%から3⽉34%まで減少傾向が見られましたが、CRITICAL Levelの脆弱性は46%から65%まで増加しました。
*脆弱性を点数で表記するため、0から10まで加重値を付与し計算する方式です。点数が高いほど深刻度が高いという意味です。

3. 上位Web脆弱性の攻撃動向:2023年第1四半期の場合、SQL Injectionが最も多く、次いでFile Upload、Remote Code Executionの順でした。

1) 1⽉: SQL Injection 73% (45件) / File Upload 9% (6件)
2) 2⽉: SQL Injection 64% (40件) / Remote Code Execution 12% (8件)
3) 3⽉: SQL Injection 76% (55件) / File Upload 5% (4件)

4. Web脆弱性の攻撃カテゴリ:報告されたWeb脆弱性を攻撃カテゴリ別に分析した結果、SQL Injection(72%、140件)が最も多く、次いでFile Upload(7%、13件)となり、全体の約8割弱を占めています。この2つの脆弱性に対しては更に注意を払う必要があります。

 

当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートの分析結果に基づいたパッチ適用やセキュアコーディング作業がおすすめです。しかし、完璧なセキュアコーディングは不可能であり、持続的なセキュリティのためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。

 

*EDB/CVE-Reportはペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が四半期毎に公表している最新Web脆弱性トレンドレポートです。本レポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」より公開されている情報を踏まえ作成されています。EDB/CVE-Reportは、各Web脆弱性に対する危険度及び影響度を詳しく分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていないお客様でもWeb脆弱性のトレンド情報を理解することができます。

 

[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]

 

 

SSL証明書

SSL証明書とは? 必要性や導入のメリット、種類を解説

SSL証明書

SSL証明書は、企業がWebサイトを安全に運営するために欠かせない技術です。SSL証明書を導入することにより、信頼性を保証する効果が見込めます。さらにSSL証明書の導入は社内用、外部ユーザー用に関わらず、運営するサイトの情報漏えいなどのリスクへの対応にもつながります。本記事では、SSL証明書の概要や必要性、導入によって得られるメリット、主な種類について解説します。

 

SSL証明書とは

SSLとは「Secure Socket Layer(セキュア・ソケット・レイヤー)」の略で、SSL証明書(SSLサーバー証明書)とは、Webサイトの信頼性を認証局が認証した電子証明書のことです。SSL証明書には、Webサイトの運営者(組織)が実在していること(実在性)を示す証明と、サイトとユーザーとの間の通信データが暗号化されていることの二つの役割があります。信頼のある第三者認証機関が発行しており、導入していれば信頼性が高いと判断されます。

さらに通信データがSSLによって暗号化されることから、個人情報などの重要なデータを外部から盗み見られることなく、安全にやり取りすることが可能です。SSLはもともと1990年代にNetscape社によって開発された古い規格であり、過去に脆弱性が発見されたこともあります。現在ではSSLのより新しいバージョンであり、より安全性の高い「TLS(Transport Layer Security)」が多く使用されています。

 

・SSL証明書の必要性

近年では、ECサイトなどのEコマースやネットバンキングなどで、個人情報や取引情報がインターネット上でやり取りされる機会が増加しています。SSL証明書が導入されていれば、ユーザーが閲覧しているWebサイトの安全性が保証されます。「なりすまし」の被害防止にも役立ちます。

通信データを暗号化させる働きでは、ECサイトでのショッピング時に送信される個人情報の盗聴を防止できます。SSL証明書がなければ、Webサイトの信頼性を獲得することができません。個人情報の漏えいに不安を感じたユーザーが利用を中断してしまうこともあり、信頼性を得るためにもSSL証明書は必要です。

 

SSL証明書で常時SSL化するメリット

部分的なSSL化では、ログインページやフォームなど限られたページだけがSSL化された状態であり、一定のページ以外は保護されていません。常時SSL化にすれば、Webサイト全体をSSL化でき、セキュリティの向上に効果的です。

常時SSL化によって、サイトのURLは「https」となり、ユーザーとサーバーとの間の通信は常に暗号化された状態になります。通信内容が保護されるため、データの盗聴を防止して個人情報やクレジットカード番号などの重要なデータの漏えいリスクを低減できます。

2014年8月にGoogleは「ランキング シグナルとしての HTTPS」と題し、常時SSL化済みの安全な接続が確立しているWebサイトを検索ランキング要素として考慮することを発表しています。常時SSL化によってサイトの安全性や信頼性が向上するだけでなく、SEO(検索エンジン最適化)にも効果があり、サイト運営者には大きなメリットがあります。

【参考記事】ランキング シグナルとしての HTTPS

 

・ドメイン認証

ドメインとは、Webサイトがどこにあるかを識別するためのインターネット上の住所のことです。「ドメイン認証(DV)」では、認証局が証明書を発行する際にドメインの所有者と申請者とが同じであるかどうかを確認します。認証が行われた場合、ドメインの使用権が証明されます。

ドメイン認証では、暗号化通信だけが可能になり、企業の実在性は証明されません。Webサイトの運営企業が架空ではなく、実在していることは証明できないため、社内向けや個人が運営するサイトなど、実在性が重要視されない場合に用いられます。

ドメイン認証は、3種類の中では最も認証レベルが低く、安価で導入できるSSL証明書です。導入費用は年間3万5,000円ほど、Web上だけで申請手続きを行うことができます。

 

・企業実在認証

「企業実在認証(OV)」は、企業の実在性が証明されるSSL証明書であり、ドメイン認証よりも認証レベルが高い証明書です。ドメイン認証に加え、証明書を発行する認証局が直接、企業が実際に存在しているのかどうかを確認します。

企業実在認証では、帝国データバンクなどの第三者データベース、法人登記の内容、印鑑証明書などで企業の実在性を確認します。企業実在認証を受ける場合には、会社名、住所、電話番号などの情報も確認されます。

Webサイトを運営する企業の実在性が認められることから、ユーザーが個人情報を入力するページがあるコーポレートサイトやSNSなどで多く用いられます。導入費用は年間6万円ほどかかります。

 

・EV認証

EV認証(EV)は、ドメイン認証や企業実在認証よりも認証レベルの高いSSL証明書です。EV認証では、ドメイン認証、申請者が実在することを確認する企業実在認証が行われ、さらに認証局などによって統一された世界的な承認基準で確認されたうえで証明書が発行されます。

証明書が発行されるまでには、申請者の事業内容や所在地、組織構造なども確認されるため、高い信頼性を持つWebサイトであることが保証されます。通信内容が暗号化され、サイトの信頼性が認められるため、フィッシング詐欺の対策としても最適です。

EV認証は、企業の公式サイトや、個人情報・クレジットカード情報などのデータをやり取りするECサイト、金融機関のサイトなどで用いられます。安全性が高い反面、年間契約で13万円ほどの費用がかかります。

 

まとめ

SSL証明書とは、Webサイトの安全性を保証する電子証明書です。サイトの運営者が実在することが証明され、通信データは暗号化されます。導入すると有効期間中には常時SSL化が可能になり、サイトのセキュリティが向上するだけでなく、検索サイトでのランキングにも好影響をもたらします。「ドメイン認証」「企業実在認証」「EV認証」の3種類の証明書は、用途や費用などと考慮して、自社サイトに適したものを選びましょう。

また、Cloudbric WAF+であれば無料でSSL証明書の発行が可能です。申請時の複雑なドメイン設定や費用をかけることなく、HTTPSを適用するWebサイトを登録するだけで発行が可能です。SSL証明書の発行にご興味がある方は下記のサービスページからご覧ください。

▼SSL証明書を発行できる、Cloudbirc WAF+について詳しく見る
https://www.cloudbric.jp/cloudbric-waf/

 

nakajitsu_logo

株式会社不動産SHOP ナカジツ

株式会社不動産SHOP ナカジツ

愛知・福岡・千葉に30店舗展開し、不動産仲介業(おうち探し館!)の他にリフォーム(Asobi-リノベ)、新築住宅(Asobi-創家(すみか))など幅広く手掛ける「ワンストップサービス」が特徴の総合不動産企業「不動産SHOPナカジツ」。
不動産業界の既存モデルにとらわれず、ユーザーファーストのサービスを展開し、中古住宅+リノベーション事業においては全国3位の実績を誇るなど急成長を遂げている。

Cloudbric WAF+の導入を討したきっかけをえてください。

ずいぶん前のことになりますが、DDoS攻撃を受けて社内システムがダウンしたことがありました。幸いなことに、大きな被害は発生していませんでした。しかし、いつ、どこから仕掛けてくるか全く予測のつかないDDoS攻撃の恐ろしさを改めて実感する瞬間であったし、ホームページやWebサーバーへのセキュリティ対策を見直すきっかけにもなったと思います。DDoS攻撃は、攻撃対象に大量のトラフィックを送り付けてサービスを停止させることが一般的ですが、だからといって全てのトラフィックを遮断してしまうと、正常なトラフィックまで遮断されサービスが利用できない状況が生じてしまいます。うちのホームページに訪ねてくださるお客様に迷惑をかけるわけにはいかないので、我々には異常のあるトラフィックをしっかり遮断し、正常なトラフィックのみを通すことのできる性能の高いセキュリティ対策が必要でした。それでWAFを含め総合的なWebセキュリティ対策を探し始めたのです。

Cloudbric WAF+選定時、最も重視されたポイントをえてください。

誤検知をなるべく起こしたくない、もし起こしたとしてもなるべく速く対応したい、運用面ではそういったところを重視しました。 弊社の場合、ホームページからいらっしゃるお客様が多く、ホームページに障害が起きたり、なんらかの理由でアクセスできなかったりするなど、ホームページが使えなくなる状況がそのまま利益にも関わってくるんです。また、検知率がどんなに高くても、誤検知がそれほど多ければ台無しになってしまうので、検出力を高い水準に維持しながら誤検知率を減少できる製品にしたいなと思いました。
WAFはシグネチャー型とロジックベース型と2種類を検討させて頂きまして、検知率、誤検知率など検知能力が優れているロジックベース型のCloudbric WAF+に決定しました。海外の第三者機関から公認された結果などが非常に分かりやすく示されてあったので、そういうところが決め手になったのではないかと思います。あと、運用時に即時に対応できる仕組みになっていること、そして即対応してくれることもCloudbric WAF+を選択した理由の一つです。

Cloudbric WAF+を利用した感想をお聞かせください。

まず、弊社の場合Cloudbric WAF+の導入において、WAF機能を最優先で考えたのですが、SSL証明書サービスや、基本的なDDoS対策、脅威IPや悪性ボットの遮断など、様々なWebセキュリティ対策を一緒に提供して頂き非常に良かったです。コストパフォーマンス的にも非常に大きなメリットではないかと思います。
Cloudbric WAF+は導入後の約1ヶ月間、遮断モードで運用します。その期間に生成された検知ログをもとに、自社に合ったカスタマイズされたセキュリティポリシーを作成し、これからの運用に反映されるらしいです。実際、遮断モードで検知された約75,000件のログ情報など詳細レポートとして作成していただきました。そしてその情報をもとにセキュリティポリシーを提案して頂き、本当にうちに合ったセキュリティ対策で運用できることが印象的でした。

Cloudbric WAF+の導入後、果はございましたか。

導入後しばらくして、約7万件の攻撃が検知されて少し驚いた記憶があります。Cloudbric WAF+の管理画面上でロシアを発信国としたIPによる不正アクセスが多数発見され、全て遮断することができました。そして、レポートを見て分かったことですが、国家別に例外処理を行わなかった2つのサイトが新たに確認でき、すぐに例外処理を行ったこともあります。今まで気づくことのできなかったセキュリティ的な穴を見つけて対処できるなど、少しずつセキュリティ対策のレベルを高められていると感じております。うちの場合、導入してそんなに 経っていないですが、導入の効果がすぐ目に見えて、大変満足しています。

Cloudbric WAF+を使用した際、最もに入った機能をえていただけますか。

とりあえず、管理画面が相当使いやすくて見やすいです。国別にフィルタリングできたり、例外処理をこちら側でできたりすることがすごく便利でした。そして管理画面上でほぼ全ての操作ができることですかね。すぐに遮断したいってなったときに1回のクリックだけで処理できることは、使う側としてはすごく便利な機能の一つだと思います。
そしてレポート機能なんですが、攻撃の種類や詳細内容について、専門知識のない人でも理解できるように分かりやすく詳しく説明されているので常に参考にしています。

最後に一言お願い致します。

先にも言いましたが、ホームページからいらっしゃるお客様が多いこともあり、うちのWebサイト上で重要な資産情報やの個人情報などを扱っていることもあり、可能な限りの対策を取っていきたいです。先日、ログ情報を確認してみたんです。うちの場合基本日本とアメリカからのアクセスを許可しているのですが、検知結果を見たら結構ブロックされていて、ちゃんと検知できていると考えられます。基本的に運用面で安心してお任せできることは、Cloudbric WAF+の一番のメリットではないかと思います。
また、不正侵入が減っているところで、本当にホームページにアクセスしてくれるお客様がログとして残ってきて、ちゃんとしたログが取れるようになって、アクセス経路の分析により経営戦略にも役に立ってくるかなと思います。

ITmedia Security Week 2023 夏

クラウドブリックとペンタセキュリティ、「ITmedia Security Week 2023 夏」にて、『サイバー被害を 横展開しない、セキュリティ戦略の3つのポイント』をテーマに講演

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)と情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、2023年5月29日(月)~6月5日(月)に開催されるITmedia主催セミナー「ITmedia Security Week 2023 夏」にて、講演を行います。

ITmedia Security Week 2023 夏

・セミナー概要

セキュリティ事件・事故が多数報道される中、企業・組織のセキュリティ意識は着実に高まっています。ゼロトラスト/SASE、XDR、アタックサーフェスマネジメントなど、概念・ツール類も発展し、対策を高度化させる環境も整いつつあるといえるでしょう。しかし、今検討している対策やツール類は、本当に「自社にとって」必要、有効と言い切れるでしょうか。セキュリティ対策に限らず「最新=最善」ではありません。「ITmedia Security Week 2023 夏」では、多様な選択肢の中から貴社の目的・状況に対して「本当に必要な対策」を見出す視点を提供します。

  • 名称:ITmedia Security Week 2023 夏
    そのセキュリティ対策、「本当に」自社を守れますか?今持ち直すべき観点、見直すべき対策とは
  • 開催日時:2023年5月29日(月)~ 6月5日(月)
  • 形式:ライブ配信セミナー
  • 視聴参加費:無料(事前登録制)
  • 主催:@IT、ITmedia エンタープライズ、ITmedia エグゼクティブ
  • 対象者:経営者、経営企画の方、社内情報システムの運用・方針策定をする立場の方、企業情報システム部門の企画担当者、運用管理者、SIerなど

・ペンタセキュリティの講演について

  • 日時:2023年5月29日(月)11:30~12:00
  • タイトル:サイバー被害を横展開しない、セキュリティ戦略の3つのポイント
  • 講演概要:
    多くの企業がつながり新たな価値を生む昨今、自社のセキュリティ不備が取引先やお客様にサイバー被害を横展開し、社会的リスクを生み出します。本セミナーは、ビジネスを守る企業戦略としてリスクを『認識』『対策』『予防的対処』の3つのポイントから解説し、一貫性と持続性のあるWebセキュリティ対策を提案します。

 

・ご視聴方法

下記のサイトにて事前登録をお願いします。
https://v2.nex-pro.com/campaign/54993/apply?group=cl
ご登録のメールアドレスに視聴URLの案内が届きます。当日は、視聴URLにアクセスの上、事前登録にて登録いただいたメールアドレスでログインしてご視聴ください。

AWS WAF Ready

クラウドブリック、AWS WAF レディプログラムのローンチパートナーに認定

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)は、アマゾン ウェブ サービスが提供するWeb Application Firewall「AWS WAF」で新しくローンチされた「AWS WAF レディプログラム」のローンチパートナーとして認定されたことをお知らせします。

※日本では、ペンタセキュリティシステムズ株式会社の日本法人がCloudbricの販売を行っております。

AWS WAF Ready

 

「AWS サービスレディプログラム」とは、AWS WAFと併せて使用可能なソフトウェアソリューションを提供するパートナーを選定し、広報活動を行うためのプログラムです。特定のAWS サービスと連携するAWS パートナーが構築したソフトウェア製品を検証するように設計されており、AWS パートナーソリューション設計者により、健全なアーキテクチャ、AWSのベストプラクティスへの準拠、そして市場におけるお客さまの成功事例を含む技術的な検証を通過した企業のみがAWS サービスレディプログラムに登録されます。

クラウドブリックは、AWS Marketplaceを通じ、脅威インテリジェンス基盤のAWS WAF専用マネージドルール(Managed Rules)セットを提供しています。クラウドブリックのマネージドルールセットは、IP評価リストおよびOWASP Top10に対応しており、広範囲に適用することができます。当該のルールセットはクラウドブリックのセキュリティ専門知識と技術力を基盤に開発され、クラウドブリックで運営しているCloudbric Labsの脅威データを活用し、また最新の攻撃トレンドの研究を通じ、セキュリティ脅威に迅速に対応できるようアップデートおよび管理を実施しています。

 

クラウドブリック株式会社 代表取締役の鄭は、次のように述べています。

「AWSの検証を通じ、クラウドブリックのマネージドルールセットが、サイバー脅威の軽減につながるということをお客さまに証明することができました。また、韓国初のクラウド型セキュリティ(SaaS)企業として、10年に及んで培ってきたクラウドセキュリティの専門知識を活かし、ユーザーに対して、よりセキュアなオンライン環境を提供できるように努めていきます。」