Cloudbric 脆弱性診断

クラウドブリックとペンタセキュリティ、 Web サイトに特化した脆弱性診断サービスの提供を開始

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)と情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、2023 年4 月12 日より、「Cloudbric 脆弱性診断」の新サービスとして企業のWeb サイトに特化した「Web サイト診断」の提供を開始します。

 

Cloudbric 脆弱性診断

  • サービス提供開始の背景

デジタル技術の進展により、インターネットをはじめとする情報通信ネットワークは私たちの社会にとって欠かせないものとなりました。特にここ数年、新型コロナウイルスの流行によって、世の中のデジタル化が急速に進行しています。総務省の調査*によると、Webサイトを開設している企業の割合は全体の90.4%にのぼっており、企業にとってWeb サイトは必須のものといえます。一方で、情報通信ネットワークを介したセキュリティ被害も急増しており、52.0%の企業が何らかのセキュリティ被害を受けたことがあることが分かっています。

しかし、セキュリティ対策を積極的に推進できない企業があるのも事実です。費用の問題や被害の影響範囲を小さく見積もってい
ることが考えられます。例えば、「自社のWeb サイトは静的なページのみなので、攻撃されないだろう」と思う企業もあるかもしれませんが、近年頻発している「サプライチェーン攻撃」に代表されるように、自社を経由して関連会社や取引先を侵害することもありえるため、Web サイトを公開している企業は常にサイバー脅威にさらされているのだという危機意識を持つ必要があります。

こういった企業を取り巻く状況を鑑み、「Cloudbric 脆弱性診断」においてもWeb サイトに特化した新しいサービスを迅速かつリ
ーズナブルな価格で提供することで、お客さまのWeb サイトのリスクの早期発見とサイバーセキュリティ対策の一助になることを目指します。

*総務省「令和3 年 通信利用動向調査報告書(企業編)」 https://www.soumu.go.jp/johotsusintokei/statistics/pdf/HR202100_002.pdf

 

  • 「Cloudbric 脆弱性診断」および「Web サイト診断」について

「Cloudbric 脆弱性診断」は、セキュリティのエキスパートによる脆弱性診断と114 カ国から収集した独自の脅威インテリジェンスを利用できるサービスです。診断は、システムの基盤となるミドルウェアやOS などの診断を行う「プラットフォーム診断」、Web サイトやWeb アプリケーションのセキュリティ脆弱性を診断する「Web アプリケーション診断」、それから今回新た加わるWeb サイトに特化した「Web サイト診断」があり、お客さまの環境およびニーズに応じて必要な診断を選択することができます。

「Web サイト診断」は、企業のWeb サイトに対し、外部の攻撃者からの目線で有益な情報が収集できる状態になっていないか
を調査し、脆弱性を見逃すことなく、サイバー脅威のリスクから企業を守ります。必須診断項目の含まれたベースプランと、Web サイトの構造や属性に合わせて選択できる2 つのオプション(Web アプリケーション診断要素を加えたものとプラットフォーム診断要素を加えたもの)を用意しています。

 

■サービス概要
サービス名:Cloudbric 脆弱性診断(プラットフォーム診断・Web アプリケーション診断・Web サイト診断)
提供開始日:2023 年4 月12 日
URL:https://www.cloudbric.jp/security-assessment/

▼Cloudbric 脆弱性診断に関するお問い合わせ
https://www.cloudbric.jp/inquiry/

JP-hosting_logo

JP-HOSTING

JP-HOSTING

JP-HOSTINGは、東京を拠点にサーバーの賃貸とホスティング事業を行っています。グローバル企業のEQUINIX、FORTINET、SOFTBANKなどとパートナーシップを持っており、データセンター専用回線を通じてより安全で快適なサーバー管理をお手伝いしています。

Cloudbricの導入を検討したきっかけを教えてください。

2016年頃から増え続けるサイバー攻撃への対策として社内でWAF導入を検討しました。最初の段階では自社開発も考慮しましたが、しつこい攻撃や進化する手法には到底かなわないと判断しました。当社の場合、どんなに小さな脆弱性であっても見逃すことなく防御できる高性能の企業向けWAFが必要だったため、セキュリティ分野で比較的知名度の高いブランドで技術力の高いCloudbric WAFを選択しました。

WAF選定時、最も重視されたポイントを教えてください。

先ほども言いましたが、知名度の高いブランドというのは、特にセキュリティ分野ではかなり重要なポイントであると思います。ただし同じ条件ならば、やはりコストが最もリーズナブルなサービスが優先されるでしょう。そういった意味で、リーズナブルな料金で高度のWebセキュリティ対策を利用できることが大きなメリットでした。Cloudbric WAFはクラウド基盤で提供されるため、オンプレミス型と比べたら初期費用を低く抑えることができます。それに「FQDN数」と「ピーク時のトラフィック」を基準にきめ細かいプランになっていて、当社環境に最適なプランを利用し高いレベルのWebセキュリティ対策を備えることができました。

クラウドブリックを利用した感想をお聞かせください。

Cloudbric WAFサービスは24時間365日技術サポートを提供してくれます。導入してからずっと思っていることでもありますが、お問い合わせに快速に対応してくれるという印象があります。コミュニケーションのスピードが速いながらも、充実にサポートしてくれてすごく助かった経験があります。

クラウドブリックの導入後、効果はございましたか。

Cloudbric WAFの導入後、 確実に当社サーバファーム(SERVER FARM)への攻撃が減っていて、攻撃対応にかかる手間やコストも大幅に削減することができました。そして、攻撃に対する綿密な対応ができるようになりました。Cloudbric WAFのダッシュボードにて詳細ログ情報の閲覧・SNMP登録・アラートボット(Notification Bot)の設定など様々な機能が提供されますが、それらをElasticsearchのような可視化ツールと連携させることで、攻撃ログやそのフローなどを把握することもできます。これによって、発生しうる攻撃への予防にも役立っています。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

誰でも簡単に使えるダッシュボードではないかと思います。セキュリティに詳しくない人でも、一回触ってみたらすぐに覚えられるほどの直観的で分かりやすくなっています。それに、リアルタイム性や正確度も優れていると思います。個人的には、攻撃のログ統計や分析のみならず自動レポート作成など、Cloudbric WAFにて提供される様々な機能を簡単に使えるようになっていて非常に便利でした。たった1回のクリックで例外URLを登録できるというところもユーザの立場を考慮した繊細な機能だと思います。

最後に一言お願い致します。

Web攻撃対応の基本対策としてのWAFの導入を検討している企業も多いと思いますが、多くの企業が見落としやすいことは、Web攻撃は「いつ攻撃してくるか分からない」「思ったより頻繁に起きている」「大したことじゃないと思った攻撃によって致命的なリスクを負う可能性もある」という点です。実際に、administratorのスクリプトと攻撃者のスクリプトは類似しているため区分が極めて難しいです。だからこそ、WAFの導入時には、あらゆる観点からの全ての項目を比較・検討した上で導入を決める必要があります。我々の経験からみると、セキュリティ技術、導入の手続き、自社環境に合わせて構築できるという点、徹底したサポート体制において、Cloudbric WAFは確信頼できる製品だと思っております。細かいところまでコントロールできるGUIやIPもしくはURL経路のThreshold Triggerなどが備わっているため、利便性が高いところもおすすめポイントだと思います。もしWAF導入を検討されているIT担当者なら、Cloudbric WAFをぜひチェックしてみても良いと思います。

オンプレミスとクラウド

オンプレミスとクラウドの違いを解説 特徴や項目を比較

オンプレミスとクラウド

 

「オンプレミス」と「クラウド」は、運用形態だけでなくサービスの利用においてもさまざまな違いがあります。オンプレミスとクラウドではサーバーの運用主体が異なるため、導入時に係るコストからサービスの内容、サービスを使用するために必要な管理保守の範囲なども違います。この記事では、オンプレミスとクラウドの違いを項目ごとに分けて紹介します。

 

オンプレミスとクラウドの特徴

オンプレミスとクラウドは、どちらもネットワークシステムの運用形態です。システムの構築方法からデータの保存方法などさまざまな違いがある各サービスの特長を紹介します。

 

・オンプレミス

オンプレミスとは、サーバー機器やネットワーク機器、ソフトウェアなどを自社内に設置し、社内の担当者が運用する形態のことです。「自社運用」とも呼ばれます。すべてのシステムを自社で運用、完結しているのが大きな特長です。

社内でのみ使うことから、自社の業務に最適なシステムを構築・運用できます。オンプレミスには、データセンター内でシステムを運用するタイプもあります。データセンターで運用する場合は、自社のサーバールームを利用するよりもセキュリティが高く災害に強いなどのメリットがあります。

 

・クラウド

クラウド(クラウドコンピューティング)とは、インターネットを介してクラウドサービス事業者が所有・管理しているサーバーやストレージ、アプリケーションなどにアクセスして使用する運用形態です。インターネット上からクラウドに接続するだけで、サービスとして提供されるソフトウェアの実行環境やソフトウェア、データサーバーなどを使用することが可能です。

そのためクラウドを使用すると、業務に使用するIT機器やソフトウェアなどを自社で購入して環境を構築・管理するなどの費用や手間がかかりません。インターネットに接続できる環境やパソコン・タブレットなどの端末があればどこからでも契約しているクラウドサービスをすぐに使用を開始できるところも、クラウドの特長のひとつです。

現在では、新型コロナウイルス感染対策や働き方改革などによるテレワークの推進・普及により、クラウドサービスへの移行を行う企業が増加しています。

関連記事:セキュリティ・サポート・コストパフォーマンス全てに優れたパブリッククラウドとは

関連記事:クラウドサービスの日本での利用実態と必要性

 

・クラウドハイブリック

上記のほかに、クラウドハイブリックの形態もあります。クラウドハイブリックは、複数の企業が共有で使用するクラウドサーバー「パブリッククラウド」と自社専用のクラウドサーバー「プライベートクラウド」、物理サーバーなどの各種クラウドや物理サーバーを組み合わせて行う形態です。

セキュリティが高いプライベートクラウドと拡張性が高いパブリッククラウド、処理能力が高い物理サーバーといった、各サービスのメリットを取り入れたハイブリッドなクラウドを構築して、メリットの高い運用が可能になります。

オンプレミスとクラウドの項目別による比較

オンプレミスとクラウドでは、メリットやデメリット、特長に大きな違いがあります。コスト、カスタマイズの自由度、災害リスク、セキュリティなど、項目別に異なる点を比較していきます。

 

・コスト

オンプレミスやクラウドの使用には、導入コストと運用コストがかかります。オンプレミスの場合はサーバーやネットワーク機器を購入して自社内に設置・環境を構築しなければならないため、かかる導入コストは高額です。導入後は、ソフトウェアやシステム使用にコストが発生しません。ただし、自社でシステムの運用保守をするために人件費がかかります。

クラウドでは、サービス事業者が管理しているサーバーやアプリケーションなどのサービスを使用するため、自社サーバーの設置費用がかかりません。サービスの使用料を支払うだけになり、導入コストは抑えられます。使用には月額料金が発生しますが、運用保守の人件費は不要、一度に高額のコストがかかることはありません。

 

・カスタマイズにおける自由度

クラウドよりもオンプレミスの方がカスタマイズ性が高い特長があります。オンプレミスは自社でサーバーを設計して専用のネットワークシステムを構築するため、自社の業務に適した仕様にカスタマイズすることが可能です。

クラウドではサービス事業者が提供しているサービスを使用します。提供されるサービスの範囲内で使用するため、自社専用システムを構築する場合と比較すると、細かいカスタマイズはできません。

 

・災害などのリスク

オンプレミスでは自社内にサーバーを設置しているため、建物が自然災害により被害を受けた場合、バックアップデータまで消失する恐れがあります。サーバーに不具合が出た際には自社で復旧を行わなければなりません。専門知識を持つIT人材の不足が懸念されている現在では、担当者の不在などにより災害時の備えが難しいケースもあり注意が必要です。

対してクラウドの場合は、企業が災害に遭ったとしてもシステムやデータはサービス事業者のサーバー上で管理されているため物理的な被害を受けにくい特長があります。システム上の不具合が発生した場合には、サービス事業者が復旧作業も行います。企業はインターネットを介して復旧されたことが確認できたら、そのままサービスの使用が可能です。

 

・セキュリティ

オンプレミスは、自社で設計・開発を行うため、高いセキュリティを求める場合には独自で強固なセキュリティ環境を構築することが可能です。ネットワークが企業の外部に接続していないことからも、利用者が制限され強固なセキュリティ体制が構築されます。

クラウド型では、サービス事業者が提供しているソリューションのセキュリティ対策により安全に使用することが可能です。サービス事業者は経済産業省が公表する「クラウドセキュリティガイドライン」など安全性を高めるための対策を実施し、事業者ごとにそれぞれ異なるセキュリティ対策が組まれています。クラウドサービスのセキュリティを重視する場合には、自社のセキュリティ基準に対応しているかなどを確認することが重要です。

 

・管理と保守の手間

社内にサーバーを設置しているオンプレミスの場合、サーバーの管理と保守が必要になります。それに伴い、管理・保守を行う運用担当者の人件費や管理費用などがかかります。サーバーの保守期限が訪れた際には、その都度アップグレードもしなければなりません。

対してクラウドの場合には、企業側はサービスを使用するだけで、管理と保守の手間がかかりません。サーバーの保守・管理はサービスを提供する事業者が行うため、サーバーのメンテナンスや保守期限への対応をすべて任せられるメリットがあります。

 

 

まとめ

オンプレミスは、自社内にネットワークやサーバーを設置して保守管理まですべてを行う運用形態です。仕様を自由にカスタマイズ可能、高いセキュリティが実現できますが、導入時には高額のコストがかかります。また、災害時のデータ損失、不具合時の復旧対応、保守管理の手間などに不安があります。

対して、クラウドでは業者がサービスとして提供しているサーバーやアプリケーションなどを使用します。月額料金を払って選択したサービスを利用する形になるため、セキュリティの高さは事業者によって異なり、導入時に大きなコストはかかりません。さらにデータの保護から保守管理までを事業者に任せられます。運用形態は特長がそれぞれ異なるため、目的に沿って導入を決めることが重要です。

 

 

シャトレーゼ株式会社

株式会社シャトレーゼ

株式会社シャトレーゼ

株式会社シャトレーゼは素材にこだわった安全・安心なお菓子作りを行っています。自社工場近隣の契約農家から毎日新鮮な卵や牛乳、フルーツを使用し、ケーキや洋菓子、和菓子、アイスなど約400種類のスイーツを全国のシャトレーゼで販売しています。

Cloudbricの導入を検討したきっかけを教えてください。

シャトレーゼのホームページは十数年前に作られたものですが、比較的最近まではアプリケーションの脆弱性やセキュリティに関するところなどにあまり意識がありませんでした。それが、2015年に大規模な情報漏洩事件が国内外で続々と報じられたこともあり、「情報の管理体制を見直すべきだ」という声が上がってきました。数万人規模の会員を保有しているうちのホームページの場合、オンラインショップを通じての通信販売にも積極的で、沢山のお客様の個人情報を取り扱っていました。そういうわけで他社のWAFも含めて総合的に精査・検討した上で2018年、クラウドブリックのWAFの導入を決めました。そして、今回新しくロンチングしたYATSUDOKIという別ブランドのホームページに対しても、セキュリティを充実にさせたいというところでクラウドブリックを導入しています。

WAF選定時、最も重視されたポイントを教えてください。

コストです。費用対効果と言い換えられますが、クラウドブリックは非常にコストパフォーマンスに優れていると思います。企業規模に合わせて、エコノミーやビジネスなど様々なプランが用意されていたため、最適なプランで最高のセキュリティを導入することができています。

それに、無償トライアル期間中に実際使ってみてからずっと感じていたことでもありますが、管理画面のUIが使いやすくて機能面でも充実しているところがメリットだと思います。いくら良い機能がついていたとしても、使われない機能になってしまうと結局意味がないと思いますので、期間バーを少し調整するだけで特定の日の検知数を簡単に確認できるなど、必要な機能を分かりやすく、詳しく提供してもらえることは、ユーザの立場としてはかなり重要なポイントだと思います。

クラウドブリックを利用した感想をお聞かせください。

クラウドブリックの導入後、大変満足しておりまして感想を一言でいうと「導入しやすさ、運用のしやすさ、手厚いサポート」ですかね。普通、情報セキュリティに詳しくないと導入時の敷居も高くなりがちですが、クラウドブリックはその点について不便に思ったことは全くありませんでした。導入や運用のしやすさについては導入前にも説明していただきましたが、実際に導入・運用してみたらそれが思った以上に簡単でした。そして困ったことやお問い合わせに対して電話やメールで快速・丁寧に対応して頂きますし、導入時も、導入後も変わらない手厚いサポートを受けておりますので業務効率も高めることができました。Webサイトセキュリティはクラウドブリックに任せられるのでいつも安心して他の業務に取り組むことができます。

クラウドブリックの導入後、効果はございましたか。

大手企業N社のWAFがDDoS攻撃と間違えて正規のアクセスまで拒否してしまうということもあるらしいですが、他のWAFと違って基本ソフトが単純なパターンマッチングではないということで、ロジックを見極めて攻撃を検知・遮断するという方式だったのも導入時にクラウドブリックに決定した大きなきっかけでした。実際運用してみたら、シグネチャー型と違って攻撃パターンの更新がいらないため、非常に稼働率が高く手間がいらなかったです。そして、クラウドブリックWAFに採用されているAIエンジンにより誤検知がさらに軽減され攻撃だけを検知、遮断できるようになり、さらに高度なセキュリティを確保できたと思います。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

ダッシュボード機能です。これによりサイバー攻撃の見える化が実現できました。クラウドブリックではダッシュボード機能によりリアルタイムで攻撃状況を把握できます。それでITリテラシーの低い従業員でも視覚的に状況を確認することができています。そして、攻撃に関する詳しい情報やセキュリティ現況などをレポート出力できるため、関係者での情報共有や報告にも容易だと思います。

最後に一言お願い致します。

昨今、サイバー攻撃は激化の一途をたどっていると思います。ホームページについても連日、情報漏洩のニュースもあり、こうしたWebアプリケーションへの攻撃対策は必須です。クラウドブリックを導入することで安心してホームページを運用できるようになっております。弊社の場合海外にも店舗があって、それ用のWebサイトも構築するなど、今後も活発にビジネスに取り組みたいと思います。新規でホームページを立ち上げることになった場合は、積極的にクラウドブリックを活用していきたいと思います。

脆弱性診断とは

脆弱性診断とは?診断の必要性や種類を解説

脆弱性診断とは

社内システムや提供しているWebアプリケーションのセキュリティを向上させるには、「脆弱性診断」を実施することが大切です。
この記事では、脆弱性診断の「脆弱性」とは何かといった基本的な知識から、診断が必要な理由について解説します。また、脆弱性診断を行う方法や種類も紹介します。実施を検討される際には、ぜひ参考にしてみてください。

 

脆弱性診断とは

日常的にインターネットを使う現代において、不正アクセスやサイバー攻撃の脅威から身を守るための対策は不可欠です。ここではそのうちの「脆弱性診断」について、基本知識から解説します。

 

・脆弱性とは

「脆弱性(ぜいじゃくせい)」について、総務省では以下のように定義付けています。

「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと」

引用元:総務省「国民のための情報セキュリティサイト」

セキュリティ上の落とし穴といった意味から「セキュリティホール」とも呼ばれており、近年は脆弱性を悪用した不正アクセスなど、サイバー攻撃の手法も巧妙化してきています。あらゆる企業にとって、自社の脆弱性についてしっかり把握し、セキュリティ対策を講じることは非常に重要です。

 

・脆弱性診断について

「脆弱性診断」とは、ネットワークやOS、Webアプリケーション、サーバー、ミドルウェアなどに潜んでいるセキュリティ上の欠陥、つまり脆弱性をチェックし、悪用される恐れがないか診断することを指します。

悪意を持った不正アクセスやサイバー攻撃を未然に防ぎ、自社サイトや機密情報などを守るためには、基本的なウイルスチェックやバージョンアップなどの対策が不可欠です。しかし、それらとともに、定期的な脆弱性診断も併せて行うことで、さらにリスクを減らせるようになります。

 

脆弱性診断を行う必要性

・情報セキュリティにおける危険性を下げるため

脆弱性があるのにもかかわらず放置していると、セキュリティが甘い状態で不正にデータが抜き取られたり、ネットワークを破壊されたりするおそれがあります。また、サイバー攻撃を受けてからの対応になれば、その分被害が大きくなるリスクも高まります。

脆弱性診断は、攻撃を受ける可能性がある欠陥や不具合を、事前にチェックするものです。攻撃を受ける前に対策を打てれば、大事に至る前にリスクを減らせるようになります。また、脆弱性診断は比較的安価にできるセキュリティ対策のため、普段から定期的に実施しておけば、対策にかかる全体的なコストを低減させられるのもメリットです。

 

・ユーザーが安心してサービスを利用できるようにするため

今やインターネットは生活の必需品となり、日常的に使われる存在になっています。
自社のサービスが、Webサービスやアプリケーションなどインターネットを介して提供しているものであれば、ユーザーに安心して利用してもらえるように脆弱性診断は欠かせません。検査する項目ごとに診断頻度を設けて定期的に確認しておくと、ユーザーからの信頼感も高まり、結果としてサービス利用者が増えていくことにつながります。

 

脆弱性診断の種類

「脆弱性診断」と一言でいっても、実はさまざまな種類があります。ここでは実施方法として、「ツールで自動化する方法」と「手動で行う方法」の2パターンについて解説します。

・ツールによる脆弱性診断

脆弱性を発見する方法に診断ツールを利用する方法もあります。たとえば、Webアプリケーションのリリース(公開)前に自動的に実施するツールの多くは、有償でも価格の割に高性能なのが特徴です。

また、すでにリリースされているアプリケーションに対して診断するツールもあり、安価で気軽に使えることから必要に応じて利用するのも一案です。脆弱性診断ツールにはさまざまな種類があり、使いこなすための難易度も、それぞれ異なります。

 

・手動による脆弱性診断

セキュリティエンジニアと呼ばれるような、セキュリティに関する高度な知識や経験を持った専門家に依頼し、人の手で診断して結果を報告してもらう、といった方法があります。機械では発見するのが困難な脆弱性を発見できるのが強みで、たとえば仕様上のミスに起因する脆弱性などであれば、この方法がおすすめです。一方で、手動の脆弱性診断では診断に人員を動員するため、診断範囲や稼働日数などを踏まえた設定を行う必要があります。画面遷移が多く複雑なWebアプリケーションなどの場合は、おのずと検査項目も増えるため、予算とのバランスを考えることが必要です。

手動による脆弱性診断のサービスに「Cloudbric 脆弱性診断」があります。診断を行う技術者は定期的にインシデント情報や最新の脆弱性情報を収集・解析しているセキュリティのエキスパートです。また、診断の結果に合わせてサイバー脅威に対するサービスのご提案および導入サポートを行うほか、診断内容に応じたプランもあります。詳しくは下記サービスページをご確認ください。

関連記事:Cloudbric 脆弱性診断

 

脆弱性診断を行う箇所

脆弱性診断を実施する箇所としては、大きく分けると「プラットフォーム」と「Webアプリケーション」の2種類があります。

・プラットフォームにおける診断

プラットフォーム診断では、インターネットに公開されているネットワーク機器やPC、サーバーなどの状態をチェックします。そしてOSやミドルウェア、ソフトウェアなどに潜んでいる問題や不具合が起きうる脆弱性はないかを洗い出す診断です。OSやミドルウェアは世界中で使われているため、頻繁に脆弱性が発見されており、公表されています。

近年は、「ゼロデイ攻撃」と呼ばれる脅威が増加しています。これは、OSやソフトウェアに対する脆弱性が発見されたときに、メーカーが修正プログラムを配布するまでのわずかな間に行われる攻撃のことです。こうした知識についてもしっかり持っておくことが重要です。

 

・Webアプリケーションにおける診断

具体的な業務の遂行に特化したWebアプリケーションに対して、脆弱性診断を行うものもあります。Webアプリケーションの対象は多種多様で、脆弱性の発見箇所もさまざまです。ECサイトやゲームアプリ、SNSなどを運営していれば、顧客情報を管理していることも多いため、あらかじめ脆弱性がないかを定期的に診断し対策することが、利用者の安心につながります。

Webアプリケーションの脆弱性診断を行うことで、不正アクセスによる情報漏えいなどを防げるだけではなく、意図せず加害者になることも避けられます。

 

 

まとめ

近年はインターネットを介してサイバー攻撃の手法が巧妙化してきていることから、企業はより高度なセキュリティ対策を求められています。基本的なウイルスチェックのみならず、定期的な脆弱性診断を実施することで、機密情報や顧客情報など重要なリソースを守り、ユーザーに安心して利用してもらえることにもつながります。診断にはさまざまな種類があるため、自社にとって最適な方法をぜひ検討してみてください。

 

ウェビナー_202302

【ウェビナー】セキュリティ対策の第一歩「脆弱性診断サービス」、その選定基準は?

このたび、『セキュリティ対策の第一歩「脆弱性診断サービス」、その選定基準は?』というテーマでウェビナーを開催しました。ウェビナーをご覧になっていない方やもう一度見たい方のため、セミナー動画を公開いたします。

クラウドブリックの新サービス「Cloudbric 脆弱性診断」の提供開始に伴い、数あるサービスの中でどんな脆弱性診断を選べばいいのか?のポイントを解説するとともに、「Cloudbric 脆弱性診断」の特長をお伝えします。特に、攻撃の予兆となる最新の脅威情報をいち早く把握し、予防策を講じるのに役立てられる「脅威インテリジェンスサービス」が付帯されているのは、他にはないメリットです。また、脆弱性診断から始める、4 STEPで実現可能なWebセキュリティ対策もご紹介します。

脆弱性診断の実施を検討されている方、持続的なWebセキュリティ対策を知りたい方は、ぜひご覧ください!

 

 

Interline2

INTERLINE株式会社

INTERLINE株式会社

INTERLINE株式会社は、ITサービス事業を基盤としてITソリューション事業、オンライン英会話サービス事業を展開し、業界をリードする高品質のITサービスを提供しています。

Cloudbric導入を検討したきっかけを教えてください。

まずは、セキュリティ対策に対するお客様からのニーズが強かったためです。お客様に安心してWebサイトを利用していただくためには徹底したWebセキュリティ対策が必要だと考え、解決方法としてWAFの導入を検討することになりました。その中でも手軽に導入できる上、高レベルのセキュリティを備えたクラウド型のWAFサービスを導入することで、弊社の目的を達成できると思いました。

様々なITソリューションや製品を取り扱っている弊社の立場としては、最適な選択肢をお客様に提供するべき義務があると思います。そこで、お客様に自信をもって提案できるような製品を選択するために、様々な企業のWAFサービスを価格、機能、サポートなど様々な角度から比較検討した結果、クラウドブリック(Cloudbric)を選択することになりました。

WAF選定時、最も重視されたポイントを教えてください。

セキュリティに関して最も重要視していたのは「技術力の高さ」でした。クラウドブリックを選んだ一番の理由は、グローバルから認められている独自の技術力があったからです。Webセキュリティに対する意識が高まっていることもあり、現在様々なWAFが出回っています。もちろん国産の製品も多かったのですが、サイバー攻撃というのは時間や場所を問わず全世界どこからでも来るため、世界で通用する製品を導入したいと思いました。クラウドブリックのロジックベースの検知エンジンは様々な受賞歴を持ち、55ヵ国にサービスされ高い評価を受けていることから、高い技術が証明されたと判断しました。コストパフォーマンスが良いという評価もあり、リアルタイムなサポート対応が可能だという点も選定を後押ししました。

クラウドブリックを利用した感想をお聞かせください。

一言でいうと、予想外に便利で驚きました。WAF導入の際に様々なポイントを考えながら真剣に検討したつもりではありますが、弊社としては初のWAF導入ということもあり、少々不安が残っていました。クラウドブリックがグローバルから認められていることが採用の決定的な理由でしたが、国産ではなかったので、日本語の対応や運用・サポート面での不安もありました。

しかし、実際クラウドブリックを導入すると、サポートチームによるリアルタイム対応体制がしっかりと整っていたので、無償評価の時から問題が発生してもスムーズに解決できました。また、ダッシュボードも完全に日本語化されていたので、Webサイトの状況確認も非常に容易でした。結果的に、クラウドブリックを選んで大変満足しております。

クラウドブリックの導入後、効果はございましたか。

「Webサイトがしっかり守られている」という安心感があります。サイバー攻撃の脅威にさらされていることを分かってはいましたが、目に見えないためその危険性を体感することはなかなか難しい状況でした。しかし、クラウドブリックのダッシュボード上でWebサイトへの攻撃を実際に確認できるようになったため、Webサイトの状況を正確に把握でき、快速な対応ができるようになったということが一番のメリットだと思いました。

そして、実際使用してみたからこそWAFの重要性や機能などを詳しく知ることができたと思います。導入当時から頻繁なお問い合わせへのリアルタイムでの対応や、定期的に行われるウェビナーを通じたクラウドブリックの新機能やアップデータなどの情報を通じ、運用に非常に役立てています。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

ダッシュボードです。ユーザフレンドリーで魅力的でした。特に、UIがシンプルで分かりやすく設計されていて非常に使いやすかったです。簡単な操作で様々な情報を確認することができました。例えば、期間バーを調整して自由に期間を設定することもできるし、どの国や地域から攻撃してくるのか、どのような攻撃が発生したのかなど、その期間に該当するWebサイト状況を確認できます。 日本語に完全対応しているため、セキュリティに詳しくない初心者であっても簡単に情報を把握することができると思います。

最後に一言お願い致します。

最近、在宅勤務の増加とともにWebサイトへのアクセスが増えているため、WAF導入はもはや必須といっても良いでしょう。クラウドブリックを導入し、実際運用してみたからこそ自信をもって言えることは、「価格とコストパフォーマンス」、「リアルタイムなサポート」、「運用・設定の容易性」など、クラウドブリックはどの面からみても非常に優れているWAFサービスだということです。

弊社としては、実際使用してみた経験やノウハウを活かし、今後ECサイトや個人情報を多数取り扱っているお客様に対してクラウドブリックを積極的に提案していきたいと思います。そして未来には、クラウドブリックがWAF市場をリードするトッププレイヤーになって頂きたい、と思います。

cloudbric - press release

【情報】2022年下半期 Web攻撃動向分析レポート(WATT Report)発行

「Web 攻撃動向分析レポート(WATT Report)」は、全世界で運用中のアジア・太平洋マーケットシェア1位を誇るインテリジェント型WAF「WAPPLES」とクラウド型WAFサービス「Cloudbric WAF+」の検知データをもとに作成されたものです。

2022年下半期(2022年7月1日から12月31日まで)のWeb攻撃データを分析し、その結果をまとめた最新レポートを発行いたしましたので、Webセキュリティ動向にご興味のある方はぜひご覧ください。

 

 

[tek_button button_text=”Web脅威分析レポート ダウンロード” button_link=”url:report-download/#1620584379534-3db3488e-10e1″ button_position=”button-center”]

 

 

PR_脆弱性診断

クラウドブリックとペンタセキュリティ、脆弱性診断と脅威インテリジェンス サービスを組み合わせた「Cloudbric 脆弱性診断」の提供を開始

クラウド&エッジコンピューティングセキュリティ企業のクラウドブリック株式会社(代表取締役:鄭 泰俊、以下クラウドブリック)と情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、2023年2月15日より、セキュリティのエキスパートによる脆弱性診断と95カ国から収集した独自の脅威インテリジェンスを利用できるサービス「Cloudbric 脆弱性診断」を開始します。
※脅威インテリジェンスサービスは現在準備中で、春頃の提供開始を予定しています。

PR_脆弱性診断

  • 新サービス開始の背景

近年増加しているサイバー攻撃は、企業に深刻な損害をもたらします。情報処理推進機構(IPA)によると、2021年9月にある建設コンサルティング企業がランサムウェア攻撃を受け、7億円以上の特別損失を計上した例もあります*。こうした脅威にさらされている企業にとって、情報セキュリティ対策は喫緊の課題です。

企業が行うべき対策の第一歩は、サイバーリスクの認識であり、そのために必要なのが「脆弱性診断」です。まずは、自社のシステム環境がどのような脆弱性を抱えているのかを明確化し、次に脆弱性への対策を実施するのが定石です。クラウドブリックでは、これまでクラウド型WAFサービス「Cloudbric WAF+」などの情報セキュリティサービスを提供してまいりましたが、今回の新サービスは企業が最初に導入すべきサイバーセキュリティ対策であり、既存のサービスを含めるとCloudbricひとつでリスクの認識から脅威対策・継続的な運用まで、総合的なソリューション提供が可能になります。

また今回、クラウドブリックが95カ国から独自に収集した脅威インテジェンスを利用できる「脅威インテリジェンスサービス」も付帯することにより、攻撃の予兆となる最新の脅威情報をいち早く把握し、予防策を講じるのに役立てることができます。サイバー脅威情報を共有する国際的な非営利団体「CTA(Cyber Threat Alliance)」に加盟しているクラウドブリックならではのサービスであり、「未知の脅威」への対策も含んだ、一歩先を行くサービスを提供します。

クラウドブリックおよびペンタセキュリティは、今後も企業が安全なビジネス環境を構築できるよう、情報セキュリティサービスを拡充させてまいります。

*情報処理推進機構(IPA)「情報セキュリティ10大脅威 2022」  https://www.ipa.go.jp/security/vuln/10threats2022.html

 

  • 「Cloudbric 脆弱性診断」の特長

  1. エキスパートによる手動での診断
    診断する技術者は、定期的にインシデント情報や最新の脆弱性情報を収集・解析しているセキュリティのエキスパートです。技術者が診断を行うため、画一的な自動診断ツールよりも精度が高く、お客さまの環境に合わせた柔軟な対応が可能です。診断はシステムの基盤となるミドルウェアやOSなどの診断を行う「プラットフォーム脆弱性診断」とWebサイトやWebアプリケーションのセキュリティ脆弱性を診断する「Webアプリケーション脆弱性診断」があり、お客さまのシステム環境に応じて必要な診断を選択することができます。
  2. 深刻度×悪用度を算出した網羅的な評価スコア
    診断にはCVSSスコアに加え、EPSS情報も組み合わせることで、網羅的な評価スコアを算出します。基本評価基準・現状評価基準・環境評価基準による脆弱性の深刻度と、脆弱性の悪用度を掛け合わせ、優先して対応すべき脆弱性を明確に提示します。
  3. 未知の脅威に事前対応できる、脅威インテリジェンスサービス付帯
    診断結果のレポートは、専用の管理画面から確認できます。指摘された脆弱性の詳細はもちろん、弊社が95カ国から独自に収集した脅威インテジェンスも利用可能です。クラウドブリックは、サイバー脅威情報を共有する国際的な非営利団体「CTA」に加盟しており、脅威情報の収集、分析および評価する技術力が世界で認められております。攻撃の予兆となる最新の脅威情報をいち早く把握することで、サイバー攻撃への事前の備えができます。
    ※管理画面および脅威インテリジェンスサービスは現在準備中です。
  4. 脆弱性へのソリューション提案
    脆弱性診断の結果、脆弱性への対策としてセキュリティ製品の導入が最適と判断された場合、サイバー脅威から企業を守る5つの必須サービスを備えた「Cloudbric WAF+」などの提案および導入サポートを行います。脆弱性の認識だけでなく、対策まで総合的に提供できるのが、Cloudbricならではのメリットです。
    ※Cloudbric WAF+はオプションです。

 

■サービス概要
サービス名:Cloudbric 脆弱性診断
提供開始日:2023年2月15日
URL:https://www.cloudbric.jp/security-assessment/

 

Cloudbric 脆弱性診断に関するお問い合わせ
https://www.cloudbric.jp/inquiry/

cloudbric - press release

【情報】2022年第4四半期の最新Web脆弱性トレンドレポート(EDB/CVE-Report)発行

2022年10月から12月までに公開されたExploit-DBの脆弱性報告件数は119件でした。

報告された脆弱性の分析内容は、以下の通りです。

 

1. Web脆弱性の発生件数:2022年第4四半期の月平均Web脆弱性発生件数は40件で、12月には最も多い47件が報告されました。

2. CVSS(Common Vulnerability Scoring System)* 推移:HIGH Level脆弱性は10⽉100%から12⽉72%まで減少したことが確認されました。MEDIUM Level脆弱性は0%から40%まで増加した後、27%まで減少しました。
*脆弱性を点数で表記するため、0から10まで加重値を付与し計算する方式です。点数が高いほど、深刻度が高いです。

3. 上位Web脆弱性の攻撃動向:2022年第4四半期の場合、前期と同様でSQL Injectionが主な脆弱性として報告され、その次にRemote Code Executionが続いています。

1) 10月: SQL Injection 57%(20件) / Remote Code Execution 22%(8件)
2) 11月: SQL Injection 72%(27件) / Remote Code Execution 5%(2件)
3) 12月: SQL Injection 57%(27件) / Remote Code Execution 17%(8件)

4. Web脆弱性の攻撃カテゴリ: Web脆弱性の攻撃カテゴリ別に分析した結果、最も多く報告された上位2つの脆弱性はSQL Injection(62%、74件)とRemote Code Execution(15%、18件)で、2022年第4四半期に発⽣したWeb脆弱性の攻撃のうち、約8割弱を占めています。この2つの脆弱性に対しては、更に注意を払う必要があります。

 

当該脆弱性を予防するためには、ペンタセキュリティの最新Web最弱性トレンドレポートの分析結果に基づいたパッチ適用やセキュアコーディング作業がおすすめです。しかし、完璧なセキュアコーディングは不可能であり、持続的なセキュリティのためにはWebアプリケーションファイアウォールを活用した深層防御(Defense indepth)の実装を考慮しなければなりません。

 

*EDB/CVE-Reportはペンタセキュリティシステムズ株式会社とクラウドブリック株式会社が四半期毎に公表している最新Web脆弱性トレンドレポートです。本レポートは、Web脆弱性において世界的に幅広く参考にされている「Exploit-DB」より公開されている情報を踏まえ作成されています。EDB/CVE-Reportは、各Web脆弱性に対する危険度及び影響度を詳しく分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていないお客様でもWeb脆弱性のトレンド情報を理解することができます。

 

[tek_button button_text=”EDB/CVE-Report ダウンロード” button_link=”url:report-download/#1620585409776-1d194b1c-98da” button_position=”button-center”]