Japan-IT-Week-ブースデザイン

6月16日~18日 第1回 《Japan IT Week【オンライン】》 出展のお知らせ

この度、2021年6月16日(水)~18日(金)に開催される「第1回 Japan IT Week【オンライン】/情報セキュリティEXPO」に出展いたします。

当社ブースは、「Cloudbric Security Platform Service」、「Web Security」、「Data Security」、「Connected Car Security」の4つの製品カテゴリーで構成し、当社にて提供している幅広い製品ラインナップの情報をご覧頂けます。

ブースでは、超コネクテッド時代に企業価値を高めるために必要なクラウドセキュリティ対策として統合したプラットフォームにて選択導入ができるクラウド型・セキュリティ・プラットフォーム・サービスの「Cloudbric(WAF+、RAS、ADDoS)」をご紹介致します。他にも、インテリジェント型WAF「WAPPLES、WAPPLES SA」、データ暗号化ソリューション「D’Amo、MyDiamo」、 自動車セキュリティEnd to Endソリューション「AutoCrypt」など、企業様の多様なニーズに応える最適なソリューションをご提案します。

展示会の開催期間中、当社ブースにてチャットやビデオなどのお問い合わせに対応しておりますので、当社製品・ソリューションに関してご質問のある方や製品の導入をご検討の方はお気軽に当社ブースにお立ち寄りください。

なお、6月17日(木)に開催されるオンラインセミナーでは当社代表取締役の陳が「今こそ必要なセキュリティの取り組み方、「Data-Centric」なアプローチと企業のアカウンタビリティとは。」をテーマに、現在の企業セキュリティにおいて、従来の「Product-Centric」な取り組みではなく、企業として守るべきデータは?という根本的な観点からのアプローチ、「Data-Centric」な取り組みについて解説致します。

ぜひご登録の上、弊社出展ブースやセミナーをご覧いただきますよう、よろしくお願い申し上げます。

ブースURL:https://ol.japan-it-online.jp/entrance/zone/92

 

Japan IT Week【オンライン】 開催概要

  • 日時:2021年6月16日(水)~18日(金)
  • 主 催:リード エグジビション ジャパン(株)
  • 入場料:無料(※入場には来場者登録が必要です)
  • 公式Webサイト:https://www.japan-it-online.jp/

展示製品

  1. Cloudbric Security Platform Service:クラウド型セキュリティ・プラットフォーム・サービス「Cloudbric(WAF+、RAS、ADDoS)」
  2. Web Security:インテリジェント型WAF「WAPPLES、WAPPLES SA」
  3. Data Security:データ暗号化ソリューション「D’Amo、MyDiamo」
  4. Connected Car Security:自動車セキュリティEnd to Endソリューション「AutoCrypt」

セミナー概要

 

Cloudbric Corp.

クラウドブリック株式会社及びサービス紹介動画を公開しました。

平素は、弊社サービスをご利用頂き、誠にありがとうございます。

この度、お客様により分かりやすく弊社製品を認識いただくため、クラウドブリック株式会社紹介及びCloudbric WAF+サービス紹介動画をYoutubeに公開しました。

クラウドブリック株式会社のミッション及びWebセキュリティ、IoTやモバイルセキュリティなど各事業について簡単に分かりやすく説明した動画を製作しています。

そして、企業や組織のセキュリティ担当者にとって、最重要課題となるWebセキュリティ対策の「Clooudbric WAF+」を分かりやすく説明しておりますので、是非ご覧いただけたらと思います。Webセキュリティ対策の知識がない方にもおすすめの動画です。

クラウドブリック株式会社紹介

Cloudbric WAF+紹介

今後とも弊社製品をご愛顧いただきますよう宜しくお願い申し上げます。

クラウドセキュリティリスク

オンプレミス環境とは違うクラウド環境に適切なセキュリティ対策とは? まずクラウド環境向けWAFを導入すべき


総務省調査の令和得元年通信利用動向の「クラウドサービス利用状況」からみると、国内企業の64.7%がクラウドサービスを利用していると答え、導入効果については「非常に効果があった」又は「ある程度効果があった」のような応答が8割を超えています。企業システムのクラウドシフトによって変化しつつあるIT環境に必要とされるセキュリティ対策にも変化があるはずです。そのため、クラウド中心に変化したIT環境に最も適切なセキュリティ対策は何かを把握することが、クラウド導入の前後を問わず解決すべき課題だと言えるでしょう。そこで今回は、従来のIT環境とは違うクラウド環境の特殊性を理解し、クラウド環境に適切なセキュリティとは何かをお伝えしたいと思います。

 

クラウド環境の特殊性を理解したセキュリティ

Accenture の調査によると企業のクラウド移行を妨げる障壁として「セキュリティ」が挙げられています。

 企業はクラウド導入の際、新たなIT環境がサイバー攻撃者の浸透経路にならないよう、クラウド環境に適切なセキュリティ対策に取る組む必要があります。そのためには、まず従来のIT環境とは違う「クラウド環境のみの特殊性」を理解しなければりません。

責任共有モデル

AWS、Azure等のCSP(Cloud Service Provider、クラウドサービス企業)は安全なクラウド環境のために、様々なセキュリティポリシーやサービスをビルトインさせました。

しかしそれだけでセキュリティが担保できるとは言い切れません。CSPの提供するセキュリティサービスはクラウドセンター自体を守ることに限定され、クラウドにて仮想的に結合された顧客のシステムやデータまで保護するものではありません。

AWSをはじめとしたCSPは、クラウドの情報セキュリティに関して一般的に「責任共有モデル」という考え方を採用しています。これは、CSPとユーザ(顧客)で責任範囲を明確にし、全体のセキュリティを担保しようという考え方です。こちらのイメージをご覧ください。


引用:AWS 責任共有モデル

こちらのイメージは、AWSの「責任共有モデル」を示した図であります。イメージの上半分はユーザ(顧客)が担う責任部分、下半分のオレンジ色の範囲はクラウド提供企業(AWS)が責任を負うクラウドのセキュリティ分担です。ネットワークやコンピューティングなどクラウドプラットフォームに対するセキュリティの責任はCSPにあり、クラウド内部のデータ、OS、トラフィックなどに対するセキュリティの責任は顧客にあります。

つまり、クラウドにて結合されたシステムやデータなどにおけるセキュリティの主導権はユーザ側にあるため、ユーザ自らセキュリティ対策を厳重に点検し、どのようなセキュリティ対策を導入するかを決定する義務があるとのことです。

仮想化と分散処理技術

クラウド環境もオンプレミス環境と同じくアプリケーション、システム、ネットワークレベルに分けられます。そして、クラウドといっても実は、クラウド環境にて使用されているデータは最終的に物理的サーバ上に保存されます。このように、クラウドの基本的な構造はオンプレミスと類似ていますが、「仮想化と分散処理技術」によってユーザビリティを高め、更に柔軟性の高い環境にてデータを活用できるというクラウドならではの特殊性もあります。

つまり、クラウド環境は従来のオンプレミス環境に仮想化・分散処理技術を加えたもので、セキュルティ対策もクラウド環境の特殊性に対応できる形態が求められます。WAF導入の例を挙げて

簡単に言いますと、「仮想化と分散処理」ができるWAFが、クラウド環境に最も適切なWAFであることです。
WAFの他にも、クラウド環境のために考慮すべきセキュリティ要素は多い、これらもまたクラウド環境のみの特殊性を理解してからセキュリティ対策構築に取り組む必要があります。

 

クラウド環境に必ず必要なクラウド型WAFサービス

それでは、クラウド導入の際に、どのような領域のセキュリティを優先すべきでしょうか。こちらはクラウドをアプリケーション、システム、ネットワーク3つのレベルで分類し、レベルごとにセキュルティ重要度のランクをつけた表です。

この表をみると、アプリケーションレベルは最も脆弱で、最も攻撃されやすい領域であることが分かります。そのため、アプリケーションレベルのセキュリティを最優先し、クラウド環境の基本的な安全性を確保しなければなりません。

情報セキュリティ専門企業ペンタセキュリティはクラウド環境の特殊性に対する理解を基にクラウドセキュリティを実現する「Cloudbric WAF+」を提供しております。

Cloudbric WAF + : 5つの必須セキュリティサービスをクラウド環境にて提供

安全なクラウドシフトのために、多くの企業がクラウド環境のセキュリティに投資していますが、セキュリティ担当者不在、コスト、クラウドに対する理解不足などによって対策に踏み切れない問題を抱えています。このようなセキュリティ課題を解決できる簡単かつ安全なセキュリティ対策がCloudbric WAF+です。

Cloudbric WAF + はクラウド型でWAFサービスを提供するSaaS型WAFサービスであります。該当サービスにはWAF機能のみならず、DDoS保護、SSL証明書、脅威IP遮断、悪性ボット遮断まで、必須的なセキュリティサービスを1つのクラウドプラットフォームにて統合し、ユーザのクラウドセキュリティをサポートします。特に全ての要素がクラウドにて起動するため、別途の設置や、メインテナンス過程の必要なく、簡単に利用できるというメリットがあります。

 

最後に

企業のクラウドシフトは、今までより拡大していくと見込められますが、セキュリティに対する十分な理解のないITシステムシフトは、サイバー攻撃者らの浸透を簡単に許すリスクを抱えています。クラウドセキュリティのリスクをカバーするためには、クラウド導入に先立ち従来のIT環境とは違うクラウド環境の特殊性への理解を基に、必要なセキュリティ要素は何かを把握することが最重要ポイントだと言えるでしょう。

Cloudbric WAF+

クラウド型WAF

企業における現在のWebセキュリティ問題と、クラウド型WAFによる対策

現在はクラウドサービスをはじめとしたWeb上のサービス・セキュリティの進化が目覚しく、多くの企業がそれらのサービスを利用しています。一方で、企業の機密情報を狙うハッカー達によるサイバー攻撃も同じように巧妙・複雑化し、セキュリティとのいたちごっこが続いていて、情報漏洩をはじめとする多くの被害が、企業の規模を問わず発生しています。

本記事では、2020年に起きたサイバー攻撃の傾向と、国内企業のWebセキュリティが脅かされた実際の事例を紹介し、その対策となるWebセキュリティ対策についても見ていきたいと思います。

 

2020年のサイバー攻撃の傾向

2020年上半期にはコロナウイルスの世界的な流行があり、ハッカー達はそれに便乗して、各国の政府や医療機関をはじめ、膨大な個人情報や機密情報を持つ企業などを標的にサイバー攻撃を行うケースが急増しました。不特定多数にばらまくスパムメールだけでなく、特定の企業を標的としたランサムウェアによる計画的な攻撃が急増し、より戦略的で高額の身代金を要求する事件が多発する結果となりました。

特定の法人企業を対象としたサイバー攻撃の特徴として「侵入経路の多様化」、「クラウド環境特有の脅威」、「侵入後の内部活動の常套化」の3つが挙げられます。メールによる攻撃はもちろん、テレワーク環境への移行に伴い、VPNによる通信の際、正規のユーザのアカウント情報を入手して本人になりすまして侵入したり、VPN装置の脆弱性を悪用する方法で攻撃がおこなわれたり、Zoomのインストーラーにバックドア型マルウェアとボットが含まれたものなどが確認されています。Zoom自体は正規の物を利用して正常に使用できるだけに、サイバー攻撃であることに気付くのが難しいという特徴を持っています。

以上のように、コロナ禍によるテレワーク環境の弱点をついた、「末端である従業員のモバイル端末を狙った攻撃」と、「クラウドサービスを狙った攻撃」が激化しているのが現在のサイバー攻撃の特徴だと言えるでしょう。

 

国内企業のWebセキュリティが脅かされた最新の事例

2020年はコロナ禍によってテレワークでの仕事が広く普及しましたが、それと同時に多くの企業が自社のセキュリティ面を見直し、強化していくことを余儀なくされました。現在の企業の機密情報を守るセキュリティは、自社内のみのクローズドな環境で完結するわけではなく、会社から離れた遠隔地からでも仕事をおこなえる、オープンな環境作りが必要となっています。しかし、テレワークで仕事を行うという試みは、日本ではまだまだ始まったばかりであり、末端の従業員のセキュリティに対する意識も含め、日本のセキュリティ対策はまだまだハッカーのサイバー攻撃に狙われやすい、多数の穴が空いている状態だといって良いでしょう。実際に2020年は数多くのサイバー攻撃が日本企業を襲い、多数の被害が出てしまう結果となりました。ここでそれぞれの被害の具体例を紹介していきますので、今後の為の参考にしてみましょう。

・電子決済サービスの不正利用

2020年もっとも被害が大きかったのは、電子決済サービスの不正利用です。2020年9月、銀行口座の情報を不正に入手した犯人がドコモ口座を開設しその銀行口座と連携し、被害者を装うことによって銀行からドコモ口座にお金を不正に出金するという、セキュリティの穴を突いた方法で多額のお金を騙し取った事件です。

最初にこの手口が露見したのはドコモ口座ですが、その後PayPay、Kyash、LINE Payにおいても同様の不正出金が確認されました。この事件による被害総額は2,800万円以上と言われています。

・ゲームメーカーの顧客情報流出

2020年11月には大手ゲームメーカーであるカプコンが「Ragnar Locker」と呼ばれるランサムウェアによってサイバー攻撃を受け、およそ35万件もの顧客情報が流出したとされています。

ハッカー達は盗んだデータを暗号化し使えなくさせ、データの復旧と引き換えに多額の金銭を要求し、さらには内部の機密情報をインターネット上で暴露するという脅迫でもお金を要求するという、「二重搾取型」の攻撃であった点がこの事件の特徴です。

コロナ禍によってオンラインゲームの需要が高まってる中、ゲームメーカーはサイバー攻撃に狙われた際のダメージが大きいと踏んで、カプコンがハッカー達の標的にされたと考えられています。

・特別定額給付金を装ったフィッシング詐欺

2020年5月に10万円の特別定額給付金が給付され始める中、自治体を装ったメール、ホームページによるフィッシング詐欺が大量に発生しました。

フィッシング詐欺によってアカウントIDやパスワードといった個人情報から、クレジットカードの番号や口座番号などの情報まで引出そうとしたり、ATMを用いて手数料を騙しとろうとするなど、悪質な手口での詐欺が横行することとなりました。

 

クラウド型WAFとは

現在、上記したサイバー攻撃に対するWebセキュリティ対策として、「クラウド型WAF」のサービスが注目されています。軽くクラウド型WAFの説明を行うと、まずはじめに「WAF(Web Application Firewall)」とは、Webサイト上のアプリケーションに特化したファイアウォールのことを指します。ユーザーからの入力を受け付けや、動的なページを生成したりするタイプのWebサイトを、不正な攻撃から守ることが WAFの役割となります。

通常のファイアウォールと違い、アプリケーションレベルでデータの中身を解析することができ、アプリケーションにセキュリティ上の問題があったとしても、それを無害化でき、ISMS(組織内の情報の機密性、完全性、可用性の3つすべてをバランスよく管理するための枠組み)の実現や、PCIDSS(クレジットカード情報保護を目的として定められた、情報セキュリティ基準のこと)に準拠しているため企業の情報戦略面としても需要が高く、注目されていました。

そして、クラウド型WAFとは、その名の通りクラウド上に設置するセキュリティ対策ツールとなります。現在ではWAFといえば、このクラウド型WAFが主流となっています。それでは何故現在クラウド型WAFに大きな需要があるのか、クラウド型WAFのメリットと、利用する上での注意点を交えて紹介していきましょう。

・クラウド型WAFのメリット

クラウド型WAFはクラウドサービスであるため、通常のWAFよりも安価で導入することが可能となっています。またサービス契約後日を待たずして利用できるため、トラブルに巻き込まれた際すぐに問題に対処することが可能になっています。

そしてクラウドサービスの特徴として、運用をベンダーに任せることができます。社内でセキュリティの専門家を直接雇用する必要がなく、メンテナンスも一任できるため、運用面でも大きくコストカットすることが可能となっています。

・クラウド型WAFを導入する際に注意すること

コスト面と利便性において大きなメリットを持つクラウド型WAFですが、導入する際に注意することがあります。まず先述したようにベンダー側に運営を一任できることがメリットのひとつと書きましたが、裏を返せば自社が運営に干渉することはほとんどできないため、サービスの質はすべて契約したベンダー次第ということになります。ベンダーに運営を一任する以上、トラブル発生の際すぐに対処できる専門家の人数や対応範囲など、そのサポートの質がどれくらいなのかが選定の際に重要となります。

またクラウド型であるため、自社のシステムに合わせたカスタマイズを行うことが非常に困難となります。そのため少しでも自社のシステムに沿った形のクラウド型WAFサービスを選んで、契約することが求められます。

他にクラウド型WAFはベンダーごとに料金形態が異なります。トラフィック量に合わせて料金が増減するものや、固定料金の場合もあるので、性能やサービスの質などと合わせて考慮しましょう。

 

さいごに

2020年以降、コロナ禍とクラウドサービスの増加による、セキュリティ環境の変化を突いたサイバー攻撃の特徴と、その対策となるクラウド型WAFのメリット・デメリットと注意点を見ていきました。

クラウド型WAFは安価で導入のしやすいことから、これからのセキュリティ対策として非常に利用されるようになるサービスですが、その特徴をきちんと踏まえた上で、自社に最適なベンダー選びを行うことが求められます。今回紹介した事例と特徴を踏まえて、より最適なセキュリティ環境を構築できたら幸いです。

Cloudbric WAF+は企業向けにカスタマイズされたセキュリティサービスを提供します。クラウドから仮想専用サーバー、オンプレミスまでお客様のシステム環境に合わせて提供できます。

Cloudbric WAF+の詳細はこちら

Cloudbric WAF+

ITトレンド WAF(Web Application Firewall)部門 2年連続No.1 (4)

Cloudbric WAF、2年連続でITトレンド年間ランキング 1位に

この度、当社が提供する「Cloudbric WAF」が、法人向けIT製品の比較・資料請求サイトの「ITトレンド」のWAF(Web Application Firewall)部門において、「年間ランキング2020」で2年連続1位を獲得しました。2020年は新型コロナの影響で多くの企業がテレワークの導入など新たな働き方にシフトし、オンラインでの対応が増えたことから、Web対策として簡単導入・運用できるクラウド型WAFサービスへのニーズ高まりました。ITトレンドは現在1900製品以上が掲載されている法人向けIT製品の比較・請求請求サイトで、2020年1月1日~11月30日までの期間の資料請求数を集計した今回のランキングで、Cloudbric WAFが最も支持されたWAF製品として選ばれました。

Cloudbric WAFは、Webビジネスにおけるセキュリティの更なる強化及び安定的な運用が図れる 一石五鳥のWebセキュリティ対策です。5つの必須サービスを統合パッケージとして提供しております。

  1. WAFサービス:日本・韓国・米国にて特許済みの自社開発の論理演算検知基盤エンジンに自ら攻撃を学習するAIエンジンが加わり、最新かつ高度の未知の脅威まで検知・遮断します。
  2. DDoS対策サービス:L3/4/7に対し40Gbps規模の攻撃まで検知・対応します。
  3. SSL証明書サービス:SSL更新、管理を必要としない常時SSL化を実現できます。
  4. 脅威IP遮断サービス:56ヵ国700,000サイトから収集された脅威インテリジェンスをもとに、脅威IPとして定義されたIPを遮断します。
  5. 悪性ボット遮断サービス:スパイウェア、アドウェア、スパムボットなどの悪性ボットを遮断します。

当社は今後も、サービスの品質向上につとめ、お客様に選ばれ続けることを目指してサービスを提供させていただきます。

ITトレンド年間ランキング2020の詳細はこちら
https://it-trend.jp/award/2020/waf?r=award2020-tab

パブリッククラウド

セキュリティ・サポート・コストパフォーマンス全てに優れたパブリッククラウドとは

「パブリッククラウド(クラウドコンピューティング)」とは、クラウドサービスプラットフォームからインターネット経由でコンピューティング、データベース、ストレージ、アプリケーションをはじめとした、さまざまな IT リソースをオンデマンドで利用することができるサービスの総称です。IoTの浸透にも伴い、日本国内のクラウド市場は近い将来1兆円を超える規模になると言われており、現在急速に普及しています。世界的規模でみると、Amazon Web Services (AWS)、 Microsoft Azure、Google Cloud Platform (GCP) 、IBM Cloudといったメジャーサービスが現在シェアの半数以上を締めていますが、どんどん新しいサービスも登場しています。今回はクラウドコンピューティング時代に求められる本当に良質なクラウドサービスの選び方や、セキュリティソリューションについて解説していきたいと思います。

 

クラウドとは

クラウドは大きく分けて「パブリッククラウド」と「プライベートクラウド」の2つに分けられます。パブリッククラウドとは、企業や個人など不特定多数のユーザに対し、インターネットを通じて、サーバやストレージ、データベース、ソフトウェアなどのクラウドコンピューティング環境を提供するサービスのことを言い、AWS等もパブリッククラウドに含まれます。特定ユーザにのみ向けたプライベートクラウドと異なり、パブリッククラウドは高額のハードウェアや通信回線を自社で購入・保守する必要がなく、必要なときに必要な量のクラウド環境を、素早く利用することが可能となります。

プライベートクラウドとは、ひとつの企業のためだけに構築された環境を提供するサービスのことです。企業がクラウドコンピューティングのシステムを自社で構築し、企業内の部署やグループ会社のみでクラウドサービスを利用します。パブリッククラウドが誰でも使えるサービスであるのに対し、より利用者が限られたクラウドサービスと言えます。企業内でシステムを構築・管理できるので、より柔軟に運用できます。プライベートクラウドは、「オンプレミス型」と「ホスティング型」の2つがあり、オンプレミス型は独自のサーバを所有し、独自のクラウド環境が構築できます。ホスティング型は、サーバや設置場所はクラウドのプロバイダーが提供し、システムの一部を企業が占有して利用する方法です。

 

代表的なパブリッククラウド

・AWS

AWSは2006年からサービスを開始しており、世界では売上でトップシェアクラスのユーザ数を誇ります(米調査会社のガートナー2020年8月発表、2019年の世界シェア45%)。AWSはAmazonが自社商品の在庫管理やデータ分析を行うため、インフラやアプリケーションを一般利用者に公開したのが始まりです。クラウドコンピューティングを利用して、ストレージやデータベース、サーバなど、さまざまなサービスを貸し出しています。

AWSはサーバやストレージなどのインフラを提供するIaaS(Infrastructure as a Service)の種類が豊富なため、パブリッククラウドによるシステムの構築では、OSやミドルウェアの制限が少ないのが特徴です。その点では、利用者側でOSを含めたソフトウェアのセキュリティ管理などまで行う必要があります。

・Microsoft Azure

Microsoft Azureとは、2008年10月にマイクロソフト社のデベロッパーカンファレンスで発表され、2010年10月に「Windows Azure」としてサービスを開始しました。クラウドだけでなくオンプレミスでもMicrosoft Azureと同様の機能を利用することのできる「Azure Stack」が提供されていることも特長の一つです。さらに、アプリケーションとサービスのオンライン上のマーケットであるAzure Marketplaceでは、Microsoftやそのパートナーから提供されるサービスやツールを利用することができます。

・GCP

Google Cloud Platform(GCP) とは、Google がクラウド上で提供するサービス群の総称です。Google 社内で使われているものと同じテクノロジーやインフラを使用して、お客様のインフラ環境をクラウド化できます。

基本的な構成要素が初めから各種サービスとして用意されているため、それらを使用してすばやく開発を行うことができます。日本では2016年の11月から提供開始しています。

 

パブリッククラウドベンダーの選び方

メジャーなパブリッククラウドはそれまでの実績や規模から安心を覚え導入する企業も多いですが、パブリッククラウドベンダーを選ぶ場合は「メジャーである」という以外にも、きちんとサービスの質や信頼性をチェックする必要があります。パブリッククラウドを提供する事業者の信頼性は一つの重要な指標となります。会社の経営規模、事業としての安定性、そしてサービス利用者の数や、過去の事故情報の有無や安定性、そして何よりコストパフォーマンスが重要になってきます。

大規模な障害の影響

大きくなったデータセンターに障害や災害による被害があるとその影響は大きく、昨年、日本時間2019年8月23日に業界トップのAWSのサーバに数時間の障害があり、アクセス不能となっただけでも、その障害の影響力の大きさは大々的に報じられました。しかも障害発生中リアルタイムでサポートが受けられないことに不満の声も噴出しました。

メジャークラウド以外にも長い実績とクオリティの面優れたベンダーもあります。「Linodeクラウドコンピューティング」はアマゾンのAWSの3年前の2003年に設立されたクラウドプロバイダーです。Linodeには、「専門家によるリアルタイムサポート体制」「コストとパフォーマンスの最適化」「クラウド料金のコスト削減を実現」「オープンクラウド (ベンダーロックインなし)」といったAWSと異なるアドバンテージが存在します。

コストパフォーマンス

クラウドコンピューティングを導入するメリットの一つに、オンプレミスに比較し、通産でのコストパフォーマンスがよいというのがあげられます。しかし、メジャーに代表されるAWSはそのコスト試算が非常に分かりにくいという声がしばしば聞かれます。実際本当に安いの?というのに疑問があるのです。

信頼性コストパフォーマンスから選ぶならLinode

AWSの代替としてお勧めしたいのがLinodeクラウドコンピューティングです。LinodeはアマゾンのAWSの3年前の2003年に設立されたクラウドプロバイダーです。

  • コストとパフォーマンスの最適化
  • クラウド料金のコスト削減を実現
  • オープンクラウド (ベンダーロックインなし)
  • リアルカスタマーサービス
  • 100%独立したオープンクラウド
  • シンプル
  •  非競合

LinodeではAWSとは異なるこれらのアドバンテージを掲げ、現在世界中で800000人の利用者と開発者に選ばれています。

Web脅威を可視化し、遮断するクラウド型WAFを提供するクラウドブリックは、Linodeの日本パートナーです。詳細はこちらの記事をご覧ください。

 

進化するパブリッククラウドのセキュリティ

パブリッククラウドとプライベートクラウドはどちらにもメリットとデメリットがあります。パブリッククラウド多くは初期費用が無料なため、低コストで導入できるのがメリットです。ただしセキュリティ面では、専有環境を持てるプライベートクラウドの方が優れているとも言われてきました。そのため、セキュリティを含め、自社が必要とする要件や規模に合わせてプライベートクラウドを導入する企業も多かったのです。

CASB(Cloud Access Security Broker)

「CASB(Cloud Access Security Broker)」は2012年に米ガートナーが最初に提唱したクラウドサービスに対する情報セキュリティコンセプトです。一般的に「キャスビー」と呼ばれます。CASBのコンセプトは、「ユーザー(企業)と複数のクラウドプロバイダーの間に単一のコントロールポイントを設けて、クラウドサービスの利用状況を可視化/制御することで、一貫性のあるセキュリティポリシーを適用する」ことです。サービス利用においてインターネットを経由する際にCASBを経由させることでセキュリティを担保することができるようになります。CASBの機能には可視化・分析、コンプライアンス、データセキュリティ、脅威防御といったものがあります。

  • 従業員や部署単位でのクラウドサービス利用を可視化し、把握できる
  • 自社のコンプライアンスに合致したクラウドサービスを利用できる
  • 複数のデータ保護対策を、クラウドサービスに上げる際に適用できる
  • マルウェア対策や、内部不正を検知して迅速に対処できる
  • セキュリティ対策における多層防御を強化できる

こうしたセキュリティが導入されているパブリッククラウドは安心して利用することが可能です。もちろんLinodeのすべてのデータセンターは、24時間365日のオンサイトセキュリティ診断、アクセス制御など、最新の設備を維持されています。

IT&MARKETING2021

1月27日~29日 「IT&MARKETING EXPO 2021」出展のお知らせ


この度、当社は2021年1月27日(水)~29日(金)まで開催される日本最大級のオンライン展示会「IT&MARKETING EXPO 2021春」に出展し、クラウド型WAFを含むセキュリティ・サービス・プラットフォーム「クラウドブリック(Cloudbric)」をご紹介致します。
オンラインブースでは、弊社サービスに関するご質問やご相談などをオンライン通話にて対応致します。
また、1月28(木)には、弊社代表取締役社長の陣 貞喜が登壇し、「企業のビジネスを守るWebセキュリティの極秘、一石五鳥クラウド型セキュリティプラットフォームサービス 」をテーマにセールスピーチを配信致しますので、ご興味のあり方はぜひお立ち寄りください。

【イベント開催概要】

◆日時:2021年1月27日(水)~29日(金) 10:00〜19:00まで
◆入場料:無料
◆イベント情報:https://weblp.cloud-webexpo.com/visitor/marketing_expo2021
◆無料会員登録:https://weblp.cloud-webexpo.com/visitor/marketing_expo2021/register

【セールスピーチの予定】

◆テーマ:企業のビジネスを守るWebセキュリティの極秘、一石五鳥クラウド型セキュリティプラットフォームサービス
◆日頃:1月28日(木)16:00に配信予定

cloudbric blog post

【2021年】クラウドブリック Webセミナー開催のご案内

2021年クラウドブリック(Cloudbric)定期Webセミナーを開催いたします。

本セミナーは、新規機能の使い方、仕様変更時のご案内、セキュリティトレンド情報、導入事例のご紹介などCloudbricをご利用頂く中で有効な情報をお届けいたします。

■場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)

■参加料:無料

■お申込み:こちらをクリックしてください。

■日時・セミナー概要

日時 テーマ 内容 対象
1月 Cloudbricセキュリティ・プラットフォームのご紹介 セキュリティ・プラットフォーム・サービスに進化したCloudbricについて、新規機能や注目ポイントなどをご紹介致します。 パートナー様
/エンドユーザー様
2月 サービスポリシーのご案内【トラフィック超過時の対応プロセス】 サービスご利用中、トラフィックがご契約プランのピーク時のトラフィックを超過した場合の対応についてご案内致します。 パートナー様
3月 Cloudbricが選ばれている理由とは 日本国内の競合他社について、機能・サービス・価格面での比較をし、営業時のポイントをご説明致します。 パートナー様
4月 Cloudbric活用法【パートナー専用管理サイト】Advanced サービス利用開始後のアカウント作成からセキュリティサービス運用開始までのプロセスにおいて、パートナー様の対応について詳しくご案内致します。 パートナー様
5月 サービスポリシーのご案内【価格ポリシー】 Cloudbricの価格ポリシーについて、追加費用を中心にご案内いたします。 パートナー様
6月 導入実績・導入事例のご紹介【2021年上半期】 Cloudbricの2021年上半期の導入実績および導入事例についてご紹介いたします。 パートナー様
/エンドユーザー様
7月 新規機能追加のご案内 新規機能について、概要・利用効果・設定方法などをご案内致します。 パートナー様
/エンドユーザー様
8月 よくあるご質問【営業面】 営業時に、Cloudbricの導入を検討されるお客様からよくご質問を頂いている内容についてご紹介致します。 パートナー様
9月 新規機能追加のご案内 新規機能について、概要・利用効果・設定方法などをご案内致します。 パートナー様
/エンドユーザー様
10月 よくあるご質問【サービス運用面】 サービスご利用中に、エンドユーザ様およびパートナー様からよくご質問を頂いている内容についてご紹介致します。 パートナー様
11月 新規機能追加のご案内 新規機能について、概要・利用効果・設定方法などをご案内致します。 パートナー様
/エンドユーザー様
12月 今年のCloudbric 2021年の新規機能、仕様変更など、今年のCloudbricにあった変化についてご案内致します。 パートナー様
/エンドユーザー様
フィッシング

日本がフィッシング攻撃のグローバルターゲットに!その現状に対して緊急レポート

フィッシング対策協議会の報告によると、2020年12月のフィッシングは1,204 件増加し、過去最多となる32,171 件となりました。これは前月11月にはじめて3万件の大台を突破した3万967件からさらに1204件の増加となります。前年よりこちらでも度々警告してきたフィッシング詐欺の増加ですが、増加の一途をたどっています。しかもグローバルで11月に観測された攻撃キャンペーンの上位10件はいずれも日本を標的とするフィッシング攻撃です。それらはAmazon、楽天、三井住友カードの利用者をターゲットにし、中でもAmazonは1日あたり数十万件単位で送信されており、100万件を超える日も確認されています。今日本がフィッシング攻撃の標的にロックオンされているのは間違いなく、今回はその現状に警鐘を鳴らすと共に、企業がとり得る対策についてもお届けしたいと思います。

引用:フィッシング対策協議会

 

フィッシング攻撃とは

フィッシング(phishing)とは、インターネットのユーザから経済的価値がある情報を奪うために行われる詐欺行為です。第三者がユーザをだましてオンラインから個人情報を入手しようと試みます。フィッシング サイトが要求する情報には次のようなものがあります。

  •  ユーザ名とパスワード
  • 社会保障番号
  • 銀行口座番号
  • PIN(暗証番号)
  • クレジット カード番号
  • 母親の旧姓
  • あなたの誕生日

金融機関や有名企業を装った電子メールに、「アカウント更新のため」などとして電子メール内に書かれているURLをクリックさせ、表示された偽のWebサイトに口座番号などのID、パスワードなどを入力させ、個人情報を取得するというものです。偽のWebサイトとはいえ、見た目はそっくりに作られているため、それが偽のWebサイトであるということに気づくのは困難です。

 

フィッシングの種類

スピアフィッシング

スピアフィッシングは、単純ですが危険性の高い、Eメール経由の標的型攻撃です。一見何の変哲もないメールの 本文にリンクが記載されていたり、ファイルが添付されていたりします。他のフィッシングとの違いは、普通のフィッシングは範囲や標的を絞らずに行うのに対し、スピアフィッシングは特定の企業の特定の人物や社員を標的にする点です。標的を絞り込むため精度が高まり、通常のフィッシングよりも悪質で危険度が高いと言われています。サイバー犯罪者は標的に関する情報を慎重に収集し、標的を引き付ける「餌」を用意します。うまく作られたスピアフィッシングメールは本物とほぼ見分けがつかないため、相手をより簡単に釣り上げられるのです。不特定多数に送り付けるスパムメールならメールを開く人も3%程度なのが、狙いを定めたスピアフィッシングでは、70%ものメールが開かれてしまうと言う統計もあります。

攻撃者は、基本的に実用的で小さなプログラム、Microsoft WordのマクロやJavaScriptコードを使って文書を攻撃の手段に変え、一般的なファイルに埋め込みます。その唯一の目的は、さらに有害なマルウェアを標的のコンピューターにダウンロードすることです。コンピューターに感染したマルウェアは、標的のネットワーク全体に拡散することもあれば、集められるだけの情報を集めまくることもあります。このようにして、マルウェア作成者は目的の情報を探し出します。こうした高度に入念に準備して行うスピアフィッシングでは、大企業の幹部、金融機関の職員等影響力のある人物に狙いを定めます。

スピアフィッシングのメールの大半は、ITの監督権限のある方、あるいはネットワークドメインのアドミニストレータを標的に送られます。ここを攻略すれば社内ネットワークにマルウェアを広げることができるからです。

スピアフィッシングの中でも、特に大きな獲物、すなわち最高経営責任者(CEO)などの経営幹部を狙うフィッシングのことを、ホエーリング(whaling)やホエールフィッシング(whale phishing)と呼びます。社外の取締役等はその会社の社員ではないことから、業務関連の連絡に個人用のメールアドレスを使っている場合も多く、ホエールフィッシングの標的に狙われやすいという指摘もあります。

新型コロナウイルスの感染拡大に便乗した、中国、北朝鮮、ロシアの攻撃グループによる複数のスピアフィッシング攻撃等も報告されています。

ラテラルフィッシングメール

ラテラルとは横方向を意味し、サイバー攻撃により内部ネットワークに不正侵入後、横方向への感染を拡大する行為を「ラテラルムーブメント」と呼びます。ラテラルフィッシングは、攻撃者が組織内のメールアカウントを何らかの手法で乗っ取り、その組織の正規アカウント(ドメイン)から、取引先等なんらかの横つながりにある企業に対し、フィッシングメールを送るものです。正規の内部アカウントからのメールなので、現在の攻撃検知の想定外のため、一般に検知が困難です。フィッシングが浸透してから、「偽ドメインからのメール」へ警戒を強める従業員も多くなりました。有名企業を騙るメール名でも、ドメインが異なれば不用意に開かいのは最早常識となりました。しかし、ラテラルフィッシングは、「正規ドメイン」からフィッシングメールが送付されて来るので、この常識が通用しません。

インターネットバンキングの被害にも

インターネットバンキングの口座に不正アクセスされ、知らない間に預金が詐欺グループに送金されるケースがあります。フィッシング詐欺では、実際に存在する銀行やクレジットカード会社、ショッピングサイト、SNSなどを装った偽のメールやショートメッセージ(SMS)が送付され、本物のログインページを精巧に模した「偽のログインページ」に誘導されます。この偽のログインページで入力してしまったアカウント情報などは、悪意のある第3者に送信されます。この不正に盗まれた情報は、不正送金などのために悪用される恐れがあります。そしてIDやパスワードなどの情報を入力させて盗み取り、口座から預金を不正に引き出すのが典型的なものです。実際に送付されてくるメールでは、「システムトラブル」や「セキュリティ対策のため」などを装い、偽のログインページにアカウント情報を入力させるように巧みに誘導する文面になっています。フィッシングで偽サイトに誘導されている場合は、URLなどを確認することで、正規のサイトであるかどうか確認することが可能です。

 

企業に影響のあるフィッシング被害

なりすまし被害

自社がフィッシングのなりすましにあうケースが想定されます。例えばECサイトの場合、対象サイトは売上減だけではなく、サイトの信頼回復に時間がかかるとの報告もあります。一見しただけではニセモノと見分けがつかないサイトが多いこと、またネットショップ側になりすましたメールでフィッシングサイトへ誘導されることもあります。

そこで企業としては入手したいのが『SSLサーバー証明書』です。SSLサーバー証明書は『https://』で始まるサイトの暗号化だけでなく、第三者のなりすましによる偽サイトを防ぐためにも役に立ちます。 ただし、SSLサーバー証明書にはランクがあり、中には信頼できない機関によって発行されるものも存在するため注意が必要です。 最上位の証明であるEV(Extended Validation)SSL証明書であれば、認証基準に基づいた実在確認をするため、非常に高い信頼性が期待できます。

Webページが改ざん被害

またSQLインジェクションではWebページが改ざんされ、フィッシングサイトへ訪問者を誘導されることもあります。あるいは、SQLインジェクションを利用してサーバー上のファイルを書き換えることでWebページを改ざんされることもあります。この場合、訪問者をフィッシングサイトに誘導したり、ウィルスに感染させたりといった被害が予想されます。
他にもロスサイトスクリプティング(Cross Site Scripting、XSS)によってお問い合わせフォームに悪意のあるスクリプト(JavaScriptなど)を入力して、ホームページを改ざんする攻撃も存在します。埋め込んだスクリプトを利用して、訪問者のcookie(クッキー)情報を盗み取り、各種サービスのログインID・パスワードを盗みとります。
このようなケースの場合、実際は自社が被害者であるにもかかわらず、加害者として扱われてしまうことになります。クロスサイトスクリプティングによる情報流出が発生すると、甚大なクレームが発生し、会社の社会的な信頼も失われてしまいます。

 

さいごに

SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を防御するには、防ぐ有効な手段としてWAFが注目されています。WAFの大きなメリットは、ホームページに予期していない脆弱性が潜んでいたとしても、攻撃パターンを読み取ってアタックを未然に防いでくれる点です。また、脆弱性を修正されるまでのタイムラグにゼロデイ攻撃を受けつづけるリスクも減少します。WAFを導入することで、ホームページのセキュリティが格段に向上します。

Webサイトがフィッシングサイトへの踏み台として利用されることは大変な信用失墜につながります 。特に、ECサイトなど、顧客情報や機密データを取り扱う企業にとっては、一度失われた信頼を回復には莫大な時間と費用がかかりますので、事前に脅威を防ぐための防御態勢を整える必要があります。

クラウド型WAFであるクラウドブリック(Cloudbric)はPCI-DSSに準拠したエンタープライズ向けWAFサービスを提供します。クラウドブリックを導入することで、企業はハッカーの不正な動きを事前に発見し遮断することができるため、顧客情報を安全に守れます。

Cloudbric WAF+

カード情報漏えい

個人情報がつまったECサイトが狙われている!ECサイトが受ける不正アクセス攻撃とリスクについて徹底解説 その2

前回、ECサイトが受ける不正アクセス攻撃による「個人情報漏えい」のリスクについてご紹介しました。2回目となる今回はもうひとつのリスク、「クレジットカードの不正利用」について解説していきたいと思います。ネット利用が普及し生活が便利になる一方で、日々、多くのECサイトでクレジットカード情報漏えい事故が起こっています。ECサイトの担当者へのアンケートによると、49.1%が「ECサイトに対してサイバー攻撃を受けたことがある」と回答しています。ECサイトの立ち上げを検討している担当者は、ECサイトの最も大きいセキュリティリスクである「クレジットカード情報の漏えい対策」を行う必要があります。

 

クレジットカード決済で不正利用が起こる原因

クレジットカードは、現代における生活の必需アイテムになっています。クレジットカードがあれば、手持ちの現金がなくても実店舗で買い物できますし、ネット通販でも手軽に決済できます。とても便利なものですが、クレジットカードは悪意ある第三者によって不正利用されてしまうリスクがあることも心得ておかなければなりません。そして近年、ECサイトが不正アクセスを受け、顧客情報の他に、クレジットカード情報が漏えいする事件が相次いでいます。

日本クレジット協会の発表によると、2018年のクレジットカード不正利用被害額は235.4億円、2019年は上半期だけで137億円となっています。金額も増加していますが、比率がそれ以上に増加していて、クレジットカードの持ち主が意図しない不正利用がECサイトなどで多発していると言えます。クレジットカード決済で不正利用が起こる原因とその手口は、以下のものがあげられます。

フィッシング

フィッシングとは、金融機関などの有名企業を詐称したメールを送り付け、本文のURLをクリックさせることで偽サイトに誘導し、不正にIDとパスワードなどを詐取する詐欺行為のことです。設定変更や機能追加を行うためとしてメール本文のURLをクリックさせ、本物とそっくりのフィッシングサイトに誘導し、ID、パスワード、口座番号などを入力させ、これらの情報を搾取することを目的としています。近頃よく見られる手法に、Office 365のようなクラウドアプリケーションのログイン認証情報を盗み出すためにも使われます。ハッカーは、自分のOffice 365アカウントにログインして、プラットフォームへのアクセスの再取得、共有ファイルの回復、アカウント情報の更新など実行するように促すメールをユーザーに送信します。

フィッシングの一種であるスピアフィッシングと呼ばれる攻撃手法もあります。フィッシングは不特定多数の人へ行われるのに対し、スピアフィッシングは特定の標的を狙って行われます。フィッシングは大量配信攻撃であり、比較的広範囲に罠を仕掛けます。スピアフィッシング攻撃は槍(spear)を突き刺すように標的を定めて攻撃を行うため、騙されやすく非常に危険な攻撃です。メールによるスピアフィッシング攻撃は、日本では「標的型攻撃メール」とも称されます。スピアフィッシング攻撃は、事前に情報収集を行った結果を元に標的に狙いを定めて攻撃を行うため、精度が高いという特徴を持ちます。

スキミング

「スキミング」というのは、クレジットカードの情報を不正に入手して、まったく同じ偽造カード(クローンカード)を作って不正利用する犯罪のことです。クレジットカードそのものを盗むのではなく、「スキマー」と呼ばれる装置を使って、クレジットカードの磁気ストライプに書き込まれている情報のみを読み取るため、自分が被害者であることに気がつきにくいという特徴があります。
このスキミングがさらに進化したのがオンラインスキミングです。オンラインスキミングとはECサイトなどに不正なコードを挿入し、利用者が入力した決済情報を盗む行為を指します。ユーザーがフォームに入力したクレジットカード情報を盗み取るため、カード番号や有効期限だけではなく、不正利用防止のために設定されているセキュリティコードまで盗まれてしまいます。さらに、本人認証用の3Dセキュアのパスワードまで盗まれることもあります。オンラインスキミングでは偽決済ページヘの誘導を行ったり、不正者への情報送信を行ったりします。こちらの手口ではECサイトのカード情報入力フォームに直接JavaScriptのコードが埋め込まれています。利用者がカード情報を入力し確認ボタンをクリックすると、不正者にも入力されたカード情報が送信され、個人情報が盗まれてしまいます。

なりすまし

「なりすまし」とは、流出した、もしくは盗み取ったカード情報を使って、第三者が本人になりすまして、クレジットカードを不正利用する手口です。上記のフィッシングやスキミング、そしてサイトからの情報漏えいで流出してしまったカードを本人になりすまして、不正利用します。一般社団法人日本クレジットカード協会によると、年によって増減がありながらも、全体的に増加傾向です。内訳としては番号盗用による被害が多くを占めています。

 

ECサイトからの情報流出

前回のようなパスワードアタックのような攻撃にあい、ECサイトから直接カード情報が流出する危険性もあります。

EXILEの公式ECサイトに不正アクセス カード情報4万4000件が流出か
2020年12月08日
音楽ユニット「EXILE」などが所属する芸能事務所LDH JAPANは12月8日、同社が運営するECサイト「EXILE TRIBE STATION ONLINE SHOP」が不正アクセスを受け、4万4663件のクレジットカード情報が流出した可能性があると発表した。このうち209件のカード情報については、11月27日時点で第三者に不正利用された可能性がある。
流出の可能性があるのは、8月18日~10月15日に同サイトでカード情報を登録するか、登録済みの情報を変更した利用者のカード名義人、カード番号、有効期限、セキュリティコード。
引用:https://www.itmedia.co.jp/news/articles/2012/08/news139.html

こうしたニュースが今も後を断ちません。セキュリティ対策に無頓着な場合、いつ自社が狙われてもおかしくはないのです。

 

クレジットカード情報が漏えいした場合のECサイトのリスク

1. ECサイトの閉鎖

カード情報が流出した場合、カード決済の停止やサイトを一時閉鎖するなどの措置がとられます。セキュリティ事故が起きると約半数のサイトが完全復旧できないほか、完全復旧するにはECサイトのリニューアルが必要で、ECサイトの信頼度低下や顧客離れなどを含めると、セキュリティ事故のダメージは計り知れないものとなります。

2.フォレンジック調査の費用

「フォレンジック調査」は漏えい発生に際し、原因特定や被害範囲特定を行うための調査です。カード会社との加盟店契約において、加盟店は漏えい事故が起きた際の調査が義務付けられています。特定の専門機関への調査依頼が必要となり、調査費用は数百万円から1000万円程度が見込まれます。

3.対象顧客への報告と損害賠償金の支払い

お客様へのお詫び対応のデスク設置やクレジットカードの差し替え費用、損害賠償金の支払い等が発生します。カード情報が流出した場合、ほとんどのケースは裁判になります。そしてその賠償金は、過去の判決例から分類すると、秘匿性に合わせて大きく3種類です。 まず、秘匿性が「低」と判断される場合です。住所や氏名など、特殊な情報でない場合がこれに該当します。この場合の相場は、一件あたり500円から1,000円くらいです。 次に、秘匿性が「中」の場合です。クレジットカード情報や、収入、職業に関する情報など、一般的には知られていないはずの情報がこれに該当します。この場合、一件あたり1万円くらいが相場となります。そして、秘匿性が「高」と判断されるケースでは、一件あたり3万円超となります。極めて個人的な情報、たとえばスリーサイズや手術歴、ユーザーIDとパスワードのセットなどがこれに該当します。因みに過去の判例で、1件当たり平均想定損害賠償額は3億3,705万円となっています。

4.社会的信頼の失墜

監督庁への報告がマスコミの報道や、ネットでの情報掲示でネガティブ情報として取り上げられる可能性があります。企業の社会的信頼が薄れ、株価が下落します。顧客に不安を与え、顧客離れが起きます。

5.行政の指導や罰則のおそれ

2018年6月1日に施行された「割賦販売法の一部を改正する法律(改正割賦販売法)」では、クレジットカードを取り扱うEC事業者などに対して、「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務付けられ、カード情報の漏えい対策として制定された同法律では、法的にもEC事業者への責任が強化されています。

 

さいごに

システムのセキュリティホールは、色々な角度から狙われています。攻撃者は対象のシステム全体から、SSHやFTP等のリモートアクセスの他、ウェブサイトへのSQLインジェクションの試行等、攻撃可能なセキュリティホールをあらゆる手段を駆使してスキャンしています。こうした攻撃に対する「クレジットカード情報の漏えい対策」には、WAFのような不正検知システムの導入が効果的です。いつ、どのような手段によって行われるか分からない攻撃に備えるためには、システム全体のセキュリティ対策が必要ということになります。

WAF は従来のファイアウォールや IDS/ADS では防御しきれなかった攻撃の検知・防御が可能となります。ファイアウォールは、主に不要なサービス(サービスポート)へのアクセスを制限し、不正なアクセスの防御を行っております。また IDS/ADS では不正なアクセスを検知するとアクセス元の通信を遮断します。しかし Web サイトなど、公開されているサービス(HTTP や HTTPS)はファイアウォールでは制限されない形となるため Web アプリケーションに脆弱性があると攻撃の脅威となります。WAF ではファイアウォールや IDS/ADS では検知できない攻撃を検出することができます。

クラウド型セキュリティ・プラットフォーム・サービス

Cloudbric WAF+