WAFER

安全なWebサイトを作る3つの方法

昨今のWeb攻撃に関するニュースを見ると以前とはまた違う攻撃の被害に遭う事をよく目にしています。
最近発生した「歴代最悪のサイバー攻撃」に対してやっと対策を講じたと思ったらまた新しい攻撃が現れてWeb環境を脅かしています。
早いスピードで変化する特性を持つWebであるため、昨日までWebサイトを攻撃から守ってくれたWAFが今日も適切なセキュリティを提供出来るという保証は出来ません。
₋WAFは導入したけど、セキュリティ管理はベンダーに任せきりです!
₋Webサイトをもっと安全に運営したいです!
こうした思いを持っている企業もしくは個人のWebサイト所有者の為に、今回は安全なWebサイトを作る3つの方法をご紹介致します。

「目次」
 1.脆弱性対策は必須!
 2.攻撃履歴を把握して遮断IPリストをアップデート!
 3.WAFの定期点検
 ▣ 今すぐ貴社のWAFをテストしてみてください!

 

 1.脆弱性対策は必須!

いくらセキュリティを考慮して開発したWebサイトだとしても脆弱性はあるものですし、Webサイトの脆弱性を完璧に把握するのは難しいことです。
実際に第三者の通報によって脆弱性を知ることも少なくありません。
この為、知らぬ間にハッカーに脆弱性が露出されて情報流出や改ざん等の被害を受けることになります。
実際に、最近人気タルト専門店のオンラインショップが脆弱性攻撃によって顧客情報を流出するなど、
脆弱性を知らなったり放置したりして被害を受ける事例が増えています。
この問題を事前に備える為には、二つの方法があります。
直接手動診断する事と脆弱性スキャンツールを使用する事です。
このうち、早くて簡単に脆弱性を診断出来る脆弱性スキャンツールをいくつかご紹介致します。
OWASP ZAP:最も簡単に使用出来る自動診断型テストツールです。
Burp Suite : 広く使用されているツールで、改ざんテストまで出来ます。
Nikto:既に公表された脆弱性がWebサイト及びミドルウェアに存在するか確認出来ます。

 2.攻撃履歴を把握して遮断IPリストをアップデート!

多くのWAFサービスにはどのIPからよく攻撃を受けているのかに対する情報を提供する機能があります。
既にWAFを導入しているなら、この機能を使用する事をおすすめします。
この時、攻撃してきたIPのアクセスを遮断することでより安全にWebサイトを保護出来ます。
クラウドブリックのサービスコンソールにはユーザ自らが攻撃情報を確認して攻撃してきたIPまたは国を特定して遮断する機能があります。
また、指定IPもしくは国からのアクセスのみ許容する「ホワイトリスト」機能も提供しております。
このような機能を活用したら、ハッカーのアクセスを遮断して攻撃防止は無論、Webサイトの過度なトラフィック量増加による費用の増加やローディングスピードの低下などの被害を防止する事が出来ます。
特に、ECサイトのように特定地域のマーケットのみターゲットにする場合、ビジネスを展開している国のアクセスのみ許容することで攻撃に備えられます。
console

 3.WAFの定期点検

最近オーストラリアの16歳の少年がアップルのサーバを1年以上ハッキングした事件がありました。
誰でもハッキングが出来るようになりましたし、大手企業でも気付きにくい程の巧妙な攻撃が増加しています。
シグネチャー基盤のWAFの場合、新しい攻撃に対応する為には定期的なアップデートが必要になります。
その際、多くの時間と費用がかかりますし、頻繁なアップデートによる機能低下が発生する恐れがありますので、アップデートの後に性能の点検が必要です。
(→シグネチャー基盤のWAFの限界を克服できるクラウドブリックの論理演算基盤検知エンジン)
クラウドブリック・ラボ(Cloudbric Labs)のWAFERを使用したら現在利用しているWAFの性能を無料でテスト出来ます。
WAFERはWAFのセキュリティ性能を評価する為に制作された無料ツールであり、検知または遮断した攻撃(正検知)だけでなく、正常トラフィックの遮断(誤検知)に対する評価も出来ます。
そして、WAFERのテストパターンはOWASP・Exploit DBのパターン及びクラウドブリックのリサーチチームによって厳選された攻撃パターンで構成されていて、利用しているWAFが多様な種類の攻撃に対してどのような対応が可能なのか確認出来ます。
WAFER_Report

 ▣ 今すぐWAFERを使用してみてください!

WAFER
WAFを導入するだけでWebサイトの安全性が保証される訳ではありません。
安全なWebサイトを作る為には定期的にWAFを点検しなければいけません。
クラウドブリックのWAFERは簡単な認証だけで誰でもWAFを無料点検出来ますので、今すぐ貴社のWAFの防御能力を確認し、サイバー犯罪に備えてください。
次回はWAFERの使用方法についてご案内いたします。
パートナーに関するお問合せはこちら
製品に関するお問合せはこちら
WAFERのお試し利用はこちら

Asia-Pacific Stevie Awards Silver Winner

Cloudbric、2018 Stevie Awardsで銀賞受賞

Stevie Awards
クラウドブリックが第5回スティービー・アジア・パシフィック賞の技術開発革新部門で銀賞を受賞いたしました。

“王冠”という意味のギリシャ語の“Stefanos”から名付けたスティービー賞は、過去16年間に亘って「国際・ビジネス賞」のようなプログラムを行っている世界有数のビジネスアワードであります。

2014年の初開催以来、スティービー・アジア・パシフィック賞はアジア太平洋地域の22か国から企業革新を認定して貰える唯一のビジネスアワードプログラムです。

今年のスティービー・アジア・パシフィック賞の金・銀・銅賞候補は、世界中の約100人以上の様々な分野のエグゼクティブより革新的な業績に対する優秀性を評価されました。

そのうち、銀賞を受賞したクラウドブリックは、2017年に成し遂げた革新的な技術開発を認定されました。特に、ユーザーのSSL証明書管理に手間が掛からないように自動リニューアルされる無料SSLサービスが高く評価されました。

クラウドブリックは今後もWebサイトセキュリティに関する知識が少ない人でも簡単にアクセスして使用出来るサービスを提供していきます。

(2018年アジア太平洋Stevie Awards受賞者リスト:http://asia.stevieawards.com/2018-stevie-winners)

「 Stevie Awards について」

Stevie Awardsは以下の7つのプログラムで構成されている。
‐スティービー・アジア・パシフィック賞 (the Asia-Pacific Stevie Awards)
‐ドイツ・スティービー賞 (the German Stevie Awards)
‐アメリカン・ビジネス賞 (The American Business Awards)
‐国際ビジネス賞 (The International Business Awards)
‐女性ビジネス賞 (the Stevie Awards for Women in Business)
‐優良雇用者スティービー賞 (the Stevie Awards for Great Employers)
‐セールス&カスタマーサービス・スティービー賞 (the Stevie Awards for Sales & Customer Service)
スティービー・アワードには、 毎年60ヶ国以上の組織から1万件以上の応募が寄せられている。
(Stevie Awards公式ホームページ:http://www.StevieAwards.com)

image 2

【コラム】PCI DSSの核心、Webセキュリティとデータ暗号化

情報セキュリティ製品の広告によく登場する特定の’標準’が幾つかありますが、
その中でも「 PCI DSS 」は特によく登場します。
「弊社の製品はPCI DSSの要求事項を充足していて、PCI DSS基準の適合認証を保有しています。」
という広告用メッセージも見かけになっていると思いますが、
弊社も同じくCloudbric WAFに関して強調している内容の一つです。
‘重要な事っていうのは分かったけど、どういう事だろう?’と思っている方々もいらっしゃると思いまして、
今回はPCI DSSに対して簡単にご紹介致します。
PCI DSS

 PCI DSS とは

pci dss
PCI DSSはクレジットカード業界で共通的に使用されるセキュリティ標準です。
クレジットカード会社で会員のカード情報及び取引情報を安全に管理する為にカードの決済過程の全てにおいて遵守しなければいけない基準であります。
PCI DSSが標準として制定される前にはクレジットカード会社別に各自異なるセキュリティ基準を要求していたので、一般の業者は色んな基準に充足する為に多くの費用と努力をかけなければならなかったです。
こうした不便を解消する為にJCB・American Express・Discover・MasterCard・Visa等の国際的なクレジットカード会社が共同委員会を組織して「PCI DSS」という標準を制定しました。

PCI DSS規格の妥当性

pci dss NIST・ISO等の国際的な標準制定機関ではない民間企業が決めた規格を「標準」にしていいのか疑問を持たれた方もいるでしょう。
しかし、PCI DSSの場合、内容がとても詳細で細緻な規格で構成されていて標準として充分だといえます。
全般的なセキュリティ状態の診断及び審査過程、アプリケーションやシステム、ネットワーク等の領域別に実施する浸透テストの回数や時期などのセキュリティ政策だけではなく、不正ログインを何回試すとロックがかかるのか、顧客のPCに個人アプリケーションファイアウォールが設置されているかの確認などの些細な基準まで完備している規格であるからです。
このように具体的で厳しい基準を提示しているので、クレジットカード取引と関係の無い企業や組織でもPCI DSSを情報セキュリティ基準として採択している場合が多いです。

 creditcard

 

核心はWebセキュリティとデータ暗号化

クレジットカードのセキュリティといえば、カード端末機やネットワークのようなハードウェアが大事だと考えがちですが、データが移動してアプリケーションに到達したらその内容は全てアプリケーション(大半がWebアプリケーション)で管理されます。
従って、Webアプリケーション開発のプロセスの基準となる「PCI PA-DSS」の内容の大部分はWebセキュリティ関連内容であり、内容の核心はデータの暗号化です。
敏感な情報を扱う全般的なセキュリティ政策ともなる「PCI DSS」も、内容を見てみると多くがWebセキュリティとデータ暗号化に関連しています。どうしてでしょう。
IoT・フィンテック(FinTech)等の技術が登場してWebはもっと日常生活の一部になっています。
データはWebが主要環境であるアプリケーションを通じて移動し、これからはアプリケーションもWeb環境で開発されて運用する事になります。
データ保護の為には分野に関係なくWebセキュリティを重視するしかありません。
security

PCI DSSの究極的な目的は敏感な情報を安全に保護する事です。
昨今の情報セキュリティの中心はネットワークやサーバ等のハードウェアを保護するセキュリティ政策からデータとアプリケーションを保護するWebセキュリティに移っています。
クラウドブリックのWAFを導入したら複雑なプロセスも無くPCI DSSのセキュリティ基準を遵守出来ます。
今すぐWAFを導入してWebサイト保護とオンライン決済セキュリティ基準遵守を全て解決しましょう。
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら
パートナーに関するお問合せはこちら

【コラム】安全なインターネットの基準、WAF

「今やWeb時代、その時代こそ Webセキュリティ が肝心!」

Webセキュリティ、これでもかとあきれるほど耳にする言葉です。それにもかかわらず、その重要性があまり認識されていないのが実情です。
そのため、何度も繰り返して言いますが、Webセキュリティは、重要です!物事はすべてインターネット、つまりWebを介して行われているのに、どうしてWebセキュリティは疎かにされているのか、考えてみましょう。残念なことに、その答えは既に出ています。「安全なインターネットとは何か」、に対する正確な概念がないためです。
 

「安全なインターネットとは何か」

世の中には、重要であっても、その重要性が十分認識されていないことがあります。ICTセキュリティこそ、その代表例でしょう。世の中に広く浸透しているICTの時代、ICTセキュリティが重要であることは誰もが知っているはずです。しかし重要であることを知りながらも、何を、どうすればいいか分からず、多くの場合疎かにされています。それが状況をより深刻にさせています。
世の中は一見カオスな世界のように見えますが、その中には、様々なシステムが複雑に絡み合っていて、どうにかして効率的且つ合理的に動いているのです。問題と解答が飛び交う混迷した世界ですから、ICTセキュリティが本当に深刻な問題であるなら、解決策やセーフティネットが整っていたはずです。
もちろん、そのソリューションはあります。調べてみましょう。
 
ICTセキュリティは個人にとっても集団にとっても、大きな懸念材料です。「国際標準」は、それらを収集して洞察し、ほぼ完璧にまとめたものです。
代表例として挙げられるのが、イギリスのBSI(British Standards Institute)が制定したBS7799基盤のセキュリティ認証であり、フレームワークの「ISO27001」です。また、経営に焦点を合わせた「情報セキュリティマネジメントシステム(ISMS;Information Security Management System)」も重要な標準規格です。これらのフレームワークを参照し、それぞれの仕様に合わせて企業のセキュリティシステムを構築すれば、ある程度安全なICTセキュリティのポリシー確立や仕組構築が可能となります。
ある企業がISO27001を取得したということは、全体で11の評価項目で「安全」と認められたことです。それは、その企業がICTセキュリティに関わる全てのリスクを総合的に管理し、改善できる基本的な仕組が整っているという意味です。ICTセキュリティは単なるシステムや技術ではなく、組織全体と個人それぞれが生活を営む「文化」であり、「環境」でもあるため、認証を取得したからといって、100%安全になったとは言えませんが、「代替的に」安全になったとは言えます。
では、安全なインターネットの基準となる国際標準はあるのでしょうか?
答えは、「あります」。
世界的なNGOオンライン信頼度監査機関である「OTA(Online Trust Alliance)」は、毎年、有名Webサイトを対象にセキュリティ性を点検し、安全なインターネット文化の確立に向け先駆けて取り組んでいるWebサイトを選定し、「オンライントラスト栄誉賞(OTHR;Online Trust Honor Roll)」を授与しています。政府をはじめ、金融機関、SNSなど、様々な分野にわたって約1000の有名サイトが対象となります。今年は、そのうち約46%がセキュリティ性の不足を理由に選定対象から外され、1位の「最も信頼できるWebサイト」には、「Twitter」が選定されました。
それでは、OTHRの選定基準は何でしょうか。
まず、着目すべきなのは、今年から「WAF(Web Application Firewall、Webアプリケーションファイアウォール)の使用有無」が評価に関わる重要項目として追加されたことです。それを受けて「安全」ランクを取得した企業は、去年の30%から今年は44%へと増えるなど、選定結果に大きな影響を与えました。やや遅きに失した感はありますが、その決定は当然なことです。
WAFはそもそもWebセキュリティの基本であり、核心であるWebアプリケーションセキュリティに特化して開発されたものです。外部からの攻撃を事前に遮断し、マルウェアなどの有害物がサーバーへ侵入することを防ぎ、Webセキュリティ脆弱性が外部にさらされないようにするなど、Webセキュリティの全般にわたって最も重要な役割を行っています。そのため、WAFは他のセキュリティ機器に比べ、Webサイト全体の安全性に与える影響力非常に大きなものがあります。また、OTAは、これからWAFの使用有無がOTHRの選定に大きな影響を及ぼすと述べました。この決定も当然でしょう。
「なら、WAFを買えば済むのか? いくら?」
このように簡単に決定できるものなら、売り手も買い手も楽でしょうが、企業における意思決定は企業の成長や発展、ひいては企業の死活にかかわる大事なことです。何事も簡単には決定できません。またそうしてはいけません。特にコストが決め手となる新規スタートアップ企業にとっては、なおさらです。世の中は、欲しいものであふれています。残念ながら、その全てを手に入れることはできません。WAFも同じです。高い機器ではありませんが、安いとも言えません。いくら良いものであっても、すぐ買えるわけではありません。
そうなら、とりあえずクラウド型WAFサービスを試してみましょう。簡単な操作だけで実際にWAFを導入したような効果が得られます。マウスを数回クリックするだけで、ICTセキュリティ事故の9割をも占めるWebハッキング攻撃を全て遮断できます。最も頻繁に発生しているWebサイトハッキングをはじめ、Webからのデータ漏洩、不正アクセス、Webサイト改ざんなど、その全てを遮断します。
クラウド型のサービスで提供されるため、機器の保守コストもかからず、利用初期は一定期間無料で利用できます。その後、オンラインビジネスが軌道に乗れば、トラフィック量によって最適なプランを選択し、所定の使用料を払えばいい訳です。
ならば、クラウド型WAFの中でもどのサービスを選ぶべきでしょうか。
実際現場における最重要なWebセキュリティ作業は何でしょうか?長年にわたる経験を基に、意見を述べさせていただきますと、管理者のモニタリングではないでしょうか。日に日に激変するWeb脆弱性のトレンド分析、実際に御社のWebサイトを狙う者たちの行動分析、日々溜まっていく攻撃と防御のログなど、完璧なWebセキュリティは持続的なモニタリングを通してのみ確保できます。
いくら早いスピードや優れた性能を持つWebセキュリティ機器を使用するとしても、モニタリング・ユーザーインターフェースに力を入れなければ無用の長物になってしまうのが事実です。優れたWAFの性能で知名度の高い様々な製品を比べ、その中で最も直感的にわかるユーザーインターフェースを持つ製品を選ぶことを推奨します。何回も強調しましたが、Webセキュリティ作業の核心はモニタリングであるためです。
そして重要なのは、当該クラウド型WAFサービスがどのハードウェア型WAFの技術をもとに作られたかを調べることです。企業が成長するにつれWebサイトも成長していき、理由はともあれWebに関わる全ての設備を自ら運用する必要がある場合もでてきます。その時になってから、クラウド型サービスではなく定番のハードウェア型WAFに移行しても遅くはありません。同一技術をもとに形のみ変えた製品ですので、システムの変更による非効率や業務の空白は発生しません。ただし、クラウド型WAFサービスとハードウェア型WAFサービスが「同一技術」でなければ、順調な移行を期待できません。クラウド型サービスを利用しているうちに必要性を感じてハードウェア型を導入することになったら、当該クラウド型サービスの基盤となる製品を選択することを推奨します。そうすると、システム構成の変更も認識せず、スムーズにビジネスを引き続き継続できます。
要するに、いいWAFとは何でしょうか。
シグネチャ基盤ではなく論理演算基盤のものを勧奨します。論理演算検知技術は、時代の要請によるものだからです。安全か危険かを基準に作成された対象リストをもとに検知する既存のシグネチャ基盤技術は、なんとか命脈を保ってきましたが、今やIoT時代。Webが爆発的に拡張していく本格的なWeb時代の到来です。まず、トラフィック量が膨大していきますが、いつまでリストをいちいち参照しながら安全か危険かを探るつもりでしょうか。不可能なことは明らかです。これこそが論理演算基盤のWAFでなければならない理由です。
ここまで考えると答えがまとまってきます。便利なモニタリングを可能にする直感的ユーザーインターフェースとクラウド型WAFサービスを提供するロジックベースのWAFが正解です。
一瞬の迷いもないはずです。両方の長所を持つ製品はそれほど多くはありません。
 
Cloudbric(クラウドブリック)
Cloudbricは、ロジックベース検知エンジン(COCEP:COntents Classification and Evaluation Processing)を基に開発されたSaaS型Webセキュリティサービスです。
Cloudbricは、Web攻撃や情報漏洩を恐れながらも、高価でインストールが難しいということなどから導入できなかった個人や中小零細企業を主なターゲットに、リーズナブルな価格で、簡単に導入できる強力なWAFサービスを提供致します。
 

Blog_SSL_1

【コラム】まだ有料SSL認証書を使用中のあなたに今、必要なのは?

無料で使える SSL 認証書「Let’s Encrypt」そして「クラウドブリック」

Webブラウザサービスが多様になって誰でも簡単に情報を共有出来るようになり、ハッキングに露出される危険も大きくなっています。
この為、暗号化通信は必須条件となりました。
暗号化通信はHTTPSプロトコルを使用する事で実現できますが、HTTPSプロトコルを使用する為には認証局(CA:Certificate Authority)からSSL証明書を発行して貰わなければいけません。
しかし、費用負担や複雑な認証プロセスなどにより発行率はとても低いです。
SSL

1.世界及び日本の主要企業のWebサイトSSL対応現況

Use_SSL
(引用: 国内主要企業サイトの約40%がHTTPS未対応 -Atlas21調査- https://at21.jp/web/topic/topic32.html)

2016年5月、日本のWebソリューション会社のAtlas21が東京証券取引所市場第一部に上場する主要企業を対象として実施した調査によると、
Webサイトの全ページに暗号化通信を適用しているHTTPS完全対応率は1%であり、世界主要企業が17%である事に比してとても低い数値を記録しました。
つまり、大半のWebサイトにSSL/TLSが適用されていなく、最も基礎的なセキュリティである暗号化通信も保証されていなかったという事です。
幸いなことに、2018年6月に実施した調査ではHTTPS完全対応率が40%まで増加しましたが、世界主要企業の数値である52.4%に比べたらまだ低いと言えます。

2.Let’s Encryptの登場

SSL証明書の発行には年間約80~400ドルの費用が発生します(認証局によって少し差は発生します)。
EV,Wildcardなどのオプションを追加する場合は費用はもっと高くなります。
費用の負担以外にも、複雑なドメイン認証作業が発生することがSSL証明書の発行率が少ない理由の一つです。
該当ドメインに対して、認証局より認証してもらう為にはメール認証・DNSレコード追加などの作業が必要です。
また、認証作業が終わったら発行されたSSL証明書を直接Webサーバにアップロードしなければなりませんし、証明書を更新する度に同じプロセスを繰り返す事になります。
この問題を認識し、SSL使用のハードルが高い問題を解決して、誰でも安全な暗号化通信を使用出来る環境を作るために、
Mozilla・Cisco・Akamai・Electronic Frontier Foundation(EFF)・Iden Trustなどの多様なグローバルIT企業がISRG(Internet Security Research Group)という
認証局を設立してLet’s Encryptというプロジェクトが始まりました。

3.Let’s Encryptの特徴

Let’s Encryptの登場で我々はSSLを無料で・簡単に・自動発行出来るようになりました。
1.無料発行
SSL証明書を発行する際に費用は発生しません。
ルートドメイン当りの発行数に制限はありますが、最大一週間に2,000個まで発行出来るので無制限だといえます。
2.簡単なドメイン認証
Cert botというソフトウェアをWebサーバにインストールしたら認証作業が自動的に実行されます。
メール認証・DNSレコード追加などの作業が別当必要ではありません。
3.自動証明書発行/更新
ドメインが認証されたらLet’s Encryptから自動的に証明書が発行されます。
発行された証明書はWebサーバに保存され、90日単位で自動更新されます。
証明書の発行・更新の作業が必要ないということになります。

4.Let’s Encryptは安全なのか

結論から言いますと、安全です!
Let’s EncryptはGlobal Sign、Geo Trustなどのルート認証局で発行する適用SSL証明書と同じレベルのセキュリティを確保しました。
SSL証明書は各OSやWebブラウザから信頼されるルート認証局のみ発行出来ます。
信頼出来るルート認証局は、Internet Explorerの場合、「設定→オプション→内容→証明書」で確認出来ます。
では、Let’s Encryptの場合、どう発行されるのでしょうか。
Let’s EncryptはWebブラウザから信頼されるルート認証局であるIden Trust(DST Root CA X3)が相互認証(Cross-Sign)する形でSSL証明書を発行します。

5.Let’s Encryptを簡単に適用する方法

Process_SSL
クラウドブリックに加入したらドメイン認証などの手続きを行わず、ただHTTPSを適用するWebサイトを登録するだけでSSL証明書を適用できます。
WebセキュリティサービスとSSL証明書の適用を一緒に利用できるので、企業のWebサービス担当者様・オンラインショップの運営者様・個人ホームページ運営者様には大変良いチャンスです。
まだお金を払ってSSL証明書を使用しているなら、これからはクラウドブリックで無料SSL証明書を使用してみてはいかがですか?!

Cloudbricの製品情報( SSL )はこちら
Cloudbricの製品情報(WAF)はこちら
パートナーに関するお問合せはこちら
製品に関するお問合せはこちら

【コラム】安全なWebサイトの基準になる国際標準とは?

このWeb全盛期時代、 セキュリティ は最も重要ーー。
いくら強調しても、なぜWebセキュリティが重要なのか、その本質まで理解してもらえないケースがよくあります。
今回もこの場を借りてWebセキュリティの大切さについて訴えたいと思います。
今の時代、グローバルはインターネットですべてつながっており、インターネットを介しすべてのことが疎通していると言っても過言ではありません。
にも関わらず、Webのセキュリティについては、誰も目を向けようとしない。その理由は、「安全なインターネット」は、一体何なのかよく分かっていない人が多いからだと考えます。
「安全なインターネット」とは? 皆さんがよく使う言葉で、実はその意味を明瞭に分からずに使っている言葉が案外存在するかと思います。
このITの分野でいうと、「ICTセキュリティ」が丁度いい例になります。
「ICT時代」と言われると、普通に肯くかもしれませんが、「ICTセキュリティとは」と訊かれたら、「あれ、何だったっけ?」になる人も多いのではないだろうか。
「セキュリティ」は重要であるということは分かっていながらも、何をどうすればいいのか、私たちは明瞭に把握できている人は少ない。
実際私たち個人だけがこのICT時代のセキュリティ迷子になっているわけではなく、会社や団体などもセキュリティ迷子になっていると言えます。
しかしながら、この社会は迷える人々のためにきちんとした社会的安全措置を用意してくれています。
セキュリティへの悩みを解消できる「国際標準」が、それです。
代表的なのは、イギリスBSI(British Standards Institute)が制定したBS 7799をベースに構成されたセキュリティ認証であり、フレームワークである「ISO 27001」が挙げられます。
そして、より経営中心の性質が強い「ISMS(Information Security Management System) 情報セキュリティ経営システム」も重要な基準と言えます。
このようなフレームワークを基準に企業側のセキュリティシステムを構築すれば、かなり安全なICTセキュリティポリシーを構築できるということです。
例えば、ある企業がISO 27001フレームワークの評価の11項目の全てに対し、安全という判定を受け認証を取得したとします。
これは、ICTセキュリティの危機に対し、全社的に取り組んで総合的に管理を行い、今後持続的に改善していくためのシステムを構築できたということを意味します。
もちろん、認証を取得しているから100%安全になったではなく「相当安全である」ということです。

安全なWebサイトの基準になる国際標準は?

国際的非営利NGO団体として、オンライン信頼度評価機関である「OTA(Online Trust Alliance)」は、毎年著名なWebサイトを対象にそのセキュリティをチェックし、その結果を以て安全なインターネット文化の形成のために努力したWebサイトを選定する「OTHR(Online Trust Honor Roll、オンライン信頼度優秀)」の企業を発表しています。
OTHRは政府、マスコミ、金融、SNS等、様々な部門にわたり、約1,000以上の世界的に著名なWebサイトを対象にします。
2015年の選定結果としては常連の約46%がセキュリティの面で減点されランクインできず、「最も信頼できるWebサイト」として「Twitter」が選定されました。
OTAは、どのような基準を以てOTHRを選定しているのか。
基準は色々ある中ここで注目すべき点は、去年から「WAF(Web Application Firewall)の採用」が加算項目になっているということです。WAF採用の有無は、OTHRの選定結果を大きく左右しました。
WAFは、Webアプリケーションのセキュリティとして特化して開発されたソリューションです。
外部からの攻撃を検出し遮断することで悪意のあるコードをWebサーバに挿入しようとする試みを未然に防ぐ、そして、システムの脆弱性を外部に漏出しないように制御するなど、Webセキュリティにおいて、最もコアで重要な部分を対応しています。
Webサイトのセキュリティは、システム全体に及ぼす影響が大きく、OTAは今後もWAF採用有無によるOTHRの選定への影響を強めていくことを明らかにしました。
「じゃ、WAFを購入すればいいわけ?それっていくら?」
WAFを導入すれば、セキュリティ問題はいかにも簡単に解決できそうですが、そんな上手い話ではありません。
また、生産性のない「セキュリティ」に投資をすることは、営利団体である企業側にとって簡単なことでもありません。第一、WAFはとても高価とはいわないものの、安価でもありません。
ここでコストパフォーマンスを考慮したら、クラウド型WAFサービスの出番となります。
簡単な導入の手続きかつ、リーズナブルなサービス価格にて実際のWAFを導入したことと同等のレベルのセキュリティを確保できます。
言い切ってしまうと、Webのサービス開始のための数回のクリックで、全体のICTセキュリティ脅威の90%を占める「Webハッキング攻撃」を防ぐことができるようになります。
このようなクラウド型のWAFサービスの場合、ハードウェアを持つ必要がなく、インストール作業は発生しませんし、コーディングなどの必要もありません。
実際、システムの実務者を対象にWebセキュリティにおいて一番重要なことは?と聞いたところ「モニタリング」という回答が多い結果を示したといいます。
Web攻撃のトレンド把握や未知の攻撃を予想するよりは、今この時間に自社のWebサイトが狙われている現状を知りたい、といったニーズが高いようです。
このような管理者のために必要なのは、持続的、かつ効果的にモニタリングができるインターフェースが重要です。
システムにおいては専門家である管理者でもこれがセキュリティになると“話は別”になるのも、よくある話です。
様々なクラウド型WAFサービスがリリースされていますが、弊社では、専門家ではなくても簡単に導入でき、ユーザーフレンドリーなインターフェースに力を入れ、クラウドブリック(cloudbric)を提供しています。
一度お試しになることをオススメ致します。体験してみて損はありません。
WebセキュリティにおいてWebアプリケーションに特化したセキュリティとして、まずWAFの導入をご検討して頂きたい。
そして、そのスタートとしてクラウド型WAFサービスは、魅力的なソリューションであることを今一度覚えて頂けると幸いです。
製品に関するお問合せはこちら
パートナーに関するお問合せはこちら
Cloudbricの製品情報はこちら

hacker_cloudbric_180820

【コラム】ハッカー の6つの行動パターン

ハッカー は何の為にWebサイトをハッキングするのでしょう。

ハッカー
 インターネットが普及されていなかった頃のハッカーは、自分の能力を見せつける為にWebサイトをハッキングしました。
しかし、日常がWebで繋がっているとも言える昨今の社会のハッキングは、もっと巧妙に変化してその被害も大きくなりました。
例えば、数回のクリックで金融取引が出来るネットバンキングは、個人情報及び銀行取引情報のような重要情報が「ハッカー」によって流出され、莫大な被害が発生することもあります。

 ハッカーが欲しがる情報とその情報を手に入れる為の行動にはいくつかのパターンがあります。今回はハッカーの6つの行動パターンをご紹介致します。

任意コード実行
1.脆弱性スキャン

 脆弱性スキャンはその名称から分かるように、システム内部の脆弱性を探る為の手法です。
一般的には自社システムの弱点を調査して改善を行い、セキュリティを強化する行為であります。
しかし、ハッカーは同じ方法を用いて標的にしたシステムに侵入するための脆弱性を見つけ出します。
 ハッカーにとって脆弱性スキャンはハッキングを実行する為の情報収集であり、システム脆弱性を事前調査する行為であります。つまり、次の攻撃へのゲートウェイのようなものです。

脆弱性スキャン
2.サーバ運用妨害

 サーバ運用妨害は、Webサイトへのアクセスをブロックしてサービスを正常に運営出来ないよう妨害する事です。
サーバ運用妨害攻撃の中で最も知られているのは分散型サービス拒否攻撃(Distributed Denial of Service attack : DDoS)があります。
 DDoS攻撃をする為には、ハッカーが「ボットネット(Botnet)」と呼ばれるゾンビPCのネットワークを介しPC端末を制御下に置きます。
そうすると、そのボットネットがまるでゾンビ集団のように継続的にWebサイトに負荷をかけてサーバをダウンさせ、Webサイトに接続エラーを起こします。

サーバ運用妨害
3.金銭的損害

 ハッカーによる攻撃の中で被害者が最も大きい打撃を受ける攻撃結果は金銭的損害です。
先に述べたように、インターネットの普及によってオンライン化された各種サービスは、便宜性を持つ同時に金銭的被害のリスクも持つ事になり、ハッカーのターゲットになります。

金銭的被害
4.個人情報漏洩

 金銭的被害と共に、個人情報漏洩はネット社会の課題であり社会全般的な問題になっています。
個人情報を手に入れたハッカーは他の者を装って管理者情報を取得した後、また他の攻撃をしたり奪取した情報を第三者に販売したりして2次被害者を増やしています。
このような個人情報漏洩で大きい波紋を引き起こした事件としては、不倫サイトであるアシュレイ・マディソンというサイトの会員情報をWeb上に露出させた事があります。

個人情報漏洩
5.Webサイト改ざん

 Webサイト全体または一部Webページに悪意を持って内容を変える行為をWebサイト改ざんといいます。
攻撃後にWebサイトを確認したら改ざんされた部分が把握できるので、ニュースになる同時に「人々の注目を浴びる攻撃として」とても効果が良いと言われています。
 また、政治的な理念によって、選挙などで有力候補者のWebサイトを改ざんする事例が多数発生しています。
このようなハッカーは自己顕示欲が強い傾向があります。最近米国ではこうしたハッキングに対して処罰するより「倫理的なハッカー」になるように’教育’を勧めています。

Webサイト改ざん

6.任意コード実行

 システム上に意図していなかったコードが実行される場合、かなりの注意が必要です。
ハッカーは悪意的なコードを挿入して命令を実行させる事で標的システムを制御します。
この為には任意のコードを実行させる為に先に述べた「脆弱性スキャン」のような事前調査を実施してそのシステムでセキュリティが最も脆弱な部分を狙って攻撃します。
次の攻撃の為の一歩だといえます。
任意コード実行
 時代の流れや技術の進歩などと共に、世の中の必要悪として「ハッカー」と「ハッキング」という単語が出てきました。
サイバー攻撃は莫大な被害を起こす事が出来て、無差別な攻撃も多いです。
“自分の事じゃなければ大丈夫”という考えで放置すると何も解決出来ません。
自社システムの脆弱性を定期的に把握してその弱点を補完出来るセキュリティソリューションを導入しなければいけません。

オランダの哲学者のエラスムスの「Prevention is better than cure(備えあれば憂いなし)」という言葉に従って、
ハッキングに備えた強力なセキュリティを事前に準備してください。

CloudbricのWAFはこちら
製品に関するお問合せはこちら