every nation 211214

Every Nation Philippines

Every Nation Philippines

Every Nation Philippinesはキリスト教関連の活動をしている非営利団体です。日本ではEvery Nation Japanという名前で関東・東海・北海道で宗教活動しています。

 

WAFを導入したきっかけ

「WAFはより積極的なサイバー攻撃への防御戦略」

NPOやNGOは支援者の寄付によって運営されているため、会員情報や個人情報など様々な情報を取り扱ってはいますが、 安全に対しての意識はいまだに低いと思います。個人情報を保管しているということは、情報流出という大きなリスクを抱えていることを意味します。個人情報保護法の改正以後、弊社の場合も個人情報のガイドラインに従って厳重に取り扱っているつもりですが、セキュリティ面で常に不安を抱えていました。意図的にハッカーに狙われ不正アクセスや情報漏洩などが起きてしまってからではもう手遅れになる可能性が非常に高いからです。そして、近年NPOを狙ったサイバー攻撃も報告されており、Webセキュリティ対策への課題を解決したいと感じたのが、クラウドブリックを導入したきっかけでした。

 

クラウドブリック(Cloudbric)を選択した理由

「十分な機能を持ちつつも、導入及び運用の手間やコストを大幅に削減」

クラウド型WAFの導入を決めてから、いくつかの製品を選び各製品が提供している無償トライアルを申し込んで実際に使用してみました。WAF導入当時、組織内にはセキュリティに詳しい担当者が存在しなかったため、WAFの機能などをいかに詳しく説明してもらえるか、セキュリティ担当者が不在でも運用や管理がスムーズにできるのか、限られた予算の中で、最大限のパフォーマンスを実現できるのかなどの項目をリスト化し点数をつけ、最も点数が高かったクラウドブリックを選択しました。無償トライアル期間の間、約1週間にかけて弊社のWebサイトを狙い、集中的にサイバー攻撃が発生していることが分かりました。クラウドブリックのダッシュボード上で攻撃のタイプ、攻撃ターゲットのURL、検知ログなどの詳しい情報がリアルタイムに確認できたので、即時に対応することができました。また、気になるところなどはサポートチームにお問い合わせし、即対応してもらえたのはリソースが少ないNPOにとって、非常に助かっているところです。

 

クラウドブリック(Cloudbric)の導入効果

「サイバー攻撃の対処だけではなく、情報の共有と意見交換まで」

WAF機能に関しては様々な導入実績が証明していると思いますが、実際使ってみて最もよかったのはユーザフレンドリーなダッシュボードでした。また、サイバー攻撃動向や最新のセキュリティトレンド情報などがメールマガジンにて定期的に送られるので、セキュリティ動向の把握に非常に役立っています。メールマガジンを読んで気になるところをクラウドブリック担当者に質問すると、親切に教えていただけたり、意見交換ができたりする部分がよかったです。役に立つ情報は社内で共有し、全社的にセキュリティ意識を高めるきっかけともなりました。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

NPOやNGOにとって、サイバーセキュリティ対策を導入するために予算を策定することは決して簡単なことではありません。それにも関わらずクラウドブリックを導入した決定的な理由は、高度化し続けるサイバー攻撃がどうしても他人事に思えなかったからです。今の時代、どこでも誰でもサイバー攻撃に遭う可能性が十分あります。Webサイトのセキュリティ対策を検討中である方なら、セキュリティ専門企業の技術力とコストパフォーマンスを両立できるクラウドブリックを積極的にお勧めしたいです。

Webアプリケーションセキュリティ

2021年 企業が注目すべきWebアプリケーション・セキュリティ・トレンド  その1

サイバー攻撃者の主な標的になっているWebアプリケーションエリアは企業の核心情報に近接しています。そのため徹底したセキュルティ対策を立てることが何よりも重要です。急激に変化しつつある昨今のIT環境において、「果たしてどのようなセキュリティ対策をとるべきなのか」という問題を解くことはそう簡単ではありません。しかし企業はキュリティトレンドへ常に注目し、あらゆるサイバー攻撃に対抗できる対策について考え続ける必要があります。

そこで今回は、2021年企業が注目すべきWebアプリケーションセキュリティトレンドを2回にわたって説明したいと思います。

 

1. マシンラーニング・AI

医療・金融・製造等、様々な産業で使われているマシンラーニングとAI技術がもはやセキュリティ分野にも積極的に活用されており、この傾向は2021年以降にも堅調な推移が見込まれます。現在、セキュリティ分野ではAIが人の代わりに悪性コードの判明・分析を行い、誤検知率を低減させ、管理者の管理負担を軽減させる役割を果たしています。

2021年には以下の目標を目指して取り組みを続けていくと思われます。今後もAI・マシンラーニングによるセキュリティパフォーマンスは益々向上すると推測できるでしょう。

  • セキュリティ脅威検知技術の柔軟性向上
  • Webアプリケーションでの作業をモニタリングし、不正プログラムを検知
  • データの処理及び分析機能の向上
  • Webアプリケーションに発生できる脅威を予測

一方、これらの技術はセキュリティ分野だけでなく、サイバー攻撃を行う側にも利用されています。企業はIT技術の進歩がサイバー攻撃者に逆手に取られる可能性にも常に警戒し、対応策を講じておく必要があります。

 

2. クラウドコンピューティング・サーバレース環境

クラウドへ移行する企業と組織が多くなっている現在、急速に進むクラウドシフトと共にサーバレース環境も成長し続けています。
サーバレース環境とは、サーバの構築やメンテナンスの必要なく、アプリケーション機能を開発、実行、管理できるクラウドコンピューティングモデルの1つです。体表的にはFaaS (Function as a Service) があります。

サーバレース環境の導入におけるメリット

  • サーバー管理はサーバレスプロバイダーがすべてやってくれる
  • サーバー導入や管理などが一切不要になるため、開発の際プログラムを書く作業に集中できる
  • 使用時間と容量に合わせて費用が発生するため、費用対効果が高い

しかし、サーバレス環境ではさまざまなイベントソース(HTTP API、クラウドストレージ、IoTのデバイス間通信など)によって攻撃範囲が拡張されます。また、サーバレスは新規プラットフォームであるため、現在サーバレースを標的とした攻撃パターン等の情報は少ない状況です。企業はWebアプリケーションが見知らぬ脅威に遭わないために新しい技術導入にも注意を深める必要があります。

 

3. API統合

API(Application Programming Interface、アプリケーション・プログラミング・インターフェイス)は、異なるアプリケーション間の相互作用を可能にするために標準化されたツール、定義、プロトコルを意味します。このAPIを統合するということは、「2つ以上のアプリケーションがAPIを通じて互いにデータを交換できるようにする結び付き」だといえます。 このAPI統合によるメリットを簡単にご紹介すると以下の通りです。

  • ビジネスサービスの速度や生産性が向上
  • ユーザとパートナーにAPIを提供することによって、関連データが円滑に共有され顧客の満足度を向上

それぞれのアプリケーションがすべてつながるIT環境において、API統合の重要性は更に高まるはずです。しかし、API統合によって共用・個人ネットワークまたはクラウドネットワーク上でAPIが露出される可能性も高くなっており、これがサイバー攻撃者にとっては新たな機会になるかもしれません。 安全が保証できないAPIエンドポイントが深刻なデータ侵害のきっかけになりうることに注意を深める必要があります。

 

4. 企業のデータサイエンス

データサイエンスとはデータの中で有意義な情報と知識を探索・解析し、データの新たな価値を発見する学問分野のことです。データに基づいた合理的な意思決定を助けるデータサイエンスは、企業の経営活動に欠かせない学問分野となっています。セキュリティ分野においても、数えきれないIT環境の情報を収集·分析してこそ、より安全で徹底したセキュリティ対策を立てられるため、データサイエンスの重要度は高くなっております。

なお、データサイエンスがWebアプリケーションのセキュリティに提供するメリットは次の通りです。

  • セキュリティ脅威検知機能向上
  • 膨大なデータを分析し、攻撃者の行動を分析
  • データ保護(データサイエンスがマシンラーニングと結合する場合)

データサイエンスを踏まえた意思決定により、企業はサイバー攻撃を予測し、重要情報を守るセキュリティを実現できます。

 

5. 浸透テスト

企業は浸透テストを通じて「攻撃者の手口」や「攻撃者に狙われやすいセキュリティ脆弱性」を調べられます。浸透テストとは、ホワイトハッカーを通じて、実際の攻撃行為のシミュレーションを行うことです。浸透テストは情報セキュリティレベルを能動的に評価できる次のような情報を提供するため、Webアプリケーションのセキュリティのトレンドとなっています。

浸透テストが提供する情報

  • アプリケーションの脆弱性
  • アクセスされた重要データ
  • テスターがシステム内で検知されなかった時間

「敵を知り、己を知れば百戦危うからず」という諺のように、ハッカーが侵入した状況を意図的につくって、そこから攻撃者の手口や保護対象のセキュルティ脆弱性、敏感なデータなどを識別したら、実際の攻撃にも対応できるセキュアな環境を構成することができるでしょう。

 

さいごに

企業は、サイバー攻撃者の手口を用いる浸透テストや有意義な情報を収集・分析するデータサイエンスに基づいて先制的防御システムを構築できます。しかし、クラウド、サーバレス環境やAPI などのビズネス活動の利便性を増進させる技術が、サイバー攻撃に利用される場合もあることに警戒する必要があります。また、セキュリティ強化に使われるAI•マシンラーニングなどのIT技術が、サイバー攻撃者にとっても攻撃を高度化させる材料として使われる可能性も考えておくべきです。

次回のWebアプリケーションのセキュリティトレンドでも、注目すべきのセキュリティトレンドをご紹介いたしますので、一読をお願いいたします。

thumbnail

ハッカーの高速道路、知らぬ間に組み込まれる「バックドア」

「泥棒」という言葉に、どのようなイメージを思い浮かばれますか。顔を隠し風呂敷を背負って、裏口を静かに通り過ぎて家に侵入するキャラクターが泥棒の代名詞ですが、サイバー空間での泥棒であるハッカーにも同じようなイメージが当てはまります。Webサイトに忍び込み、金銭を狙って情報を盗むハッカーは「バックドア」と呼ばれる裏口を設置し、忍び込んで情報を奪取するのです。そこで今日は、バックドアとは何か、そしてどのようなセキュリティ対策をとれるのかを紹介します。

 

ハッカーの代表的な手口、「バックドア」とは

「バックドア」とは正規の認証プロセスを経ず迂回して、製品やシステムまたはアプリケーションに接続する方法です。主に設計や開発の段階で意図的に作られます。しかし、ハッカーはこれを悪用し情報を奪取するための「通路」として利用します。特にシステムネットワークを経由して他のPCを攻撃する「リモート攻撃」の手段としてよく使われています。デバイスの持ち主に認識されることなくシステムに侵入できるので、被害が実際に発生しないとバックドアの存在を認識できないケースが多く、とてつもない被害が発生しかねます。逆にハッカーにとっては、いったん設置に成功さえすれば楽に大きな利益を狙えるということになるのです。そのためハッカーは、バックドアを設置するため様々な手段を駆使します。代表的な2つの手段を見てみましょう。

トロイの木馬

ギリシャ神話によると、ギリシャ連合軍はトロイを滅ぼすため「トロイの木馬」を建造したそうです。外見は無害なものに見えましたが、中には武装した兵士が潜んでいました。サイバー空間でのトロイの木馬も、同じように作動します。一見「使えるプログラム」に見えますが、実際にはユーザをだますソフトウェアが潜んでいるのです。主にメールの添付ファイルやWeb情でダウンロードできるファイルとして流通され、ユーザが何も考えず実行するとすぐさまバックドアを設置します。ScanNetSecurityによると、最近にはPCプログラムの形だけではなくスマホアプリの形でも流通されるなどその手口がさらに巧妙化されており、格別な注意が必要とされます。

Webアプリケーションを狙った攻撃

Webアプリケーションの脆弱性を狙ったハッキングは、Webの使用頻度が増加するにつれその威勢を増しています。OWASP TOP10は、その多数がWebサイトのコードを悪意的に改ざんして隙を狙う形だと報告しています。代表的な例にはコードに対するハッキングである「SQL Injection」を挙げることができます。これはバックドアを設置するための足がかりになりえます。例えば、トロイの木馬が含まれたプログラムをWebサイトに不正アップロードすることなどが可能になります。その他にもCross-Site Scripting(XSS)を通じバックドアを設置するソフトウェアを拡散するなど、様々な手段がバックドアを設置するため使用されています。

このような手段で設置されるバックドアは単に情報を奪取するだけではなく、他のデバイスに対する攻撃に使われるなど、様々な被害をもたらす可能性があります。

 

ハッカーの通行を防ぐ方法

あなたならどうやって裏口から潜みこむ泥棒を防ぎますか。裏口を閉鎖してしまう方法もあれば、セキュリティ業者と契約し監視カメラを設置するという方法もあります。しかし、「物理的な通路」が目に見えない、サイバー空間のハッカーはどう防ぐのでしょうか。実は、ハッカーの通行を防ぐ方法は驚くほど現実世界と似ています。

裏口を閉鎖する: 既に設置されたバックドアを塞ぐ方法

既に設置されたバックドアを除去する方法は、現実世界で裏口を無くす方法に当てはまります。現在使用されているほとんどのOSとソフトウェアにはセキュリティーホールが点在しており、100%安全だと言い切れない状況です。例えば、マイクロソフトは2020年8月にもWindowsを含む多数のソフトウェアから脆弱性が発見されたと報告しています(引用: Impress Watch)。もちろん開発する側も設計過程から脆弱性を排除するための手を加えていますが、それにも関わらず新しい脆弱性が発見されているのです。よって、常に最新パッチやアップデートを適用する必要があります。特にベンダーから公開された脆弱性は多数のハッカーに目を付けられる可能性があるので、できるだけ早く対処する必要があります。

監視カメラを設置する: バックドアを未然に防ぐ方法

泥棒を防ぐために最も徹底しなければいけないのは、「泥棒に対する意識」です。常に鍵の掛かり具合を確認し、窓がよく閉まっているのかを確認するなど注意を注ぐ必要があります。ハッカーに対しても、同じことが言えます。「セキュリティに対する意識」が重要なのです。怪しいWebサイトに近づかず、正体が確認できないファイルを開かないという事を徹底するべきです。

しかし、一個人がいくら努力をしようと、一から百まで全ての可能性を考慮するのはほぼ不可能です。そのため、現実世界ではセキュリティ企業と契約し、監視カメラを設置するなど様々なセキュリティ対策を取ります。サイバー空間でも、同じくセキュリティ企業と契約することができます。そして一番怪しいと思われる場所に監視カメラを設置するように、一番危険な領域からセキュリティ対策を取っていくのです。よって、最近攻撃が最も多く発生しているWebアプリケーションの安全を守ることが、もっとも合理的な判断になるでしょう。

WAF(Webアプリケーションファイアーウォール)はWebアプリケーションを防御するためのセキュリティ対策であり、ネットワーク上で防御と監視を同時に行います。単純に脆弱性を保護するだけではなく、通信を監視し怪しい接近を遮断するのです。最新パッチを適用しづらいWebアプリケーションを守り、SQL InjectionやXSSなどバックドアを設置するため用いられる攻撃の存在を監視します。そのため、WAFはWebアプリケーションを通じバックドアを設置しようとするハッカーを防ぐための、最も総合的で最も確実な対策だと言えるでしょう。

 

最後に

ハッカーの攻撃は、現実世界の泥棒がもたらすものよりもはるかに莫大な被害をもたらします。特に自分のパソコンなどにバックドアが設置された場合、一回に止まらずいつでも情報を盗まれる可能性が高く、他人を攻撃する踏み台として利用される可能性も十分存在するので、被害規模は予想すらできません。そのため、バックドアに対して格別な注意を注ぐ必要があるでしょう。
ペンタセキュリティは簡単に利用できるクラウド型WAF「クラウドブリック」を提供しています。Webアプリケーションの脆弱性を通じバックドアを設置しようとするハッカーを効率的に防ぎ、リモート攻撃までも防御する最善の対策です。リンクを通じ、詳細をご確認ください。

thumbnail

情報流出事故1位のWebアプリケーション攻撃、セキュリティ対策は?

楽天市場で買い物をしたり、必要な情報をグーグルで調べたりなど、日常生活の半分以上がWebを通じ行われているという言葉がもはや過言ではない時代です。企業にとっても、オンラインビジネスは今や当たり前になっています。しかし、Webがメリットだけをもたらすわけではありません。Web、その中でも特に「Webアプリケーション」を狙ったサイバー攻撃が増加しており、いつ事故が起こってもおかしくない状況なのです。そこで今回は、Webアプリケーションを守るべき理由と、企業が手軽に取れる対策である「クラウド型WAF」について説明していきます。

 

ITシステムの安全には、アプリケーション領域のセキュリティが必須

Webアプリケーションが属するアプリケーション領域は、ITシステムの中でもユーザと最も近い領域です。よって、ハッカーには格好のターゲットとなっています。実際、2019年に発表された「IPA 情報セキュリティ白書」でも「Webアプリケーション攻撃」が情報流出事故の1位を記録しており、より強固なセキュリティが求められている状況なのです。

引用: IPA 情報セキュリティ白書 2019

まず、ITシステム全般のセキュリティから見ていきましょう。データの送受信が行われるネットワーク領域では、IP/Portに対する接近の制御や、有害なトラフィックの検知などのセキュリティ対策が行われます。システム領域には身近なWindowsなどのOSが含まれており、アプリケーションが作動するためのプラットフォームの役割を果たしています。システム領域に対しては、一般的にセキュリティパッチの適用、システムの不正コード探知などの対策が行われます。


それでは、アプリケーション領域に対してはどのようなセキュリティ対策を取るべきなのでしょうか。アプリケーション領域ではWebサイトやアプリケーションなど、一般的に利用されている機能やサービスが作動しており、データを保存・利用するケースが多く見られます。特に、Webアプリケーションには膨大な量のデータが蓄積されていることが多々あります。そのため、ハッカーのターゲットになるケースが多く見られるので、より強固なセキュリティ対策が必要になってきます。しかし、ネットワークやシステム領域に比べるとまだセキュリティに対する意識が浸透しているとは言えない状況です。企業が取っている代表的なセキュリティ対策としては、WAFを挙げることができます。

 

Webアプリケーションセキュリティを担うWAF

WAF(Webアプリケーションファイアーウォール、Web Application Firewall)はその言葉通り、Webアプリケーションを防御するセキュリティ対策です。ダイレクトに迫る攻撃を防御する他にも、情報流出やWebサイトの偽変造を防ぎます。現在様々なWAFが市場に出回っていますが、その形によって大きく「アプライアンス型WAF」、「ソフトウェア型WAF」、「クラウド型WAF」の3種類に分かれます。

アプライアンス型WAF

アプライアンス型WAFはハードウェアにて運用されます。WAFの基本形だと言えるでしょう。サーバのすぐ隣に設置されるので、迅速な処理速度と高い性能を誇ります。

ソフトウェア型WAF

ソフトウェア型WAFは物理的なハードウェアを利用せず、仮想マシン(VM, Virtual Machine)の形で運用されます。クラウド上で作動するシステムが注目されていますが、それに合わせWAFを利用できるようにしたものです。

クラウド型WAF

クラウド型WAFはクラウド上に設置されたWAFをサービスとして利用する形です。つまり、WAFのサブスクリプションサービスと言えるでしょう。物理的な機器及びハードウェアを利用する必要がないため、簡単にWAFを利用したいというユーザに利用されています。例としては、ペンタセキュリティのクラウドブリックを挙げることができます。

この中でもクラウド型WAFは「便利さ」と「合理的な価格」という特徴を持つため、数々の企業から注目されています。アプライアンス型WAFやソフトウェア型WAFと違ってDNSを変更するだけで簡単に設置でき、管理費やアップデート費用などの追加コストを要しないため、実際に多数の企業から利用されています。クラウドブリックもまた、国内の5,500個以上のサイトを保護しています。

 

ロジックベース検知エンジンでセキュリティを担う、クラウドブリック

クラウドブリックはアジア・太平洋マーケットシェア1位である「WAPPLES」のエンジンを搭載したクラウド型WAFです。「便利さ」と「合理的な価格」という特徴を通じ、多数のお客様から高い評価を得ています。DNSの変更だけでサービスを利用でき、ユーザ様の状況に合わせ様々な料金プランを提供しています。しかし、クラウドブリックの特徴はそれだけではありません。クラウドブリックの最大の武器は「攻撃を論理的に分析・判断し防御する」という機能です。

多くのWAFは「シグネチャマッチング」という技術を使用しています。事前に作成されたリストを参照し、トラフィックを検査する方法です。しかし、クラウドブリックはロジックベースの「ロジックベース検知エンジン」を搭載しており、ルールに従って攻撃を検知します。シグネチャマッチングを利用するWAFの場合には、リストに存在しない攻撃を防ぎきれないケースが見られます。しかし、クラウドブリックはロジックベースで攻撃を徹底的に分析するため、ゼロデイ攻撃などの未知の攻撃にも適切に対応することができます。その他にも、DDoS遮断やSSL証明書の無料発行など、Webサイトを安全に保護するための総合的機能を備えています。

 

最後に

Webアプリケーションはこの先にも様々な用途で利用されるでしょう。しかし、セキュリティ対策が施されていないWebアプリケーションは、ハッカーの獲物にすぎません。クラウドブリックはクラウド型WAFのメリットである便利さと合理的な価格に加え「知能的に働く」ので、多数のお客様から高い評価をいただいています。クライアントの情報を守るため、そして会社のイメージを守るためにもセキュリティ対策が必要な今、無償評価でクラウドブリックをお試しください

partnership_cloudbric

クラウドブリック、BLUE STYLEとパートナーシップ締結…安全なECサイト運営を後押し

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人) は、8月11日にECサイトを企画・運用する株式会社BLUE STYLE(以下BLUE STYLE)とパートナーシップを締結し、クラウド型WAF「クラウドブリック(Cloudbric)」の提供による安全なWebサイトの運用管理に向けて協力していくと発表した。

新型コロナウイルス感染症(COVID-19)の影響でテレワークの普及が急速に進む中、企業のITシステムのクラウド化も本格的に進められている。また、ビジネスにおけるオンラインシフトもより一層進行し、WebサイトやECサイトの重要性がさらに高まっている。しかし、このような急速な変化に対する備えが未だ不十分である状況の中、日々高度化するサイバー脅威にさらされているため、企業にはセキュリティ対策のさらなる強化が求められる。

そこで、ペンタセキュリティはEC-CUBEのエバンジェリストとして様々な情報サイト及びECサイトを制作・管理するBLUE STYLEとパートナーシップを締結し、Webサイトを構築・運用する際に必要となるWebセキュリティ対策としてクラウドブリックを提供する。

クラウドブリックは、ロジックベースの検知エンジンを搭載し高い精度のセキュリティを提供するクラウド型WAFサービスである。高度なセキュリティを必要とする企業ニーズに応じ、各企業に合わせてカスタマイズされたセキュリティサービスを提供している。また、プランに関係なく全ての機能を利用できる高いコストパフォーマンスを実現する。BLUE STYLEは、Webサイトで発生しうる各種脆弱性へのセキュリティ対策としてクラウドブリックを提案し、安全なWebサイト環境の実現を目指す。そして、セキュリティへの専門性をさらに高め、顧客の満足度向上およびビジネスパフォーマンス向上に貢献していく。

ペンタセキュリティ日本法人代表取締役社長の陳は、「ビジネスのオンライン化が進むにつれ、さらなる活性化が予想されるWeb基盤ビジネスにおいてセキュリティが肝となるだろう。」とし、「今回のパートナーシップを通じて、クラウドブリックの高いセキュリティ技術とBLUE STYLEのWebサイト構築運用能力など、両社の長所を活かし、お客様により安心してWebビジネスを推進していただけるよう、高度なセキュリティを提供していきたい。」と述べた。

 

■BLUE STYLE

2013年に個人事業BLUE STYLEを立ち上げ、2017年に株式会社BLUE STYLEに法人化する。代表は9年の EC の運用経験から、2013年にEC-CUBE公式エバンジェリストとして任命され、交流会の立上げや講演を通してサービスの普及に従事。2016年にはbaserCMSの公式エバンジェリストに就任し、ECに限らない、様々なサイトの構築・運用を得意としている。また、代表自身の子育て経験から「子育て子供服の課題」に着目し、自社サービスとして2015年に子供服のシェアリングエコノミーLynksをプレリリース。2016年には福岡スタートアップセレクションにおいてグローバルチャレンジ賞を受賞。課題の普遍性、大きさを確信し、2018年5月に Lynks を正式リリース。

■ペンタセキュリティシステムズ

ペンタセキュリティは創業23年目を迎えた情報セキュリティ専門企業であり、DB 暗号化・Webセキュリティ・認証セキュリティなどの企業情報セキュリティのための製品やサービスを研究・開発し、優れたセキュリティを認められた。優秀な技術力を基にし、国内はもちろん、海外市場でも技術力を認められ、多数受賞している。IoTセキュリティやコネクテッドカー向けのセキュリティ関連技術の開発にも力を注いており、最近はブロックチェーン研究所を新設し、ブロックチェーン技術を活用した製品およびサービスの商用化に集中している。
URL:https://www.pentasecurity.co.jp/

uploading_1

クラウドブリックの始め方、DNSの変更方法

初めてのWAFとしてクラウドブリック(Cloudbric)をご利用中のお客様、そして他社WAFからの乗り換えでクラウドブリックをご利用中のお客様など、クラウドブリックの導入数がますます増えています。特に導入手続きが簡単ということで、多くのお客様から好評を頂いております。クラウドブリックはクラウド型WAFであるため、ハードウェアやソフトウェアのインストールが不要で、導入時にDNS設定を変更するだけですぐ利用でき、システム管理者の負担を最小限に抑えることができます。

そこで、今回はDNSの変更方法について、詳しくご案内させて頂きます。ご存じの通り、DNS設定を変更するには、WAFサービスを提供する側でなく、ドメインを提供するホスティングサービスにて変更していただく必要があります。ほとんどのWebホスティングサービス業者で提供する方式が似ていると予想されますので、DNS変更にお困りの方にこの記事がお役に立てれば幸いです。
まずは、DNS変更の前にクラウドブリックコンソールでのサイト登録が必要となります。

サイト登録の場合、japan@cloudbric.comにご連絡いただければ、迅速な対応が可能ですので、ご協力をお願いいたします。

 

【DNS変更位置】

1. ご使用中のドメインが登録されているホスティングサービスホームページにアクセス及びログインします。

2. ドメイン管理(My Domain、ドメイン管理者など、メニュー名はホスティングサービスによって異なる場合があります。)をクリックします。

3. DNS管理(DNS設定、DNSレコード編集など、メニュー名はホスティングサービスによって異なる場合があります。)をクリックします。

 

【DNSレコードの確認方法】

1. DNS管理ページへアクセスすると、一般的に下図のように現在登録されているDNSレコードを確認できます。

2. 様々な形で登録されているDNSレコードをクラウドブリックサービスに切り替えるためには、AレコードとCNAMEレコードの2つの変更が必要となります。情報を確認してから表示画面を閉じずに次の段階(クラウドブリックDNS情報の確認)へ進みます。

 

【クラウドブリックDNS情報の確認】

1. クラウドブリックより付与されたアカウントでコンソール(https://console2.cloudbric.com/)にログインします。

2. ログイン後、メニューにて「Webサイト追加」をクリックし、保護するWebサイトのドメインを登録します。

3. ドメインを登録した後、IDCを選択します。クラウドブリックがお薦めするIDCが自動的に表示されます。

4. 保護したいドメインに対するSSL証明書の発行が必要です。クラウドブリックでLet’s Encryptと連動し無料で提供するSSL証明書の発行を選択します。

5. 上の4段階を経ていただくことで、必要なDNS情報を確認することができます。下図をご覧いただきますと、「ネームサーバ変更」と「DNSレコード変更」の2択がありますが、「DNSレコード変更」をクリックし、変更しようとする情報を確認します。画面に表示される情報をメモ帳にコピーしたり、すぐコピー&ペーストできるように該当ページを閉じずに次の段階へ進んでいただいても構いません。


 

【クラウドブリックのDNS情報に切り替える】

1. 先に確認したホスティングサービスのDNS管理ページに戻り、DNS情報が登録されている表にて「修正」をクリックします。

2. Aレコードの@のTarget項目にクラウドブリックが提供するAレコード値を入力します。この際、重要なのはTTL値を300にすることです。上記の手順が終わりますと「保存」をクリックします。


3. 先の手順と同じように、CNAME項目も「修正」をクリックし、wwwのTarget項目にクラウドブリックが提供するCNAMEレコード値を入力、TTL値は300に設定し保存をクリックします。

※wwwがないドメインのことを示すNaked Domain(e.g. cloudbric.com)のCNAMEは一般的にすでに設定されていますが、wwwが含まれたドメイン(e.g. www.cloudbric.com)に関しては、CNAMEが含まれている場合もありますし、そうでない場合もあります。したがって、Sub-domainにwwwが登録されていない場合は、wwwを入力して頂き、Target項目には同じようにクラウドブリックが提供するCNAMEレコード値を入力して頂きます。

これでドメインに対するDNS変更設定が完了しました。

 

DNS変更作業の際、下記の事項にご注意ください。

1. サブドメインが存在する場合には、クラウドブリックコンソールにてサブドメインを登録し、該当するAレコードとCNAMEレコード値を確認してから、上記と同様の手順で変更作業を行ってください。

2. MXレコードやFTP接続アドレスなどをルートドメインとして使用されている場合、ルートドメインのAレコードをクラウドブリックIPに切り替えると、ご利用中のFTPやメールサービスに障害が発生する可能性があります。この場合はMXレコードやFTP接続アドレスをクラウドブリックIPを眺めるルートドメインではなく、WebサーバIPで直接修正していただくか、或いはWebサーバIPとマッピングされたサブドメインとして設定していただく必要があります。もし、自社製ではない他のメールサービスをご使用中でしたら、変更される必要なく、クラウドブリックから提供するCNAMEレコードのみを切り替えることで問題ありません。

今回はDNSの変更方法についてご紹介させていただきました。この内容がクラウドブリックに乗り換えの際、システム担当者様に少しでもお役に立てれば幸いです。DNS変更方法に関して、ご不明なところがありましたら、遠慮なくご質問ください。

WordPressで作成されたWebサイト、セキュリティ対策は万全ですか?

WordPressで作成されたWebサイト、セキュリティ対策は万全ですか?

Webサイトを作成するために使われているCMS(Contents Management System)ツール。オープンソースCMSといえば、WordPress(ワードプレス)、 Joomla (ジュームラ)、 Drupal (ドルーパル)などが広く使われていますが、世界的に高いシェアを誇っているのがWordPressです。WebサイトにおけるWordPress利用率は30%を超えているという報告もあります。

WordPressは日本でも企業、個人を問わず多く使われています。WordPressが提供するテーマ、プラグイン等、様々な機能を活用すれば誰でも簡単にWebサイトを制作することができます。しかし、誰でも手軽に編集することができるからこそ、セキュリティ問題も付き物になっています。ペンタセキュリティは毎四半期ごとに最新Web脆弱性を分析した結果をまとめたトレンドレポートを公開しておりますが、その結果によると2019年第2四半期から最も多く報告されたのが、WordPressに関する脆弱性ということが分かります。それでは、実際にはWordPressにどのようなセキュリティ問題があるのか、そしてどう対応すればいいのかをご紹介します。

 

セキュリティ問題とその対策

1. WordPressで制作されたといった事実を隠す

WordPressで作成されたWebサイトの場合、普通Webサイト管理者はドメインの後に「wp-admin」 または 「wp-login.php」をつけることでWordPressの管理画面にアクセスすることができます。つまり、ハッカーもドメインに少し手を加えるだけで容易にWordPressの管理画面にアクセスでき、その状況を知ることができるということです。しかし裏を返せば、このような情報を隠すことだけでもセキュリティ面で一定の成果を上げることができるということになります。「Hide My WP Plugin」などのプラグインを使うことで、管理画面のURLやその他「WordPressを利用している」という情報を隠し、簡単に対策をとることができます。

2. 便利なログイン機能はハッカーにも有効。ログインの試行回数を制限する

WordPressは普通のWebサイトと違ってパスワードに有効期限がないため、間違ったパスワードをいくら入力してもログイン機能がロックされません。Webサイト管理者にとっては便利な機能ですが、これはハッカーにも有効で、この脆弱性を狙い、成功するまで無限の数のパスワードで試し続けることができます。これに対応するには、「Limit Login Attempts」などログインの試行回数を制限するプラグインが有効です。

また前述の様に、ドメインの後に「wp-admin」 または 「wp-login.php」をつけることでWordPressの管理画面にアクセスすることができますが、このURLを変えることでけでもハッカーからの無差別攻撃の試しを防ぐことができます。 他にも、Webサイト管理者のアカウント名を変える、特定のディレクトリを閲覧専用に設定する、ディレクトリリスティングを非活性化する等の対策をとることができます。

3. 旧バージョンは弱点が丸見え。常に最新バージョンを使おう

WordPressは他のソフトウェアと同様に定期的なアップデートを実施しています。しかし、使用しているプラグインの互換性などの問題で、アップデートをすぐさま実行するWebサイト管理者はほんの少しにすぎません。ハッカーは、このように新規パッチが発表されたにもかかわらず、旧バージョンを使用しているページを狙います。アップデートは主に旧バージョンの弱点を補完するものであるので、逆に旧バージョンの弱点をさらすものにもなるのです。その為、できる限り迅速なアップデートの適用をおすすめします。

4. Web脆弱性を狙った多数の攻撃。WAFで対応しよう

冒頭で述べたように、WordPressでは多数のWeb脆弱性が発見されており、またそれを狙った攻撃も多発しています。 2020年第1四半期のWeb脆弱性トレンドレポートによると、WordPressのWeb脆弱性を狙った攻撃には以下の3種類がありました。

  • Cross Site Scripting: 特定のWebサイトからブラウザを通じ情報を奪取する攻撃
  • Authentication Bypass: 認証を迂回し、管理者コンソールへ不正アクセスする攻撃
  • CSV Injection: データをCSVファイルに出力するとき、不正な命令語を差し込む攻撃

このようにWeb脆弱性を狙ったサイバー攻撃を防ぐためには、セキュリティ対策を講じる必要があります。特に、WAF(Webアプリケーションファイアウォール)を導入することも一つの有効な対策となります。WAFはWeb脆弱性に対する攻撃に対応するだけではなく、ハッカーがWebサイトにアクセスすること自体を防ぐことができます。つまりWordPressのようなアプリケーション自体に脆弱性が存在する場合も、それによる被害を事前に防ぐことができるということです。

 

最後に

WordPressは業界随一のCMSツールですが、セキュリティ面で問題を抱えていることも事実です。決して「安全ではない」わけではありませんが、Webサイト管理者の不注意によっては脆弱性を抱えることになるでしょう。しかし、簡単な対策をとることでより安全に使用することができます。ご紹介した対策を念頭に置き、安全にWordPressを運用しましょう!

最新Web脆弱性トレンドレポートの情報はこちら

image 2

【コラム】PCI DSSの核心、Webセキュリティとデータ暗号化

情報セキュリティ製品の広告によく登場する特定の’標準’が幾つかありますが、
その中でも「 PCI DSS 」は特によく登場します。
「弊社の製品はPCI DSSの要求事項を充足していて、PCI DSS基準の適合認証を保有しています。」
という広告用メッセージも見かけになっていると思いますが、
弊社も同じくCloudbric WAFに関して強調している内容の一つです。
‘重要な事っていうのは分かったけど、どういう事だろう?’と思っている方々もいらっしゃると思いまして、
今回はPCI DSSに対して簡単にご紹介致します。
PCI DSS

 PCI DSS とは

pci dss
PCI DSSはクレジットカード業界で共通的に使用されるセキュリティ標準です。
クレジットカード会社で会員のカード情報及び取引情報を安全に管理する為にカードの決済過程の全てにおいて遵守しなければいけない基準であります。
PCI DSSが標準として制定される前にはクレジットカード会社別に各自異なるセキュリティ基準を要求していたので、一般の業者は色んな基準に充足する為に多くの費用と努力をかけなければならなかったです。
こうした不便を解消する為にJCB・American Express・Discover・MasterCard・Visa等の国際的なクレジットカード会社が共同委員会を組織して「PCI DSS」という標準を制定しました。

PCI DSS規格の妥当性

pci dss NIST・ISO等の国際的な標準制定機関ではない民間企業が決めた規格を「標準」にしていいのか疑問を持たれた方もいるでしょう。
しかし、PCI DSSの場合、内容がとても詳細で細緻な規格で構成されていて標準として充分だといえます。
全般的なセキュリティ状態の診断及び審査過程、アプリケーションやシステム、ネットワーク等の領域別に実施する浸透テストの回数や時期などのセキュリティ政策だけではなく、不正ログインを何回試すとロックがかかるのか、顧客のPCに個人アプリケーションファイアウォールが設置されているかの確認などの些細な基準まで完備している規格であるからです。
このように具体的で厳しい基準を提示しているので、クレジットカード取引と関係の無い企業や組織でもPCI DSSを情報セキュリティ基準として採択している場合が多いです。

 creditcard

 

核心はWebセキュリティとデータ暗号化

クレジットカードのセキュリティといえば、カード端末機やネットワークのようなハードウェアが大事だと考えがちですが、データが移動してアプリケーションに到達したらその内容は全てアプリケーション(大半がWebアプリケーション)で管理されます。
従って、Webアプリケーション開発のプロセスの基準となる「PCI PA-DSS」の内容の大部分はWebセキュリティ関連内容であり、内容の核心はデータの暗号化です。
敏感な情報を扱う全般的なセキュリティ政策ともなる「PCI DSS」も、内容を見てみると多くがWebセキュリティとデータ暗号化に関連しています。どうしてでしょう。
IoT・フィンテック(FinTech)等の技術が登場してWebはもっと日常生活の一部になっています。
データはWebが主要環境であるアプリケーションを通じて移動し、これからはアプリケーションもWeb環境で開発されて運用する事になります。
データ保護の為には分野に関係なくWebセキュリティを重視するしかありません。
security

PCI DSSの究極的な目的は敏感な情報を安全に保護する事です。
昨今の情報セキュリティの中心はネットワークやサーバ等のハードウェアを保護するセキュリティ政策からデータとアプリケーションを保護するWebセキュリティに移っています。
クラウドブリックのWAFを導入したら複雑なプロセスも無くPCI DSSのセキュリティ基準を遵守出来ます。
今すぐWAFを導入してWebサイト保護とオンライン決済セキュリティ基準遵守を全て解決しましょう。
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら
パートナーに関するお問合せはこちら

Blog_Web Application_4

【コラム】Webアプリケーションのセキュリティを強調する理由

ハッキングの70%以上がWebを通じて行われている分、Webセキュリティは必須になってきました。
Webセキュリティの安全性を確保する為には、
企業のセキュリティ担当者がWebセキュリティに対して充分理解した上で自社のITシステムに合ったWebセキュリティを構築する必要があります。
しかし、多くの企業がWebセキュリティを正確に理解出来ていません。
今回はWebセキュリティを簡単に理解出来るようにITシステムの全般的な仕組みからWebセキュリティがITシステムにどう適用されるかまでご説明いたします。
まず、ITシステムに関する理解とWebセキュリティの概要について述べます。

1.「クライアント₋サーバ」の仕組みに対する理解

私たちは一般的にPCやノートパソコン、スマートフォンなどを利用してWebサイトにアクセスします。
IT業界では、Webサイトにアクセスする為に利用するPCやノートパソコン、スマートフォンなどを「クライアント」といい、
Webサイトやモバイルアプリケーションの画面のようなWebコンテンツを保存してクライアントがアクセスしたらコンテンツを表示するシステムを「サーバ」といいます。
(ITシステムにおいてサーバが全てWebサーバではありませんが、今回はWebセキュリティに関して触れているので、Webサーバについてご説明いたします。)
そして、クライアントとWebサーバを繋いでくれる連絡網を「Web(ウェブ)」といいます。
Client-Web-Server
セキュリティの観点からすると、一般的にクライアントのセキュリティは個別システムの安全と関係があり、サーバのセキュリティは企業システムの安全と関係しています。
企業内部におけるクライアントのセキュリティもありますが、今回は企業内におけるWebセキュリティの核心となるサーバセキュリティについてご説明いたします。

2. 企業サーバシステムの仕組み

企業内サーバシステムの仕組みを理解する為に、まずITシステムの仕組みを確認する必要があります。
server system
ITシステムは大きくネットワーク・システム・アプリケーションの3つの段階で構成されています(図1)。
OSI7階層やTCP/IP階層のような色々なITシステムモデルがありますが、このような階層的分類ではネットワーク・システム・アプリケーションの3つの階層が最も共通的な仕組みです。
この3つの階層はお互いの相互作用を通じてITシステムを構成します。
ネットワーク層はデータの送受信に関した通信を担当して、システム層はWindows/Linuxのようなオペレーティングシステム(OS)のようにアプリケーションが作動出来るようにするプラットフォームの役割をします。
そして、アプリケーションは最上位層で様々な機能をするプロトコル(HTTP,FTPなど)及び応用サービスを提供します。
サーバシステムの仕組みも基本的にはこのITシステムの仕組みと同じです。
つまり、安全なサーバセキュリティとは、ITシステムにおいてネットワーク・システム・アプリケーションの全てのセキュリティが安全に構築されていることを意味します。

3. Webセキュリティの核心、アプリケーションセキュリティ

より理解を深める為、ITシステムの各階層はWebセキュリティを確保する為に実際どのように構築されているかみてみましょう。
ネットワークセキュリティの為には、安全ではないIPやポート(Port)に対するアクセス制御をする必要があり、
許可されたIPやポートからのトラフィックに対しても有害性チェックをする必要があります。
ですので、多くの企業ではファイアウォール(Firewall)と侵入検知/防止システム(IDS/IPS)を構築しています。
システムセキュリティはOSに関する事が多いです。
企業のセキュリティ担当者は、セキュリティのアップデートやパッチを更新する事と
定期的にシステムの悪性コードを検出してシステムを常に安全な状態に維持する事をしなければいけないですし、この為に企業はアンチウィルスソリューションを導入しています。
こうして大概の企業ではネットワーク及びシステムのセキュリティについてはその必要性を理解してセキュリティ構築に力を入れています。
しかし、アプリケーションセキュリティについてはそうでもありません。
アプリケーション層は、ネットワークやシステム層に比べて高度化されていて種類も多いので、セキュリティ管理者の多くはセキュリティを適用することを難しく感じています。
Web Application Security
我々が普段利用しているWebは皆アプリケーションで構成されています。
Webサイトやモバイルウェブなどは全てアプリケーションで構成されていて、それをターゲットとしたWeb攻撃もアプリケーションの脆弱性を狙った攻撃が多いです。
Webセキュリティ
Webセキュリティ業界で有名なOWASP(The Open Web Application Security Project)が選んだWeb脆弱性Top10も全てWebアプリケーション攻撃です。
つまり、現在行われているWeb攻撃の90%以上が全てWebアプリケーションを狙った攻撃だといえます。
安全なWebセキュリティを構築する為には、安全なWebアプリケーションセキュリティの構築が必須だということです。
Webセキュリティにおいてアプリケーションのセキュリティが最も重要であるにも関わらず、
どう構築すればいいか分からないという理由で適切なセキュリティが適用されていない事がほとんどです。
このような問題を解決する為には、アプリケーションのセキュリティを理解して安全なWebアプリケーションを構築する為に行うべき事を知らなければなりません。
クラウドブリックが提供するセキュリティコラムを読んで頂き、昨今増えているWeb攻撃に備えてください。
Cloudbric詳細はこちらㅣ Webセキュリティ 対策はCloudbric
製品に関するお問合せはこちら
E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

Blog_SSL_1

【コラム】まだ有料SSL認証書を使用中のあなたに今、必要なのは?

無料で使える SSL 認証書「Let’s Encrypt」そして「クラウドブリック」

Webブラウザサービスが多様になって誰でも簡単に情報を共有出来るようになり、ハッキングに露出される危険も大きくなっています。
この為、暗号化通信は必須条件となりました。
暗号化通信はHTTPSプロトコルを使用する事で実現できますが、HTTPSプロトコルを使用する為には認証局(CA:Certificate Authority)からSSL証明書を発行して貰わなければいけません。
しかし、費用負担や複雑な認証プロセスなどにより発行率はとても低いです。
SSL

1.世界及び日本の主要企業のWebサイトSSL対応現況

Use_SSL
(引用: 国内主要企業サイトの約40%がHTTPS未対応 -Atlas21調査- https://at21.jp/web/topic/topic32.html)

2016年5月、日本のWebソリューション会社のAtlas21が東京証券取引所市場第一部に上場する主要企業を対象として実施した調査によると、
Webサイトの全ページに暗号化通信を適用しているHTTPS完全対応率は1%であり、世界主要企業が17%である事に比してとても低い数値を記録しました。
つまり、大半のWebサイトにSSL/TLSが適用されていなく、最も基礎的なセキュリティである暗号化通信も保証されていなかったという事です。
幸いなことに、2018年6月に実施した調査ではHTTPS完全対応率が40%まで増加しましたが、世界主要企業の数値である52.4%に比べたらまだ低いと言えます。

2.Let’s Encryptの登場

SSL証明書の発行には年間約80~400ドルの費用が発生します(認証局によって少し差は発生します)。
EV,Wildcardなどのオプションを追加する場合は費用はもっと高くなります。
費用の負担以外にも、複雑なドメイン認証作業が発生することがSSL証明書の発行率が少ない理由の一つです。
該当ドメインに対して、認証局より認証してもらう為にはメール認証・DNSレコード追加などの作業が必要です。
また、認証作業が終わったら発行されたSSL証明書を直接Webサーバにアップロードしなければなりませんし、証明書を更新する度に同じプロセスを繰り返す事になります。
この問題を認識し、SSL使用のハードルが高い問題を解決して、誰でも安全な暗号化通信を使用出来る環境を作るために、
Mozilla・Cisco・Akamai・Electronic Frontier Foundation(EFF)・Iden Trustなどの多様なグローバルIT企業がISRG(Internet Security Research Group)という
認証局を設立してLet’s Encryptというプロジェクトが始まりました。

3.Let’s Encryptの特徴

Let’s Encryptの登場で我々はSSLを無料で・簡単に・自動発行出来るようになりました。
1.無料発行
SSL証明書を発行する際に費用は発生しません。
ルートドメイン当りの発行数に制限はありますが、最大一週間に2,000個まで発行出来るので無制限だといえます。
2.簡単なドメイン認証
Cert botというソフトウェアをWebサーバにインストールしたら認証作業が自動的に実行されます。
メール認証・DNSレコード追加などの作業が別当必要ではありません。
3.自動証明書発行/更新
ドメインが認証されたらLet’s Encryptから自動的に証明書が発行されます。
発行された証明書はWebサーバに保存され、90日単位で自動更新されます。
証明書の発行・更新の作業が必要ないということになります。

4.Let’s Encryptは安全なのか

結論から言いますと、安全です!
Let’s EncryptはGlobal Sign、Geo Trustなどのルート認証局で発行する適用SSL証明書と同じレベルのセキュリティを確保しました。
SSL証明書は各OSやWebブラウザから信頼されるルート認証局のみ発行出来ます。
信頼出来るルート認証局は、Internet Explorerの場合、「設定→オプション→内容→証明書」で確認出来ます。
では、Let’s Encryptの場合、どう発行されるのでしょうか。
Let’s EncryptはWebブラウザから信頼されるルート認証局であるIden Trust(DST Root CA X3)が相互認証(Cross-Sign)する形でSSL証明書を発行します。

5.Let’s Encryptを簡単に適用する方法

Process_SSL
クラウドブリックに加入したらドメイン認証などの手続きを行わず、ただHTTPSを適用するWebサイトを登録するだけでSSL証明書を適用できます。
WebセキュリティサービスとSSL証明書の適用を一緒に利用できるので、企業のWebサービス担当者様・オンラインショップの運営者様・個人ホームページ運営者様には大変良いチャンスです。
まだお金を払ってSSL証明書を使用しているなら、これからはクラウドブリックで無料SSL証明書を使用してみてはいかがですか?!

Cloudbricの製品情報( SSL )はこちら
Cloudbricの製品情報(WAF)はこちら
パートナーに関するお問合せはこちら
製品に関するお問合せはこちら