CVE

CVEとは?メリットや活用方法、課題をわかりやすく解説

by ブログ

マルウェアの攻撃などが問題視されている昨今、システムやソフトウェアの脆弱性を把握するために活用されているのが、CVEです。この記事ではCVEの概要やメリット、CVEの課題やセキュリティ対策を行う上での活用法などを解説します。CVEを活用したセキュリティ対策を検討している企業のセキュリティ担当者の方は、ぜひ参考にしてください。

 

CVEとは

CVEとは「Common Vulnerabilities and Exposures」の略で、日本語では「共通脆弱性識別子」と訳されます。CVEはシステムやソフトウェアなどで発見された脆弱性やセキュリティホールのひとつひとつに、「CVE-ID」という識別番号を付与し、リスト化して世界の誰もが無料で閲覧できるよう公開しています。簡単に言うと、脆弱性に関する識別情報を整理した辞書のようなものです。情報・防衛技術を専門とする米国の非営利組織「MITRE」が採番・管理しています。

ただしCVEで公開されるのは、識別番号や脆弱性の簡単な説明など、表面的な情報に限られます。脆弱性の詳細までは記載されていないため、具体的な対策については他のデータベースを参照したり、専門のセキュリティ機関に依頼したりする必要があります。

以下はCVEの公式サイトです。

参照:CVE® Program Mission

 

CVEを活用するメリット

CVEの一番のメリットは、世界共通の識別番号による情報管理の容易さです。それについて3つのポイントに分けて、詳しく解説します。

 

・脆弱性情報を一元化できる

CVE登場以前は、発見した脆弱性については各ベンダーが独自に情報を公開していました。そのため名称などもバラバラでわかりづらく、ベンダーをまたいだ比較などもしにくいというデメリットがありました。

一方、CVEでは国や企業に関係なく一意の識別番号を付与するため、組織やセキュリティツールが異なっても情報が一元管理できます。また、同じ脆弱性に対し違う名称が使用されるといった混乱を避けられるため、セキュリティ担当者も迅速に対策に取りかかれます。

 

・脆弱性情報を共有できる

CVEを活用して脆弱性情報を管理することにより、誰でも閲覧が可能なため、他の組織やシステムの利用者とも情報を共有できます。ベンダーだけでなくユーザーコミュニティとも情報を交換できるので、多くの監視の目が行き届くのがメリットです。脆弱性の情報が迅速に共有され、対策を打つまでの時間的なロスを減らせます。

またCVEには「CVE互換認定制度」があり、一定の条件を満たした情報セキュリティサービスは認定を受けることが可能です。認定を受けると、MITREのWebサイトで紹介されたり、CVEのロゴの使用が認められたりするメリットがあります。互換認定制度により、セキュリティサービスの信用も高まり、サービスの利用者も効率的に情報が得られます。

 

・システムの安全性を迅速に向上できる

CVE識別番号は、セキュリティの専門家で構成される「CVEボード」と呼ばれる機関によって評価、および割り当てを行っています。CVEボードは定期的に会議を開きその内容を一般にも公開しています。そのためセキュリティ関係のプロバイダーやベンダーといったコミュニティとも密接に連携しており、彼らが直面する課題に対し、迅速に解決のための情報を提供することが可能です。

CVEで公開している脆弱性の情報は標準化されたもので、グローバルなセキュリティ基準としても使用されています。各種セキュリティツールとの互換性も高いので、最新の脆弱性情報を迅速に特定し、防御策を効率的に開発できます。

 

セキュリティ対策におけるCVEの活用方法

CVEはセキュリティ対策においてどのように活用できるのでしょうか。主な3つの方法を詳しく紹介します。

 

・脆弱性対応に優先順位を付ける

アプリケーションやシステム内に複数の脆弱性が見つかった場合、より緊急性の高い脆弱性から優先的に対応に当たることが重要です。CVEを活用すれば、現在システムなどに存在している脆弱性を一通り把握できます。

ただしCVEで確認できるのは、識別番号と脆弱性の概要、参考URLとステータスのみに過ぎません。脆弱性の深刻度を確認するには、CVSSスコアもあわせて参照する必要があります。CVSSスコアとは、脆弱性の深刻度を0(最も低い)から10(最も高い)までの数値で評価したものです。CVEの識別番号とCVSSスコアは紐付けられているので、互換性のある脆弱性データベースなどでCVEの識別番号を検索すれば、該当する脆弱性の深刻度も調べられます。

そこに攻撃の可能性やシステムへの影響を加味して優先順位を判断し、緊急性の高いものから対応に当たることで、サイバー攻撃の影響を最小限に止められます。

 

・セキュリティツールと結合する

CVEは各種情報セキュリティツールとも連携できます。例えば侵入検知システムと連携することで、システムやネットワークへの不正な侵入があった際にリアルタイムで検知し、迅速に対応に当たれます。また脆弱性管理プログラムとの連携により、脆弱性の優先順位付けやリスク評価、定期的な脆弱性の自動検知やセキュリティイベントの継続的な監視・分析などが可能です。

ペンタセキュリティのクラウド型WAFサービス「Cloudbric WAF+」でも、CVEをはじめとする脆弱性の情報を活用し、サービスに反映させています。また、セキュリティ診断サービス「Cloudbric 脆弱性診断」では、診断の際にCVEなどを活用してリスクを可視化しており、サイバー攻撃などに備えてセキュリティ対策を強化できます。

参照:
「CVE」の役割と管理手法|脆弱性への効果的な対処法と予防策について
セキュリティ診断サービス「Cloudbric 脆弱性診断」

 

・セキュリティポリシーを作成する

セキュリティポリシーとは、企業や組織において、情報資産を守るための基本方針や行動指針を定めた文書のことです。セキュリティポリシーによって対策の範囲や対応体制、実施手順などがあらかじめ明確にされていれば、インシデントが発生した際も迅速に対応に当たれます。また、従業員の情報セキュリティ意識を高めたり、取引先や顧客からの信頼を得たりすることにも役立ちます。

CVEやCVEと互換性のある脆弱性データベースなどによって得た脆弱性の情報は、セキュリティポリシーの作成にも活用可能です。脆弱性の深刻度や予想される影響を事前に知っておくことで、インシデントが起こった際の対策や対応手順を決めやすくなります。

 

まとめ

CVEによってシステムなどの脆弱性に世界共通の識別番号を付与することは、脆弱性情報管理の一元化や、組織をまたいだ脆弱性情報の共有に役立ちます。

CVEを活用すれば、脆弱性情報の優先順位付けやセキュリティポリシーの作成などが容易になります。またセキュリティツールと連携させることで、セキュリティ対策の強化も可能です。

CVEの脆弱性情報は誰でも無料で閲覧できます。ただCVE単体では詳細な情報は得られないため、互換性のある脆弱性データベースなども参考にしながら、より強固なセキュリティ対策を講じましょう。

 

▼企業向けWebセキュリティ対策なら、クラウド型WAFサービス「Cloudbirc WAF+」

▼既知・未知の脅威に備えるセキュリティ診断サービス「Cloudbric 脆弱性診断」

▼Cloudbricの製品・サービスに関するお問い合わせはこちら

 

「Spring Framework」の脆弱性 CVE-2022-22965(Spring4shell)対応に関して

by お知らせ

平素は弊社サービスをご利用頂きまして、厚くお礼申し上げます。
「Spring Framework」の脆弱性CVE-2022-22965(Spring4shell)に対し、注意喚起およびCloudbricでの対応となります。

■Cloudbricシステムでの対応状況
Cloudbricは、本脆弱性に対し、既定の攻撃検知ロジックおよびポリシーに基づき対応できており、追加のシグネチャー定義および適用を行う必要性がないことを確認し、報告致します。
・確認日時
2022年3月31日(木)

・情報参照
https://jvn.jp/vu/JVNVU94675398/index.html

「Apache Log4j」の任意のコード実行の脆弱性(CVE-2021-44228)対応に関して

by お知らせ

平素は弊社サービスをご利用頂きまして、厚くお礼申し上げます。
Apache Log4jのご利用のユーザ様に対し、注意喚起およびCloudbricでの対応となります。

 

■Cloudbricシステムでの対応状況
Cloudbricは、セキュリティ基盤システムおよび管理システムを含む全システムにおいて当該のApache Log4jの影響を受けないことを確認致しました。
・確認日時
2021年12月10日(金)

 

■Apache Log4jのご利用のユーザ様での対応状況
システム環境上Apache Log4jのご利用のユーザ様の対応として、Cloudbricの全プランを対象に当該脆弱性対応のための設定を実施致しました。尚、Cloudbricでは本設定変更に伴い、集中モニタリングを実施しております。
・設定日時
2021年12月13日(月)より適用開始

 

該当の脆弱性において対応の必要なユーザ様に関しましては、継続してApache Log4j公式サポート情報に基づく策を講じますよう推奨致します。

・Apache Log4j公式
https://logging.apache.org/log4j/2.x/security.html

 

VPN thumbnail

VPN関連事故多発!企業の情報に迫る脅威と対策

by ブログ

2020年8月下旬、犯罪サイトに全世界900個以上の企業のVPN情報が流出されたというニュースが大きく報道されました。この中には38個の日本企業も含まれており、大きな衝撃を与えています。VPNは外部から企業の内部ネットワークに接続する用途で使われており、新型コロナウイルスの蔓延に従ってテレワークが拡大されるにつれ、その使用量を増しています。そしてテレワークの日常化が進んでいる今時、その必須的な手段と呼ばれるVPNがハッキングされたという事実は、かなりの意味を含んでいるのです。

 

多数の企業が被害を受けた、VPNによる新たな脅威が台頭

今回発生した大規模ハッキングは、米パルスセキュア社のVPNサービスを利用している企業をターゲットにした事件です。実は2019年、対象となったVPNに脆弱性が存在していることがすでに把握され、パルスセキュアにより修正用パッチを配布されました。また、2020年4月には、アメリカ政府及び関連機関も該当サービスを利用する企業に対しハッキングの脅威を警告し続けてきました。しかし、それから数か月しか過ぎてないにも関わらず、今回の事件が発生したのです。被害を受けた平田機工は、情報流出の原因を次のように明かしました。

VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」 平田機工
2020年8月26日
4月から始めたテレワークの負荷分散のため旧VPNシステムを急きょ稼働させたところ、最近発見された脆弱性を突かれて、社員24人とVPNシステム管理用のユーザーIDとパスワードが抜き取られたという。社内ネットワークに侵入された形跡はなかったとしている。
同社は4月後半からテレワークを実施。その負荷に現VPNシステムでは対処しきれなくなったため急きょ、前年度に交換した旧VPNシステムを4月22日から稼働させて負荷を分散させた。
だが旧VPN装置には最近発見された脆弱性があり、社員24人とVPNシステム管理用のユーザーIDとパスワードが6月25日に抜き取られ、その後、ダークウェブ上で2週間アクセス可能になっていたという。
引用: ITmedia NEWS

在宅勤務が必要になったため、VPNを急に利用した結果、このような問題が発生したとのことです。幸い、大きな被害が発生してはないとのことですが、いつ被害が発生してもおかしくはない、という状況であることも確かです。例えば奪取されたVPNの認証情報が利用され、企業の内部ネットワークやサーバに無断侵入されるケースが考えられます。

このような状況を鑑みると、今回の事件の責任は適時に最新パッチを適用しなかった企業にあると言えます。しかし、VPNに存在するすべての脆弱性が発表され、対応パッチが配布されるわけではないため、今後もいくらでもVPNによる事故が発生しかねないという事です。

 

VPNによって発生する情報流出事故の原因と対策

今回の事件によって発覚した最も大きな問題は、「VPNさえ使えば安全だ」という思い込みです。VPNは外部から内部ネットワークに接続できるよう、ブラウザとサーバ間に暗号化されたトンネルを設け、そこからの通信のみを許容します。「ネットワークに境界線を作り、内部への侵入を防ぐための対策」だと言えますが、そのトンネルが安全だと断言できるのでしょうか。

三菱電機で起こった事件が代表的な反例です。機密情報や個人情報が流出し、大きな話題になりましたが、その始まりがVPNに対する攻撃だったのです。

三菱電機へのサイバー攻撃、VPN装置にハッキングか
2020年5月2日
三菱電機への大規模なサイバー攻撃で、不正アクセスの起点が「仮想プライベートネットワーク(VPN)」と呼ばれる通信機器へのハッキングだった可能性が高いことが複数の関係者への取材で分かった。ネットワークに侵入した中国系ハッカー集団「BlackTech(ブラックテック)」が、防衛に関する機密や個人情報を流出させたとされる。…
同社の複数の関係者によると、中国拠点のPCで外部との不審な通信がないか調べたところ、中国国内にあるデータセンターに設置されたVPN装置に不正アクセスの痕跡が見つかったという。装置は中国など海外の拠点と日本の拠点をネット回線を介して互いにつなげる役割がある。この装置へのハッキングが社内ネットワークへの侵入のきっかけだったとみている。
引用: 朝日新聞

ハッカーはVPN装置に対する攻撃を起点に社内ネットワークへ侵入し、大規模なサイバー攻撃を仕掛け、その結果情報が流出されました。つまり、「VPNさえ使えば安全だ」という前提がこれ以上有効ではないのです。

また、VPN自体が安全だと仮定しても、それを利用するデバイスが安全だとは言えません。テレワークの際に個人のPCが攻撃され、認証情報が奪取された場合を想定してみましょう。VPNは普通、IDとパスワードにより使用者の認証を行い、その後のチェックは行いません。よって、ハッカーが奪取した認証情報を利用し、疑われることなく企業の内部ネットワークに接続して情報を得ることができるでしょう。またVPNはデバイスに問題があるかどうかを検証しないため、マルウェア感染がデバイスから社内アプリケーションに拡大する恐れがあります。

このような状況を未然に防ぐには、ネットワークに境界線を作り侵入を防止するのではなく、社内ネットワークの中にも脅威が存在することを認識することが重要です。例えば、内部システムに接続された後にも、多要素認証等の手続きを経たユーザだけにデータの閲覧を許可するなどの対策が考えれるでしょう。侵入を入り口だけで防ぐのではなく、壁が突破される可能性を考慮して複数の防衛線を張り、ハッカーにさらなる負担をもたらすのです。「中にある情報の価値以上の対価を支払うようにして、諦めさせる」というセキュリティの基本ポリシーを常に頭の中に入れておきましょう。

 

さいごに

生き方や働き方が絶えなく変化するのに合わせ、セキュリティに対するアプローチも常に進化する必要があります。もちろんVPNも様々なメリットを持つセキュリティ対策ですが、その限界もまたはっきりしています。当たり前のように思っていた「VPNさえ使えば安全だ」という前提を覆し、内外に関わらず全体像を考えながらセキュリティ対策を取る必要があります。クラウドブリックはこのような状況を鑑み、「Remote Access Solution」をリリースしました。VPNと同じ用途で使用でき、「ハッキング防止」、「2要素認証」、「リアルタイムのモニタリング」という三つの矢で企業のセキュリティをサポートします。さらに詳しい情報は、リンク先からご確認ください。

Cloudbric RAS

VPN Thumbnail

VPNの脆弱性は、さらなる被害を呼び起こす可能性を持つ

by ブログ

出張の最中、目まぐるしく忙しい中で会社のサーバに保管された文書を急に確認しなければならない時、あなたならどうしますか。普通、企業ネットワークは専用サーバまたは閉域網で構築されており外部からの接近を防いでいますが、VPNを利用すると会社のネットワークに接続できるようになります。一般的にVPNは安全で簡単だと思われがちですが、本当にそうなのでしょうか。今回はVPNの使用例と、その脆弱性についてお届けします。

 

なぜ多くの人がVPNを使っているのか

VPNとは Virtual Private Network の略字であり、暗号化やプロトコールなどを通じネットワーク上に仮想の通路を設け機密を守る技術です。通信過程でセキュリティを維持する必要があるときによく使われています。また、「働き方改革」の一環でテレワークが幅広く進められるにつれ、さらに注目されてもいます。それでは、VPNがどの様な状況で使われているのかを見ていきましょう。

海外出張しているとき

海外出張の際には、業務のため使わざるを得ないサイトに接続できない状況が頻繁に起こります。例えば中国ではグーグルに接続できませんが、これは国家別に接続が許可されていないサイトが存在するからです。業務を行うにおいて大きな障害となりますが、VPNを使うことによって遮断されたサイトに接続することができます。

無料Wi-fiを利用しているとき

公衆無線LANなど、無料Wi-fiの場合、暗号化などのセキュリティ対策が施されていない場合が頻繁に見かけられます。これは、利用者の情報が無防備に露出されることが多い、と同じ意味です。実際、無料Wi-fiの利用者を狙ったサイバー攻撃も数多く報告されています。VPNを利用すると通信経路全体を暗号化でき、情報の露出を防ぐことができます。

外部から社内ネットワークに接続するとき

数々の企業が社員の社内ネットワーク接続のため、ビジネス用VPNを使用しています。社内ネットワークをインターネットで構築しながらも、指定されたVPNを利用する者のみが接続できるようにする形です。専用回線でネットワークを構築する方式に比べコストを抑えながらも、一定レベルのセキュリティを維持する事が可能になります。
しかし、よく考えてみたら、このような事例は全て「VPNを利用すれば安全が保障される」という前提で行われています。VPNは果たして本当に安全だと言えるのでしょうか。

 

VPNとて必ず安全なわけじゃない

残念ながら、VPNを利用するとしても必ず安全が保障されるわけではありません。VPNにも脆弱性が存在するのです。例えば、2020年に発生した「三菱電機に対するサイバー攻撃」事件では、VPN装置がハッキングされたことが事件の始まりでした。

三菱電機へのサイバー攻撃、VPN装置にハッキングか
2020年5月2日
三菱電機への大規模なサイバー攻撃で、不正アクセスの起点が「仮想プライベートネットワーク(VPN)」と呼ばれる通信機器へのハッキングだった可能性が高いことが複数の関係者への取材で分かった。ネットワークに侵入した中国系ハッカー集団「BlackTech(ブラックテック)」が、防衛に関する機密や個人情報を流出させたとされる。…
同社の複数の関係者によると、中国拠点のPCで外部との不審な通信がないか調べたところ、中国国内にあるデータセンターに設置されたVPN装置に不正アクセスの痕跡が見つかったという。装置は中国など海外の拠点と日本の拠点をネット回線を介して互いにつなげる役割がある。この装置へのハッキングが社内ネットワークへの侵入のきっかけだったとみている。
引用: 朝日新聞

実際、VPNを狙った攻撃が近年さらに増加しています。この事件の場合、セキュリティ対策をしっかりと行っていると思われた大手企業を狙ったものなので、さらに大きな衝撃を与えました。特にビジネス用VPNは企業ネットワークに接続する用途で使用されるため、攻撃により発生する被害は想像を超すと思われます。攻撃者が企業ネットワークに侵入でき、内部情報を思うままに奪取できるという事を意味するからなのです。

攻撃者が目標にしていると思われる、主なVPNの脆弱性には次のようなものがあります。

低レベルのプロトコル及び暗号化

VPNは暗号化及びプロトコルなどを利用し安全性を確保しています。しかし、そのレベルには製品によって雲泥の差があります。廉価または無料で提供されているVPNの場合、低レベルのプロトコル及び暗号化を利用しており、容易にハッキングされる可能性があります。よって、十分に検証されたものなのかを確認する必要があるでしょう。ハッキングによって情報が露出されれば、もはやVPNを使う理由はありません。

VPNサーバに対する攻撃

VPNはその利用者を特定のサーバを通じネットワークに接続させる形でセキュリティを維持しています。しかしサーバ自体がハッキングされたら、セキュリティはどうなるのでしょうか。実際、VPNサービス企業のサーバがハッキングされた事例(引用: Techcrunch)が存在するように、サーバに対する脅威はVPNの脆弱性になりえます。もしもサーバに利用者の情報が残っている場合、通信がいくら安全に行われるとしてもその結果が露出されかねないという事になります。結果的に、VPNを使った理由を探せない状況が作り出されるのです。

 

VPNを選択する際の注意事項

VPNに脆弱性が存在するとしても、必ずVPNを利用しなければいけない状況に置かれる可能性も十分あり得ます。例えば、海外で遮断されたサイトに接続する必要がある場合などには、VPNを利用しなければいけません。その際には、次のような点に注意する必要があります。

  • 信頼できる個人情報保護ポリシー及びデータ保存ポリシーが存在するのかを確認する
  • 広範囲もしくは適切なサーバ適用範囲を提供しており、多様な選択肢が存在するのかを確認する
  • 強力なプロトコル及び暗号化措置が存在するのかを確認する
  • 適切な価格と、それに見合う機能を提供するのかを確認する

 

最後に

テレワークはコロナ禍以後にも引き続き拡大される見通しであり、企業により強固なセキュリティ対策が求められている状況です。先ほど紹介したVPNの脆弱性を周知し、VPNを補完できるセキュリティ対策を取る必要があります。このような状況を鑑み、クラウドブリック(Cloudbric)は追加設置などが不要で、簡単に暗号化、認証、ハッキング防止及びモニタリング等の機能をご利用できる「Remote Access Solution」をリリースしました。10月7日まで無料でお試しいただけるので、是非お試しください。
Cloudbric Remote Access Solutionの詳細はこちら

cloudbric_hp_owasp_2

【コラム】10大Webアプリケーション脆弱性と対策法

by ブログ

昨今ハッカーによるWeb攻撃が単純にWebサイトをフリーズさせるたけではなく、個人情報流出や重要資料の削除などの大問題になっています。
こういうニュースを見る際に「脆弱性」という単語をご覧になりましたか?
地下市場の発達により、今は専門ハッカーでなくてもWebページにアクセスして脆弱性を見つける事が出来て、脆弱性を多く持っているWebサイトを探してくれる自動化ツールまで出来ています。
Webサイトを安全に保護する為には、ハッカーの標的になる「脆弱性」を把握してそれに対する補完及び対策を立てることが重要です。
今回はOWASPが提示した10大Webアプリケーション脆弱性について述べ、脆弱性に備える方法をご説明致します。
脆弱性

1.10大Webアプリケーション 脆弱性

OWASP Top 10(2017年)
A1: インジェクション A6: 不適切なセキュリティ設定
A2: 認証の不備 A7: クロスサイトスクリプティング (XSS)
A3: 機微な情報の露出 A8: 安全でないデシリアライゼーション
A4: XML外部エンティティ参照(XXE) A9: 既知の脆弱性のあるコンポーネントの使用
A5: アクセス制御の不備 A10: 不十分なロギングとモニタリング

 

A1 : インジェクション
SQL, OS, XXE, LDAP インジェクションに関する脆弱性は、コマンドやクエリの一部として信頼されないデータが送信される場合に発生します。
攻撃コードはインタープリタを騙し、意図しな いコマンドの実行や、権限を有していないデータへのアクセスを引き起こします。
A2: 認証の不備
認証やセッション管理に関連するアプリケーションの機能は、不適切に実装されていることがあります。
不適切な実装により攻撃者は、パスワード、鍵、セッショントークンを侵害したり、他の実装上の欠陥により、
一時的または永続的に他のユーザーの認証情報を取得します。
A3: 機微な情報の露出
多くのウェブアプリケーションやAPIでは、財務情報、健康情報や個人情報といった機微な情報 を適切に保護していません。
攻撃者は、このように適切に保護されていないデータを窃取または 改ざんして、クレジットカード詐欺、個人情報の窃取やその他の犯罪を行う可能性があります。
機微な情報は特別な措置を講じないでいると損なわれることでしょう。
保存や送信する時に暗号 化を施すことや、ブラウザ経由でやり取りを行う際には安全対策を講じることなどが必要です。
A4: XML外部エンティティ参照(XXE)
多くの古くて構成の悪いXMLプロセッサーにおいては、XML文書内の外部エンティティ参照を指 定することができます。
外部エンティティは、ファイルURIハンドラ、内部ファイル共有、内部 ポートスキャン、リモートコード実行、DoS(サービス拒否)攻撃により、内部ファイルを漏え いさせます。
A5: アクセス制御の不備
権限があるもののみが許可されていることに関する制御が適切に実装されていないことがありま す。
攻撃者は、このタイプの脆弱性を悪用して、他のユーザのアカウントへのアクセス、機密 ファイルの表示、他のユーザのデータの変更、アクセス権の変更など、権限のない機能やデータ にアクセスします。
A6 : 不適切 なセキュリティ設定
不適切なセキュリティの設定は、最も一般的に見られる問題です。
これは通常、安全でないデ フォルト設定、不完全またはアドホックな設定、公開されたクラウドストレージ、不適切な設定 のHTTPヘッダ、機微な情報を含む冗長なエラーメッセージによりもたらされます。
すべてのオ ペレーティングシステム、フレームワーク、ライブラリ、アプリケーションを安全に設定するだ けでなく、それらに適切なタイミングでパッチを当てることやアップグレードをすることが求め られます。
A7 : クロスサイトスク リプティング (XSS)
XSSの脆弱性は、適切なバリデーションやエスケープ処理を行っていない場合や、HTMLや JavaScriptを生成できるブラウザAPIを用いているユーザ入力データで既存のWebページを更新 する場合に発生します。
XSSにより攻撃者は、被害者のブラウザでスクリプトを実行してユー ザーセッションを乗っ取ったり、Webサイトを改ざんしたり、悪意のあるサイトにユーザーをリ ダイレクトします。
A8 : 安全で ないデシリアライ ゼーション
安全でないデシリアライゼーションは、リモートからのコード実行を誘発します。
デシリアライ ゼーションの欠陥によるリモートからのコード実行に至らない場合でさえ、リプレイ攻撃やイン ジェクション攻撃、権限昇格といった攻撃にこの脆弱性を用います。
A9 : 既知の 脆弱性のあるコン ポーネントの使用
ライブラリ、フレームワークやその他ソフトウェアモジュールといったコンポーネントは、アプ リケーションと同等の権限で動いています。
脆弱性のあるコンポーネントが悪用されると、深刻 な情報損失やサーバの乗っ取りにつながります。
既知の脆弱性があるコンポーネントを利用して いるアプリケーションやAPIは、アプリケーションの防御を損ない、様々な攻撃や悪影響を受け ることになります。
A10 : 不十分なロギング とモニタリング
不十分なロギングとモニタリングは、インシデントレスポンスに組み込まれていないか、非効率 なインテグレーションになっていると、攻撃者がシステムをさらに攻撃したり、攻撃を継続でき るようにし、ほかのシステムにも攻撃範囲を拡げ、データを改竄、破棄、破壊することを可能に します。
ほとんどのデータ侵害事件の調査によると、侵害を検知するのに200日以上も要してお り、また内部機関のプロセスやモニタリングからではなく、外部機関によって検知されています。

(引用:OWASP Top10 – 2017 https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf)

2.脆弱性に備える為には

日々増加しているWeb攻撃に備えて、企業はWebアプリケーションを保護する為の効率的なプロセスと技術を持つ必要があります。
この為、まず自社のWebサイトに内在している脆弱性を認知・把握した後、必要に応じてWAF等のソリューションを導入するべきです。
多くの企業がWebサイトに数多くの顧客情報を保存しているので、企業は社会的責任と貢献の為に常にセキュリティを念頭に入れる義務を持っています。
全ての脆弱性について認知し、Web攻撃を防御してくれるWAFを導入して企業と顧客の資産を守りましょう。
Cloudbricのパートナーシップ制度はこちら
パートナーに関するお問合せはこちら
Cloudbricの製品情報はこちら
製品に関するお問合せはこちら