pc_img_02

テレワーク導入に悩みを抱える企業向けに、Cloudbric Remote Access Solution をリリース

新型コロナウイルスの影響で業務形態もまた急速な変化を重ねています。テレワークを導入する企業が急増していますが、セキュリティ上の懸念もあると考えられます。このような状況を鑑み、我々はオフィスから離れた場所でも安心して社内環境にアクセスできるようにセキュリティを強化した、「Cloudbric Remote Access Solution」をリリースしました。

 

新型コロナウイルスがもたらした働き方の変化

新型コロナウイルス感染症の感染拡大により全国に出された「緊急事態宣言」が5月25日に解除されました。しかし、 第二波の懸念もあり、完全な終息には相当な時間がかかりそうです。まだ安心できるレベルまでに至らず、依然としてその影響は我々に響いています。

コロナ過という言葉も出てきている中、新型コロナウイルスは人々の生き方を大きく変えるきっかけとなっています。多くの企業で導入しているテレワークもその例の一つであり、オンラインで業務に当たる割合が増え続けるだろうといっても過言ではありません。

日本では政府が長年テレワークを推進してきたもののあまり成果を得られなかったのですが、これを機にテレワークが働き方の一つとして定着すると考えられます。しかし、これまで日本でなかなか普及していなかったテレワークが急に広がった分、予想できなかったテレワークの加速化による懸念も存在します。

 

エンタープライズVPNの問題点

緊迫した状況での急な転換によりテレワーク導入を決めた企業の場合、セキュリティ対策が事前に十分に講じられていないため、常にハッキングや情報流出等の脅威にさらされているといっても過言ではありません。

テレワークにおけるセキュリティ対策として多くの企業がVPNサービスを取り入れています。確かに、VPNは数々のメリットを持つセキュリティ対策ですが、システムを構築するにはサーバへのゲートウェイ設置や、追加的なソフトウェア等のインストールが伴います。このような過程は、企業側にとっても、セキュリティ管理者にとっても、従業員側にとっても相当な手間を要するはずです。

 

簡単に安全なテレワーク環境を提供する Cloudbric Remote Access Solution

Cloudbric Remote Access Solutionは、クライアント側やサーバに対し、どのようなインストールも要求しません。従来のVPNサービスと違い、DNS変更など簡単な設定のみですぐ利用できるため、導入に対する負担を軽減させ、より効率的にテレワーク環境を構築することができます。

また、E2E暗号化を適用するなど、セキュリティを一層強化したリモートアクセスソリューションを提供します。ユーザが社内ネットワークに対し受送信する全てのトラフィックを暗号化するため、ハッカーの攻撃やあらゆるサイバー脅威を防げます。また、場所やデバイスに関係なく、予め承認されたユーザのみが企業の情報とデータにアクセスすることができます。

セキュリティ専門企業の技術とノウハウが詰まった「Cloudbric Remote Access Solution」は社内ネットワークにアクセスするすべての社員が安心して働けるように安全なテレワーク環境を作ります。

 

Cloudbric Remote Access Solutionを3ヶ月間無償で利用できます。

2020年10月7日まで無料お試しプロモーションを実施中です。今なら、「Cloudbric Remote Access Solution」の全ての機能を、無料でご利用いただけます。最も簡単で、万全のセキュリティ技術を適用し、さらに安全なテレワーク環境を実現する「Cloudbric Remote Access Solution」をこの機会に、ぜひお試しください。

Webアプリケーションに潜む脆弱性TOP10を分析! 『OWASP Top 10 2017』とその対策

最新のWebアプリケーション脆弱性 Top 10をまとめた「OWASP Top 10」とそのセキュリティ対策を紹介

『OWASP Top 10』をご存知でしょうか? これはOWASP(Open Web Application Security Project:オワスプ)が選定した最も重大なWebアプリケーションセキュリティリスクのリストで、2~3年に一度発表されています。その時期に特に流行していて大きな被害が続出しており、Webセキュリティの警戒をしなければいけない項目がリスティングされています。今回は最新の『OWASP Top 10 2017』の内容を精査し、流行しているWebセキュリティの危機とその対策をご紹介します。

 

OWASP Top 10とは

OWASPはアメリカ東部メリーランド州に本部を持つ非営利組織であり、Webアプリケーションのセキュリティに関する研究や、ガイドラインの作成、脆弱性診断ツールの開発、イベントの開催等、多岐に渡る活動を2001年から行っています。OWASPは Webに関する脆弱性やリスク、攻撃手法、事例、情報漏えい、悪性ファイルやスクリプト、攻撃コードやマルウェアなどを研究しています。そして『OWASP Top 10』はWebセキュリティ上で多発する脅威の中で、その危険度が最も高いと判断された10個のトピックがまとめられたものです。

『OWASP Top 10』では、「悪用のしやすさ」「弱点の蔓延度」「弱点の検出のしやすさ」「技術面への影響」「ビジネスへの影響」の観点で、それぞれに点数をつけリスクの高さを可視化し、危険度の高い10種類の脆弱性を整理しています。具体的にはそれぞれの指針を3段階で評価し、「悪用のしやすさ」「蔓延度」「検出のしやすさ」の平均を求め、その数値と「技術面への影響」の数値の積を求めたものを総得点としています。『OWASP Top 10』は2~3年に1回更新されており、2020年現在の最新版は2017年に発表された「OWASP Top 10 2017」となります。「OWASP Top 10 2017」は、アプリケーションセキュリティの専門企業から寄せられた40以上のデータと、500人以上の個人による業界調査に基づいており、数百の組織の10万以上に上る実際のアプリケーションおよびAPIから集められた脆弱性データをもとにしています。

OWASP 2017で挙げられているTop 10の脅威は次の通りです。

  • A1:2017:インジェクション
  • A2:2017:認証の不備
  • A3:2017:機微な情報の露出
  • A4:2017:XML外部エンティティ参照(XXE)
  • A5:2017:アクセス制御の不備
  • A6:2017:不適切なセキュリティ設定
  • A7:2017:クロスサイト・スクリプティング(XSS)
  • A8:2017:安全でないデシリアライゼーション
  • A9:2017:既知の脆弱性のあるコンポーネントの使用
  • A10:2017:不十分なロギングとモニタリング


引用:OWASP

上記は「OWASP Top 10 2013」と「OWASP Top 10 2017」のリストです。OWASP 2017で取り上げられた問題点のほとんどが2013でも見られ、その内容もまた酷似しています。これは WebアプリケーションのセキュリティがWebの進歩にまだ十分追いついていないことを示しています。次項ではTop 10の脅威について、1つずつ解説します。

 

OWASP 2017の10大脅威

A1: インジェクション

インジェクション攻撃(Injection Attack)とはソフトウェアへの攻撃手法の一つで、外部から文字列の入力を受け付けるプログラムに対し開発者の想定外の不正な文字列を与え、システムを乗っ取ったりデータの改ざんを行ったりする手法です。インジェクションは「悪用のしやすさ」が最高の3、「蔓延度」が2となっていて、依然警戒すべき脅威のひとつです。最も一般的でよく知られたインジェクション攻撃はSQLインジェクション(SQLi)で、攻撃者がデータベースのテーブルを公開するSQLステートメントを挿入することなどを指します。他にもディレクトリシステムを攻撃するLDAPインジェクション、不正なOSコマンドを送信するOSコマンド・インジェクションなどがあります。OWASPの脅威では1位になっていますが、「検出のしやすさ」としては3の評価で、コードを調べることで簡単に発見できるとレポートされています。

A2: 認証の不備

以前は「認証の不備とセッション管理」と呼ばれていました。認証やセッション管理に関連するアプリケーションの機能は、不適切に実装されていることがあります。不適切な実装により攻撃者はパスワード、鍵、セッショントークンを侵害でき、他の実装上の欠陥を利用して一時的または永続的に他のユーザの認証情報を取得します。強力な認証方式とセッション管理を実装し、ユーザが確実に本人であるかを検証しなければいけません。

A3: 機密データの露出

多くのウェブアプリケーションやAPIは財務情報、健康情報や個人情報といった重要な情報を適切に保護していません。攻撃者はこのように適切に保護されていないデータを窃取または改ざんして、クレジットカード詐欺、個人情報の窃取やその他の犯罪を行う可能性があります。OWASPは機密データについて、保存されているものも一時的なものもすべて暗号化し、できる限り早く廃棄することを強く推奨しています。

A4: XML外部実態参照(XXE)

XMLプロセッサはXMLドキュメントに指定された外部ファイルのコンテンツをロードするように構成されていることがよくあります。この脆弱性は、DoSやディレクトリトラバーサル(パストラバーサル)、SSRF(Server Side Request Forgery / サーバサイドリクエストフォージェリ)、Port Scan(ポートスキャン)といった攻撃にも繋がる脆弱性です。OWASPはXMLプロセッサのこの機能を無効化するよう推奨しています。

A5: アクセス制御の不備

アクセス制御の不備とは、ユーザが自分の権限以上の機能を実行できる場合や他のユーザの情報にアクセスできる場合を意味します。攻撃者はこのタイプの脆弱性を悪用して他のユーザのアカウントへのアクセス、機密ファイルの表示、他のユーザのデータの変更、アクセス権の変更など、権限のない機能やデータにアクセスすることができます。OWASPは機能へのアクセスを信頼したユーザに限定する「deny by default」ルールの徹底、アクセス制御チェックの実装等を推奨しています。

A6: セキュリティ設定のミス

不適切なセキュリティの設定は通常、安全でないデフォルト設定、不完全またはアドホックな設定、公開されたクラウドストレージ、不適切な設定のHTTPヘッダ、機微な情報を含む冗長なエラーメッセージによりもたらされます。すべてのオペレーティングシステム、フレームワーク、ライブラリ、アプリケーションを安全に設定するだけでなく、それらに適切なタイミングでパッチを適用することやアップグレードをすることが求められます。

A7: クロスサイト・スクリプティング(XSS)

クロスサイト・スクリプティングは、Webサイト閲覧者側がWebページを制作できる掲示板やTwitter等の動的サイトに対して、自身が制作した不正なスクリプトを挿入するサイバー攻撃です。攻撃者は信頼性の高いサイト上のページを変更することにより、信頼されていないサイトと通信して重要なデータを公開したり、マルウェアを拡散させたりする可能性があります。

A8: 安全でないデシリアライゼーション

安全でないデシリアライゼーション(Insecure Deserialization)は、リモートからのコード実行を誘発します。デシリアライゼーションの欠陥によるリモートからのコード実行に至らない場合でさえ、リプレイ攻撃やインジェクション攻撃、権限昇格といった攻撃にこの脆弱性を用います。OWASPはデシリアライズするオブジェクトの種類を制限するか信頼されていないオブジェクトを一切デシリアライズしないことを推奨しています。

A9: 機知の脆弱性を持つコンポーネントの使用

ライブラリ、フレームワークやその他ソフトウェアモジュールといったコンポーネントは、アプリケーションと同等の権限で動いています。脆弱性のあるコンポーネントが悪用されると、深刻な情報損失やサーバの乗っ取りにつながります。既知の脆弱性があるコンポーネントを利用しているアプリケーションやAPIは、アプリケーションの防御を損ない、結果的に様々な攻撃や悪影響を受けることになります。

A10: 不十分なロギングと監視

不十分なロギングとモニタリングは、インシデントレスポンスに組み込まれていないか、あるいは非効率なインテグレーションになっている可能性があります。その場合、攻撃者がシステムをさらに攻撃したり、攻撃を継続できたりするようにし、さらには他のシステムにも攻撃範囲を拡げデータを改竄、破棄、破壊することを可能にします。

 

OWASP Top 10の脅威へ対抗するWAF製品

多くの企業ではセキュリティ対策としてファイアウォールを導入しています。しかし、通常のファイアウォールは主にシステム及びネットワークを保護する機能であって、ここに挙げられているようなWebアプリケーションへの攻撃を保護するには限界があります。一般的にはWebアプリケーションファイアウォール(WAF)を導入することでWebアプリケーションに対する攻撃を防ぐことができます。

OWASPが発表した10大脆弱性にすべて対応した「Cloudbric WAF+(クラウドブリック・ワフプラス)」を導入することで、これらの脆弱性に対し対策を講ずることができます。さらに、クラウド型で提供されるため、企業の規模に関係なく簡単に導入することができます。システム及びネットワークを保護するファイアウォールと併せてWAFを導入しWebサーバーを保護することで、二重のセキュリティで昨今の脅威からWebサイトを保護し情報漏えい等の被害を防ぐことが可能です。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

WordPressで作成されたWebサイト、セキュリティ対策は万全ですか?

WordPressで作成されたWebサイト、セキュリティ対策は万全ですか?

Webサイトを作成するために使われているCMS(Contents Management System)ツール。オープンソースCMSといえば、WordPress(ワードプレス)、 Joomla (ジュームラ)、 Drupal (ドルーパル)などが広く使われていますが、世界的に高いシェアを誇っているのがWordPressです。WebサイトにおけるWordPress利用率は30%を超えているという報告もあります。

WordPressは日本でも企業、個人を問わず多く使われています。WordPressが提供するテーマ、プラグイン等、様々な機能を活用すれば誰でも簡単にWebサイトを制作することができます。しかし、誰でも手軽に編集することができるからこそ、セキュリティ問題も付き物になっています。ペンタセキュリティは毎四半期ごとに最新Web脆弱性を分析した結果をまとめたトレンドレポートを公開しておりますが、その結果によると2019年第2四半期から最も多く報告されたのが、WordPressに関する脆弱性ということが分かります。それでは、実際にはWordPressにどのようなセキュリティ問題があるのか、そしてどう対応すればいいのかをご紹介します。

 

セキュリティ問題とその対策

1. WordPressで制作されたといった事実を隠す

WordPressで作成されたWebサイトの場合、普通Webサイト管理者はドメインの後に「wp-admin」 または 「wp-login.php」をつけることでWordPressの管理画面にアクセスすることができます。つまり、ハッカーもドメインに少し手を加えるだけで容易にWordPressの管理画面にアクセスでき、その状況を知ることができるということです。しかし裏を返せば、このような情報を隠すことだけでもセキュリティ面で一定の成果を上げることができるということになります。「Hide My WP Plugin」などのプラグインを使うことで、管理画面のURLやその他「WordPressを利用している」という情報を隠し、簡単に対策をとることができます。

2. 便利なログイン機能はハッカーにも有効。ログインの試行回数を制限する

WordPressは普通のWebサイトと違ってパスワードに有効期限がないため、間違ったパスワードをいくら入力してもログイン機能がロックされません。Webサイト管理者にとっては便利な機能ですが、これはハッカーにも有効で、この脆弱性を狙い、成功するまで無限の数のパスワードで試し続けることができます。これに対応するには、「Limit Login Attempts」などログインの試行回数を制限するプラグインが有効です。

また前述の様に、ドメインの後に「wp-admin」 または 「wp-login.php」をつけることでWordPressの管理画面にアクセスすることができますが、このURLを変えることでけでもハッカーからの無差別攻撃の試しを防ぐことができます。 他にも、Webサイト管理者のアカウント名を変える、特定のディレクトリを閲覧専用に設定する、ディレクトリリスティングを非活性化する等の対策をとることができます。

3. 旧バージョンは弱点が丸見え。常に最新バージョンを使おう

WordPressは他のソフトウェアと同様に定期的なアップデートを実施しています。しかし、使用しているプラグインの互換性などの問題で、アップデートをすぐさま実行するWebサイト管理者はほんの少しにすぎません。ハッカーは、このように新規パッチが発表されたにもかかわらず、旧バージョンを使用しているページを狙います。アップデートは主に旧バージョンの弱点を補完するものであるので、逆に旧バージョンの弱点をさらすものにもなるのです。その為、できる限り迅速なアップデートの適用をおすすめします。

4. Web脆弱性を狙った多数の攻撃。WAFで対応しよう

冒頭で述べたように、WordPressでは多数のWeb脆弱性が発見されており、またそれを狙った攻撃も多発しています。 2020年第1四半期のWeb脆弱性トレンドレポートによると、WordPressのWeb脆弱性を狙った攻撃には以下の3種類がありました。

  • Cross Site Scripting: 特定のWebサイトからブラウザを通じ情報を奪取する攻撃
  • Authentication Bypass: 認証を迂回し、管理者コンソールへ不正アクセスする攻撃
  • CSV Injection: データをCSVファイルに出力するとき、不正な命令語を差し込む攻撃

このようにWeb脆弱性を狙ったサイバー攻撃を防ぐためには、セキュリティ対策を講じる必要があります。特に、WAF(Webアプリケーションファイアウォール)を導入することも一つの有効な対策となります。WAFはWeb脆弱性に対する攻撃に対応するだけではなく、ハッカーがWebサイトにアクセスすること自体を防ぐことができます。つまりWordPressのようなアプリケーション自体に脆弱性が存在する場合も、それによる被害を事前に防ぐことができるということです。

 

最後に

WordPressは業界随一のCMSツールですが、セキュリティ面で問題を抱えていることも事実です。決して「安全ではない」わけではありませんが、Webサイト管理者の不注意によっては脆弱性を抱えることになるでしょう。しかし、簡単な対策をとることでより安全に使用することができます。ご紹介した対策を念頭に置き、安全にWordPressを運用しましょう!

最新Web脆弱性トレンドレポートの情報はこちら

中小企業のためのセキュリティ対策、クラウド型セキュリティサービス

中小企業のためのセキュリティ対策、クラウド型セキュリティサービス

新型コロナウイルスに関する緊急事態宣言が5月末に延長するなど、以違とは違った生活になったり、社会的に混乱な状況が続いています。変わっていく日常だけに目が行きがちですが、こういう時こそセキュリティ対策に気を付けなければいけません。実際、新型コロナウイルスの影響でオンライン教育やWeb会議などが拡大される中、それを狙ったような攻撃も続々発生しています。

オンライン教育に冷や水、ベネッセHD子会社で不正アクセス
ベネッセホールディングス(HD)子会社、Classi(クラッシー)が不正アクセスを受けて情報を流出した可能性があると発表した4月13日、インターネット上のSNSなどには高校生や教員とみられる利用者の不満の声が相次いだ。新型コロナウイルスの感染拡大でオンライン教育が広がる中、利便性の裏側に潜むリスクをあらためて示した。…教員や保護者を含む全利用者約122万人分のユーザーIDと、パスワードを暗号化した文字列、2031人の教員が作成した自己紹介文が流出した可能性がある。…「1人当たり3万3000円」。学校のIT化などに関する調査・研究や情報発信を行う教育ネットワーク情報セキュリティ推進委員会(ISEN)が試算した、生徒の成績情報が流出した場合の損害賠償額だ。
引用:日経ビジネス

このような被害を防ぐためには、セキュリティ対策が必須です。しかしセキュリティ対策となると、大規模な装備を用いて大勢の人が対策する姿を浮かべがちであり、なかなか手が出せないという声が多く聞かれます。そんな方にお勧めするのが、「クラウド型セキュリティサービス」です。

 

クラウド型セキュリティサービスとは

クラウド型セキュリティサービスは、セキュリティ担当者を配置しづらい、もしくは多くの予算を省けない中小企業に適切なセキュリティサービスとして利用されるようになってきました。

クラウド型セキュリティサービスはSaaS型セキュリティサービス、またはSECaaS(Security as a Service、サービスとしてのセキュリテイ)とも呼ばれます。

まず、SaaSとは何かをご紹介しましょう。SaaSとは「Software as a Service」の略で、言葉通り、従来に高価な製品やソフトウェアを導入し利用してきたサービスを、インターネットのクラウド上で簡単に利用できるようにするということです。代表的な例としてはグーグルの「Gmail」等が挙げられます。厳密にはクラウドサービスの中にSaaS等が含まれるという形ですが、同じようなものとして捉えても無理はないでしょう。

つまり、SaaS型セキュリティサービス、すなわちクラウド型セキュリティサービスとは、既存の高度なセキュリティ対策をインターネット経由で利用する形です。SECaaSという言葉通り「セキュリティーをサービスとして受ける」ので機材を導入する必要がなく、使用した分だけ払えるのでリーズナブルな料金で利用できるのが特徴です。クラウド型セキュリティサービスとしてはWebアプリケーションファイアウォール(WAF)、ネットワークセキュリティ、メールのセキュリティ、暗号化等が主に提供されます。

 

クラウド型セキュリティサービスの機能と選び方

Webセキュリティにおいて重要な要素には、Webアプリケーションファイアウォールと暗号化が挙げられます。Webアプリケーションファイアウォール(WAF)とは、ハッカーの攻撃を内部に侵入させぬべくそれを検知し遮断するものです。一方、暗号化はWebサイトのデータが奪取されたとしてもその悪用を防ぐものです。Webサイトの管理者はこれらに関するクラウド型セキュリティサービスを導入することにより、安全なWeb環境を構築できるだけではなくセキュリティへの手間を省くことができるので、一石二鳥の効果を得られると言えるでしょう。

それでは、クラウド型セキュリティサービスを選ぶときにはどのような部分を考慮すべきでしょうか。まず、複数のサービスを導入する場合、相互に互換性が保障されているかを検討しなければいけません。サービス間の衝突が発生した場合、さらなる脅威にさらされる場合があるからです。その他にも、サービスが主なセキュリティ案件に対するログを提供するのか、カスタマーサービスが有効であり信頼できるのかなどを考慮する必要があります。

ペンタセキュリティはクラウド型セキュリティサービスとして、クラウド型WAF(Webアプリケーションファイアウォール)であるクラウドブリック(Cloudbric)を提供しております。Webサイト防衛機能だけではなく、暗号化のためのSSL証明書サービスなど多様な機能と信頼性を併せ持っております。ぜひ、導入をご検討ください。

サイバーセキュリティ対策促進助成金申請ガイド

最大1500万円!サイバーセキュリティ対策促進助成金申請ガイド

新型コロナウイルスに対する緊急事態宣言が全国に拡大されるなど、混乱した日々が続いています。新型コロナウイルスの感染拡大を受け、多くの企業が自宅勤務に切り替えテレワークを実施するケースも増え続けています。以前より強力な全社的サイバーセキュリティ対策が求められている一方で、企業のIT資産の保護は手薄な状態になってセキュリティリスクは高まっているのが実態です。但し、小規模事業者を含む中小企業にとっては、セキュリティの必要性を認識しても導入するまでのハードル(時間や費用等のコストの負担)は高いものです。このハードルを越えるには、国や自治体などで提供する助成金制度を利用することも一つの方法です。今回は、2020年東京都から提供するサイバーセキュリティ対策促進助成金について紹介していきたいと思います。

 

サイバーセキュリティ対策促進助成金とは

サイバーセキュリティ対策促進助成金はIPA(独立行政法人 情報処理推進機構)が実施する「SECURITY ACTION」の2つ星を宣言している東京都内の中小事業者を対象に企業で管理する企業機密、個人情報などを保護し、あらゆるサイバー攻撃を防止するためのセキュリティ対策や設備(暗号化製品、アクセス管理など)の導入を支援する制度です。

それでは、サイバーセキュリティ対策促進助成金をもらうための必須条件である「SECURITY ACTION」とはいったい何でしょうか。中小企業自らが、情報セキュリティ対策に取り組むことを自己宣言する制度で、企業の自発的なセキュリティ対策への取り組みにより、信頼を獲得しセキュリティ対策への持続的な取り組み「SECURITY ACTION 自己宣言者サイト」より申請できます。サイバーセキュリティ対策促進助成金の申請対象は段階目の「★★二つ星」を宣言している中小事業者や中小企業団体が対象となるため、先に手続きを行う必要があります。IPAによりますと「2つ星」を宣言するには、「情報セキュリティ5か条」「5分でできる!情報セキュリティ自社診断」で自社のセキュリティ状況を把握したうえで、情報セキュリティ基本方針を定め、申請するとSECURITY ACTIONロゴマークを使用することができます。2つ星の宣言には情報セキュリティ基本方針を策定し、公開している状態になったうえで、IPAへ申請する必要があります。

 

サイバーセキュリティ促進助成金の申請要件

サイバーセキュリティ対策促進助成金を申請すると、中小企業者を対象にサイバーセキュリティ対策を実践するために必要な設備やサービスの導入にかかる経費の一部を支給されます。助成金は最大1500万円、 助成対象経費の1/2以内となります。申請基準や申請手続きについて詳しく見てみましょう。

助成金対象事業者

東京都お内中小企業者、中小企業団体、個人事業主が助成金の対象事業者となり、特定非営利活動法人、財団法人、学校法人、宗教法人、社会福祉法人、医療法人及び政治・刑事団体は対象外になります。

助成金支援対象機器

中小企業のサイバーセキュリティ対策に必要な物品・設備購入費、メール 訓練委託費、クラウドサービス利用料などを対象に経費が支給されます。助成金支援対象機器は以下の項目となります。

(1)統合型アプライアンス(UTM等)
(2)ネットワーク脅威対策製品(FW、VPN、不正侵入検知システム等)
(3)コンテンツセキュリティ対策製品(ウィルス対策、スパム対策等)
(4)アクセス管理製品(シングル・サイン・オン、本人認証等)
(5)システムセキュリティ管理製品(アクセスログ管理等)
(6)暗号化製品(ファイルの暗号化等)
(7)サーバー(最新のOS搭載セキュリティ対策が施されたものに限る)
(8)標的型メール訓練

Webサイトを守るWAF(Webアプリケーション・ファイアウォール)は、助成金の対象になるのか?と問い合わせが多く寄せられます。助成金支援対象機器として上記には言及されてはいませんが、 端的に対象となりますので、新型コロナウイルスでテレワークが多く実施されている中、Webにつながっている企業様のITシステムを保護するためにぜひチェックしてみてください。

当社ではクラウド型WAFサービスのクラウドブリック(Cloudbric)を提供しております。ハードウェアを購入し、ネットワークを設計し、導入スケジュールを立てる等の手間は必要ありません。DNS情報を置き換えて、アクセスの向き先をCloudbricへ変更して頂くだけで、導入し利用できます。Cloudbricは、サイバー攻撃を遮断するWAFサービスに加え、DDos対策とSSL証明書まで同時に利用できる優れもので、日本、韓国、米国にて特許取得済みの論理演算型解析エンジンを搭載しているため、そのセキュリティは、証明されています。最も推奨するポイントは、セキュリティの運用・管理を専門家にお任せできることです。各企業では提供されるユーザインターフェースにアクセスし、セキュリティ運用状況を確認するだけです。

 

申請スケジュール


2020年の第2期サイバーセキュリティ対策促進助成金の申請受付は518日(月)~25日(月)となります。助成金予算の執行状況により新規受付を早期終了する場合があります。また、申請には事前予約が必要なため、早めの申請をお勧めします。

 

あらゆるサイバー攻撃を遮断する「クラウドブリック」

当社はクラウド型WAFサービスのクラウドブリック(Cloudbric)を提供しております。DNS変更だけで簡単に導入できるクラウド型サービスで、どのプランであっても同じレベルで高精度のエンタープライズセキュリティを提供するため、企業規模に関わらず安心してWebサイトを保護することができます。それでは、クラウドブリックが中小企業者に選ばれる理由について説明したいと思います。

  • 特許取得済みのロジックベース検知エンジンを搭載

クラウドブリックは中小企業者のセキュリティレベルを画期的に向上させることができます。日本・韓国・米国にて特許取得済みの独自開発のロジックベース検知エンジン(COCEP)を搭載し、あらゆるサイバー攻撃に対しロジカルに分析・即遮断を行います。シグネチャー基盤のWAFと違いシグネチャーの更新が不要なため、新種・亜種の攻撃に対応できる高精度のセキュリティを提供します。また、Cyber Defense Magazine Infosec Awards 2019の「Hot Company Website Security」に選ばれるなど、数々の海外受賞歴を保有しており、世界で評判のクラウド型WAFです。

  • 企業別に独立したWAFサービス環境を構築

クラウドブリックは他社と共有せず、企業単位で完全に独立したWAFサービス環境を構築、提供します。企業の状況に合わせてカスタマイズされたセキュリティ運用ポリシーを策定することができるため、より安全な環境で、セキュリティ対策を実施することができます。

  • WAFサービス+DDoS対策+SSL証明書を基本提供

クラウドブリックはWAFサービスに加え、DDoS対策及びSSL証明書を提供し、企業の高セキュリティを実現できるよう手助けします。日々巧妙化かつ高度化が進むDDoS攻撃に対し、L3・L4だけでなく、アプリケーション対象(L7)攻撃にまで対応ます。さらに、WebサイトとWebサーバー間で通信データを暗号化するためのSSL証明書サービスを無料で発行でき、常時SSL化によるWebサイトの安全を確保できます。中小企業にとってリーズナブルな価格でより良いサービスを利用できるということになります。

  • Webサイトの状況を一目で確認できるユーザインタフェース提供

クラウドブリックはWebサイトへの攻撃を可視化し、一目でわかるような直観的なダッシュボードを提供します。攻撃数、閲覧数、不正アクセス件数、IPアドレス情報、攻撃回数など、誰が、いつ、どこから、どのような目的で攻撃したかというWebサイトセキュリティ状況をリアルタイムに把握できます。また、月次単位で提供されるレポートを通じて自社のWebサイト情報をより詳しく分析することも可能です。

クラウドブリックの直観的なユーザインターフェースに関する資料はこちらからダウンロードできます。
クラウドブリック・ユーザインターフェース紹介

今回紹介したサイバーセキュリティ対策促進助成金などを利用して、ビジネスを守るWebセキュリティ対策の第一歩を踏み出してみてはいかがでしょうか。セキュリティ対策への悩み、不安を抱えている中小企業の担当者をしっかりとサポートしていきますので、この機会に、ぜひ当社のクラウド型WAF「クラウドブリック」もご検討していただけたらと思います。

サイバーセキュリティ対策促進助成金に関する詳しい情報は中小企業における危機管理対策促進事業「サイバーセキュリティ促進助成金【募集要項】」をご参照ください。

出典:東京都中小記号振興公社「令和2年度サイバーセキュリティ対策促進助成金申請案内」

Webサイト最適化:表示速度とセキュリティを両立する5つのコツ

Webサイト最適化:表示速度とセキュリティを両立する5つのコツ

Webサイト運営はもはやビジネスにおいて欠かせないものとなってきました。最近は、HTMLやCSSといった専門的な知識がなくても、様々なCMS(Contents Management System、コンテンツ・マネジメント・システム)ツールを利用することで、誰でも簡単にWebサイトを構築できます。潜在顧客を発掘するチャンスを無駄にしないためには、Webサイトを作る際に「Webサイトの表示速度」と「セキュリティ」の両立を考慮することが重要です。これらはSEO的にもGoogleの検索順位を上げる重大な要因となります。本日はWebサイトの表示速度とセキュリティを両立できる5つの方法について説明していきたいと思います。

 

1.画像及びメディアファイルの最適化

Webページを構成するデータの中で最もデータ量が多いのが画像データです。http archiveによると、動画はWebページの重さの平均25%を占めています。画像サイズが大きいほどWebページの表示速度が遅くなるため、Web用に画像最適化を行うことが重要です。Webサイト速度の改善につながる画像及びメディアファイル最適化方法について説明します。

  1. 画像を保存する形式としてよく使われるのは「JPG」と「PNG」です。それぞれ特徴はありますが、一般的にPNGよりJPGの方が軽量なので、なるべくJPGで保存するのがおすすめです。
  2. GIFは容量が大きいため、ページロードに時間がかかります。形式を変更し容量を小さくするか、または控えた方がいいでしょう。
  3. HTML上で画像の直接横幅と縦幅を設定するより、画像をWeb用のサイズに変更してから保存した方がWebサイトの最適化に役立ちます。
  4. 画像や動画などをサーバに直接保存するより、YoutubeやSlideshareといった共有サイトにアップロードし、コンテンツシェア機能を活用することもおすすめです。

 

2.専用ホスティングを利用する

Webサイトオンライン上で公開するために使われる「ホスティングサービス」。ホスティングの種類には複数のユーザが1つのサーバを共同で利用する「共有ホスティング」、1ユーザーで1つのサーバを専有している「専用ホスティング」があります。共有ホスティングは専用ホスティングに比べ、運用コストが低いかもしれませんが、予想外の費用が掛かる可能性もあります。その費用とは潜在顧客を獲得するのにかかる費用のことを言います。

同じサーバー内の他のユーザの利用量が増え高負荷状態になったり、多数のアクセスが発生するサイトが存在すると、別のユーザまで速度低下になってしまう場合があります。

潜在顧客の多くがWebサイトを通じて資料調査などを行うといった調査結果もありますので、サーバーに障害が発生することは潜在顧客を失うことと言っても過言ではありません。専用ホスティングを利用することでこのような問題を防げます。

 

3.Webサイトを常時SSL化する

SSL(Secure Sockets Layer)とは インターネット上でのセキュア通信のための通信プロトコルのことです。常時SSL未対応のWebサイトの場合「http://」から始まり、SSL化されたWebサイトはSecure(セキュア)を意味する「S」が加わり、「https://」から始まります。HTTPSが通信速度が低下させるといった話がありましたが、それは昔の話で、「HTTP/2」という通信方法に高速化になってきています。これは、Webページのデータをサーバーから取得するための技術で、容量の大きなデータやWebページを速やかに表示させます。

 

4.CDNを使用する

CDN(Content Delivery Network、コンテンツデリバリネットワーク)とはWebコンテンツをインターネット経由で配信するために最適化されたネットワークのことを言います。CDNを使用することによってサーバーが不安定になる可能性が減るため、速度を改善することができます。CDNはユーザに最も近い所にあるキャッシュサーバーからデータを配信する仕組みで、データのダウンロードが安定され、Webページの表示速度が速くなります。さらに、CDNはサイバー攻撃、特にDDoS攻撃からWebサイトを守るセキュリティ対策にもなります。

5.WAF(Webアプリケーションファイアウォール)を利用する

限られた予算で専用ホスティングを利用することが不可能であれば、WAFを導入することで速度とセキュリティを両立できます。一般的にWAF導入はWebサイトを安全に保護するセキュリティ対策として考えられていますが、どのように速度を上げることができるのでしょうか。スパムボット(Spambot)と悪意のある攻撃をフィルタリングしないとWebサイトのサーバーリソースが過度に消費され、Webサイトの全般的な速度とパフォーマンスの低下につながります。しかし、WAFを導入すると確認されたトラフィックのみ通過させ、セキュリティと速度の両立が実現できるということです。

Webサイトのパフォーマンスとセキュリティがお客様の信頼を得ることにつながります。Webサイトを構築する際にはWebサイトの表示速度とセキュリティを考慮したうえで適した最適化方法を選ぶ必要があります。画像の最適化、専用ホスティングの利用、常時SSL化、CDNの使用、WAF導入に至るまで、様々なWebサイト最適化方法を適用していきましょう。

不正アクセス

不正アクセスのターゲットの約9割は一般企業!被害事例と有効な対策について

不正アクセスとは、本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。その結果、サーバや情報システムが停止してしまったり、重要情報が漏えいしてしまったりと、企業や組織の業務やブランド・イメージなどに大きな影響を及ぼします。インターネットは世界中とつながっているため、不正アクセスは世界中のどこからでも行われる可能性があります。 今回は深刻な不正アクセス被害についてのレポートと、その対策についてまとめてみました。

 

不正アクセスによる被害とは

  • 情報の流出

不正アクセスされると、企業が管理している外部に漏えいしてはいけない機密データや個人情報などが流出します。個人だけでなくアカウントが保持している他人の機密データの内容までもが流出する危険があります。その結果、通販サイト等のアカウントに不正アクセスされることでクレジットカード情報等が流出してしまい、商品を勝手に購入されたり、ポイントが不正に使用されてしまうといった被害が起こります。金融系のサービスでは、正規ユーザーのIDやパスワードなどを入手した第三者が勝手にログインし、不正に送金を行うなど、ユーザーの預金が消失するケースもあります。

  • ウェブサイトやファイルの改ざん

攻撃者は、インターネットを通じて企業や組織のサーバや情報システムに侵入を試みます。手口としては、ツールを用いてアカウント情報を窃取するための総当たり攻撃を行ったり、OSやソフトウェアの脆弱性、設定の不備など利用して攻撃することが知られています。

攻撃者は侵入に成功すると、その中にあるホームページの内容を書き換えたり、保存されている顧客情報や機密情報を窃取したり、重要なファイルを消去したりすることもあります。 ホームページの書き換えは、いたずらでまったく関係ない画像を掲載するものから、最近はホームページにあるリンクやファイルの参照先を不正に書き換え、接続してきた利用者をウイルスに感染させたり、パソコンから情報を盗み取ったりするものが増えています。ホームページが書き換えの被害を受けるということは、その企業や組織のセキュリティ対策が不十分であることを示すことになり、社会に対するイメージ低下は避けられません。

  • 他のシステムへの攻撃の踏み台にされる

不正アクセスによって侵入されたシステムは、攻撃者がその後いつでもアクセスできるように、バックドアと呼ばれる裏口を作られてしまうことが知られています。攻撃者は、そのシステムを踏み台として、さらに組織の内部に侵入しようとしたり、そのシステムからインターネットを通じて外部の他の組織を攻撃したりすることもあります。

この場合に多く見られる例は、攻撃者によってボット ウイルスを送り込まれ、自分がボットネットの一員となってしまうというものです。ボットネットとは、攻撃者によって制御を奪われたコンピュータの集まりで、数千~数十万というネットワークから構成されていることもあります。攻撃者はボットに一斉に指令を送り、外部の他の組織に対して大規模なDDoS攻撃を行ったり、スパムメールを送信したりすることもあります。

 

後をたたないWebサイトへの不正アクセス被害事例

象印から個人情報漏洩 フィッシング被害も – 日経XTECH 2020年1月23日

象印マホービンのグループ会社が運営する通販サイト「象印でショッピング」が不正アクセスを受け、最大28万件の個人情報が漏洩した。個人情報には、名前や住所、メールアドレスが含まれていたが、クレジットカード情報は含まれていなかった。システムの脆弱性を悪用されたとしている

漏洩した個人情報を使ったとみられるフィッシング被害も発生した。偽の当選通知が被害者に届き、そこには当選した金券の送料を負担してほしいと書かれていた。この送料の支払い画面にクレジットカード情報を入力させる手口だった。支払い画面には、同サイトのWebページを改ざんしたものが使われた。

出典:https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/012000011/

JR東の「えきねっとアプリ」 3729人が不正ログイン被害  – 日本経済新聞 2020年3月3日

JR東日本は3日、在来線の指定席列車の予約や購入がチケットレスでできるスマートフォンアプリの「えきねっとアプリ」で不正ログインの被害があったと発表した。2日の午後5時30分ごろから3日の午後0時37分までの間に3729人のえきねっと会員が不正ログインされた。
不正ログインのあった期間中に、13人分の氏名や住所、電話番号や下4ケタのクレジットカード番号の閲覧があった。13人のうち、自身で会員情報を見ていた利用者もおり、不正ログインによる閲覧があったかどうかは調査中という。JR東は不正ログインのあった3729人分のパスワードを強制的に変更して通知したほか、セキュリティー対策を強化した。

出典:https://www.nikkei.com/article/DGXMZO56358570T00C20A3TJC000/

「宅ふぁいる便」不正アクセスで480万件のユーザー情報流出 メアド・パスワードも – Tmedia NEWS 2019年1月26日

大容量ファイル送信サービス「宅ふぁいる便」を運営するオージス総研は1月26日、同サービスの一部サーバが不正アクセスを受け、約480万件の顧客情報が流出したことを確認したと発表した。流出した情報には、メールアドレスやログインパスワードなどが含まれているという。23日からサービスを一時停止しており、再開のめどは立っていない。

出典:https://www.itmedia.co.jp/news/articles/1901/26/news015.html

宅ふぁいる便は不正アクセス事件以降サービスを休止して、再発防止を含めた対策を1年ほど検討していましたが、結局2020年3月31日をもって、サービスの終了を決定しました。理由としては、サービス再開には相当程度のシステムの再構築が必要であり、再構築に要する時間・費用等を踏まえ総合的に判断した結果、サービスを終了せざるえないとの判断になったと公式ページで説明しています。

このような不正アクセスの事例は後をたちません。 情報処理推進機構(IPA)が毎年発表している『情報セキュリティ10大脅威 2019』でも、組織に対する脅威の7位に「インターネットサービスからの個人情報の窃取」がランクインしています。インターネットサービスの脆弱性が悪用され、インターネットサービス内に登録されている個人情報やクレジットカード情報等の重要な情報を窃取される被害が発生しています。攻撃者は窃取した情報を悪用して不審なメールを送信したり、クレジットカードを不正利用したりします。

一度不正アクセスされクリティカルな情報漏えいが発生してしまうと、その為の対策費用や賠償が重くのしかかって、最悪宅ふぁいる便のようにサービスの停止や終了につながります。

 

Webサイトへの不正アクセスを防ぐには?

総務省は過去5年間の「不正アクセス行為の発生状況」において、平成30年における不正アクセス行為の認知件数注1は1,486件であり前年から284件上昇したと報告しています。このうちターゲットとなったのは一般企業が1,314件でほとんどの不正アクセスが企業であることを示しています。企業において、不正アクセスによる被害を回避するには一般的に次のような対策をとることがすすめられています。

  • セキュリティソフトやファイアウォールを活用する
  • OSやソフトを最新の状態にアップデートする
  • 社内のモバイル機器の管理を徹底する
  • 社内無線LANルーターのセキュリティを高める

セキュリティソフトやファイヤーウォールを導入している企業は多いと思いますが、それでも毎年被害が減ることはありません。一般的なファイヤーウォールは外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品や機能のことを言います。ポート番号、IPアドレス、プロトコル、通信方向を制御するルールに基づいて通信の許可/拒否を判断します。しかし通常のファイヤーウォールは「通信の中身」まで識別することはできません。

一方でWAF(ウェブアプリケーションファイアウォール)はHTTPプロトコルでやり取りされる要求行や要求ヘッダ、要求本文(パラメータの名前、パラメータの値)などを検査することで、SQLインジェクションなどのウェブアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するという役割を果たします。以前はコストも高かったり、運用が難しい等の理由で導入を見送る企業も多かったですが、現在はホスト型、ゲートウェイ型の他クラウド型のWAFも登場し、専門知識がなくても簡単に運用できる製品が出ています。クラウド型は専用ハードウェアを用意する必要や、物理的なネットワーク構成を変更する必要がなく、WAF運用をベンダーに任せられるのがメリットです。

サイバー攻撃の手法は多様化し、従来の技術だけでは防御することが難しくなってきています。サイバー攻撃に特化したWAFを導入し、高度な防御体制を構築していくことをお勧めします。

mobile console

クラウド型WAF「クラウドブリック」はなぜ多くの企業から選ばれているのか

Webサイトへの攻撃が年々増加していく中で、攻撃手法は日々高度化・巧妙化が進み、その脅威は今後とも拡大していくと予測されています。 最近では、多くの企業が大事な資産を保護するためにWebアプリケーションファイアウォール(WAF)を導入しています。中でも、クラウド型WAF「クラウドブリック(Cloudbric)」は現在大手金融機関からスタートアップ企業まで、幅広く様々な業界の企業様にご利用いただいております。それでは、クラウドブリックが 国内の多くの企業から選ばれている理由について説明していきたいと思います。

 

クラウドブリックはグローバルから認定されています

クラウドブリックは、セキュリティ分野において業歴20年以上の経験を持っているペンタセキュリティのセキュリティエンジンを採用したクラウド型WAFサービスを提供しております。、2014年から5年間の豊富なグローバルクラウドセキュリティサービス経験と運用ノウハウを保有しており、国内だけでなく海外からも高い評価を受けております。セキュリティ分野で権威のあるアワードである SC Magazine Awardsで Best SME Security Solutionに選定されるなど数々の受賞歴を誇ります。

現在、日本のみならず、イギリス、オランダなどヨーロッパ各国、アメリカ、韓国、全世界のユーザ様から高い評価を受けております。18ヵ国、28ヵ所にセキュリティデータセンタを構築・運営し、55ヵ国13,000ユーザ様(企業・個人ユーザ)に安定したサービスを提供しております。また、約70社のグローバルパートナー社とリセラーとの協力によって、安全で信頼できるWebセキュリティを実現しています。

 

クラウドブリックは正確に検知します

第1,2世代WAFの検知エンジンの場合、 既知の攻撃パターンに基づく情報とマッチングすることによって攻撃を検知する「パターンマッチング方式」を採用しています。その場合、新しいパターンの攻撃を受けたら防御できないといったリスクがあります。クラウドブリックに搭載された第3世代のインテリジェント検知エンジンは、高性能のロジックベース検知エンジンとしてパターンマッチング方式よる防御に加え、攻撃手法を把握して検知を行うことにより、新種攻撃からWebサイトを安全に保護することができます。

現在、WAFサービスを提供する企業の多くは、第1、2世代WAF検知エンジンを搭載していますが、クラウドブリックは第3世代のインテリジェント検知エンジンを搭載しております。そのうえ、特許済みの人工知能「VISION」を用いることで、Webサイト別に検知ログを定期的に分析・学習し、検知率、誤検知率、性能面において優位性を確保しています。

下表のパターンDBはPenta-DBに基づき整理したものです。Penta-DBはペンタセキュリティシステムによって作成されたパターンで、Exploit-DBに公開されたWeb脆弱性項目をもとに作成されたレポートです。脆弱性は8種類に分けられており、OWASP2017の脆弱性の他、Webハッキングにつながる致命的な項目を基準に作成されました。

下表からもわかる通り、類似他社サービスと比べてみた結果、検知率は高く、未検知率と誤検知率は極めて低いことが分かります。

[検知]

[未検知]

[誤検知]

*攻撃パターン:ウェブ脆弱性を狙った攻撃パターン。検知及び未検知を判断する基準となります。
*被攻撃パターン:誤検知を判断するパターン。誤検知と検知を判別する基準となります。

 

クラウドブリックは高ユーザビリティを提供します。

ダッシュボード

月次単位のレポート

サイバー攻撃に対し、専門家でなくても一目でわかるように、直観的なユーザインタフェースを提供致します。クラウドブリックのダッシュボードを通じてWebサイト訪問者数、ページビュー、攻撃者数、攻撃件数などの基本的な情報に加えて、国別攻撃現況、攻撃者のIPアドレス、攻撃の種類、攻撃URLなどを確認できます。すべての結果を詳細は月次単位のレポートと詳細レポートで出力できます。また、ダッシュボード上でホワイトリスト・ブラックリストを直接指定することも可能です。

管理コンソール モバイル アプリ

尚、モバイルコンソールアプリケーションを通じて、いつ、どこでも攻撃及び防御現況についての詳しい情報を確認できます。
様々な企業顧客によりクラウドブリックが選ばれた理由についてお届けしました。クラウドブリックはこれからも良いサービスでユーザ様のご期待に応えられるよう努力いたします。

クラウドブリックに関するご質問やご要望がございましたら、お気軽にお問い合わせください。

blog_Introduction

Cloudbric(クラウドブリック)の主要機能をご紹介いたします!

ご紹介ㅣCloudbric WAFの主要機能


企業のセキュリティ関連予算が毎年増加している中、どのようなセキュリティ対策を立てていますか?

過去には攻撃履歴のあるIPアドレスからのアクセスを遮断したり知られている攻撃パターンと比較して遮断したりする方法でWebサイトを保護しましたが、もうこの方法ではWebサイトを安全に保護出来なくなりました。

新種の攻撃を検知出来なかったり悪意の無いアクセスも遮断してしまったりする事が多くなっている為です。

このような問題を解決してWebサイトを保護してくれるCloudbric(クラウドブリック)WAFの主要機能についてご紹介致します。
安全なWeb環境を作る為にはどういったセキュリティ対策が必要であるかご確認ください。

紹介

– Web攻撃遮断サービス

「ロジックベース検知エンジン搭載」

クラウドブリックはより安全なWebセキュリティサービスを提供する為、既存WAF市場の検知技術とは異なる「ロジックベース検知エンジン」を搭載しています。ロジック分析を通じた検知技術で、攻撃真偽まで把握して誤検知率が低く、今までなかったWeb攻撃パターンを正確に検知して遮断出来ます。また、データの意味を論理的に分析するので誤検知も少ないです。

「OWASP主要脆弱性Top10に対応」

クラウドブリックのWAFは、OWASPが発表した主要脆弱性Top10に全て対応出来ます。
ロジックベース検知エンジンの26種の検知ルールを基盤に多様なWebサイトの脆弱性を補完してWeb攻撃を防御出来て有害なトラフィックを正確に区分して遮断しています。

 

– DDoS防御

「DDoS攻撃の定義」

DDoSはハッカーがウィルスに感染させて操る多数のゾンビPCが一斉にWebサーバに負荷をかける攻撃です。以前はトラフィックを発生させてネットワークをフリーズさせる攻撃が流行っていましたが、最近はアプリケーションの脆弱性を悪用してWebサーバを直接攻撃する場合が増加しています。

このような攻撃は、Webサーバの全ての情報が消えたり流出したりする致命的な結果を用いることがあります。

「多様なDDoS攻撃を防御」

クラウドブリックのWAFはWebアプリケーションの脆弱性を悪用した全ての非正常的なアクセスを迅速でスマートに検知/遮断します。最も多いDDoS攻撃から最新トレンドであるマルチバクタ攻撃(Slowloris, RUDYなど)まで、全範囲のDDoS攻撃からWebサイトを保護します。また、ネットワーク拡張を通じてネットワークフリーズを防ぎます。

ddos

– 無料SSL

「SSL証明書」

SSL(Secure Socket Layer)はWebサイトユーザとWebサーバ間の通信を暗号化する為にWebサーバに保存する証明書です。
SSLを使用せずにHTTP通信を行ったら、ユーザとWebサーバ間の通信が第三者に露出する可能性があります。
ユーザの大事な情報を保護する為には、SSLでWebサイトの全ての通信を暗号化しなければいけません。

「無料SSL提供」

クラウドブリックはIDソリューション分野においてグローバルリーダであるIden Trustから認証されたLet’s Encrypt証明書を無料提供しています。

また、Webサイトの有効性を証明して発行した証明書をWebサーバに保存する手間を無くす為、ユーザがサービス登録さえ完了すれば追加作業が必要ない自動SSLを使用出来るようにして利便性を高めました。


現在行っているセキュリティ対策に足りない部分はありませんか?
クラウドブリックのサービスを利用すれば、簡単・迅速に強力なWebセキュリティを導入して顧客からより信頼される企業になります。
もっと詳しい情報を知りたい方はクラウドブリックのホームページを参照もしくはお問合せメニューを利用してご連絡をお願い致します。