ペンタ×ディーネット

ディーネットとパートナーシップ契約を締結

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、AWS WAFに特化した運用サービス「Cloudbric WMS(クラウドブリック・ダブリューエムエス)」において、株式会社ディーネット(代表取締役社長:髙橋 一男、本社:東京/大阪 二本社制、以下ディーネット)とパートナーシップ契約を締結したことをお知らせします。

ペンタ×ディーネット

 

近年、企業のみならず日本社会全体でDX(デジタルトランスフォーメーション:デジタル変革)が推進されています。中でも「クラウド化」は欠かせないもので、多くの企業がシステムをクラウドに移行する動きが加速しています。Amazonが提供するAWS(Amazon Web Services)は、グローバルにおけるクラウドインフラ市場で32%のシェアを占める*クラウドサービスで、クラウドブリックではAWS WAFに特化したサービスである「Cloudbric WMS」を展開しています。このサービスは、特許取得の高度な技術とサポート体制を備えており、AWS WAF利用の際に専門知識やリソースがない企業では運用が難しいという課題を解決できることから、今後もサービスの拡充および販路の拡大を目指しております。

ディーネットは、AWSをはじめとするパブリッククラウドの導入および運用保守、リセールサービスを提供しています。移行を含めた一気通貫の対応はもちろん、導入のみ、既存環境の運用保守のみの対応も可能です。レンタルサーバーやホスティング、クラウドの導入や運用経験から得た細やかなサポートの提供を強みとしています。

AWS WAF向けのマネージドルールは様々なものが公開されていますが、日々の運用(誤検知した場合の工数、固有の脆弱性への対応の難しさ)における負荷や、ルールの細かい内容の確認や修正ができないという課題があります。Cloudbric WMSはこういった課題を解消し、セキュリティレベルを高めつつWAFの自動運用が行えることから、今回のパートナーシップ契約締結に至りました。

このパートナーシップ契約を通じて、両社は今後多くの企業のサイバーセキュリティ対策の向上に貢献していきたいと考えております。

*Canalys 「Worldwide cloud infrastructure services spend, Q1 2023」 https://www.canalys.com/newsroom/global-cloud-services-q1-2023

ペンタ×再春館システム

ペンタセキュリティ、再春館システムとパートナーシップ契約を締結

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、クラウド型セキュリティプラットフォームサービス「Cloudbric(クラウドブリック)」において、再春館システム株式会社(代表取締役社長:西川 正明、本社:東京都港区、以下再春館システム)とパートナーシップ契約を締結したことをお知らせします。

ペンタ×再春館システム

 

サイバー攻撃による被害件数および被害額は増加の一途をたどっています。ペンタセキュリティは、これまで企業の情報セキュリティ対策を支援するためのさまざまなサービスを提供しており、サイバー攻撃から企業のWebサイトおよびWebアプリケーションを防御できるWAF(Web Application Firewall)の必要性も年々高まっています。特にクラウドブリックのクラウド型WAFサービス「Cloudbric WAF+」は、サイバー脅威から自社を守るのに非常に効果的な対策のひとつです。

連日のように不正アクセス、DDoS攻撃等のサイバー攻撃により、企業が大きな被害に遭うケースがニュースで報道される一方、多くの中小企業は適切なセキュリティサービスを導入するための資金不足やセキュリティ人材不足問題等、企業情報を守るための課題も存在しています。再春館システムの強みであるEC、CRMの開発は、顧客情報やお客様の属性情報等、非常にセンシティブな情報を扱うことが多く、セキュリティ対策は必須事項のひとつです。

今回の販売代理店の契約締結を通じて、両社はWebセキュリティに対して中小企業が抱えている課題や多様なニーズに応えることができるように連携していきます。再春館システムの強みであるEC、CRMを中心としたシステム開発力を活用し、「Cloudbric WAF+」の販路確保と共に顧客別にカスタマイズされたWebセキュリティサービスを手軽に導入することが可能になります。

株式会社SIG

株式会社SIG

 

株式会社SIG

株式会社SIGは独立系IT企業として、様々な分野及び業種における情報システムや産業制御システムのようなシステム開発事業等に取り組んでいます。また、それらを支えるITインフラソリューション及びセキュリティなど幅広い分野でサービスを提供しています。

Cloudbric WAF+」の導入を検討したきっかけを教えてください。

Webサイトの構築や運営する方であれば、「WAF」という言葉を耳にしたことがあると思います。長引くコロナ禍で当社が運営するコーポレートサイトへのアクセスやお問い合わせが増加する中、Webサイトセキュリティの必要性を感じたこともあり、セキュリティ強化策として情報漏えいや脆弱性への対策としてWebアプリケーションレベルでのセキュリティ対策を最初にしておくべきだという意見も多く、WAFの導入を決定しました。

様々な選択肢がありましたが、他社と比べて費用が安く且つ性能の優れたWAFとして評価されている「Cloudbric WAF+」を導入することになりました。無償トライアル期間中においても、実際の運用環境を想定して自社環境に合ったセキュリティ対策で運用してみることができましたし、非常に使いやすかったので、そのまま実導入に至りました。

Cloudbric WAF+」選定時、最も重視されたポイントを教えてください。

導入のハードルが低く、必要な機能を必要な分だけ利用できるところが最も気に入りました。どれだけ多くの機能を搭載しているかも重要かもしれませんが、自分が考える「良いWAF」とは、新種や亜種の脆弱性をどれだけ精度高く検出できるかが左右すると思います。そういうところでいうと、「Cloudbric WAF+」を導入したのは最善の選択だったのではないかと思います。独自の「論理演算検知エンジン」を搭載して高い検知率を維持しながらも、Webサイトのトラフィック特性を学習する「特性学習AIエンジン」を用いて、最新の脆弱性にもいち早く対応できるということで、安心して任せることができました。

あとは費用面です。基本提供される機能だけでも十分で、追加費用を支払わなくともSSL証明書サービスなど様々なWebセキュリティ機能を利用できるので、無駄な支出を省くことができました。そして当社の場合、小規模のコーポレートサイトへのWAF導入であったため、プランによって受けられるサービスが異なるのではないかと多少心配な面もありました。しかし、利用プランに関係なく同じレベルの高いセキュリティを提供してもらえ、コストパフォーマンスの面で非常に満足しています。

Cloudbric WAF+」を利用した感想をお聞かせください。

よく考えてみると、個人情報や顧客情報、決済情報などを取り扱うサイトに対しては、Webアプリケーションの脆弱性対策としてWAFの導入が確かに効果的です。しかし、コーポレートサイトの場合、セキュリティ対策が比較的甘いケースが多く見受けられます。会員情報を扱っているわけでもないし、情報漏えいは心配ないということと、ECサイトや会員制サイトと比べてそんなに攻撃されることもないという認識がありますが、実際はそういうわけでもありません。Web改ざんであったり、お問い合わせフォームを利用した攻撃を行うなど様々なパターンで攻撃を仕掛けてくるため、コーポレートサイトに対しても細心の注意を払う必要があります。「Cloudbric WAF+」導入したことによって、当社サイトがこんなに攻撃を受けているという注意喚起にも非常に役立っていると思います。

Cloudbric WAF+」の導入後、効果はございましたか。

検知モードの際に、当社WebサイトにアクセスしたIPアドレス情報を共有して頂きましたが、その中から2つのIPアドレスによる大量のアクセスが確認されたことが分かりました。すぐに例外処理をして大きな問題にはなりませんでしたが、今まではこのような攻撃を受けているという意識がなかったため、正直攻撃が収まったということを実感しているわけではありません。しかし、セキュリティへの意識を高めるきっかけになったと思いますし、「Cloudbric WAF+」で明確に遮断されているという安心感もあります。

Cloudbric WAF+」を使用した際、最も気に入った機能を教えていただけますか。

セキュリティに詳しくない人にとっても、WAFを使ったことがない人にとっても、非常にシンプルで見やすく操作もしやすいところです。視覚的に飛び込んでくるダッシュボードなので、ダッシュボードにアクセスすると「Cloudbric WAF+」で実際にブロックした攻撃回数がグラフで表示され、発信国情報や攻撃目的なども一目で分かるようになっています。また、ボタンを押すだけで簡単にIPアドレスを遮断できるなど操作も簡単に行えて便利でした。

また、海外製のサービスではありますが、サポート対応がしっかりしているのもメリットだと思います。WAFの設定変更についてメールでお問い合わせしたところ、迅速且つ丁寧な対応をして頂きました。

最後に一言お願い致します。

企業インフラのクラウド化により、今まで以上にクラウド型WAFのニーズが高まると思います。数え切れないほどたくさんのWAF製品が存在しますが、中でも「Cloudbric WAF+」は競争力を十分備えた製品であると、個人的には確信しております。日本だけでも既に、7,000サイトを超える法人顧客に導入されていますが、それこそ、信頼できる確かな製品であるという何よりの証拠だといえるのではないでしょうか。WAF導入を検討される方なら、ぜひ参考にしてください。

株式会社ワールドスカイ

株式会社ワールドスカイ

 

株式会社ワールドスカイ

株式会社ワールドスカイは、お客様が本当に必要なICT技術は何か、その技術のセキュリティリスクに問題は無いかを常に考え、研究し、最高のご提案を行えるように取り組んでいます。創業より、海外セキュリティ製品にこだわり、良い技術・製品・サービスを探してまいりました。海外の特性を活かし、日本独自の風習に合うようにコーディネイトすることにより、多くの企業様へ安心してご利用いただけるICT技術を導入させて頂いております。これからも「セキュリティを活かしたICTでお客様の課題解決」をモットーに、お客様の最高のパートナーになれるように日々精進いたします。

Cloudbric WAF+」の導入を検討したきっかけを教えてください。

弊社は、SI(システムインテグレーション)ビジネスを展開する企業として、Webアプリケーションへのセキュリティ対策としてコンサルティング、脆弱性診断などを提供しております。Webサイト上に大幅な追加・修正が生じた際は、脆弱性診断で対策を取る方法もありますが、金額面・恒久的な対策という側面を考慮した際、24/365で運用をサポートしてくれるサービス兼セキュリティ専門チームを活用することが効果的であるという判断に至り「Cloudbric WAF+」を採択しました。実際に「Cloudbric WAF+」を使用してみたところ、アプライアンスタイプのWAFに比べて初期費用や運用コストが非常に安く、予算を抑えることができました。運用面におきましても、弊社側で常にログを分析せずとも、脅威IPや最新の脅威データベースに基づいた対策をメーカ側で行っているため安心して利用できます。結果的に運用負荷の軽減にもつながっています。「Cloudbric WAF+」は弊社で取り扱っている製品でもあるため、性能、さまざまなメリットについても詳細を把握していたため、金額面、機能面、運用面を考慮し、導入を決めました。

Cloudbric WAF+」選定時、最も重視されたポイントを教えてください。

実際に「Cloudbric WAF+」をご利用いただいているお客様、セキュリティ関連でお付き合いのあるSI企業様などの評価は大事にしました。様々なWAFサービスがある中で、あるサービスは「知名度は高いが検知率が低い」といった声や、あるサービスでは「性能は良いが運用後のカスタマイズ費用が高い」など、それぞれのサービスには一長一短あることが判りました。弊社の場合セキュリティビジネスをしていく上でお客様視点からの声が直接聞けるので、そういう評価を重視しながら選定しました。

また、費用面でのメリットというところも気になるポイントでした。他社サービスの価格表と比較しながら、弊社のシステム環境と合わせて総合的に検討してみると、トータル的には他社より「Cloudbric WAF+」の方が安くなるという結論に至りました。結局、他社の評価と費用面でのバランスというところが「Cloudbric WAF+」を選ぶ決め手となったのではないかと思います。

Cloudbric WAF+」を利用した感想をお聞かせください。

「Cloudbric WAF+」を導入すると、30日間検知モニタリングを行い、ログ分析の詳細や運用状況などをまとめたレポートを共有してもらえます。実際、不正アクセスではない管理者IPが不正ログとして検知されていたため例外処理をするなど、本格運用する前に自社環境に合わせてセキュリティポリシーを提案してもらい、カスタマイズできるところが印象的でした。他社の場合、例外処理やお客様に沿ったポリシー調整となるとそこに対する追加費用が発生するケースがありますが、「Cloudbric WAF+」のサービスは、そのような部分がプランに含まれているので、そういう点がメリットではないかと思います。

デメリットとしては、やはり国産製品ではないため、国内においては、他社と比べて知名度が低めであることは少し残念だと思います。しかし、海外では世界中から数々の賞を受賞し、実際ご利用頂いているお客様にもそのセキュリティ技術力も相当認められているので信頼をおき利用しています。

Cloudbric WAF+」の導入後、効果はございましたか。

「Cloudbric WAF+」の導入後、ダッシュボードでログの確認などが分かりやすく構成されているので非常に助かっています。担当者としてセキュリティは気にしなければいけませんが、どうしてもフロント部分やサービス部分をメインとして見るため、その部分の比重が高くなってしまう傾向があることも事実です。その点、ダッシュボードやレポートでサイバー攻撃や不正アクセスをひと目で把握できるため、現状を把握するまでの手間を省くことができたと思います。また、「Cloudbric WAF+」はWAF機能だけでなく、無償SSLや基本的なDDoS攻撃対策など、プラスアルファ的なサービスも提供しているため、その他セキュリティ対策を導入する必要はなく、一元管理できるという点も管理者としては大きなメリットであると思います。

Cloudbric WAF+」を使用した際、最も気に入った機能を教えていただけますか。

ダッシュボードが見やすいところが「Cloudbric WAF+」の大きなメリットだと考えています。ダッシュボードからは各種設定ができ、ユーザエクスペリエンスに相当気を使っていることが目に見てわかります。

「Cloudbric WAF+」の導入を検討されているセキュリティ担当者様は、無償評価版を使用し、ダッシュボードから操作性を見てみるのは如何でしょうか。又は、無償評価版を申込みせずともクラウドブリックのホームページにて提供されるダッシュボードで実際に体験いただけるようです。

https://www.cloudbric.jp/free-trial/

あとは、サポート面がしっかりしていることだと思います。海外企業だとサポート面で日本語対応ができていないところも多く、どうしても不安が生じてしまうところもあります。しかし、クラウドブリックは日本法人があるため、サポート面において完全日本語で対応してくれるところ、そしてWebからも24/365できちんとと問い合わせ回答してくれるため、安心して利用できると思います。

最後に一言お願い致します。

「Cloudbric WAF+」はグローバルで販売しているサービスで、現在95ヵ国の10万以上のレファレンス実績を上げています。ですので、最近だと世界中から収集した脅威インテリジェンス(Threat Intelligence)などを活用して、最新の脅威データベースにも対応していると思います。そして、機能改善とか、拡張というところも積極的に行っているところは、更なる製品の質の向上という観点から個人的に期待している部分でもあります。弊社としては、「Cloudbric WAF+」のメリットとそういうところを含め、「セキュリティ専門家でなくても安心して使えるWAFサービス」としてお客様に積極的に提案していきたいと思います。WAF導入を検討されている担当者様なら、まず30日の無償トライアルからお気軽にご利用されることをご検討ください。

nakajitsu_logo

株式会社不動産SHOP ナカジツ

株式会社不動産SHOP ナカジツ

愛知・福岡・千葉に30店舗展開し、不動産仲介業(おうち探し館!)の他にリフォーム(Asobi-リノベ)、新築住宅(Asobi-創家(すみか))など幅広く手掛ける「ワンストップサービス」が特徴の総合不動産企業「不動産SHOPナカジツ」。
不動産業界の既存モデルにとらわれず、ユーザーファーストのサービスを展開し、中古住宅+リノベーション事業においては全国3位の実績を誇るなど急成長を遂げている。

Cloudbric WAF+の導入を討したきっかけをえてください。

ずいぶん前のことになりますが、DDoS攻撃を受けて社内システムがダウンしたことがありました。幸いなことに、大きな被害は発生していませんでした。しかし、いつ、どこから仕掛けてくるか全く予測のつかないDDoS攻撃の恐ろしさを改めて実感する瞬間であったし、ホームページやWebサーバーへのセキュリティ対策を見直すきっかけにもなったと思います。DDoS攻撃は、攻撃対象に大量のトラフィックを送り付けてサービスを停止させることが一般的ですが、だからといって全てのトラフィックを遮断してしまうと、正常なトラフィックまで遮断されサービスが利用できない状況が生じてしまいます。うちのホームページに訪ねてくださるお客様に迷惑をかけるわけにはいかないので、我々には異常のあるトラフィックをしっかり遮断し、正常なトラフィックのみを通すことのできる性能の高いセキュリティ対策が必要でした。それでWAFを含め総合的なWebセキュリティ対策を探し始めたのです。

Cloudbric WAF+選定時、最も重視されたポイントをえてください。

誤検知をなるべく起こしたくない、もし起こしたとしてもなるべく速く対応したい、運用面ではそういったところを重視しました。 弊社の場合、ホームページからいらっしゃるお客様が多く、ホームページに障害が起きたり、なんらかの理由でアクセスできなかったりするなど、ホームページが使えなくなる状況がそのまま利益にも関わってくるんです。また、検知率がどんなに高くても、誤検知がそれほど多ければ台無しになってしまうので、検出力を高い水準に維持しながら誤検知率を減少できる製品にしたいなと思いました。
WAFはシグネチャー型とロジックベース型と2種類を検討させて頂きまして、検知率、誤検知率など検知能力が優れているロジックベース型のCloudbric WAF+に決定しました。海外の第三者機関から公認された結果などが非常に分かりやすく示されてあったので、そういうところが決め手になったのではないかと思います。あと、運用時に即時に対応できる仕組みになっていること、そして即対応してくれることもCloudbric WAF+を選択した理由の一つです。

Cloudbric WAF+を利用した感想をお聞かせください。

まず、弊社の場合Cloudbric WAF+の導入において、WAF機能を最優先で考えたのですが、SSL証明書サービスや、基本的なDDoS対策、脅威IPや悪性ボットの遮断など、様々なWebセキュリティ対策を一緒に提供して頂き非常に良かったです。コストパフォーマンス的にも非常に大きなメリットではないかと思います。
Cloudbric WAF+は導入後の約1ヶ月間、遮断モードで運用します。その期間に生成された検知ログをもとに、自社に合ったカスタマイズされたセキュリティポリシーを作成し、これからの運用に反映されるらしいです。実際、遮断モードで検知された約75,000件のログ情報など詳細レポートとして作成していただきました。そしてその情報をもとにセキュリティポリシーを提案して頂き、本当にうちに合ったセキュリティ対策で運用できることが印象的でした。

Cloudbric WAF+の導入後、果はございましたか。

導入後しばらくして、約7万件の攻撃が検知されて少し驚いた記憶があります。Cloudbric WAF+の管理画面上でロシアを発信国としたIPによる不正アクセスが多数発見され、全て遮断することができました。そして、レポートを見て分かったことですが、国家別に例外処理を行わなかった2つのサイトが新たに確認でき、すぐに例外処理を行ったこともあります。今まで気づくことのできなかったセキュリティ的な穴を見つけて対処できるなど、少しずつセキュリティ対策のレベルを高められていると感じております。うちの場合、導入してそんなに 経っていないですが、導入の効果がすぐ目に見えて、大変満足しています。

Cloudbric WAF+を使用した際、最もに入った機能をえていただけますか。

とりあえず、管理画面が相当使いやすくて見やすいです。国別にフィルタリングできたり、例外処理をこちら側でできたりすることがすごく便利でした。そして管理画面上でほぼ全ての操作ができることですかね。すぐに遮断したいってなったときに1回のクリックだけで処理できることは、使う側としてはすごく便利な機能の一つだと思います。
そしてレポート機能なんですが、攻撃の種類や詳細内容について、専門知識のない人でも理解できるように分かりやすく詳しく説明されているので常に参考にしています。

最後に一言お願い致します。

先にも言いましたが、ホームページからいらっしゃるお客様が多いこともあり、うちのWebサイト上で重要な資産情報やの個人情報などを扱っていることもあり、可能な限りの対策を取っていきたいです。先日、ログ情報を確認してみたんです。うちの場合基本日本とアメリカからのアクセスを許可しているのですが、検知結果を見たら結構ブロックされていて、ちゃんと検知できていると考えられます。基本的に運用面で安心してお任せできることは、Cloudbric WAF+の一番のメリットではないかと思います。
また、不正侵入が減っているところで、本当にホームページにアクセスしてくれるお客様がログとして残ってきて、ちゃんとしたログが取れるようになって、アクセス経路の分析により経営戦略にも役に立ってくるかなと思います。

OSコマンドインジェクション

OSコマンドインジェクションとは?仕組みや実例・対策を解説

OSコマンドインジェクション

外部からWebサイトやシステムに不正に侵入するサイバー攻撃のひとつに、OSコマンドインジェクションがあります。企業は、重要なデータの漏えいやさまざまな脅威を引き起こす攻撃などに対して、どう対策するのかを考えることが重要です。
この記事では、OSコマンドインジェクションの概要・仕組みから、被害の実例、対策方法まで解説します。

 

OSコマンドインジェクションとは

OSコマンドインジェクションとは、Webアプリケーションの脆弱性を狙って行われるサイバー攻撃の一種です。攻撃者はWebサイトにサーバーOSへの命令文(コマンド)を含めた不正な文字列を入力し、プログラムを実行させて情報漏えいや情報改ざんなどの攻撃を行います。
具体的には、Webアプリケーション内のメールアドレス入力欄へ、メールアドレスと一緒に命令文に変換される恐れがある不正な文字列を入力します。入力されたデータに含まれる不正な文字列が実行されると、サーバー上のプログラムが操作されるという攻撃方法です。
攻撃の被害に遭うと、入力データから行われると想定されていないコマンドが強制的に実行されるトラブルが生じます。

 

 

OSコマンドインジェクションの仕組み

OSコマンドインジェクションは、ユーザーが情報を入力するフォームがあるWebサイト上で行われる攻撃です。仕組みの詳細は以下です。

  1. サイトのフォームやWebサイトを通じて、攻撃パターンを記載した入力データをWebサーバー上にある”Webアプリケーション”に送信
  2.  入力文字列の組み立ての際に不正なOSコマンドが含まれた文字列を生成
  3.  不正な命令コマンドがシェルに受け渡され、実際にOSコマンドが実行される

OSコマンドインジェクションは、一定の文字列を入力した場合に、複数のプログラムを起動・実行できるソフトウェア「シェル」を使って行われます。不正な命令コマンドは、シェルを呼び出して攻撃者が意図した通りにプログラムを実行し、データ漏えいなどの攻撃を行います。

 

 

OSコマンドインジェクションで発生しうる脅威

攻撃者がWebアプリケーションを通じてOSを動かすコマンドを送る際、さまざまな操作を行うため、攻撃内容は多様です。システムを操作されて甚大な被害につながるケースもあります。
攻撃により発生しうる脅威には、サーバー内にあるファイルへのアクセス、改ざん、削除などがあります。さらに機密情報の漏えいや、ウイルスやワームといった不正なプログラムをダウンロード・実行されるなど、マルウェアへの感染にも注意が必要です。
気づかないうちに侵入されてサーバー自体を乗っ取られるケースや、迷惑メールの送信・システムを攻略するための調査など、他のシステムに対する攻撃の踏み台に使われるケースもあり、大きな問題が生じる恐れがあります。

 

 

OSコマンドインジェクションの事例

実際に、多くの企業がOSコマンドインジェクションの被害に遭っています。企業Webサイトへの不正アクセスや個人情報流出など、さまざまな被害事例を紹介します。

 

・企業Webサイトへの不正アクセスと改ざん

企業WebサイトにOSコマンドインジェクションによる攻撃が行われた事例では、Webサイトへの不正アクセス、改ざんによる被害が発生しました。サイトを運営しているベンダーが異常に気づき、不正が発見された事例です。
海外からMovableTypeの脆弱性を利用して行われた攻撃により、Webサイトのインデックスファイルと、作成・表示するCMS(Content Management System)であるWordPressファイルの一部が改ざんされました。個人情報などのファイルはWebサーバー上には保存されていなかったため、情報の漏えいや改ざん被害には遭っていません。
この事例では、攻撃者がWebサイトに不正にアクセス・改ざんした後、さらにWebサイト上のファイルに変更や不正ファイルを挿入しようとした際にWordPressが不安定になったため、攻撃者からのアクセスができなくなりました。

 

・テレビ局における個人情報流出

テレビ局がOSコマンドインジェクションの被害に遭った事例もあります。急激にサーバーの負荷が上昇したことから調査を行った結果、不正アクセスが行われた事実を確認、さらにデータベース内の非公開情報もコピーされていました。コピーされた情報は番組への応募フォームに投稿した約43万件の個人情報で、データから氏名・住所・電話番号などが分かってしまいます。
ログ解析の結果からOSコマンドインジェクションによる攻撃と判明したため、被害が発見されたソフトウェアを削除、データを安全な場所に移動する対策でそれ以降の被害を防止しています。テレビ局側は、より高度なセキュリティ対策の採用も検討しているとの発表もしています。

 

 

OSコマンドインジェクションの対策

OSコマンドインジェクション被害に遭わないためには、対策を立てなければなりません。Webサイトのシステム側に不正な文字列を実行しないように設定するさまざまな対策方法で、被害を防ぐことが可能です。

 

・シェルを利用する関数が使用できないようにする

入力フォームに書き込んだ内容からシェルが使用されると、不正な操作が実行されるため、攻撃を受けることになります。被害を防ぐための対策には、シェルを利用する関数が入力できないルールを設ける方法が有効です。
ユーザーがデータを入力した後に受付メールを送信する処理がある場合、データの入力・送信に伴い、別のプログラムも実行しなければなりません。そこでの対策として、シェル本来の働きを妨げずに不正なコマンドを防ぐ必要があります。入力フォームにコマンドを設定する文字列の入力を禁止することで、不正な操作は行えなくなります。
PHPの場合はexec()、passthru()、Perlの場合はopen()、system()など、コマンドの入力を防ぐ設定を設ける対策が可能です。

 

・エスケープ処理、サニタイジングを行う

エスケープ処理とは、特別な意味を持つ記号を、意味のない別の記号に変換して出力する処理です。また、サニタイジングは「無害化」を意味する言葉。特別な意味を持つ記号を削除したり変換したりして無害化することを意味し、エスケープ処理よりも幅広いケースで使われます。
エスケープ処理では、入力フォームに書き込まれたデータの中から「;」「|」「&」「<」などの危険な文字を見つけほかの無害な文字に置き換えて、コマンドが生成されない対策を取ります。PHPにはhtmlentities()、Perlはquotemeta()関数、Pythonはbleachといったライブラリが用意されているため、ライブラリを使用して置き換えの設定が可能です。

 

・WAFの導入による対策

Webアプリケーションの脆弱性に対する攻撃を防止するためには、脆弱性への対策が必要です。使用しているWebアプリケーションに脆弱性が見つかった場合は、すぐにプログラムの修正をしなければなりません。サイバー攻撃に備えるにはWebアプリケーションの修正を何度も行わなければならず、管理にコストや手間がかかります。
Webアプリケーションへの攻撃に対策する際には、WAF(Web Application Firewall)の導入が効果的です。WAFは、Webアプリケーションの脆弱性に対するOSコマンドインジェクションなどの攻撃を検知し、防御するサービスです。
ファイアウォールややIDS/IPSなど、従来のネットワーク・セキュリティ製品では対応しきれない危険なサイバー攻撃を検知して、WebサイトやWebサーバーなどの安全を守ります。

【関連記事】Cloudbric(クラウドブリック) Webセキュリティ

Webセキュリティについてさらに詳しく知りたい方はこちら

 

まとめ

OSコマンドインジェクションとは、Webアプリケーションの脆弱性を狙って仕掛けられるサイバー攻撃です。ユーザーが情報を書き込む入力フォームを使用して攻撃者が不正な文字を入力・送信すると、意図しないコマンドが強制的に実行され、攻撃の被害に遭います。
OSコマンドインジェクションでは、サーバー内のファイルへのアクセス・改ざん、マルウェア感染、システムの乗っ取りなど、さまざまなトラブルが発生します。Webアプリケーションが攻撃されないためには、シェルを利用されない工夫や、サニタイジング、WAFの導入などの対策をして攻撃に備え、重大なリスクを避けなければなりません。

 

シャトレーゼ株式会社

株式会社シャトレーゼ

株式会社シャトレーゼ

株式会社シャトレーゼは素材にこだわった安全・安心なお菓子作りを行っています。自社工場近隣の契約農家から毎日新鮮な卵や牛乳、フルーツを使用し、ケーキや洋菓子、和菓子、アイスなど約400種類のスイーツを全国のシャトレーゼで販売しています。

Cloudbricの導入を検討したきっかけを教えてください。

シャトレーゼのホームページは十数年前に作られたものですが、比較的最近まではアプリケーションの脆弱性やセキュリティに関するところなどにあまり意識がありませんでした。それが、2015年に大規模な情報漏洩事件が国内外で続々と報じられたこともあり、「情報の管理体制を見直すべきだ」という声が上がってきました。数万人規模の会員を保有しているうちのホームページの場合、オンラインショップを通じての通信販売にも積極的で、沢山のお客様の個人情報を取り扱っていました。そういうわけで他社のWAFも含めて総合的に精査・検討した上で2018年、クラウドブリックのWAFの導入を決めました。そして、今回新しくロンチングしたYATSUDOKIという別ブランドのホームページに対しても、セキュリティを充実にさせたいというところでクラウドブリックを導入しています。

WAF選定時、最も重視されたポイントを教えてください。

コストです。費用対効果と言い換えられますが、クラウドブリックは非常にコストパフォーマンスに優れていると思います。企業規模に合わせて、エコノミーやビジネスなど様々なプランが用意されていたため、最適なプランで最高のセキュリティを導入することができています。

それに、無償トライアル期間中に実際使ってみてからずっと感じていたことでもありますが、管理画面のUIが使いやすくて機能面でも充実しているところがメリットだと思います。いくら良い機能がついていたとしても、使われない機能になってしまうと結局意味がないと思いますので、期間バーを少し調整するだけで特定の日の検知数を簡単に確認できるなど、必要な機能を分かりやすく、詳しく提供してもらえることは、ユーザの立場としてはかなり重要なポイントだと思います。

クラウドブリックを利用した感想をお聞かせください。

クラウドブリックの導入後、大変満足しておりまして感想を一言でいうと「導入しやすさ、運用のしやすさ、手厚いサポート」ですかね。普通、情報セキュリティに詳しくないと導入時の敷居も高くなりがちですが、クラウドブリックはその点について不便に思ったことは全くありませんでした。導入や運用のしやすさについては導入前にも説明していただきましたが、実際に導入・運用してみたらそれが思った以上に簡単でした。そして困ったことやお問い合わせに対して電話やメールで快速・丁寧に対応して頂きますし、導入時も、導入後も変わらない手厚いサポートを受けておりますので業務効率も高めることができました。Webサイトセキュリティはクラウドブリックに任せられるのでいつも安心して他の業務に取り組むことができます。

クラウドブリックの導入後、効果はございましたか。

大手企業N社のWAFがDDoS攻撃と間違えて正規のアクセスまで拒否してしまうということもあるらしいですが、他のWAFと違って基本ソフトが単純なパターンマッチングではないということで、ロジックを見極めて攻撃を検知・遮断するという方式だったのも導入時にクラウドブリックに決定した大きなきっかけでした。実際運用してみたら、シグネチャー型と違って攻撃パターンの更新がいらないため、非常に稼働率が高く手間がいらなかったです。そして、クラウドブリックWAFに採用されているAIエンジンにより誤検知がさらに軽減され攻撃だけを検知、遮断できるようになり、さらに高度なセキュリティを確保できたと思います。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

ダッシュボード機能です。これによりサイバー攻撃の見える化が実現できました。クラウドブリックではダッシュボード機能によりリアルタイムで攻撃状況を把握できます。それでITリテラシーの低い従業員でも視覚的に状況を確認することができています。そして、攻撃に関する詳しい情報やセキュリティ現況などをレポート出力できるため、関係者での情報共有や報告にも容易だと思います。

最後に一言お願い致します。

昨今、サイバー攻撃は激化の一途をたどっていると思います。ホームページについても連日、情報漏洩のニュースもあり、こうしたWebアプリケーションへの攻撃対策は必須です。クラウドブリックを導入することで安心してホームページを運用できるようになっております。弊社の場合海外にも店舗があって、それ用のWebサイトも構築するなど、今後も活発にビジネスに取り組みたいと思います。新規でホームページを立ち上げることになった場合は、積極的にクラウドブリックを活用していきたいと思います。

Interline2

INTERLINE株式会社

INTERLINE株式会社

INTERLINE株式会社は、ITサービス事業を基盤としてITソリューション事業、オンライン英会話サービス事業を展開し、業界をリードする高品質のITサービスを提供しています。

Cloudbric導入を検討したきっかけを教えてください。

まずは、セキュリティ対策に対するお客様からのニーズが強かったためです。お客様に安心してWebサイトを利用していただくためには徹底したWebセキュリティ対策が必要だと考え、解決方法としてWAFの導入を検討することになりました。その中でも手軽に導入できる上、高レベルのセキュリティを備えたクラウド型のWAFサービスを導入することで、弊社の目的を達成できると思いました。

様々なITソリューションや製品を取り扱っている弊社の立場としては、最適な選択肢をお客様に提供するべき義務があると思います。そこで、お客様に自信をもって提案できるような製品を選択するために、様々な企業のWAFサービスを価格、機能、サポートなど様々な角度から比較検討した結果、クラウドブリック(Cloudbric)を選択することになりました。

WAF選定時、最も重視されたポイントを教えてください。

セキュリティに関して最も重要視していたのは「技術力の高さ」でした。クラウドブリックを選んだ一番の理由は、グローバルから認められている独自の技術力があったからです。Webセキュリティに対する意識が高まっていることもあり、現在様々なWAFが出回っています。もちろん国産の製品も多かったのですが、サイバー攻撃というのは時間や場所を問わず全世界どこからでも来るため、世界で通用する製品を導入したいと思いました。クラウドブリックのロジックベースの検知エンジンは様々な受賞歴を持ち、55ヵ国にサービスされ高い評価を受けていることから、高い技術が証明されたと判断しました。コストパフォーマンスが良いという評価もあり、リアルタイムなサポート対応が可能だという点も選定を後押ししました。

クラウドブリックを利用した感想をお聞かせください。

一言でいうと、予想外に便利で驚きました。WAF導入の際に様々なポイントを考えながら真剣に検討したつもりではありますが、弊社としては初のWAF導入ということもあり、少々不安が残っていました。クラウドブリックがグローバルから認められていることが採用の決定的な理由でしたが、国産ではなかったので、日本語の対応や運用・サポート面での不安もありました。

しかし、実際クラウドブリックを導入すると、サポートチームによるリアルタイム対応体制がしっかりと整っていたので、無償評価の時から問題が発生してもスムーズに解決できました。また、ダッシュボードも完全に日本語化されていたので、Webサイトの状況確認も非常に容易でした。結果的に、クラウドブリックを選んで大変満足しております。

クラウドブリックの導入後、効果はございましたか。

「Webサイトがしっかり守られている」という安心感があります。サイバー攻撃の脅威にさらされていることを分かってはいましたが、目に見えないためその危険性を体感することはなかなか難しい状況でした。しかし、クラウドブリックのダッシュボード上でWebサイトへの攻撃を実際に確認できるようになったため、Webサイトの状況を正確に把握でき、快速な対応ができるようになったということが一番のメリットだと思いました。

そして、実際使用してみたからこそWAFの重要性や機能などを詳しく知ることができたと思います。導入当時から頻繁なお問い合わせへのリアルタイムでの対応や、定期的に行われるウェビナーを通じたクラウドブリックの新機能やアップデータなどの情報を通じ、運用に非常に役立てています。

クラウドブリックを使用した際、最も気に入った機能を教えていただけますか。

ダッシュボードです。ユーザフレンドリーで魅力的でした。特に、UIがシンプルで分かりやすく設計されていて非常に使いやすかったです。簡単な操作で様々な情報を確認することができました。例えば、期間バーを調整して自由に期間を設定することもできるし、どの国や地域から攻撃してくるのか、どのような攻撃が発生したのかなど、その期間に該当するWebサイト状況を確認できます。 日本語に完全対応しているため、セキュリティに詳しくない初心者であっても簡単に情報を把握することができると思います。

最後に一言お願い致します。

最近、在宅勤務の増加とともにWebサイトへのアクセスが増えているため、WAF導入はもはや必須といっても良いでしょう。クラウドブリックを導入し、実際運用してみたからこそ自信をもって言えることは、「価格とコストパフォーマンス」、「リアルタイムなサポート」、「運用・設定の容易性」など、クラウドブリックはどの面からみても非常に優れているWAFサービスだということです。

弊社としては、実際使用してみた経験やノウハウを活かし、今後ECサイトや個人情報を多数取り扱っているお客様に対してクラウドブリックを積極的に提案していきたいと思います。そして未来には、クラウドブリックがWAF市場をリードするトッププレイヤーになって頂きたい、と思います。

WAFの必要性_お知らせTOP

ホワイトペーパー公開!「多様化するサイバー攻撃から企業を守るWAFの必要性」

WAFの必要性_お知らせTOP

WebサイトおよびWebアプリケーションは、ビジネスシーンにおいて欠かせないものです。
一方で、Webアプリケーションを狙ったサイバー攻撃は激化の一途をたどっており、効果的なセキュリティ対策としてWAF(Web Application Firewall)が注目されています。

本資料では、企業のセキュリティを万全に保ちたいIT・セキュリティ担当者の方向けに、サイバー攻撃の事例からWAFの導入目的・効果までを解説しておりますので、ぜひ一度ご覧ください。

▼ホワイトペーパー「多様化するサイバー攻撃から企業を守るWAFの必要性」ダウンロードはこちら
https://www.cloudbric.jp/dl-wp-waf/

 

▼製品・サービスに関するお問い合わせはこちら
https://www.cloudbric.jp/inquiry/

▼Cloudbirc WAF+の無償トライアルはこちら
https://www.cloudbric.jp/free-trial/

▼パートナー制度のお問い合わせはこちら
https://www.cloudbric.jp/partners/

every nation 211214

Every Nation Philippines

Every Nation Philippines

Every Nation Philippinesはキリスト教関連の活動をしている非営利団体です。日本ではEvery Nation Japanという名前で関東・東海・北海道で宗教活動しています。

 

WAFを導入したきっかけ

「WAFはより積極的なサイバー攻撃への防御戦略」

NPOやNGOは支援者の寄付によって運営されているため、会員情報や個人情報など様々な情報を取り扱ってはいますが、 安全に対しての意識はいまだに低いと思います。個人情報を保管しているということは、情報流出という大きなリスクを抱えていることを意味します。個人情報保護法の改正以後、弊社の場合も個人情報のガイドラインに従って厳重に取り扱っているつもりですが、セキュリティ面で常に不安を抱えていました。意図的にハッカーに狙われ不正アクセスや情報漏洩などが起きてしまってからではもう手遅れになる可能性が非常に高いからです。そして、近年NPOを狙ったサイバー攻撃も報告されており、Webセキュリティ対策への課題を解決したいと感じたのが、クラウドブリックを導入したきっかけでした。

 

クラウドブリック(Cloudbric)を選択した理由

「十分な機能を持ちつつも、導入及び運用の手間やコストを大幅に削減」

クラウド型WAFの導入を決めてから、いくつかの製品を選び各製品が提供している無償トライアルを申し込んで実際に使用してみました。WAF導入当時、組織内にはセキュリティに詳しい担当者が存在しなかったため、WAFの機能などをいかに詳しく説明してもらえるか、セキュリティ担当者が不在でも運用や管理がスムーズにできるのか、限られた予算の中で、最大限のパフォーマンスを実現できるのかなどの項目をリスト化し点数をつけ、最も点数が高かったクラウドブリックを選択しました。無償トライアル期間の間、約1週間にかけて弊社のWebサイトを狙い、集中的にサイバー攻撃が発生していることが分かりました。クラウドブリックのダッシュボード上で攻撃のタイプ、攻撃ターゲットのURL、検知ログなどの詳しい情報がリアルタイムに確認できたので、即時に対応することができました。また、気になるところなどはサポートチームにお問い合わせし、即対応してもらえたのはリソースが少ないNPOにとって、非常に助かっているところです。

 

クラウドブリック(Cloudbric)の導入効果

「サイバー攻撃の対処だけではなく、情報の共有と意見交換まで」

WAF機能に関しては様々な導入実績が証明していると思いますが、実際使ってみて最もよかったのはユーザフレンドリーなダッシュボードでした。また、サイバー攻撃動向や最新のセキュリティトレンド情報などがメールマガジンにて定期的に送られるので、セキュリティ動向の把握に非常に役立っています。メールマガジンを読んで気になるところをクラウドブリック担当者に質問すると、親切に教えていただけたり、意見交換ができたりする部分がよかったです。役に立つ情報は社内で共有し、全社的にセキュリティ意識を高めるきっかけともなりました。

 

クラウドブリック(Cloudbric)導入を検討している企業への一言

NPOやNGOにとって、サイバーセキュリティ対策を導入するために予算を策定することは決して簡単なことではありません。それにも関わらずクラウドブリックを導入した決定的な理由は、高度化し続けるサイバー攻撃がどうしても他人事に思えなかったからです。今の時代、どこでも誰でもサイバー攻撃に遭う可能性が十分あります。Webサイトのセキュリティ対策を検討中である方なら、セキュリティ専門企業の技術力とコストパフォーマンスを両立できるクラウドブリックを積極的にお勧めしたいです。