カテゴリー: Cloudbric WAF+

Cloudbric WAF+/Cloudbric WMS for AWS/Webサーバー/セキュリティ/ネットワーク関連

Webサーバー SSL/TLS証明書安全性評価

by Emission株式会社

正しいSSL/TLS証明書証明書を利用していても、Webサーバーの設定が正しく行われていなかったり、利用暗号セットが古かったりすると、せっかくのSSLの目的が果たせなくなります。
また、サーバーアプリケーションで新しい脆弱性が発見されることも少なくありません。
運営しているSSLサイトの機密性・安全性を確保するために、Webサーバーの定期的な安全性チェックは必須です。

しかし、Webサーバーの暗号化通信が正しく機能するための要素は複数あり、一般的なサイト管理者には理解しにくい要素も少なくありません。
SSLサイト評価の定期的な評価に使えるのが、以下に紹介する SSL Server Test(Powered by Qualys SSL Labs)です。SSL Server Test(Powered by Qualys SSL Labs)は、SSL/TLS証明書の設定状況の確認や安全性診断などが無料で行えるサイトです。

是非自社のWebサーバを診断し、結果が芳しくない場合は対処をご検討ください。
自社で対応が困難な場合は、弊社までお気軽にご相談ください

SSL Server Test(Powered by Qualys SSL Labs)
https://www.ssllabs.com/ssltest/

サイトの利用方法

SSL Server Test(Powered by Qualys SSL Labs)

Hostname欄にホスト名(例えば、www.example.com)を入力して Submitボタンをクリックします。
結果がこのページに表示されたくない場合は、「Do not show the results on the boards」にチェックを入れて Submitボタンをクリックしてください。

評価結果

Qualys SSL Labsによる評価結果は、「A」、「B」、「C」のようなレートで示されます。
評価項目は、グラフ表示の「Certificate(証明書)」「Protocol Support(サポートされているプロトコル)」「Key Exchange(鍵交換)」「Cipher Strength(暗号強度)」で、100点満点で表示されます。

SSL Server Test(Powered by Qualys SSL Labs)

B 以下の場合、サーバーの設定内容に既知の脆弱性に対する問題が見つかっていることがあり、対応が必要です。

SSL Server Test(Powered by Qualys SSL Labs)

「F」や「T」、「Err」のようなレートで示された場合、脆弱性の問題、設定が適切になされていない等の問題があります。
早急な対応が必要となります。

こちらの製品がセキュリティの向上に有効です

WAF(Web Application Firewall)はWebサーバーとWebアプリケーションの間に配置され、HTTP通信を監視し悪意のある攻撃を検知してブロックすることができます。
WAFは、Webサーバーへのリクエストに不正なOSコマンドを挿入しサーバー上で不正な操作を行わせるOSコマンドインジェクションを防ぎ、サーバー内ファイルの改ざんや情報漏洩を防止することができます。
WAFであるCloudbric WAF+を導入することにより、SSL証明書の提供も同時に行うことができるため、Webサイトのセキュリティがさらに向上し、改ざんや不正利用を防ぐことが期待できます。

Cloudbric WAF+(クラウド型WAF クラウドブリック)
Cloudbric WAF+/Cloudbric WMS for AWS/お知らせ

総務省後援「ASPICクラウドアワード2023」にて「Cloudbric WAF+」と「Cloudbric WMS」が先進技術賞を受賞

by Emission株式会社
総務省後援「ASPICクラウドアワード2023」にて「Cloudbric WAF+」と「Cloudbric WMS」が先進技術賞を受賞

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(本社:韓国ソウル、日本法人代表取締役社長:陳 貞喜、以下ペンタセキュリティ)は、第17回ASPICクラウドアワード2023(主催:一般社団法人日本クラウド産業協会、後援:総務省等)において、「Cloudbric WAF+」が支援業務系ASP・SaaS部門の「先進技術賞」、「Cloudbric WMS for AWS」がAI部門の「先進技術賞」を受賞したことをお知らせします。

■「Cloudbric WAF+」について

「Cloudbric WAF+(クラウドブリック・ワフプラス)」は、企業向けクラウド型WAFサービスです。日本・韓国・米国で特許を取得した論理演算検知エンジンを搭載したWAFはもちろん、DDoS攻撃、SSL証明書、脅威IP遮断、悪性ボット遮断サービスまで備えており、これひとつで多様化するサイバー攻撃から企業のWebシステムを保護します。また、マネージドサービス付きで、社内にセキュリティの専門家がいなくても手軽に運用・導入が可能です。

Cloudbric WAF+(クラウド型WAF クラウドブリック)

■「Cloudbric WMS for AWS」について

「Cloudbric WMS for AWS(クラウドブリック・ダブリューエムエス)」は、AWS WAFに特化した運用サービスです。高度な攻撃検知力、適切なルール作成と反映、新規脆弱性や誤検知の対応など、AWS WAFの導入から運用までをセキュリティエキスパートがサポートします。24時間365日のモニタリングとサポート体制も完備しており、 専門知識やリソースがない企業のWAF運用を支援します。また、Cloudbricは「AWS WAF レディプログラム」のローンチ パートナーに認定されています。

Cloudbric WMS for AWS

■ASPICクラウドアワードについて

ASPICクラウドアワードは、一般社団法人日本クラウド産業協会(略称:ASPIC、所在地:東京都品川区、会長:河合 輝欣)が、日本国内で優秀かつ社会に有益なクラウドサービスに対し、総務大臣賞、アワード総合グランプリ、各部門総合グランプリ、他各賞の表彰を行います。これにより、クラウド事業者およびユーザー企業の事業拡大を支援し、クラウドサービスが社会情報基盤として発展・確立することの一助になることを目的としています。

https://www.aspicjapan.org/event/award/17/index.html

Cloudbric WAF+/Cloudbric WMS for AWS/IT-BCP対策(事業継続計画)/Webサーバー/セキュリティ/ネットワーク関連

DDoS攻撃への対策について(概要) 警察庁サイバー警察局/NISC

by Emission株式会社
Cloudbric WAF+(クラウド型WAF)

DDoS攻撃への対策について
#警察庁サイバー警察局
#内閣サイバーセキュリティセンター
が連名で注意喚起を発出。

https://www.npa.go.jp/bureau/cyber/pdf/20230501.pdf
https://www.npa.go.jp/bureau/cyber/pdf/20230501gaiyo.pdf

※ただし昨年9月における #DDos攻撃 の発生状況
#警察庁 #NISC

#Cloudbric #WAF の導入をご検討ください。
Cloudbric WAF+(クラウド型WAF クラウドブリック)

Cloudbric WAF+(クラウド型WAF クラウドブリック)
Cloudbric WAF+/セキュリティ/ネットワーク関連

Cloudbric WAF+とAWS WAFの違いについて教えてください

by Emission株式会社
Cloudbric WAF+(クラウド型WAF)

Cloudbric WAF+とAWS WAFは、共にWebアプリケーションファイアウォール(WAF)ですが、それぞれ異なる特徴を持っています。

以下は、Cloudbric WAF+とAWS WAFの主な違いです。

  • 提供元:Cloudbric WAF+は、ペンタセキュリティシステムズ社が提供しているWAFです。AWS WAFは、Amazon Web Services(AWS)が提供しているWAFです。
  • 導入方法:Cloudbric WAF+は、クラウドベースで提供されており、WebサイトにDNSを設定するだけで簡単に導入できます。AWS WAFは、AWSの他のサービスと統合されているため、より高度な機能を提供していますが、導入にはAWSの知識が必要です。
  • AIエンジンの有無:Cloudbric WAF+には、AIエンジンが搭載されており、異常なトラフィックを検出し、リアルタイムで対応することができます。AWS WAFには、AIエンジンは搭載されていません。
  • DDoS攻撃への対応:Cloudbric WAF+には、DDoS攻撃への防御機能が含まれており、AWS WAFでもDDoS攻撃への対応が可能ですが、別途AWS Shieldというサービスを使用する必要があります。
  • 料金体系:Cloudbric WAF+は、Pay-as-you-goの料金体系を採用しており、必要に応じて使用料金が発生します。AWS WAFも同様の料金体系を採用していますが、AWS WAFを使用するためには、AWSの他のサービスとの統合が必要な場合があり、それらのサービスの使用料金も加算されます。

以上が、Cloudbric WAF+とAWS WAFの主な違いです。どちらのWAFが適しているかは、使用目的や予算、システムの規模などによって異なるため、それぞれの特徴を比較して選択する必要があります。

Cloudbric WAF+(クラウド型WAF クラウドブリック)

弊社では、AWS WAF用のルールセットとなるCloudbric WMS for AWSの取り扱いもございます。
無償トライアルのお申込みもお承りいたしますのでお気軽にお問い合わせください。

Cloudbric WMS for AWS
Cloudbric WAF+/Cloudbric WMS for AWS/セキュリティ/ネットワーク関連

ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針(経済産業省)

by Emission株式会社
Cloudbric WAF+(クラウド型WAF)

経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込んでいる。

経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化
https://netkeizai.com/articles/detail/7922

各種検索サイトから弊社の記事へお越しになられた皆さまのなかには、決済代行・カート会社各社の3Dセキュアの導入やeKYCの導入ということのみならず、忘れられがちなWebサーバー側のセキュリティ強化についても非常に興味をお持ちの方もおられるのではないでしょうか。

特にこのサイトをご訪問の方のなかには

  • カスタマイズしすぎてバージョンアップできなくなったEC-Cube
  • 古くから利用しているためバージョンアップできなくなったEC-Cube
  • EC-Cube用の公式WAFが正常に動かなかった経験をお持ちの運営者さま
  • Welcart や WP-OliveCart、WooCommerceなどのショッピング系プラグインを導入したWordPress を運営中の管理者さま

などが多くおられることと思われます。

ECサイトの構築費や運営費を抑えるため大手のショッピングモールを利用されず、自社運営を選択された事業者さまには、今回の経済産業省の通知が非常に厳しいものとして受け止められているのではないでしょうか。

大手ショッピングカートシステムでは、(その分のシステム利用料金を支払っておられるため)さまざまなシステム的セキュリティ対策が自動的に適用されますが、自社運営のECサイト、特に脆弱性を内包したままの古いバージョンのECシステムでは、お客様の手前、非常に心許ない状況かと思います。

上の状況に少しでも心当たりがある事業主さまは、是非 クラウド型WAF の Cloudbric WAF+(クラウドブリック)をご検討ください。

後付けでサーバーのリソースを枯渇させることなく、外部からの様々な悪意を持ったアクセス(Web攻撃)を遮断し、DDoS攻撃からもWebアプリケーションを保護します。

また、あまり語られることは少ないかと思いますがクレジットカード会社から情報漏えいを疑われた場合、ウェブサイト運営者が実施することとして、
・Webサーバーをインターネットから切り離す
・専門機関に対しサーバーのフォレンジック調査を依頼
することとなります。

ところが、一般的なレンタルサーバーでECサイトを立ち上げている場合、「Webサーバーをインターネットから切り離す」ということができず、アクセスログの種類も多くなく(WebのアクセスログだけではなくサーバーOSのアクセスログなども必要)かつ、ログの保存期間もあまり長くないため、様々な結果から「専門機関に対しサーバーのフォレンジック調査を依頼」することができなくなってしまいます。

こうなるとECサイトの再稼働は非常に厳しいものとなり、再開はほぼ不可能となってしまいます。

弊社では上記のような対応の経験から、WAFでのWebサーバーセキュリティおよびWebサーバー自体の立ち上げまで、全てをお承りすることも可能です。

Webサイトに特化した「Webサイト 診断」
WebサイトやWebアプリケーションの脆弱性を診断する「Webアプリケーション診断」
システムの基盤となるミドルウ ェアやOSなどの診断を行う「プラットフォーム診断」
など、
経済産業省の定める「情報セキュリティサービス基準」への 適合を認められ、独⽴⾏政法⼈情報処理推進機構(IPA) が公開する 「情報セキュリティサービス基準適合サービスリスト」へ登録されている脆弱性診断をご提供することも可能です。

お問い合わせお待ちしております。

Cloudbric WAF+(クラウド型WAF クラウドブリック)
Cloudbric WMS for AWS
サーバー構築サービス

第6回 クレジットカード決済システムのセキュリティ対策強化検討会 | 経済産業省
https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/006.html

Cloudbric WAF+/Cloudbric WMS for AWS

「WAFの必要性」を解説したホワイトペーパー

by Emission株式会社
多様化するサイバー攻撃から企業を守るWAFの必要性

多様化するサイバー攻撃から企業を守るためのソリューション

データ暗号化ソリューション「D’Amo」、クラウド型WAFサービス「Cloudbric WAF+」をはじめとするセキュリティ製品を開発・提供するペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、本社:韓国ソウル、以下ペンタセキュリティ)は、企業のIT・セキュリティ担当者に向けて「WAFの必要性」と題したホワイトペーパーを公開しました。

■ホワイトペーパーの概要

Webサイトは、今やビジネスシーンにおいて必要不可欠な存在です。一方で、Webアプリケーションを狙ったサイバー攻撃は日に日に高まっており、効果的なセキュリティ対策としてWAF(Web Application Firewall)が注目されています。本資料では、企業のセキュリティを万全に保ちたいIT・セキュリティ担当者の方向けに、サイバー攻撃の事例からWAFの導入目的・効果までを解説しています。

  • WAFとは何か
  • サイバー攻撃事例
  • 企業での導入課題
  • WAFの導入目的と効果
  • WAFの3つのタイプ
  • クラウド型WAFを選択する理由
  • Cloudbric WAF+の特長

■このような方におすすめ

– 多発するサイバー攻撃に不安を感じている方
– 万全なセキュリティ対策を検討している方
– WAFについての詳しい情報を得たい方
– WAFの導入効果を知りたい方

▼ホワイトペーパー「WAFの必要性」の資料ご希望は弊社までお問い合わせください

https://www.emission.jp/contact

■クラウド型WAFサービス「Cloudbric WAF+」とは

Cloudbric WAF+(クラウドブリック・ワフプラス)は、日本・韓国・米国で特許を取得した高度な攻撃検出力を有する、企業向けクラウド型WAFサービスです。Webセキュリティ確保に必須とされる5つのサービス(WAF、DDoS攻撃、SSL証明書、脅威IP遮断、悪性ボット遮断)を備えており、これひとつで多様化するサイバー攻撃から企業のWebシステムを保護します。また、社内にセキュリティ専門家がいなくても手軽に運用・導入が可能です。

▼Cloudbric WAF+(クラウド型WAF クラウドブリック)の詳細ページはこちら

Cloudbric WAF+(クラウド型WAF クラウドブリック)
Cloudbric WAF+/Cloudbric WMS for AWS/お知らせ/セキュリティ

情報セキュリティ企業のペンタセキュリティシステムズ株式会社とパートナーシップ締結

by Emission株式会社
ペンタセキュリティ・Emission株式会社パートナシップ締結

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長:陳 貞喜、https://www.pentasecurity.co.jp、本社:韓国ソウル、以下ペンタセキュリティ)とEmission株式会社は、9月12日、クラウド型Webセキュリティ・プラットフォーム・サービス「Cloudbric WAF+(クラウドブリック・ワフ・プラス)」の販売代理店契約を締結しました。

昨今、WebサーバーやWebサービスに対する不正アクセス、DDoS攻撃等のサイバー攻撃が多発し、企業が大きな被害に遭うケースが増加傾向にあります。また、サイバー攻撃はより高度化・巧妙化しているため、従来のセキュリティ対策では防ぎきれない場合も少なくありません。しかし、多くの中小企業は適切なセキュリティサービスを導入するための資金不足やセキュリティ人材不足問題等、企業情報を守るために乗り越えるべき課題が多く存在しています。

今回の販売代理店の契約締結を通じて、両社はWebセキュリティに対して中小企業が抱えている課題や多様なニーズに応えることができるように連携してまいります。Emission社の強みである関西地方での高い信頼関係、地域ネットワークを活用し、関西地方への「Cloudbric WAF+」の販路確保と共に顧客別にカスタマイズされたWebセキュリティサービスをよりリーズナブルな価格で提供することができるようになります。

Cloudbric WAF+は社内にセキュリティ専門家がいなくても手軽に導入・運用できる企業向けのWebセキュリティ対策です。Cloudbric WAF+はCloud WAAP Serviceであるため、Webセキュリティの基本であるWAF機能だけではなく、暗号化通信に必要なSSL証明書の提供、DDoS攻撃の防御機能、脅威IP及び悪性Botを遮断する機能まで備えています。導入及び運用時にはセキュリティエキスパートによるポリシーのカスタマイズ、マネージドサービスを提供するため、顧客に合わせたセキュリティ対策を講じることができ、多様なサイバー攻撃に対処することができるのが特徴です。

■ペンタセキュリティシステムズ(株)
ペンタセキュリティは創業25年目を迎えた情報セキュリティ専門企業。
DB暗号化・Webセキュリティ・認証セキュリティなど企業情報セキュリティのための製品やサービスを研究・開発。セキュリティ専門性と優秀な技術力を基に、国内及びグローバル市場にもビジネスを展開し、多数の受賞歴を誇る。また、IoTセキュリティ及びコネクテッドカー向けのセキュリティ関連技術、ブロックチェーンを活用したソリューションやサービスの開発にも力を注いでいる。