Webサーバー SSL/TLS証明書安全性評価

正しいSSL/TLS証明書証明書を利用していても、Webサーバーの設定が正しく行われていなかったり、利用暗号セットが古かったりすると、せっかくのSSLの目的が果たせなくなります。
また、サーバーアプリケーションで新しい脆弱性が発見されることも少なくありません。
運営しているSSLサイトの機密性・安全性を確保するために、Webサーバーの定期的な安全性チェックは必須です。

しかし、Webサーバーの暗号化通信が正しく機能するための要素は複数あり、一般的なサイト管理者には理解しにくい要素も少なくありません。
SSLサイト評価の定期的な評価に使えるのが、以下に紹介する SSL Server Test(Powered by Qualys SSL Labs)です。SSL Server Test(Powered by Qualys SSL Labs)は、SSL/TLS証明書の設定状況の確認や安全性診断などが無料で行えるサイトです。

是非自社のWebサーバを診断し、結果が芳しくない場合は対処をご検討ください。
自社で対応が困難な場合は、弊社までお気軽にご相談ください

SSL Server Test(Powered by Qualys SSL Labs)
https://www.ssllabs.com/ssltest/

サイトの利用方法

SSL Server Test(Powered by Qualys SSL Labs)

Hostname欄にホスト名(例えば、www.example.com)を入力して Submitボタンをクリックします。
結果がこのページに表示されたくない場合は、「Do not show the results on the boards」にチェックを入れて Submitボタンをクリックしてください。

評価結果

Qualys SSL Labsによる評価結果は、「A」、「B」、「C」のようなレートで示されます。
評価項目は、グラフ表示の「Certificate(証明書)」「Protocol Support(サポートされているプロトコル)」「Key Exchange(鍵交換)」「Cipher Strength(暗号強度)」で、100点満点で表示されます。

SSL Server Test(Powered by Qualys SSL Labs)

B 以下の場合、サーバーの設定内容に既知の脆弱性に対する問題が見つかっていることがあり、対応が必要です。

SSL Server Test(Powered by Qualys SSL Labs)

「F」や「T」、「Err」のようなレートで示された場合、脆弱性の問題、設定が適切になされていない等の問題があります。
早急な対応が必要となります。

こちらの製品がセキュリティの向上に有効です

WAF(Web Application Firewall)はWebサーバーとWebアプリケーションの間に配置され、HTTP通信を監視し悪意のある攻撃を検知してブロックすることができます。
WAFは、Webサーバーへのリクエストに不正なOSコマンドを挿入しサーバー上で不正な操作を行わせるOSコマンドインジェクションを防ぎ、サーバー内ファイルの改ざんや情報漏洩を防止することができます。
WAFであるCloudbric WAF+を導入することにより、SSL証明書の提供も同時に行うことができるため、Webサイトのセキュリティがさらに向上し、改ざんや不正利用を防ぐことが期待できます。

なりすましメール対策として Yahoo!メール ブランドアイコンに参画しました

なりすましメール対策として Yahoo!メール ブランドアイコンに参画しました

Emission株式会社では、できる限りお客様に安心・安全なメール環境をお届けできるよう、このたびYahoo!メールさまのブランドアイコンに登録をいただきました。


Yahoo!メール ブランドアイコンとは

Yahoo!メールがフィッシングメール・不正メールに対する取り組みとして、お申込み企業様のメールに表示するアイコンです。
ブランドアイコンが表示されることで、送信元が保証された安心・安全なメールであることがお客様に一目で伝わります。


上図内赤枠のとおり、Yahoo!メールをご利用のお客様には、弊社からのメールであることを認証された文言がアイコンと共に表示され、なりすましメールではないことが容易に判別できるようになります。

同様の取り組みに登録されている企業の一覧は以下のリンクでご確認いただけます。
是非一度ご覧ください。

Yahoo!メールはフィッシングメール・不正メール対策として、Yahoo! JAPAN各種サービスからのメールの他に、フィッシングメール等に対する取り組みに参加している各企業、各サービスからのメールにもブランドアイコンを表示します。

Yahoo!メール ブランドアイコン表示企業・サービス一覧
https://announcemail.yahoo.co.jp/brandicon_list/index.html

2023年6月のフィッシング状況が公開されました

2023年6月のフィッシング状況が公開されました

フィッシング対策協議会が「フィッシング対策協議会 Council of Anti-Phishing Japan|報告書類|月次報告書|2023/06 フィッシング報告状況」において、2023年6月のフィッシング状況を公開しました。

2023年6月中のフィッシング報告件数は14万9,714件(前月対比+3万5,925件)と急増しています。
不審なメールやSMSのURLには絶対にアクセスしないようにしてください。

■ 本レポートの主な内容は以下のとおりです。

●ヤマト運輸を偽るフィッシング詐欺が全体の約18.1%となり最多となった。これにイオンカード、Amazon、セゾンカード、ジャックスを偽るフィッシングが続いており、これらを合わせると全体の60.2%を占めている。1,000件以上の報告があったブランドは20ブランドあり、これらで全体の91.6%を占めた
●SMSから誘導を行うスミッシングでは、金融系ブランドを偽る文面の報告が増加した。宅配便関連の不在通知を偽る文面からAppleを偽るフィッシングサイトへ誘導するタイプの報告も続いている。Amazonやクレジットカードブランドを偽る文面の報告も続いた
●報告されたURLは.cnが44.9%ほどで最も多く、これに.com (約32.3%)、.icu (約4.1%)、.cyou(約3.8%)、.cfd(約3.6%)、.top(約2.7%)が続いた
DMARCを正式運用していない組織が集中的に狙われる傾向が続いた
独自ドメインを使い送信ドメイン認証では、判別ができないフィッシングメールが約20.8%となり増加傾向となった
●フィッシング報告件数は増加しており、2023年6月は過去最高の報告数となった

https://www.antiphishing.jp/report/monthly/202306.html

同協議会は、大量のフィッシングメールが届いている場合、そのメールアドレスが漏洩している事実を認識し、フィッシング対策機能が強化されているメールサービスのアドレスに切り替えることや、パスワードの変更、決済サービス履歴の確認実施などを呼びかけています。

ウォッチガードの新しいVPNゲートウェイ Firebox NV5 使い方の勘どころ

WatchGuard UTM(統合脅威管理)

ウォッチガード・テクノロジー・ジャパン株式会社より、VPNゲートウェイアプライアンス「Firebox NV5」が新たにリリースされました。

Firebox NV5は分散型のセキュアなVPNトラフィック向けのソリューションで、エンタープライズクラスのSD-WAN機能も備えているうえに、WatchGuard Cloudにも対応しています。

ですが、あくまでもVPNゲートウェイに特化したアプライアンスであるため、使い方の勘どころを押さえる必要があります。


今回は弊社Emissionがお勧めする使い方をご紹介いたします。

VPNでWatchGuard製品を利用する際の例示的な構成 WatchGuard Firebox NV5
  • 本社
    通常、本社には多量PCオンプレミスのサーバーなどが存在しますので、デバイスの数量によってFireboxのサイジングを計ります。一般的にはM290クラス以上の機器の導入が必要な場合も多くあります。
  • 支店
    一定量PC複合機などが想定されます。こちらもデバイスの数量によってサイジングが必要ですが、今回はこちらの拠点にNV5の導入を想定しました。
  • 倉庫など
    倉庫では通常大量のPCなどは存在せず、ハンドデバイスなどの使用が想定されます。こちらの拠点にもNV5の導入を想定しています。

支店や倉庫からは、本社のオンプレミスサーバーへの通信が想定されます。
さらには、外部インターネットへの通信も想定されますが、この部分に必要なセキュリティを確保した通信は本社WatchGuard Fireboxに任せてしまうことにより、支店と倉庫のUTMライセンス分のコストを下げることが今回の主目的です。
つまり、他拠点へのUTM導入のコストを下げることができ、中小企業でのUTM・セキュリティ導入ハードルを下げることができます。

なお、NV5の導入によりセキュリティは本社の赤箱(WatchGuard)に任せることになりますが、NV5自体の管理をWatchGuard Cloudでできてしまうため、統合した環境での一元管理が可能となります。

御社でも是非ご検討ください。お問い合わせお待ちしております。

「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み」を公開

情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み

2023年5月30日、独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み」を公開しました。

情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/10threats/10threats2023.html

「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

上記の出典元に「情報セキュリティ10大脅威 2023 知っておきたい用語や仕組み 28ページ(PDF:1.8 MB)」が公開されています。

PDFでは、パソコンやスマートフォン、インターネットを安全に利用するための対策をとる上で、ぜひ知っておきたい用語や仕組み(技術名称やサービス名称等)をいくつかピックアップし、それらについての概要やよくある疑問点等を解説しています。

同ページでは「組織編」「個人編」に分けて各種資料が掲示されています。
是非、情報セキュリティの向上にお役立てください。

#IPA #独立行政法人 #情報処理推進機構
#中小企業 #情報セキュリティ #対策 #ガイドライン
#中小企業の情報セキュリティ対策ガイドライン
#インシデント対応 #基本ステップ
#ウイルス感染 #ランサムウェア感染 #情報漏えい #システム停止

フィッシングレポート 2023 が公開されました

Emission Logo

フィッシング対策協議会の技術・制度検討ワーキンググループは、フィッシングの被害状況、フィッシングの攻撃技術・手法などをとりまとめた 「フィッシングレポート 2023」 を公開しました。

■ 本レポートの主な内容は以下のとおりです。

資料公開: フィッシングレポート 2023 の掲載について
●フィッシングの動向
 ‐ 国内の状況
 ‐ 海外の状況
 ‐ フィッシングこの一年‐フィッシングのターゲットとなっているブランド
 ‐ フィッシング URL 数の増加
 ‐ フィッシングで使用された多様な手法
 ‐ 「なりすまし」送信メールの継続
●WG の活動‐ 今年度の WG 活動
 ‐ フィッシング対策協議会各 WG の活動
 ‐ 認証方法、調査・推進 WG による調査結果
●SMSを用いたフィッシング詐欺についての意識調査
●フィッシングの被害‐ 保険会社を狙った新しいフィッシング被害
 ‐ ブランド名だけを差し替えるパターン化したフィッシングメール
 ‐ それでもなぜ人は騙されるのか~被害者の視点・詐欺犯の視点~
●フィッシングの対策‐ 最新の動向‐ フィッシングキットについて
 ‐ 企業による認証テクノロジーの採用と普及に関して
 ‐ フィッシングメールを利用者に届けないための事前対策 DMARC の reject 設定
 ‐ フィッシング詐欺の収益化を阻止する対策 クレジット決済の本人確認、複数認証義務化を検討
 ‐ フィッシングメール情報の利用者周知方法について
 ‐ FIDO とフィッシング耐性への期待
 ‐ ドメイン関連‐ ドメイン名の廃止にあたっての注意
 ‐ 悪用されたドメインの対応について
●まとめ

https://www.antiphishing.jp/report/wg/phishing_report2023.html

※該当ページに、フィッシングレポート 2023 ダウンロード (PDF 形式) があります。

フィッシング対策ガイドラインの改定(2023)

Emission Logo

フィッシング対策協議会の資料公開
フィッシング対策ガイドラインの改定が2023年も行われました。

資料公開: フィッシング対策ガイドラインの改定について
フィッシング対策協議会の技術・制度検討ワーキンググループは、事業者向けの 「フィッシング対策ガイドライン」 を改訂し、2023 年度版として公開いたしました。
昨今のフィッシング動向や新しい対策技術等をふまえ、要件の見直しを行いました。
■改訂内容
改訂した 2023 年度版は、過去からの経緯から増えていた要件を昨今の動向に合わせ整理・統合等を行いました。
◇ Webサイト運営者が考慮すべき要件を整理し、34要件から29要件に削減
◇ サーバー証明書の種類に関する記述の削除
◇ 事業者向けフィッシング詐欺対策ガイドラインから「利用者が考慮すべき要件」を削除し、「利用者向けフィッシング詐欺対策ガイドライン」に一本化

https://www.antiphishing.jp/report/guideline/antiphishing_guideline2023.html

※該当ページに、フィッシング対策ガイドライン ダウンロード (PDF 形式) があります。

後継機種 Check Point Quantum Spark 1500Pro アプライアンス のご案内

CheckPoint UTM(統合脅威管理)

ご提供開始日:2023年7月1日〜

新登場の中小規模組織向け次世代ファイアウォール Quantum 1500 Proシリーズ
・業界トップクラスの脅威防止
・大企業仕様の中小企業向け“オールインワン”セキュリティスイート
・新登場の中小企業向け次世代ファイアウォール Quantum Spark

チェック・ポイント、中小企業向けセキュリティスイートInfinity Sparkを発表
https://prtimes.jp/main/html/rd/p/000000193.000021207.html

  • Check Point Quantum Spark 1535
  • Check Point Quantum Spark 1555
  • Check Point Quantum Spark 1575
  • Check Point Quantum Spark 1595

※1500Proシリーズの詳細につきましては判明次第弊社CheckPoint UTMページにて掲載いたします。
※現行1500モデルの販売は在庫限りとなります。ご検討中のお客様はお急ぎください。
※なお、1500シリーズにつきましては販売終了後もサポートは継続いたします

CheckPoint Infinity Spark 1500Pro Series

DDoS攻撃への対策について(概要) 警察庁サイバー警察局/NISC

Cloudbric WAF+(クラウド型WAF)

DDoS攻撃への対策について
#警察庁サイバー警察局
#内閣サイバーセキュリティセンター
が連名で注意喚起を発出。

https://www.npa.go.jp/bureau/cyber/pdf/20230501.pdf
https://www.npa.go.jp/bureau/cyber/pdf/20230501gaiyo.pdf

※ただし昨年9月における #DDos攻撃 の発生状況
#警察庁 #NISC

#Cloudbric #WAF の導入をご検討ください。
Cloudbric WAF+(クラウド型WAF クラウドブリック)

「中小企業の情報セキュリティ対策ガイドライン」改訂版が公開(第3.1版)

「中小企業の情報セキュリティ対策ガイドライン」改訂版が公開(第3.1版)

「中小企業の情報セキュリティ対策ガイドライン」改訂版が公開されました。

関連法令等が最新の内容に更新され #テレワークセキュリティ に関する解説が追加。
さらに #インシデント対応 の基本的な手順を紹介する手引きも追加されました。

手引きではインシデント対応の基本ステップ「検知・初動対応」「報告・公表」「復旧・再発防止」のほか、各フェーズで求められるアクションを「ウイルス感染・ランサムウェア感染」、「情報漏えい」、「システム停止」の3つのケースごとに紹介されています。

#IPA #独立行政法人 #情報処理推進機構
#中小企業 #情報セキュリティ #対策 #ガイドライン
#中小企業の情報セキュリティ対策ガイドライン
#インシデント対応 #基本ステップ
#ウイルス感染 #ランサムウェア感染 #情報漏えい #システム停止

中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/guide/sme/about.html