アカマイが“クラウドベースのWAF”を実現、PCIDSS準拠ネットワークとして提供
アカマイ株式会社は5月20日、クラウドベースのWebアプリケーションファイアウォールモジュール(以下、WAFモジュール)を発表した。アカマイのサーバーネットワーク「EdgePlatform」上に実装されるWAFで、攻撃トラフィックがデータセンターに届く前に防御できるのが特長。これを利用して、クラウド上で安全なクレジットカード決済用ネットワークを提供する「PCIDSS完全準拠サービス」も、同日からスタートする。 WAFモジュールは、SQLインジェクションやクロスサイトスクリプティングなどのHTTP攻撃から、Webアプリケーションを防ぐためのセキュリティモジュール。世界中のアカマイネットワーク上に4万台分散されたサーバー群・EdgePlatform上に実装される。データセンター側に専用ハードウェアを設置しなくて済むほか、保守・運用もアカマイが行うため、ユーザーはWAFの運用コストを削減できる。
「データ漏えいの大半は、PCI DSSのような基本的対策で回避できる」-Verizon Business
「データ漏えいの大半は、PCI DSSのような基本的対策で回避できる」-Verizon Business Verizon Businessは4月23日、データ漏えい/侵害調査報告書に関する記者説明会を開催。グローバルサービス本部長のヴェニュ・サティラジュ氏が、「2008年に漏えいしたデータは過去4年間の合計よりも多く、漏えいの90%に何らかの犯罪組織/グループが関与している」など主な分析結果を解説した。 2008年にVerizon Businessが取り扱った90件のデータ漏えい/侵害事件、および2億8500万件に上る被害データを分析したもの。漏えいデータの数は、2004年から2007年までに調査した2億3000万件を大きく上回るもので、侵害の増加を示された。 業種としては小売り業(31%)、金融業(30%)に被害が多く、特に金融業はこれまでの2倍と、最も増加が著しかった。被害データ数が急
「PCI DSSの審査基準を高めるべき」-脆弱性スキャンベンダーの米nCircleが語る
PCI DSS準拠の認定を受けるには、カード情報取扱件数に応じて、訪問審査機関(QSA)、脆弱性スキャニングベンダー(ASV)、あるいは自己問診などのチェックをパスしなければならない。企業が実施したセキュリティ対策が十分なのか、不足している点はないか。こうした審査を行う機関によって、PCI DSSの有効性は保たれている。今回は、2007年以来、ASV認定を受ける米nCircleのVice President of Product Management、マーク・ウッド氏に話を聞き、審査機関の視点からPCI DSSの現状を探ってみた。 ■ 活発化するPCI DSS準拠への動き nCircle社は、セキュリティ・コンプライアンス監査ツール「nCircle Suite360」を提供するベンダーだ。いくつかラインアップはあるが、そのうちの脆弱性管理システム「nCircle IP360」で、2007年
BBSec、ネットワーク・Web脆弱性診断を制限付きで無償提供
株式会社ブロードバンドセキュリティ(以下、BBSec)は4月9日、ネットワークやWebアプリケーションの脆弱性を毎日自動診断する「CrackerGuard」を利用した無償スキャニングサービスを発表した。 CrackerGuardは、インターネット越しから自動的にセキュリティ診断を行う独自のツール。ネットワークスキャン、ネットワーク脆弱性診断、Webアプリケーション脆弱性診断を毎日実施し、日々の診断結果をWeb上で確認できるのが特長。ログイン認証後のWebページの脆弱性自動診断にも対応する。 今回のサービスは、同ツールを利用した無償スキャニングサービス。有償版の前に試用したいというニーズに応えたもの。検査内容は有償版と変わらず、すべての診断項目を検証するが、結果レポートの内容が異なる。 有償版では、脆弱性の数・詳細・対処法などが詳細に報告されるが、無償版レポートでは、6段階のリスクレベル別脆
米FortinetがWAF市場に参入、トータルセキュリティの提供目指す
米Fortinetは2月17日(米国時間)、Webアプリケーションファイアウォール(WAF)アプライアンス「FortiWebシリーズ」を発表した。まず、中/大規模向けの「FortiWeb-1000B」を提供する。 もともとはUTM(統合脅威管理)アプライアンスの専業ベンダーとして知られる同社だが、2008年には、米IPLocksから取得した技術をもとにデータベースセキュリティアプライアンス「FortiDB」をリリースし、アプリケーションセキュリティの分野に進出。今回のWAF提供で、さらに同分野に本腰を入れてきた。 これについてFortinetのCTO、マイケル・ジー氏は、「顧客から特定の領域でセキュリティを高めたいという要望をもらっている。Web サービスはエンタープライズでも一般的になり、社内的にWebサーバーが増えていることもあって、その保護に対する需要は増えている」と述べ、事業領域の
NTT Com、PCのHDDを丸ごと乱数化する「Drive Protector Advance」
エヌ・ティ・ティ・コミュニケーションズ株式会社(以下、NTT Com)は2月19日、PCのHDDを丸ごと乱数化し、強固なセキュリティを実現する「Drive Protector Advance(以下、DPA)」を発表した。2月20日から提供開始する。 DPAは、持ち出しノートPC向けのセキュリティソリューション。NTT Comが独自開発したアルゴリズムによりHDDを丸ごと乱数化し、乱数データをPCと専用のUSBメモリに分割して保存。どちらか一方を紛失してもデータを復号されることはないので、強固なセキュリティを実現するという。 USBメモリをPCに着脱することで、乱数化や復元が行われる。HDD全体を乱数化するため、乱数化すべきファイルの選定を誤るなどのトラブルは発生しないという。さらにアルゴリズムはシンプルな計算式を用いるため、従来の暗号化技術より高速な処理が可能。また、既存の暗号鍵を利用した
Webアプリの脆弱性は5+1の分類で把握せよ-NTTデータCCS長谷川氏
NTTデータCCS、アウトソーシング事業本部 ネットワークサービス部 シニアセキュリティスペシャリストの長谷川武氏 昨今、情報セキュリティの維持は企業において重要な課題となっている。特に2008年は多発したSQLインジェクション攻撃によりWebサイト改ざんや情報漏えいが引き起こされ、Webアプリケーションセキュリティ(WAS)の重要性を心に刻みつけた1年だった。 なぜ、Webアプリケーションの脆弱性はこうも甚大な被害を生み出すのか。WAS事業を展開している住商情報システム(以下、SCS)主催のWebアプリケーション開発者向けセミナーに登壇した、NTTデータCCS アウトソーシング事業本部 ネットワークサービス部 シニアセキュリティスペシャリストの長谷川武氏は、次のように説明する。同氏は脆弱性検査の豊富な経験を持ち、IPAで非常勤研究員としても活躍するWASの第一人者だ(なお、細かい表現は筆
USBメモリ経由のマルウェアはなぜ急増したのか?-ラックが2008年を総括
株式会社ラックは12月18日、2008年の情報セキュリティを総括する記者説明会を開催した。 「今年もWebからの脅威が中心だった」と1年を振り返るサイバーリスク総合研究所 先端技術開発部の新井悠氏。マルウェア作成サイトや感染PCリストを50ドル/月で購入できるサービスが登場するなど、犯罪者にとってのツールも整い出しているという。そうした状況下で、新井氏が2008年のセキュリティトレンドとして挙げたのは、「USBメモリ経由のマルウェア」「偽ウイルス対策ソフトの押し売り行為」「標的型攻撃」だった。 ■ USBメモリ内のマルウェアはどこからやってくるのか 可搬型媒体の脅威としては、紛失・盗難による情報漏えいなどさまざまあるが、中でも2008年は「USBメモリ経由のマルウェア感染」に騒然となった1年だった。トレンドマイクロの調査でも、1月の時点では0件だった同感染事例が2月以降増え始め、11月~1
東芝ITサービスが説明会開催、ホスト型診断ツールの必要性をアピール
東芝ITサービス株式会社は10月3日、脆弱性診断ツールに関する説明会を開催した。 ITシステムのセキュリティレベルは、対策直後は高くても、例えば、退職者アカウントの消し忘れや作業ミスが起こったり、新しい攻撃が発生したり、といったことから、時間とともに低くなってくる。このため、定期的に脆弱性の診断を行って改善を加えていく必要があり、脆弱性の診断ツールもよく使われるようになった。しかし、サポート&サービス統括部 設計部の櫻井俊郎部長によれば、“診断ツール”に落とし穴があるのだという。 脆弱性診断ツールには、ネットワーク越しにサーバーの状態をチェックする「ネットワーク型」と、サーバー上でプログラムを実行する「ホスト型」の2種類が存在するが、「一度にたくさんのサーバーを検査できることから、圧倒的にネットワーク型が多く使われている」(櫻井氏)。ネットワーク型は、外部から検査をする性質上、ネットワーク
米カーネギーメロン大、HTTPS通信を安全にするFirefox向け拡張機能公開
米カーネギーメロン大学コンピュータ科学部の研究者らが8月28日(米国時間)、SSH/SSL通信での攻撃を防止するためのFirefox 3向け拡張機能「Perspectives」を公開した。Linux、Windows、Mac OS Xに対応。同大学のWebサイトから無料でダウンロードできる。 Perspectivesは、米VeriSignの認証局が署名したPKIを利用していない自己署名型Webサイトと安全な通信を確保するための層を提供する。こうした自己署名型Webサイトに接続した場合、Firefoxはセキュリティエラーメッセージを出すが、Perspectivesは新しいアプローチによって、サイトの有効性を確認して自動でエラーメッセージを上書きする。ユーザーは間違ったステップを踏むことなく、シンプルに安全性を確認できるという。 具体的には、「ネットワーク公証サーバー」と呼ぶ公開サーバーを立ち上
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
