カテゴリー: Webサーバー

SiteLock/Webサーバー/セキュリティ/ネットワーク関連

Webサイト改ざん監視サービスを導入する7つのメリット

by Emission株式会社
SiteLock(サイトロック)

Webサイト改ざん監視サービスを導入することで、以下のようなメリットを得られます。

1.法令遵守多くの国や地域では、個人情報保護やデータセキュリティに関する法令が厳しくなっています。改ざん監視サービスを導入することで、これらの法令を遵守しやすくなります。
2.セキュリティの強化改ざんを早期に検知し、迅速に対応することで、サイトのセキュリティを大幅に強化できます。これにより、データ漏洩や不正アクセスのリスクを低減できます。
3.信頼性の向上ユーザーに対して安全な環境を提供することで、サイトの信頼性が向上します。特に、顧客情報を扱うサイトでは、信頼性の確保が重要です。
4.ブランドイメージの保護改ざんによる被害が発生すると、ブランドイメージが大きく損なわれる可能性があります。監視サービスを導入することで、ブランドイメージを保護し、顧客の信頼を維持できます。
5.検索エンジンからの流入対策危険性のあるWebサイトとして検索エンジンに認知され警告を受ければ、検索エンジン経由の流入が激減します。
6.自動化と効率化監視サービスは自動化されているため、手動での監視作業が不要になります。これにより、IT部門の負担を軽減し、他の重要な業務に集中できます。
7.コスト削減改ざんが発生した場合の修復コストや、信頼性低下によるビジネス損失を防ぐことができます。長期的には、監視サービスの導入がコスト削減につながります。

これらのメリットを考慮すると、Webサイト改ざん監視サービスの導入は、セキュリティ対策として非常に有効です。

まとめ

Webサイト改ざん監視サービスを導入することで、セキュリティが強化され、改ざんを早期に検知・修復できます。これにより、データ漏洩や不正アクセスのリスクを低減し、サイトの信頼性が向上します。また、法令遵守やブランドイメージの保護にも寄与し、長期的なコスト削減が期待できます。自動化された監視により、IT部門の負担も軽減されます。

自社サイト/サービスの利用者さまへ最大限の安心をお届けするために

Webサイト改ざん監視/検知/対策サービスをお探しなら

SiteLock(サイトロック)
Cloudbric WAF+/Cloudbric WMS for AWS/IT-BCP対策(事業継続計画)/Webサーバー/セキュリティ/ネットワーク関連

Webアプリケーションファイアウォール(WAF)を導入すべき業種トップ10(2025年2月版)

by Emission株式会社
Webアプリケーションファイアウォール(WAF)を導入すべき業種トップ10(2025年2月版)

1位:金融業界(銀行・証券・保険)

理由:

  • クレジットカード情報、口座情報を狙うサイバー攻撃が頻発
  • 標的型攻撃フィッシング詐欺による被害リスクが高い
  • PCI DSS(カード情報保護規格)に準拠するためにもWAFは必須

主な攻撃例: SQLインジェクション, XSS, DDoS

2位:ECサイト・オンラインショップ

理由:

  • クレジットカード決済や個人情報を扱い、データ漏洩の危険がある
  • 不正注文、クレジットカード詐欺、BOT攻撃に狙われやすい

主な攻撃例: SQLインジェクション, CSRF, クレデンシャルスタッフィング攻撃(Credential Stuffing)

3位:医療機関(病院・クリニック・医療SaaS)

理由:

  • 電子カルテ(EHR(電子健康記録)/EMR(電子医療記録)/PHR(個人健康記録))やオンライン資格確認など患者情報の流出リスク
  • ランサムウェアDDoS攻撃による業務停止が命にかかわる問題となり致命的

主な攻撃例: ランサムウェア, API攻撃, データ漏洩

4位:政府・自治体・公共機関

理由:

  • 国家レベルのサイバー攻撃(APT)のターゲットになりやすい
  • 行政サービスを提供するウェブシステムの停止は社会的影響が大きい

主な攻撃例: Webサイト改ざん, DDoS, APT攻撃(Advanced Persistent Threat)

5位:IT・SaaS企業(クラウドサービス提供者)

理由:

  • クラウド環境で複数の企業やユーザーのデータを扱うため、脆弱性の影響が大きい
  • APIエンドポイントを狙った攻撃が増加

主な攻撃例: API Abuse, BOLA(Broken Object Level Authorization)

6位:教育機関(大学・研究機関・オンライン教育)

理由:

  • 学生・教職員の個人情報を守る必要がある
  • 研究データ・知的財産の流出リスクが高い

主な攻撃例: Webサイト改ざん, フィッシング, データ窃取

7位:メディア・エンターテイメント(ニュースサイト・動画配信)

理由:

  • フェイクニュースの拡散やサイト改ざんによる社会的影響とリスク
  • DDoS攻撃によるサービス停止の影響が大きい

主な攻撃例: Webスクレイピング, DDoS, サイト改ざん

8位:製造業(スマートファクトリー・IoT関連)

理由:

  • 産業用IoT(IIoT)の普及でサイバー攻撃が急増
  • 競争優位性を守るための知的財産保護が必要

主な攻撃例: API攻撃, サプライチェーン攻撃

9位:通信業界(ISP・クラウド・データセンター)

理由:

  • 大規模なインフラを運営しているため、一度攻撃されると被害が甚大
  • ユーザーのプライバシーデータを大量に扱う

主な攻撃例: DDoS, DNS攻撃, API攻撃

10位:ゲーム業界(オンラインゲーム・eスポーツ)

理由:

  • DDoS攻撃によるサーバーダウンが頻発
  • アカウント乗っ取りによる不正取引・詐欺が発生

主な攻撃例: DDoS, Credential Stuffing, Bot攻撃

まとめ:WAFが必須な理由

攻撃の自動化が進んでおり、無防備なサイトは簡単に狙われる
APIセキュリティが新たな脆弱ポイントになっている
ゼロデイ攻撃や最新の脅威に対応できるWAFが求められる

どの業種でも「データを守ること」がビジネス継続(IT-BCP)の鍵。
WAFはその最前線の防衛手段として必須のサイバーセキュリティです。

環境と要件にあわせて選べるWAF形態

Cloudbric WAF+(クラウド型WAF クラウドブリック)およびCloudbric WMS for AWSは、それぞれペンタセキュリティ株式会社のクラウドサービス型(SaaS型)とAmazon AWSのWAFサービスに特化した運用サービスの名称です。
弊社では、お客様の環境と要件にあわせたWAFをご案内しております。

Cloudbric WAF+(クラウド型WAF クラウドブリック)
Cloudbric WMS for AWS
Cloudbric WAF+/Cloudbric WMS for AWS/IT-BCP対策(事業継続計画)/Webサーバー/セキュリティ/ネットワーク関連

【DDoS攻撃】2024年年末から2025年年始に相次ぐサイバー攻撃 46の組織が標的に

by Emission株式会社
Emission Logo

2024年12月末から新年2025年1月にかけ、「DDoS(ディードス)攻撃」を原因とするトラブルが相次いでいます。

セキュリティー会社が分析したところ、国内の航空会社や金融機関などあわせて46の組織が攻撃の標的となっていたことが分かりました。(トレンドマイクロ社2025年年始の情報)

DDoS攻撃は「Distributed Denial-of-Service(分散型サービス拒否)」攻撃の略で、特定のサーバやサービス、またはネットワークに対して大量のインターネットトラフィックを送り込むことで、正常なトラフィックを妨害し、サービスを利用できなくする攻撃のことです。

DDoS攻撃者の目的は、単なるいたずらや、競合企業や個人への嫌がらせや妨害、政治的な意見表明や社会問題への抗議などさまざまですが、そのいずれもがターゲットサイトのサーバをダウンさせ、ユーザーのアクセスを遮断することです。
これにより、被害に遭った企業は大きな損失が生じます。
例えば、競合他社が市場シェアを獲得するために利用したり、政治的な目的を達成するために政府機関のWebサイトを攻撃するケースがあります。

また、DDoS攻撃はオンラインセキュリティに深刻な問題を引き起こすことがあるため、個人情報やクレジットカード情報、財務情報を盗むために用いられるケースも想定されます。

▼ 2024年末から2025年始にDDoS攻撃を受けたと見られる主な企業の情報
障害発生日企業名主な被害情報/障害情報
2024年12月26日日本航空(JAL)社内外をつなぐネットワーク機器で障害が発生、社外システムと通信しているシステムで不具合が発生
自動チェックイン機が停止
2024年12月26日三菱UFJ銀行「三菱UFJダイレクト」「BizSTATION」「COMSUITE Portal」でログインが不安定な事象が発生
生体認証(顔認証、指紋認証)に使用するシステムの利用が不安定に
2024年12月29日
2025年01月07日		りそな銀行
関西みらい銀行
埼玉りそな銀行
みなと銀行		「マイゲート」「りそなグループアプリ」がつながりにくい事象が発生
2024年12月31日みずほ銀行「みずほダイレクト」「かんたん残高照会」が断続的につながりにくい事象が発生
2025年01月02日NTTドコモ「gooサービス」、ドコモの「dメニュー」が利用しにくい事象が発生
2025年01月05日
2025年01月09日		日本気象協会天気予報専門メディア「tenki.jp」のWeb版が利用しにくい事象が発生
2025年01月06日
2025年01月08日		三井住友カード「Vpass(Web・アプリ)」がつながりにくい事象が発生

2025年は企業規模の大小にかかわらず、Webサービス等の接続障害を引き起こし、サーバー上の情報を盗み出そうとするDDoS攻撃の増加が予想されます。
大企業のみならず、中小企業にもIT-BCPの観点からのWAF(Web Application Firewall)導入が望まれます。

[PDF] DDoS 攻撃への対策について(注意喚起)
2025年2月4日
内閣サイバーセキュリティセンター
https://www.nisc.go.jp/pdf/news/press/20250204_ddos.pdf

WAF(Web Application Firewall)導入は弊社までご相談ください。

Cloudbric WAF+(クラウド型WAF クラウドブリック)
Cloudbric WAF+/Cloudbric WMS for AWS/Webサーバー/セキュリティ/ネットワーク関連

Webサーバー SSL/TLS証明書安全性評価

by Emission株式会社

正しいSSL/TLS証明書証明書を利用していても、Webサーバーの設定が正しく行われていなかったり、利用暗号セットが古かったりすると、せっかくのSSLの目的が果たせなくなります。
また、サーバーアプリケーションで新しい脆弱性が発見されることも少なくありません。
運営しているSSLサイトの機密性・安全性を確保するために、Webサーバーの定期的な安全性チェックは必須です。

しかし、Webサーバーの暗号化通信が正しく機能するための要素は複数あり、一般的なサイト管理者には理解しにくい要素も少なくありません。
SSLサイト評価の定期的な評価に使えるのが、以下に紹介する SSL Server Test(Powered by Qualys SSL Labs)です。SSL Server Test(Powered by Qualys SSL Labs)は、SSL/TLS証明書の設定状況の確認や安全性診断などが無料で行えるサイトです。

是非自社のWebサーバーを診断し、結果が芳しくない場合は対処をご検討ください。
自社で対応が困難な場合は、弊社までお気軽にご相談ください

SSL Server Test(Powered by Qualys SSL Labs)
https://www.ssllabs.com/ssltest/

サイトの利用方法

SSL Server Test(Powered by Qualys SSL Labs)

Hostname欄にホスト名(例えば、www.example.com)を入力して Submitボタンをクリックします。
結果がこのページに表示されたくない場合は、「Do not show the results on the boards」にチェックを入れて Submitボタンをクリックしてください。

評価結果

Qualys SSL Labsによる評価結果は、「A」、「B」、「C」のようなレートで示されます。
評価項目は、グラフ表示の「Certificate(証明書)」「Protocol Support(サポートされているプロトコル)」「Key Exchange(鍵交換)」「Cipher Strength(暗号強度)」で、100点満点で表示されます。

SSL Server Test(Powered by Qualys SSL Labs)

B 以下の場合、サーバーの設定内容に既知の脆弱性に対する問題が見つかっていることがあり、対応が必要です。

SSL Server Test(Powered by Qualys SSL Labs)

「F」や「T」、「Err」のようなレートで示された場合、脆弱性の問題、設定が適切になされていない等の問題があります。
早急な対応が必要となります。

こちらの製品がセキュリティの向上に有効です

WAF(Web Application Firewall)はWebサーバーとWebアプリケーションの間に配置され、HTTP通信を監視し悪意のある攻撃を検知してブロックすることができます。
WAFは、Webサーバーへのリクエストに不正なOSコマンドを挿入しサーバー上で不正な操作を行わせるOSコマンドインジェクションを防ぎ、サーバー内ファイルの改ざんや情報漏洩を防止することができます。
WAFであるCloudbric WAF+を導入することにより、SSL証明書の提供も同時に行うことができるため、Webサイトのセキュリティがさらに向上し、改ざんや不正利用を防ぐことが期待できます。

Cloudbric WAF+(クラウド型WAF クラウドブリック)

Cloudbric WAF+/Cloudbric WMS for AWS/Webサーバー/お知らせ

総務省後援「ASPICクラウドアワード2023」にて「Cloudbric WAF+」と「Cloudbric WMS」が先進技術賞を受賞

by Emission株式会社
総務省後援「ASPICクラウドアワード2023」にて「Cloudbric WAF+」と「Cloudbric WMS」が先進技術賞を受賞

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(本社:韓国ソウル、日本法人代表取締役社長:陳 貞喜、以下ペンタセキュリティ)は、第17回ASPICクラウドアワード2023(主催:一般社団法人日本クラウド産業協会、後援:総務省等)において、「Cloudbric WAF+」が支援業務系ASP・SaaS部門の「先進技術賞」、「Cloudbric WMS for AWS」がAI部門の「先進技術賞」を受賞したことをお知らせします。

■「Cloudbric WAF+」について

「Cloudbric WAF+(クラウドブリック・ワフプラス)」は、企業向けクラウド型WAFサービスです。日本・韓国・米国で特許を取得した論理演算検知エンジンを搭載したWAFはもちろん、DDoS攻撃、SSL証明書、脅威IP遮断、悪性ボット遮断サービスまで備えており、これひとつで多様化するサイバー攻撃から企業のWebシステムを保護します。また、マネージドサービス付きで、社内にセキュリティの専門家がいなくても手軽に運用・導入が可能です。

Cloudbric WAF+(クラウド型WAF クラウドブリック)

■「Cloudbric WMS for AWS」について

「Cloudbric WMS for AWS(クラウドブリック・ダブリューエムエス)」は、AWS WAFに特化した運用サービスです。高度な攻撃検知力、適切なルール作成と反映、新規脆弱性や誤検知の対応など、AWS WAFの導入から運用までをセキュリティエキスパートがサポートします。24時間365日のモニタリングとサポート体制も完備しており、 専門知識やリソースがない企業のWAF運用を支援します。また、Cloudbricは「AWS WAF レディプログラム」のローンチ パートナーに認定されています。

Cloudbric WMS for AWS

■ASPICクラウドアワードについて

ASPICクラウドアワードは、一般社団法人日本クラウド産業協会(略称:ASPIC、所在地:東京都品川区、会長:河合 輝欣)が、日本国内で優秀かつ社会に有益なクラウドサービスに対し、総務大臣賞、アワード総合グランプリ、各部門総合グランプリ、他各賞の表彰を行います。これにより、クラウド事業者およびユーザー企業の事業拡大を支援し、クラウドサービスが社会情報基盤として発展・確立することの一助になることを目的としています。

https://www.aspicjapan.org/event/award/17/index.html

Cloudbric WAF+/Cloudbric WMS for AWS/IT-BCP対策(事業継続計画)/Webサーバー/セキュリティ/ネットワーク関連

DDoS攻撃への対策について(概要) 警察庁サイバー警察局/NISC

by Emission株式会社
Cloudbric WAF+(クラウド型WAF)

DDoS攻撃への対策について
#警察庁サイバー警察局
#内閣サイバーセキュリティセンター
が連名で注意喚起を発出。

https://www.npa.go.jp/bureau/cyber/pdf/20230501.pdf
https://www.npa.go.jp/bureau/cyber/pdf/20230501gaiyo.pdf

※ただし昨年9月における #DDoS攻撃 の発生状況
#警察庁 #NISC

#Cloudbric #WAF の導入をご検討ください。
Cloudbric WAF+(クラウド型WAF クラウドブリック)

Cloudbric WAF+(クラウド型WAF クラウドブリック)
Cloudbric WAF+/Cloudbric WMS for AWS/Webサーバー/セキュリティ/ネットワーク関連

Cloudbric WAF+とAWS WAFの違いについて教えてください

by Emission株式会社
Cloudbric WAF+(クラウド型WAF)

Cloudbric WAF+とAWS WAFは、共にWebアプリケーションファイアウォール(WAF)ですが、それぞれ異なる特徴を持っています。

以下は、Cloudbric WAF+とAWS WAFの主な違いです。

  • 提供元:Cloudbric WAF+は、ペンタセキュリティシステムズ社が提供しているWAFです。AWS WAFは、Amazon Web Services(AWS)が提供しているWAFです。
  • 導入方法:Cloudbric WAF+は、クラウドベースで提供されており、WebサイトにDNSを設定するだけで簡単に導入できます。AWS WAFは、AWSの他のサービスと統合されているため、より高度な機能を提供していますが、導入にはAWSの知識が必要です。
  • AIエンジンの有無:Cloudbric WAF+には、AIエンジンが搭載されており、異常なトラフィックを検出し、リアルタイムで対応することができます。AWS WAFには、AIエンジンは搭載されていません。
  • DDoS攻撃への対応:Cloudbric WAF+には、DDoS攻撃への防御機能が含まれており、AWS WAFでもDDoS攻撃への対応が可能ですが、別途AWS Shieldというサービスを使用する必要があります。
  • 料金体系:Cloudbric WAF+は、Pay-as-you-goの料金体系を採用しており、必要に応じて使用料金が発生します。AWS WAFも同様の料金体系を採用していますが、AWS WAFを使用するためには、AWSの他のサービスとの統合が必要な場合があり、それらのサービスの使用料金も加算されます。

以上が、Cloudbric WAF+とAWS WAFの主な違いです。どちらのWAFが適しているかは、使用目的や予算、システムの規模などによって異なるため、それぞれの特徴を比較して選択する必要があります。

Cloudbric WAF+(クラウド型WAF クラウドブリック)

弊社では、AWS WAF用のルールセットとなるCloudbric WMS for AWSの取り扱いもございます。
無償トライアルのお申込みもお承りいたしますのでお気軽にお問い合わせください。

Cloudbric WMS for AWS