SlideShare a Scribd company logo

[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGuard」の効果と利用事例 by 株式会社ジェイピー・セキュア 矢次弘志

Insight Technology, Inc.
Insight Technology, Inc.

ホームページ改ざんや情報流出など、ウェブサイトを介したセキュリティ事故が多発しています。これらの脅威は業種や規模を問わず、ウェブサイトを運営するすべての方にとって深刻な問題です。本セッションでは、脅威の動向をご説明するとともに、対策として急速に活用が進むWAF「SiteGuard」の効果や利用事例についてご紹介します。

Technology
1 of 28
Download to read offline
Copyright © JP-Secure Inc. All rights reserved. ホームページ改ざんや情報流出からWEBを守る︕ 2015年9月11日 株式会社ジェイピー・セキュア 矢次弘志 data security showcase 〜WAF「SiteGuard」の効果と利⽤事例
Copyright © JP-Secure Inc. All rights reserved. 会社概要 会社名 株式会社ジェイピー・セキュア 設⽴ 2008年7月(5月決算) 資本⾦ 1100万円 代表者 代表取締役 菅原修 所在地 神奈川県川崎市幸区堀川町66-2 興和川崎⻄⼝ビル2階 取引銀⾏ 三井住友銀⾏ 横浜銀⾏ 川崎信⽤⾦庫 業務内容 セキュリティ製品の開発、販売、サポート 事業分野 WAF製品「SiteGuardシリーズ」ベンダ事業 WordPressプラグイン「SiteGuard WP Plugin」作者 2
Copyright © JP-Secure Inc. All rights reserved. 本日のテーマ 1. ウェブサイトのセキュリティ動向 2. WAF動向 3. 国産ソフトウェアWAF「SiteGuard」 3
Copyright © JP-Secure Inc. All rights reserved. 1. ウェブサイトのセキュリティ動向 2. WAF動向 3. 国産ソフトウェアWAF「SiteGuard」 4
Copyright © JP-Secure Inc. All rights reserved. ウェブサイトの脅威 「xx件の個⼈情報が流出した」 ウェブサイトのセキュリティ対策は急務 情報流出 「ページがxxな画像に書き換えられた」 コンテンツ改ざん 「利⽤者がマルウェアに感染した」 踏み台への悪用 サイト停止 信用失墜 機会損失 ブラックリスト化 損害賠償 風評被害 5
Copyright © JP-Secure Inc. All rights reserved. 不正アクセスの経路 不正アクセスに悪⽤される経路は、主に2つ ■管理者、ユーザのログイン経路 FTP/SSHによるログイン、CMS等の管理ページへの不正ログイン ■ウェブアプリケーションやミドルウェアの脆弱性 脆弱性が放置されているサイト、対策漏れのサイトへの攻撃 6
Copyright © JP-Secure Inc. All rights reserved. ウェブサイトを標的とした攻撃のトピックス ■SQLインジェクション、クロスサイトスクリプティング ウェブサイトの事故原因として今なお割合高い。 ■Apache Strutsの脆弱性 対策ができず、サイト停止に陥る事態も多数発生。 ■bashの脆弱性(通称︓ShellShock) 被害が多数発生し、現在も攻撃通信が確認されている。 ■HTTP.sysの脆弱性 OSを強制停止させる実証コードが公開され、多くの関係機関が注意喚起。 7
Copyright © JP-Secure Inc. All rights reserved. 脆弱性による損害は誰の責任︖ • SQLインジェクションが原因で、オンラインショップから個⼈情報が⼤量に流出し た事故で、ショップ側が開発会社を相手取り、損害賠償請求。 • 経産省やIPAが個⼈情報漏洩対策に注意喚起をし、「バインド機構の使⽤⼜はエス ケープ処理」を推奨していた。開発会社がこれらの対策を怠ったとして、債務不履 ⾏責任を認めた。 ■SQLインジェクションの対策漏れの責任を開発会社に問う判決 8
Copyright © JP-Secure Inc. All rights reserved. 難しい脆弱性「ゼロ」 ■ウェブサイトの修正に要した日数 ※出典︓IPA 3割強が脆弱性の修正に90日以上を要する 9
Copyright © JP-Secure Inc. All rights reserved. 脆弱性対策の考え方 ウェブサイトをセキュアに構築すること (セキュア開発、脆弱性検査&修正) 10
Copyright © JP-Secure Inc. All rights reserved. 1. ウェブサイトのセキュリティ動向 2. WAF動向 3. 国産ソフトウェアWAF「SiteGuard」 11
Copyright © JP-Secure Inc. All rights reserved. WAF(Web Application Firewall)の役割 WAF WEB 情報漏えい 踏み台 改ざん IPS WEBアプリ WEBサーバー OS ネットワーク WEBアプリケーションの脆弱性を悪用した攻撃から WEBを保護するソリューション ShellShock(bashの脆弱性) Apache Strutsの脆弱性 HTTP.sysの脆弱性 Apache Killer(Apacheの脆弱性) etc… SQLインジェクション クロスサイトスクリプティング パスワードリスト攻撃 ディレクトリトラバーサル etc… 12
Copyright © JP-Secure Inc. All rights reserved. WAFは⼀部の⼤企業だけが使うもの︖ 大企業 中堅Hクラス 中堅Mクラス 中堅Lクラス 中小企業 小規模・SOHO 個人 普及進む 42% (MM総研、2013年調べ) 標準化の 流れ 13
Copyright © JP-Secure Inc. All rights reserved. 気づかないところで使われているWAF 14
Copyright © JP-Secure Inc. All rights reserved. 導入のきっかけ • インシデント対応 • 危険性の高い(かつ対処できない)脆弱性 • 機器リプレース・システム更改 • オンプレからクラウドへの移⾏ • 他社事例 • 制度対応や独⾃ポリシーへの準拠 15
Copyright © JP-Secure Inc. All rights reserved. 参考情報)攻撃兆候検出ツール「iLogScanner」 16
Copyright © JP-Secure Inc. All rights reserved. 1. ウェブサイトのセキュリティ動向 2. WAF動向 3. 国産ソフトウェアWAF「SiteGuard」 17
Copyright © JP-Secure Inc. All rights reserved. 国産ソフトウェアWAF「SiteGuard」シリーズ ゲートウェイ型 ホスト型 • ネットワーク構成を変えたくない • 管理するサーバを増やしたくない • 小規模環境でコストを抑えたい シンプル x 防御性能 x 国産 (プロキシ動作) (ウェブサーバーのモジュール動作) • ウェブサーバと独⽴させたい • 複数のウェブを1台で守りたい • 稼働中のウェブサーバへ導入できない 18
Copyright © JP-Secure Inc. All rights reserved. 製品コンセプト 19 こういう設定をすればこんなことができる ではなく デフォルトでこんなにもできる
Copyright © JP-Secure Inc. All rights reserved. 特⻑① 〜シンプル シグネチャベースの防御機能で 導⼊・運⽤が容易 WEB javascript: alert(document.cookie) WAF • 拒否 • 監視 • フィルタ 20
Copyright © JP-Secure Inc. All rights reserved. 導入ステップ • RPM/TAR.GZパッケージ及びスクリプト実⾏による簡単インストール • 設定管理はウェブ管理画⾯ベース ■ステップ① 管理画⾯へのログイン ■ステップ② ライセンス登録 ■ステップ③ シグネチャ検査の有効化 • シグネチャ更新 • 監視URL登録 • 通知設定 • 検出メッセージ編集 (必要に応じて) 21
Copyright © JP-Secure Inc. All rights reserved. 特⻑② 〜防御性能 デフォルト設定で高い防御性能を実現 大項目 小項目 F社 C社 I社 B社 JPS 検知漏れの 有無 ⽂字列、情報窃取 ○ ○ ○ ○ ○ ⽂字列、改竄 ○ ○ △ ○ ○ 数値、情報窃取 ○ △ ○ ○ ○ 数値、改竄 ○ △ △ ○ ○ 最新の⾼度な攻撃 ○ × △ × ○ 過剰検知の有無 × × × ○ ○ 攻撃ツールに よる検証 HDSI ○ ○ ○ ○ ○ Pangolin ○ ○ △ ○ ○ 年⽉ 概要 主な注意喚起 SiteGuard 2015/4 HTTP.sysの脆弱性 2015/4/15 2015/4/16 2014/9 bashの脆弱性(ShellShock) 2014/9/25 2014/9/25 2014/4 Apache Struts2の脆弱性 2014/4/17 2014/4/17 2013/7 Apache Struts2の脆弱性 2013/7/19 2013/7/19 2011/12 phpMyAdminの脆弱性 2011/12/16 2011/12/20 2011/8 Apacheの脆弱性(Apache Killer) 2011/8/31 2011/8/26 ■第三者による防御性能の比較検証 ■新しい脅威への対応スピード(対応事例) 迅速な シグネチャ提供 デフォルト設定 で最高評価 ※出典︓⽇経SYSTEMS 「検証ラボ WAFでWebアプリの脆弱性を守れるか」 ※出典︓JPCERT/CCほかセキュリティベンダの公開情報より 22
Copyright © JP-Secure Inc. All rights reserved. 特⻑③ 〜国産 高品質で”ウェット”なテクニカルサポート スピード 技術レベル 柔軟性 「導入からテストまでいろいろと対応していただきました。案外、そうい うベンダってないんですよ。そのベンダがわかってることは、当然即答で 返ってくる。そうでない場合の対応は、ものすごく時間がかかったり、結 果わからなかったり。実際に作った人がそこにいれば別ですけど、普通い ないじゃないですか。SiteGuardに関しては、非常にクイックな対応をして いただけました。結果、我々としても非常に安心してお客様にシステムを ご提供できている。」 23
Copyright © JP-Secure Inc. All rights reserved. 実績 メガバンクから個人まで保護対象は数十万サイト サービス 25% IT 20%公共 12% 製造 11% ⾦融・保険 9% 卸・小売 8% 通信・メディア 5% 教育 4% • 業種・規模を問わず幅広い環境に対応する柔軟性 • 数十台、数百台規模で稼働する安定性 24
Copyright © JP-Secure Inc. All rights reserved. ライセンス価格 区分 型番 商品名 標準価格(単価) ■ゲートウェイ型WAF 「SiteGuard」 新規 JSSGL11-001 SiteGuard 新規 1,780,000 更新 JSSGL91-001 SiteGuard 更新 534,000 ■ホスト型WAF 「SiteGuard Lite」 新規 JSSLL11-001 SiteGuard Lite 新規(1) 252,000 JSSLL11-005 SiteGuard Lite 新規(2〜5) 216,000 JSSLL11-010 SiteGuard Lite 新規(6〜10) 192,000 更新 JSSLL91-001 SiteGuard Lite 更新(1) 126,000 JSSLL91-005 SiteGuard Lite 更新(2〜5) 108,000 JSSLL91-010 SiteGuard Lite 更新(6〜10) 96,000 ※⾦額は1ライセンスあたりの単価(税別)です。 ※「新規」価格には初回契約時1年間の製品使用権とサポートサービスが含まれます。 ※「更新」価格には次年度以降における1年間の製品使用権とサポートサービスが含まれます。 ※ライセンス数はインストールするOS(仮想環境OS含む)単位でカウントします。 ※ボリュームディスカウントは同一契約内でのみ適用となります。 ※「SiteGuard Lite」をプロキシ構成で利⽤することはライセンス対象外となります(個別対応)。 ※サポートサービスの内容は下記となります。 1)テクニカルサポートのご提供 2)最新のトラステッド・シグネチャデータのご提供 3)最新のソフトウェアパッケージのご提供 ※⼤規模ライセンスや、クラウド・ホスティング事業者様などでサービス利⽤を検討の際は別途ご相談ください。 25 ※90日間の評価版あり
Copyright © JP-Secure Inc. All rights reserved. ご検討のポイントと「SiteGuard」の対応 防御性能 既存システム への影響 処理性能 導入・運用負荷 実績 サポート コスト 実績が裏付ける 高い防御性能 SiteGuardは設定変更必要 SiteGuard Liteは不要 オンプレからクラウドまで H/W次第でコントロール可 シンプル設計で軽快動作 拡張性の確保 デフォルト設定の充実 シグネチャ型で容易 自社運用多数 メガバンクから個人まで数十万サイト 契約更新率97% 国産で安心サポート SiteGuard Lite 1L 25万2千円〜 26
Copyright © JP-Secure Inc. All rights reserved. SiteGuard WP Plugin 27
Copyright © JP-Secure Inc. All rights reserved. ご清聴ありがとうございました。 株式会社ジェイピー・セキュア 矢次弘志 yatsugi@jp-secure.com 044-201-4036 28

Recommended

侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
 
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna" 2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
Shinichiro Kawano
 
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
Shinichiro Kawano
 
2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online
Shinichiro Kawano
 
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol92020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
Shinichiro Kawano
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
Shinichiro Kawano
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
Shinichiro Kawano
 

Recommended

侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
 
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna" 2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
Shinichiro Kawano
 
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
Shinichiro Kawano
 
2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online
Shinichiro Kawano
 
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol92020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
Shinichiro Kawano
 
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
 
2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security2020 0925 sfdc_live_it_f-secure_cloud_security
2020 0925 sfdc_live_it_f-secure_cloud_security
Shinichiro Kawano
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
Shinichiro Kawano
 
2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work
Shinichiro Kawano
 
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
Shinichiro Kawano
 
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
Shinichiro Kawano
 
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
Typhon 666
 
【Interop Tokyo 2015】 Sec 01: 「全部のせ+1Tbps対応予定」 ネットワーク セキュリティの最終形
【Interop Tokyo 2015】 Sec 01: 「全部のせ+1Tbps対応予定」 ネットワーク セキュリティの最終形【Interop Tokyo 2015】 Sec 01: 「全部のせ+1Tbps対応予定」 ネットワーク セキュリティの最終形
【Interop Tokyo 2015】 Sec 01: 「全部のせ+1Tbps対応予定」 ネットワーク セキュリティの最終形
シスコシステムズ合同会社
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
Cybozucommunity
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
Masanori KAMAYAMA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
Riotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
 
セキュリティ担当者が見たAWS re:Inforce 2019
セキュリティ担当者が見たAWS re:Inforce 2019セキュリティ担当者が見たAWS re:Inforce 2019
セキュリティ担当者が見たAWS re:Inforce 2019
Yusuke Karasawa
 
Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法
Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法
Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法
シスコシステムズ合同会社
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
 
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
 
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
Shinichiro Kawano
 
UTM を超えた統合セキュリティ アプライアンス Cisco ASA 5506-X/5508-X/5516-X
UTM を超えた統合セキュリティ アプライアンス Cisco ASA 5506-X/5508-X/5516-XUTM を超えた統合セキュリティ アプライアンス Cisco ASA 5506-X/5508-X/5516-X
UTM を超えた統合セキュリティ アプライアンス Cisco ASA 5506-X/5508-X/5516-X
シスコシステムズ合同会社
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
Riotaro OKADA
 
Fin-JAWS セキュリティ担当者が見たAWS re:Inforce 2019
Fin-JAWS セキュリティ担当者が見たAWS re:Inforce 2019Fin-JAWS セキュリティ担当者が見たAWS re:Inforce 2019
Fin-JAWS セキュリティ担当者が見たAWS re:Inforce 2019
Yusuke Karasawa
 
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションバラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューション
BarracudaJapan
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
 
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Shinichiro Kawano
 
Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法
beyond Co., Ltd.
 

More Related Content

What's hot

Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
 
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
 

What's hot (20)

2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work2020 0727 f-secure night webinar #1 remote work
2020 0727 f-secure night webinar #1 remote work
 
2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure2020 0611 koan_webinar_f-secure
2020 0611 koan_webinar_f-secure
 
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
 
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
 
【Interop Tokyo 2015】 Sec 01: 「全部のせ+1Tbps対応予定」 ネットワーク セキュリティの最終形
【Interop Tokyo 2015】 Sec 01: 「全部のせ+1Tbps対応予定」 ネットワーク セキュリティの最終形【Interop Tokyo 2015】 Sec 01: 「全部のせ+1Tbps対応予定」 ネットワーク セキュリティの最終形
【Interop Tokyo 2015】 Sec 01: 「全部のせ+1Tbps対応予定」 ネットワーク セキュリティの最終形
 
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
セキュリティ対策は経営課題 - 情報セキュリティリスクに備える Cy-SIRT の軌跡 -
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
 
セキュリティ担当者が見たAWS re:Inforce 2019
セキュリティ担当者が見たAWS re:Inforce 2019セキュリティ担当者が見たAWS re:Inforce 2019
セキュリティ担当者が見たAWS re:Inforce 2019
 
Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法
Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法
Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
 
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
 
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
 
UTM を超えた統合セキュリティ アプライアンス Cisco ASA 5506-X/5508-X/5516-X
UTM を超えた統合セキュリティ アプライアンス Cisco ASA 5506-X/5508-X/5516-XUTM を超えた統合セキュリティ アプライアンス Cisco ASA 5506-X/5508-X/5516-X
UTM を超えた統合セキュリティ アプライアンス Cisco ASA 5506-X/5508-X/5516-X
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
 
Fin-JAWS セキュリティ担当者が見たAWS re:Inforce 2019
Fin-JAWS セキュリティ担当者が見たAWS re:Inforce 2019Fin-JAWS セキュリティ担当者が見たAWS re:Inforce 2019
Fin-JAWS セキュリティ担当者が見たAWS re:Inforce 2019
 
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューションバラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューション
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
 

Similar to [data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGuard」の効果と利用事例 by 株式会社ジェイピー・セキュア 矢次弘志

お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
kumo2010
 
社内認証基盤用のVault Pluginを作るメリット
社内認証基盤用のVault Pluginを作るメリット社内認証基盤用のVault Pluginを作るメリット
社内認証基盤用のVault Pluginを作るメリット
Katsuya Yamaguchi
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
Katsuya Yamaguchi
 
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
IMJ Corporation
 

Similar to [data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGuard」の効果と利用事例 by 株式会社ジェイピー・セキュア 矢次弘志 (20)

2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
 
Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法
 
Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法Stackdriver を利用した実戦的なサーバ監視・運用方法
Stackdriver を利用した実戦的なサーバ監視・運用方法
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
SIerとクラウドの付き合い方
SIerとクラウドの付き合い方SIerとクラウドの付き合い方
SIerとクラウドの付き合い方
 
20180528_VxRailCC_Backup_NW宮本
20180528_VxRailCC_Backup_NW宮本20180528_VxRailCC_Backup_NW宮本
20180528_VxRailCC_Backup_NW宮本
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
 
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
【15-E-7】セキュアな環境でDevOpsを実現する厳選ツール
 
最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法最強のセキュリティでIoTを実装する方法
最強のセキュリティでIoTを実装する方法
 
150515 IBM Bluemix x SoftLayer Meetup - ioDrive x DRBD
150515 IBM Bluemix x SoftLayer Meetup - ioDrive x DRBD150515 IBM Bluemix x SoftLayer Meetup - ioDrive x DRBD
150515 IBM Bluemix x SoftLayer Meetup - ioDrive x DRBD
 
Zabbix 2.2の新機能とZabbixオフィシャルサービスの紹介
Zabbix 2.2の新機能とZabbixオフィシャルサービスの紹介Zabbix 2.2の新機能とZabbixオフィシャルサービスの紹介
Zabbix 2.2の新機能とZabbixオフィシャルサービスの紹介
 
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
 
8月18日 ニフティクラウドイベント資料 真夏の夜のクラウド白熱ミートアップ(オープン白熱塾)
8月18日 ニフティクラウドイベント資料 真夏の夜のクラウド白熱ミートアップ(オープン白熱塾)8月18日 ニフティクラウドイベント資料 真夏の夜のクラウド白熱ミートアップ(オープン白熱塾)
8月18日 ニフティクラウドイベント資料 真夏の夜のクラウド白熱ミートアップ(オープン白熱塾)
 
Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!Zabbixをもっと便利に!安全に!
Zabbixをもっと便利に!安全に!
 
社内認証基盤用のVault Pluginを作るメリット
社内認証基盤用のVault Pluginを作るメリット社内認証基盤用のVault Pluginを作るメリット
社内認証基盤用のVault Pluginを作るメリット
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
 
Cuto紹介資料
Cuto紹介資料Cuto紹介資料
Cuto紹介資料
 
Automation with SoftLayer and Zabbix
Automation with SoftLayer and ZabbixAutomation with SoftLayer and Zabbix
Automation with SoftLayer and Zabbix
 
【FORTINET様】第3回SoftLayer勉強会資料
【FORTINET様】第3回SoftLayer勉強会資料【FORTINET様】第3回SoftLayer勉強会資料
【FORTINET様】第3回SoftLayer勉強会資料
 
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
 

More from Insight Technology, Inc.

仮想通貨ウォレットアプリで理解するデータストアとしてのブロックチェーン
仮想通貨ウォレットアプリで理解するデータストアとしてのブロックチェーン仮想通貨ウォレットアプリで理解するデータストアとしてのブロックチェーン
仮想通貨ウォレットアプリで理解するデータストアとしてのブロックチェーン
Insight Technology, Inc.
 
DBREから始めるデータベースプラットフォーム
DBREから始めるデータベースプラットフォームDBREから始めるデータベースプラットフォーム
DBREから始めるデータベースプラットフォーム
Insight Technology, Inc.
 
コモディティサーバー3台で作る高速処理 “ハイパー・コンバージド・データベース・インフラストラクチャー(HCDI)” システム『Insight Qube』...
コモディティサーバー3台で作る高速処理 “ハイパー・コンバージド・データベース・インフラストラクチャー(HCDI)” システム『Insight Qube』...コモディティサーバー3台で作る高速処理 “ハイパー・コンバージド・データベース・インフラストラクチャー(HCDI)” システム『Insight Qube』...
コモディティサーバー3台で作る高速処理 “ハイパー・コンバージド・データベース・インフラストラクチャー(HCDI)” システム『Insight Qube』...
Insight Technology, Inc.
 
複数DBのバックアップ・切り戻し運用手順が異なって大変?!運用性の大幅改善、その先に。。
複数DBのバックアップ・切り戻し運用手順が異なって大変?!運用性の大幅改善、その先に。。 複数DBのバックアップ・切り戻し運用手順が異なって大変?!運用性の大幅改善、その先に。。
複数DBのバックアップ・切り戻し運用手順が異なって大変?!運用性の大幅改善、その先に。。
Insight Technology, Inc.
 
Attunity社のソリューションの日本国内外適用事例及びロードマップ紹介[ATTUNITY & インサイトテクノロジー IoT / Big Data フ...
Attunity社のソリューションの日本国内外適用事例及びロードマップ紹介[ATTUNITY & インサイトテクノロジー IoT / Big Data フ...Attunity社のソリューションの日本国内外適用事例及びロードマップ紹介[ATTUNITY & インサイトテクノロジー IoT / Big Data フ...
Attunity社のソリューションの日本国内外適用事例及びロードマップ紹介[ATTUNITY & インサイトテクノロジー IoT / Big Data フ...
Insight Technology, Inc.
 
レガシーに埋もれたデータをリアルタイムでクラウドへ [ATTUNITY & インサイトテクノロジー IoT / Big Data フォーラム 2018]
レガシーに埋もれたデータをリアルタイムでクラウドへ [ATTUNITY & インサイトテクノロジー IoT / Big Data フォーラム 2018]レガシーに埋もれたデータをリアルタイムでクラウドへ [ATTUNITY & インサイトテクノロジー IoT / Big Data フォーラム 2018]
レガシーに埋もれたデータをリアルタイムでクラウドへ [ATTUNITY & インサイトテクノロジー IoT / Big Data フォーラム 2018]
Insight Technology, Inc.
 

More from Insight Technology, Inc. (20)

グラフデータベースは如何に自然言語を理解するか?
グラフデータベースは如何に自然言語を理解するか?グラフデータベースは如何に自然言語を理解するか?
グラフデータベースは如何に自然言語を理解するか?
 
Docker and the Oracle Database
Docker and the Oracle DatabaseDocker and the Oracle Database
Docker and the Oracle Database
 
Great performance at scale~次期PostgreSQL12のパーティショニング性能の実力に迫る~
Great performance at scale~次期PostgreSQL12のパーティショニング性能の実力に迫る~Great performance at scale~次期PostgreSQL12のパーティショニング性能の実力に迫る~
Great performance at scale~次期PostgreSQL12のパーティショニング性能の実力に迫る~
 
事例を通じて機械学習とは何かを説明する
事例を通じて機械学習とは何かを説明する事例を通じて機械学習とは何かを説明する
事例を通じて機械学習とは何かを説明する
 
仮想通貨ウォレットアプリで理解するデータストアとしてのブロックチェーン
仮想通貨ウォレットアプリで理解するデータストアとしてのブロックチェーン仮想通貨ウォレットアプリで理解するデータストアとしてのブロックチェーン
仮想通貨ウォレットアプリで理解するデータストアとしてのブロックチェーン
 
MBAAで覚えるDBREの大事なおしごと
MBAAで覚えるDBREの大事なおしごとMBAAで覚えるDBREの大事なおしごと
MBAAで覚えるDBREの大事なおしごと
 
グラフデータベースは如何に自然言語を理解するか?
グラフデータベースは如何に自然言語を理解するか?グラフデータベースは如何に自然言語を理解するか?
グラフデータベースは如何に自然言語を理解するか?
 
DBREから始めるデータベースプラットフォーム
DBREから始めるデータベースプラットフォームDBREから始めるデータベースプラットフォーム
DBREから始めるデータベースプラットフォーム
 
SQL Server エンジニアのためのコンテナ入門
SQL Server エンジニアのためのコンテナ入門SQL Server エンジニアのためのコンテナ入門
SQL Server エンジニアのためのコンテナ入門
 
Lunch & Learn, AWS NoSQL Services
Lunch & Learn, AWS NoSQL ServicesLunch & Learn, AWS NoSQL Services
Lunch & Learn, AWS NoSQL Services
 
db tech showcase2019オープニングセッション @ 森田 俊哉
db tech showcase2019オープニングセッション @ 森田 俊哉 db tech showcase2019オープニングセッション @ 森田 俊哉
db tech showcase2019オープニングセッション @ 森田 俊哉
 
db tech showcase2019 オープニングセッション @ 石川 雅也
db tech showcase2019 オープニングセッション @ 石川 雅也db tech showcase2019 オープニングセッション @ 石川 雅也
db tech showcase2019 オープニングセッション @ 石川 雅也
 
db tech showcase2019 オープニングセッション @ マイナー・アレン・パーカー
db tech showcase2019 オープニングセッション @ マイナー・アレン・パーカー db tech showcase2019 オープニングセッション @ マイナー・アレン・パーカー
db tech showcase2019 オープニングセッション @ マイナー・アレン・パーカー
 
難しいアプリケーション移行、手軽に試してみませんか?
難しいアプリケーション移行、手軽に試してみませんか?難しいアプリケーション移行、手軽に試してみませんか?
難しいアプリケーション移行、手軽に試してみませんか?
 
Attunityのソリューションと異種データベース・クラウド移行事例のご紹介
Attunityのソリューションと異種データベース・クラウド移行事例のご紹介Attunityのソリューションと異種データベース・クラウド移行事例のご紹介
Attunityのソリューションと異種データベース・クラウド移行事例のご紹介
 
そのデータベース、クラウドで使ってみませんか?
そのデータベース、クラウドで使ってみませんか?そのデータベース、クラウドで使ってみませんか?
そのデータベース、クラウドで使ってみませんか?
 
コモディティサーバー3台で作る高速処理 “ハイパー・コンバージド・データベース・インフラストラクチャー(HCDI)” システム『Insight Qube』...
コモディティサーバー3台で作る高速処理 “ハイパー・コンバージド・データベース・インフラストラクチャー(HCDI)” システム『Insight Qube』...コモディティサーバー3台で作る高速処理 “ハイパー・コンバージド・データベース・インフラストラクチャー(HCDI)” システム『Insight Qube』...
コモディティサーバー3台で作る高速処理 “ハイパー・コンバージド・データベース・インフラストラクチャー(HCDI)” システム『Insight Qube』...
 
複数DBのバックアップ・切り戻し運用手順が異なって大変?!運用性の大幅改善、その先に。。
複数DBのバックアップ・切り戻し運用手順が異なって大変?!運用性の大幅改善、その先に。。 複数DBのバックアップ・切り戻し運用手順が異なって大変?!運用性の大幅改善、その先に。。
複数DBのバックアップ・切り戻し運用手順が異なって大変?!運用性の大幅改善、その先に。。
 
Attunity社のソリューションの日本国内外適用事例及びロードマップ紹介[ATTUNITY & インサイトテクノロジー IoT / Big Data フ...
Attunity社のソリューションの日本国内外適用事例及びロードマップ紹介[ATTUNITY & インサイトテクノロジー IoT / Big Data フ...Attunity社のソリューションの日本国内外適用事例及びロードマップ紹介[ATTUNITY & インサイトテクノロジー IoT / Big Data フ...
Attunity社のソリューションの日本国内外適用事例及びロードマップ紹介[ATTUNITY & インサイトテクノロジー IoT / Big Data フ...
 
レガシーに埋もれたデータをリアルタイムでクラウドへ [ATTUNITY & インサイトテクノロジー IoT / Big Data フォーラム 2018]
レガシーに埋もれたデータをリアルタイムでクラウドへ [ATTUNITY & インサイトテクノロジー IoT / Big Data フォーラム 2018]レガシーに埋もれたデータをリアルタイムでクラウドへ [ATTUNITY & インサイトテクノロジー IoT / Big Data フォーラム 2018]
レガシーに埋もれたデータをリアルタイムでクラウドへ [ATTUNITY & インサイトテクノロジー IoT / Big Data フォーラム 2018]
 

[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGuard」の効果と利用事例 by 株式会社ジェイピー・セキュア 矢次弘志

  • 1. Copyright © JP-Secure Inc. All rights reserved. ホームページ改ざんや情報流出からWEBを守る︕ 2015年9月11日 株式会社ジェイピー・セキュア 矢次弘志 data security showcase 〜WAF「SiteGuard」の効果と利⽤事例
  • 2. Copyright © JP-Secure Inc. All rights reserved. 会社概要 会社名 株式会社ジェイピー・セキュア 設⽴ 2008年7月(5月決算) 資本⾦ 1100万円 代表者 代表取締役 菅原修 所在地 神奈川県川崎市幸区堀川町66-2 興和川崎⻄⼝ビル2階 取引銀⾏ 三井住友銀⾏ 横浜銀⾏ 川崎信⽤⾦庫 業務内容 セキュリティ製品の開発、販売、サポート 事業分野 WAF製品「SiteGuardシリーズ」ベンダ事業 WordPressプラグイン「SiteGuard WP Plugin」作者 2
  • 3. Copyright © JP-Secure Inc. All rights reserved. 本日のテーマ 1. ウェブサイトのセキュリティ動向 2. WAF動向 3. 国産ソフトウェアWAF「SiteGuard」 3
  • 4. Copyright © JP-Secure Inc. All rights reserved. 1. ウェブサイトのセキュリティ動向 2. WAF動向 3. 国産ソフトウェアWAF「SiteGuard」 4
  • 5. Copyright © JP-Secure Inc. All rights reserved. ウェブサイトの脅威 「xx件の個⼈情報が流出した」 ウェブサイトのセキュリティ対策は急務 情報流出 「ページがxxな画像に書き換えられた」 コンテンツ改ざん 「利⽤者がマルウェアに感染した」 踏み台への悪用 サイト停止 信用失墜 機会損失 ブラックリスト化 損害賠償 風評被害 5
  • 6. Copyright © JP-Secure Inc. All rights reserved. 不正アクセスの経路 不正アクセスに悪⽤される経路は、主に2つ ■管理者、ユーザのログイン経路 FTP/SSHによるログイン、CMS等の管理ページへの不正ログイン ■ウェブアプリケーションやミドルウェアの脆弱性 脆弱性が放置されているサイト、対策漏れのサイトへの攻撃 6
  • 7. Copyright © JP-Secure Inc. All rights reserved. ウェブサイトを標的とした攻撃のトピックス ■SQLインジェクション、クロスサイトスクリプティング ウェブサイトの事故原因として今なお割合高い。 ■Apache Strutsの脆弱性 対策ができず、サイト停止に陥る事態も多数発生。 ■bashの脆弱性(通称︓ShellShock) 被害が多数発生し、現在も攻撃通信が確認されている。 ■HTTP.sysの脆弱性 OSを強制停止させる実証コードが公開され、多くの関係機関が注意喚起。 7
  • 8. Copyright © JP-Secure Inc. All rights reserved. 脆弱性による損害は誰の責任︖ • SQLインジェクションが原因で、オンラインショップから個⼈情報が⼤量に流出し た事故で、ショップ側が開発会社を相手取り、損害賠償請求。 • 経産省やIPAが個⼈情報漏洩対策に注意喚起をし、「バインド機構の使⽤⼜はエス ケープ処理」を推奨していた。開発会社がこれらの対策を怠ったとして、債務不履 ⾏責任を認めた。 ■SQLインジェクションの対策漏れの責任を開発会社に問う判決 8
  • 9. Copyright © JP-Secure Inc. All rights reserved. 難しい脆弱性「ゼロ」 ■ウェブサイトの修正に要した日数 ※出典︓IPA 3割強が脆弱性の修正に90日以上を要する 9
  • 10. Copyright © JP-Secure Inc. All rights reserved. 脆弱性対策の考え方 ウェブサイトをセキュアに構築すること (セキュア開発、脆弱性検査&修正) 10
  • 11. Copyright © JP-Secure Inc. All rights reserved. 1. ウェブサイトのセキュリティ動向 2. WAF動向 3. 国産ソフトウェアWAF「SiteGuard」 11
  • 12. Copyright © JP-Secure Inc. All rights reserved. WAF(Web Application Firewall)の役割 WAF WEB 情報漏えい 踏み台 改ざん IPS WEBアプリ WEBサーバー OS ネットワーク WEBアプリケーションの脆弱性を悪用した攻撃から WEBを保護するソリューション ShellShock(bashの脆弱性) Apache Strutsの脆弱性 HTTP.sysの脆弱性 Apache Killer(Apacheの脆弱性) etc… SQLインジェクション クロスサイトスクリプティング パスワードリスト攻撃 ディレクトリトラバーサル etc… 12
  • 13. Copyright © JP-Secure Inc. All rights reserved. WAFは⼀部の⼤企業だけが使うもの︖ 大企業 中堅Hクラス 中堅Mクラス 中堅Lクラス 中小企業 小規模・SOHO 個人 普及進む 42% (MM総研、2013年調べ) 標準化の 流れ 13
  • 14. Copyright © JP-Secure Inc. All rights reserved. 気づかないところで使われているWAF 14
  • 15. Copyright © JP-Secure Inc. All rights reserved. 導入のきっかけ • インシデント対応 • 危険性の高い(かつ対処できない)脆弱性 • 機器リプレース・システム更改 • オンプレからクラウドへの移⾏ • 他社事例 • 制度対応や独⾃ポリシーへの準拠 15
  • 16. Copyright © JP-Secure Inc. All rights reserved. 参考情報)攻撃兆候検出ツール「iLogScanner」 16
  • 17. Copyright © JP-Secure Inc. All rights reserved. 1. ウェブサイトのセキュリティ動向 2. WAF動向 3. 国産ソフトウェアWAF「SiteGuard」 17
  • 18. Copyright © JP-Secure Inc. All rights reserved. 国産ソフトウェアWAF「SiteGuard」シリーズ ゲートウェイ型 ホスト型 • ネットワーク構成を変えたくない • 管理するサーバを増やしたくない • 小規模環境でコストを抑えたい シンプル x 防御性能 x 国産 (プロキシ動作) (ウェブサーバーのモジュール動作) • ウェブサーバと独⽴させたい • 複数のウェブを1台で守りたい • 稼働中のウェブサーバへ導入できない 18
  • 19. Copyright © JP-Secure Inc. All rights reserved. 製品コンセプト 19 こういう設定をすればこんなことができる ではなく デフォルトでこんなにもできる
  • 20. Copyright © JP-Secure Inc. All rights reserved. 特⻑① 〜シンプル シグネチャベースの防御機能で 導⼊・運⽤が容易 WEB javascript: alert(document.cookie) WAF • 拒否 • 監視 • フィルタ 20
  • 21. Copyright © JP-Secure Inc. All rights reserved. 導入ステップ • RPM/TAR.GZパッケージ及びスクリプト実⾏による簡単インストール • 設定管理はウェブ管理画⾯ベース ■ステップ① 管理画⾯へのログイン ■ステップ② ライセンス登録 ■ステップ③ シグネチャ検査の有効化 • シグネチャ更新 • 監視URL登録 • 通知設定 • 検出メッセージ編集 (必要に応じて) 21
  • 22. Copyright © JP-Secure Inc. All rights reserved. 特⻑② 〜防御性能 デフォルト設定で高い防御性能を実現 大項目 小項目 F社 C社 I社 B社 JPS 検知漏れの 有無 ⽂字列、情報窃取 ○ ○ ○ ○ ○ ⽂字列、改竄 ○ ○ △ ○ ○ 数値、情報窃取 ○ △ ○ ○ ○ 数値、改竄 ○ △ △ ○ ○ 最新の⾼度な攻撃 ○ × △ × ○ 過剰検知の有無 × × × ○ ○ 攻撃ツールに よる検証 HDSI ○ ○ ○ ○ ○ Pangolin ○ ○ △ ○ ○ 年⽉ 概要 主な注意喚起 SiteGuard 2015/4 HTTP.sysの脆弱性 2015/4/15 2015/4/16 2014/9 bashの脆弱性(ShellShock) 2014/9/25 2014/9/25 2014/4 Apache Struts2の脆弱性 2014/4/17 2014/4/17 2013/7 Apache Struts2の脆弱性 2013/7/19 2013/7/19 2011/12 phpMyAdminの脆弱性 2011/12/16 2011/12/20 2011/8 Apacheの脆弱性(Apache Killer) 2011/8/31 2011/8/26 ■第三者による防御性能の比較検証 ■新しい脅威への対応スピード(対応事例) 迅速な シグネチャ提供 デフォルト設定 で最高評価 ※出典︓⽇経SYSTEMS 「検証ラボ WAFでWebアプリの脆弱性を守れるか」 ※出典︓JPCERT/CCほかセキュリティベンダの公開情報より 22
  • 23. Copyright © JP-Secure Inc. All rights reserved. 特⻑③ 〜国産 高品質で”ウェット”なテクニカルサポート スピード 技術レベル 柔軟性 「導入からテストまでいろいろと対応していただきました。案外、そうい うベンダってないんですよ。そのベンダがわかってることは、当然即答で 返ってくる。そうでない場合の対応は、ものすごく時間がかかったり、結 果わからなかったり。実際に作った人がそこにいれば別ですけど、普通い ないじゃないですか。SiteGuardに関しては、非常にクイックな対応をして いただけました。結果、我々としても非常に安心してお客様にシステムを ご提供できている。」 23
  • 24. Copyright © JP-Secure Inc. All rights reserved. 実績 メガバンクから個人まで保護対象は数十万サイト サービス 25% IT 20%公共 12% 製造 11% ⾦融・保険 9% 卸・小売 8% 通信・メディア 5% 教育 4% • 業種・規模を問わず幅広い環境に対応する柔軟性 • 数十台、数百台規模で稼働する安定性 24
  • 25. Copyright © JP-Secure Inc. All rights reserved. ライセンス価格 区分 型番 商品名 標準価格(単価) ■ゲートウェイ型WAF 「SiteGuard」 新規 JSSGL11-001 SiteGuard 新規 1,780,000 更新 JSSGL91-001 SiteGuard 更新 534,000 ■ホスト型WAF 「SiteGuard Lite」 新規 JSSLL11-001 SiteGuard Lite 新規(1) 252,000 JSSLL11-005 SiteGuard Lite 新規(2〜5) 216,000 JSSLL11-010 SiteGuard Lite 新規(6〜10) 192,000 更新 JSSLL91-001 SiteGuard Lite 更新(1) 126,000 JSSLL91-005 SiteGuard Lite 更新(2〜5) 108,000 JSSLL91-010 SiteGuard Lite 更新(6〜10) 96,000 ※⾦額は1ライセンスあたりの単価(税別)です。 ※「新規」価格には初回契約時1年間の製品使用権とサポートサービスが含まれます。 ※「更新」価格には次年度以降における1年間の製品使用権とサポートサービスが含まれます。 ※ライセンス数はインストールするOS(仮想環境OS含む)単位でカウントします。 ※ボリュームディスカウントは同一契約内でのみ適用となります。 ※「SiteGuard Lite」をプロキシ構成で利⽤することはライセンス対象外となります(個別対応)。 ※サポートサービスの内容は下記となります。 1)テクニカルサポートのご提供 2)最新のトラステッド・シグネチャデータのご提供 3)最新のソフトウェアパッケージのご提供 ※⼤規模ライセンスや、クラウド・ホスティング事業者様などでサービス利⽤を検討の際は別途ご相談ください。 25 ※90日間の評価版あり
  • 26. Copyright © JP-Secure Inc. All rights reserved. ご検討のポイントと「SiteGuard」の対応 防御性能 既存システム への影響 処理性能 導入・運用負荷 実績 サポート コスト 実績が裏付ける 高い防御性能 SiteGuardは設定変更必要 SiteGuard Liteは不要 オンプレからクラウドまで H/W次第でコントロール可 シンプル設計で軽快動作 拡張性の確保 デフォルト設定の充実 シグネチャ型で容易 自社運用多数 メガバンクから個人まで数十万サイト 契約更新率97% 国産で安心サポート SiteGuard Lite 1L 25万2千円〜 26
  • 27. Copyright © JP-Secure Inc. All rights reserved. SiteGuard WP Plugin 27
  • 28. Copyright © JP-Secure Inc. All rights reserved. ご清聴ありがとうございました。 株式会社ジェイピー・セキュア 矢次弘志 yatsugi@jp-secure.com 044-201-4036 28