PowerPoint プレゼンテーション

Size: px

Start display at page:

Download "PowerPoint プレゼンテーション"

まいえさくもと
4 years ago
Views:

1 WAF を利用した脆弱性診断 & 対策サービス (WSS) のご紹介三和コムテック株式会社

2 情報漏えいや改ざんの状況はどうですか? 相変わらずいっぱい起きてますねたとえば 2013 年だけでもこんなにいっぱいですよ例えばこんな具合です 2

3 2013/1 UCC に不正アクセス会員情報が改ざん - 外部流出は否定桜島フェリーのサイトが改ざん - 閲覧でウイルス感染のおそれ宮崎県の農業向け気象情報サイトが改ざん - 閲覧でマルウェア感染のおそれ須坂市公式サイトが改ざん - ウイルス感染は発生せず農業環境技術研究所のサイトが改ざん被害 - 情報流出は確認されず鳥取県立博物館のサイトが改ざん - 個人情報漏洩は発生せず栃木県の雨量水位観測システムにサイバー攻撃 - データ改ざんが発生 2013/2 不正アクセスで Twitter のユーザー情報約 25 万人分が外部漏洩の可能性振袖レンタルサイトが改ざん閲覧でウイルス感染のおそれ 2013/3

4 2013/3 Evernoteのアカウント情報が流出 - パスワードリセットを実施サイト改ざんで閲覧者にウイルス感染のおそれ - 日本郵政グループ会社 JINSのオンラインショップに不正アクセス - カード情報流出の可能性サイトが改ざん被害閲覧でウイルス感染のおそれ - 日本エアロゾル学会環境省の運営サイトが改ざん被害 - 不正サイトへ誘導素粒子原子核研究所理論センターのウェブサイトが改ざん被害企業サイトや通販サイトなど関連 21サイトが改ざん - マイクロマガジン情報処理学会 HCI 研究会のウェブサイトが改ざん被害 2013/4 gooid に対してブルートフォース攻撃 - 約 3 万件に不正ログイン Yahoo!JAPAN サーバに不正プログラム-ファイル抽出途中で強制停止情報流出は否定特定 IPよりフレッツ光メンバーズクラブに大量アクセス- 一部アカウントをロックいしかわ動物園のサイトが改ざん被害 - 閲覧でウイルス感染のおそれ gooid への攻撃使い回しアカウント狙った可能性 - 全アカウントをロック対象に JR 東の会員向けサイトでも不正ログイン - 他社被害を受け調査したところ判明国内のDNSキャッシュサーバがDDoS 攻撃の踏み台に - JPCERTが適切な設定呼びかけにんしんSOS サイトに不正アクセス改ざんや情報漏洩は否定 - 大阪府アノニマスによる攻撃で朝鮮新報の登録者情報が流出スマホ向け認証決済サービス mopita で不正ログインが発生 - 不正課金は確認されず

5 これって今よく耳にする標的型攻撃ですか? いいえおそらく大部分は標的型攻撃ではないと思います 5

6 それでもハッキングされてしまうのですか? はい残念ながらなかでも WEBアプリケーションの脆弱性をよくつかれますね 6

7 権限昇格パス開示 CSRF 任意のファイル LFI RFI 情報開示その他すべてのアプリケーション脆弱性のうちメモリ破壊任意のコード実行 57% が WEB 脆弱性 57% 43% SQL インジェクション XSS DoS Application Security Trends Report March 11,2012 Cenzic, Inc.

8 なぜ WEB アプリは脆弱なのでしょうか? 簡単に直せないからです! 8

9 Web アプリケーションの脆弱性対策と問題点 Web アプリケーション脆弱性への解決方法は下記の 2 通り 1Web アプリケーションのプログラムを修正する 2WAF(Web Application FireWall) を導入する Web アプリケーション修正の問題点開発環境がなく本番をそのまま修正する場合が多い修正した場合の現行 WEB サービスへの不具合発生のリスクが計り知れない脆弱性を直せない / 放置!! 9

10 それなら WAF を入れれば良いのでは? 高い! 運用できない!! 意味がない!!! 10

11 ある Sier の営業マンの話では --- もう WAF の話は聞くのも嫌だ! 11

12 なぜですか? 数年前に金融系に当時著名なWAFを販売したがその後運用負荷 (= コスト ) の高さから放置状態となり顧客との関係悪化! 12

13 それなら WAF はみんなダメじゃないですか? いいえそんなことはありません 13

14 それは WAPPLES(WAF) と脆弱性診断を利用した WAF の運用サービス WSS です! 14

15 どこが良いの? WSS(web security suite) 従来の WAF 利用における全ての問題を解決したサービスだからです! 15

16 どういうこと? もう少し教えてよどこが良いのつまり WAPPLES の優れた WAF 機能 / 運用性脆弱性診断を組み合わせて => WAF 本来の機能及び適切な運用を低コストでサービスで提供できるのです 16

17 SCT Web Security Suite 概要 Web システムの脆弱性を発見する診断サービスと脆弱性に対処して貴社システムを守る WAF そして WAF のメンテナンスサポートをセットにしてご提供します貴社 Web システムお客様脆弱性診断 ( 最新情報で毎日診断 ) WAF インターネットクラウドセンター脆弱性診断サービスサーバー最大スループット 100Mbps の WAF1 台脆弱性診断トータルサポートを月額 17.7 万円よりご提供脆弱性診断のレポート攻撃状況のレポート WAF に対策設定 WAF のメンテナンス SCT サポートセンター診断と対策対応をセットで月額サービスとしてご提供 Copyright2011 Sanwa Comtec K.K. WSS サービス詳細へ 17

18 価格体系はどうなっていますか? WAFの保護対象数やトラフィック量によって異なりますが月額で15 万円くらいから始められます 18

19 WSS サービスメニューサービス名称 SWSS50 SWSS100 SWSS500 ご提供形式 HW+ サービススィート HW+ サービススィート HW+ サービススィート最大スループット 100 Mbps 300 Mbps 500 Mbps HTTP TPS 2,000 9,000 15,000 Form Factor 1U 1U 1U WAF 保護対象サーバー数 2 Servers 無制限無制限初期費用 148, , ,000 月額サービスご提供価格 177, , ,000 上記のスペックの WAF に加えて 3IP の Web サイトに対して毎日の脆弱性診断サービス WAF のメンテナンス定期的に WAF の対策設定実施 Copyright2011 Sanwa Comtec K.K. 19

20 もっと安いものはないの? ソフトウェア型 WAFの利用の場合なら更に安くなります詳しくはブースにてご説明します! 20

21 そろそろ時間がないのでまとめに入って下さい最新情報での脆弱性診断 + 脆弱性対策のダブル対応診断も対策もお客様の手間 ( 殆ど ) いらず診断は自動対策運用は弊社にて対応脆弱性のレポートとともに WAF 設定による対策実施高価で運用負担も大きい WAF を安価な月額サービスで利用可能 PCIDSS 準拠サービス / ツールの利用による確かな品質 McAfee SECURE: 要件 11.2 ( PCI DSS ASV ) WAF (WAPPLES): 要件 6.6 機能適合証明取得 21

22 最後に百聞は一見に如かずです! WEB アプリの脆弱性対策をしたい自社の WAF に困っている WAF は良いけど運用は面倒だという方は是非当方にお声掛け下さい! 22

ご清聴ありがとうございました! 三和コムテック株式会社 135-0047 東京都港区六本木 3-4-3 三和ビル TEL.

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション Webサイトの最新防御法 :WAFを低コストで導入運用 WAFを利用した脆弱性診断 & 対策サービス (WSS) のご紹介三和コムテック株式会社三和コムテック (SCT) ってどんな会社か? 三和コムテック株式会社 106-0032 東京都港区六本木 3-4-3 三和ビル Tel 03-3583-2386 Fax 03-3583-2387 URL http://www.sct.co.jp 設立