- 脆弱性診断やペネトレーションテストでAI技術がどう役に立つのですか?
-
脆弱性は新たなものが日々追加されています。これらを全て覚えておいて診断に生かすということは現実的ではありません。レイ・イージスの脆弱性診断やペネトレーション用のAIエンジンでは、これらの新しい脆弱性情報を高頻度で取り込み、疑似攻撃や侵入のための攻撃方法の生成に取り入れています。また、人手で様々な種類の疑似攻撃を行うことは非常に手間がかかるため、これらを自動化したり効率化、高速化することによる時間の短縮などにも独自開発のAIエンジンや自動化プラグインなどが大いに役立っています。
- 現在WAFを導入しているが、その効果についての測定の方法はあるのでしょうか?
-
レイ・イージスでは、ゼロデイを含む最新の攻撃パターンでWAFの耐性を調べるサービスを行っています。現在の防護状況や必要な対策を確認いただけるほか、サービス選定時の比較にもご利用いただけます。
また、レイ・イージスがご紹介しているクラウド型WAFのトライアルなどをご検討の方には、キャンペーン期間中現在お使いのWAFとでどの程度の違いが出るか実演して簡単な報告書を無償でご提供しています。ご興味のある方はこちらまでお問い合わせください。
- 脆弱性診断やペネトレーションテストは行っていて指摘事項の対策は行っていますが、これで安心ですか?
-
定期的な脆弱性診断やペネトレーションテストによる対応ができていれば比較的安心な状態ではあります。しかしながら、新しい脆弱性が毎日のように発見、公表されていることを考えると、できるだけ短期間で新しい脆弱性について診断することがより望ましい対応となります。レイ・イージスでは、AIリモート脆弱性診断とペネトレーションテストに対しては、オプションで週ごとに新たな脆弱性についての診断を行うリアルタイム診断を提供しています。
また、Webアプリケーションに対しては、AIエンジン搭載のクラウド型WAF(CCC)を適用することで、ゼロデイや変異型の攻撃などを検知・遮断することで安全性を高めることも可能です。
- なぜレイ・イージスでは高速なセキュリティ診断が繁忙期でも受託可能なのですか?
-
レイ・イージスの提供する脆弱性診断では、数百リクエスト数以上に及ぶ大規模なECサイトやインターネットバンキングシステムなども含む、ほとんどのWebアプリケーションで3~5営業日以内に診断作業を完了しています。
これは、 レイ・イージス が独自開発しているAIツールによる自動化と効率化によるものですが、グローバルで250名を超えるハイレベルなセキュリティエンジニアがこのAIツールを活用することで、多数の診断プロジェクトを効率的かつ高速に対応しています。
これにより、繁忙期でも非常に多数の診断業務を実施することができており、月間数百件以上のプロジェクトで安定したサービスを提供しています。(2020年12月現在) - サブドメイン/FQDN単位のパッケージ型価格体系のメリットは何ですか?
-
日本の一般的なセキュリティ診断ではリクエスト数で費用が算出されるサービスが多数ですが、レイ・イージスでは定期的な診断をWebアプリケーションやシステム全体に対して実施いただけるよう、脆弱性診断とペネトレーションテストの両方でサブドメイン/FQDNあたりのパッケージ型料金体系を採用しています。
この先進的な価格体系は、レイ・イージスが独自開発しているAIツールによる自動化やセキュリティエンジニアの効率化支援機能により実現しています。
日本企業ではコスト上の課題から診断対象箇所を制限して診断する慣習がありますが、パッケージ型価格体系であれば、対象を選定する手間も不要となり、かつシステム全体を定期的に診断することで網羅的にセキュリティを維持・改善することが可能です。
- 更新したWebページだけを診断していれば十分ですか?
-
いいえ。日々新しい脆弱性や脆弱性を組み合わせたマルチベクトル型攻撃手法が発見されているため、更新した部分だけではなく、Webアプリケーションやシステム全体を定期的に診断する必要があります。
更新部分のみの診断ではこの種の問題が発見できないだけでなく、日々のメンテナンス等による設定変更や動作仕様の考慮漏れといった人的要因による脆弱性も発見できません。
日本の一般的なセキュリティ診断ではリクエスト数で費用が算出されるサービスが多数ですが、レイ・イージスでは定期的な診断をWebアプリケーションやシステム全体に対して実施いただけるよう、脆弱性診断とペネトレーションテストの両方でサブドメイン/FQDNあたりのパッケージ型料金体系を採用しており、最適なコストで網羅的なセキュリティ診断をご提供しています。
- 以前、脆弱性診断を受けたことがあるので、もう問題はありませんか?
-
各ツールには適用範囲に大きな制限があり、日々新しい脆弱性や脆弱性を組み合わせた攻撃手法が発見されているため、専門家でないと情報セキュリティの問題を効果的に処理することは極めて難しいことです。
例えば、日本企業A社は、専門家による脆弱性診断を受けたにもかかわらず、ハッカーに侵入され、経済的および信用上の膨大な損失を被り、法律上の問題が生じました。このような状況を避けるために、過去診断を受けた既にリリース済みのシステムであっても、1年に1回以上の定期的な脆弱性診断の実施をお勧めします。
また、脆弱性の中には、現在市場にある自動化されたツールでは検出できない重大な脆弱性や複合型の攻撃もありますので、厳密に脆弱性を調べるには、ペネトレーションテストの実施をお勧めします。 - なぜ脆弱性診断だけでなく、ペネトレーションテストを実施する必要があるのですか?
-
ペネトレーションテストと脆弱性診断の最大の違いは、ペネトレーションテストは多くの人手と時間を必要とし、自動化されたツールでは検出できない脆弱性を発見できることです。通常は、実際のハッカーと同じ考え方に基づいて疑似攻撃を行い、既に存在するセキュリティ防護システムを迂回する、侵入しやすいポイントを見つける、といった方法で情報の取得や特権昇格などの侵入目的を達成しうる情報を発見することで、攻撃に対してどのような対策が適切かを検討する重要な要素として利用します。
先日、ツイッター(Twitter)のデータベースが複雑な侵入方法による攻撃を受けました。関連ニュースはこちらから確認することができます。
レイ・イージスのペネトレーションテストはその他の脆弱性診断メニューと同様にパッケージ型価格体系で提供され、脆弱性診断も含んだ包括的かつ網羅的なサービスを提供します。
疑似攻撃テストにおいては、全世界で収集したWAFやIPSを迂回する攻撃手法や既にベンダーに対して通知済みのゼロデイ攻撃等の独自のテストもあわせて実施します。疑似攻撃においてはAIツールを利用した高速かつ網羅的な自動診断だけでなく、ホワイトハッカーがAIツールを駆使してさらに複雑な攻撃を試行することで、より高いセキュリティレベルを検査します。
サービスのページでレイ・イージスの脆弱性診断とペネトレーションテストの説明をご覧ください。 - 多層防御(defend in depth)とは何ですか?
-
多層防御とは、より安全な防御措置を提供するために確立された概念です。
例として、ハッカーが総当り攻撃を利用して、お客様のシステムの中からIDとパスワードを取得しても、システム管理者が遠隔端末からは接続できないように事前に防御していた場合、ハッカーが取得するIDとパスワードはシステム管理者のものではなく、一般ユーザのものとなります。このような対処により、通常一般ユーザには不正プログラムを設置する権限がないため、システムのリスクを大幅に下げることができます。モニタリングソフトウェアをインストールしていれば、ハッカーがIDを取得して侵入していることを短時間内に発見し、適切な処置を行うことができます。 - 私のシステムと機密ファイルには、漏えいなどの問題は見られないのですが、検査の必要がありますか?
-
システムに重大な脆弱性があり、機密が漏えいした後になってから、情報セキュリティ対策が不足していたことに気づく企業が多く見られます。気づいた時には既に、ビジネス上の機密、顧客情報、または財務報告表等の社内の機密書類が流出し、システムにはトロイの木馬が設置され、名誉、財務、法律に関わる重大な被害が引き起こされることが考えられます。
既に侵入されていることに気づいていない企業が多く見られるため、被害に遭ってから修正を行うよりも、事前に防止対策を確立することが重要になります。レイ・イージス・ジャパンでは、新しくマルウェア検知サービスの提供を始めました。アンチウィルスソフトウェアやEDRなど従来の手法では見つけられなかった亜種や新種のマルウェアなどを検知でき、あなたのシステムの安全性を高めます。パソコンやシステムの動作、ネットワーク内の通信などに違和感を感じた際には利用いただくことをお勧めします。
- プログラムの脆弱性によって生じる問題にはどのようなものがありますか?
-
悪意を持ったユーザはプログラムの脆弱性を利用してシステムを攻撃し、攻撃を受けたコンピュータをコントロールして、どんな情報も取得することが可能です。例えば、バッファオーバーフロー攻撃やSQLインジェクション攻撃、クロスサイトスクリプティング(XSS)攻撃等様々なタイプがあり、その多くはプログラミングの不備によって引き起こされるものです。
全世界においてネットワークに繋がる機器が増えるにつれ、ハッカーに侵入され、踏み台や攻撃元として悪用されうる状態になった“ゾンビコンピュータ”が非常に多く見られます。このようなゾンビコンピュータの集団をボットネットと呼びますが、ボットネット作成を目的としたマルウェアとして、特にIoT向けで「Mirai」マルウェアが有名です。Webアプリケーションに関するこのような問題を解決するためには、新しく提供を始めたクラウド型WAFサービスCCCがお勧めです。
- バックドア(backdoor)とは何ですか?
-
バックドアとは、コンピュータシステムに設けられた侵入口です。バックドアは開発時にテスト用に設けられることもありますが、一般には、悪意を持ったユーザが正規の認証手続きを踏まずに遠隔端末からシステムに侵入・利用することが可能となる悪質なものを指します。
不正なバックドアは以下のような手順で設置されます。
・怪しいプログラムをダウンロード→バックドア型トロイの木馬に感染
・不信メールの添付ファイルを開く→ウイルスに感染→バックドアの設置
・攻撃者が脆弱性を突いてシステムに不正侵入→バックドアの設置バックドアを作られると、以下のような危険があります。
・DDoS攻撃や標的型攻撃の踏み台として利用される
・個人情報や機密情報を盗まれる
・本人が知らないうちに掲示板への犯行予告や犯行声明の書き込みなどが行われるレイ・イージスのフォレンジック調査やネットワーク内不正通信・攻撃検知サービスでは、バックドア等の有無や不正侵入の痕跡などを確認でき、安全性を高めることが可能になります。
- クラウドを使用してデータを保存していれば安全ですか?
-
情報セキュリティは非常に広範囲に及ぶため、クラウドへの保存では一部の問題しか解決できません。以下はクラウドへの保存だけでは解決できない問題例です。
- データが社内にある場合、悪意を持った従業員やハッカーは、電子メール送信やハッキング技術を利用して機密書類を取得することが可能です。
- クラウドを利用しても、データの転送過程において安全な暗号化処理が施されていないと、インターネットを介して転送されるファイルは、悪意を持ったユーザに簡単に盗み取られてしまいます。
- データをクラウドに保存する際にクラウドのプログラムまたはお客様のWebサイトやWebアプリケーションに脆弱性がある場合、ハッカーはお客様のデータやサービスに対して様々な攻撃を行い、データを取得することが可能です。
このため、すべてのプロセスにおいてデータの安全を確保することが最も適切な方法です。これは、単一のシステムや方法で簡単に成し遂げられるものではありません。
また、最近は多機能なクラウドサービスを利用する際に設定の間違いや設定もれ、機能の誤用によって意図せず機密情報が公開されてしまうインシデントが多数報告されています。このようなインシデントに対しては、クラウド環境に対する設定の不備を確認するアセスメントサービスなどが存在します。 - アンチウイルスソフトウェアを使用していれば、何も問題は起こりませんか?
-
アンチウイルスソフトウェアは一部の問題を解決できるだけで、十分に情報セキュリティを保護することはできません。例として、Webサイトがハッキングされる、またはデータが不正取得されるといった状況は、アンチウイルスソフトウェアでは防止できないことが多くあります。
また、一般的にアンチウィルスソフトウェアは既知のマルウェアファイルのパターン(シグネチャとも呼ばれます)を認識して検出しますが、最近ではパターンを変化させた亜種を非常に高頻度に作成することで、パターンファイルによる検出をすり抜けるマルウェアも増加しています。このようなマルウェアに対抗するには、マルウェアの挙動を事前に検出するサンドボックスや、マルウェアが実際に動作し始めた後の挙動を検出するEDRなどの対策が必要です。
レイ・イージス・ジャパンが新たにサービス開始したマルウェア検知サービスでは、そのような変異型や新種のマルウェアなどもしっかりと検知してくれます。
- レイ・イージスの顧客にはどのような企業がありますか?
-
国内外問わず、政府組織、銀行、金融機関、医療機関、電力会社、ECサイト、交通基盤システム、教育機関等、大手製造業やMSP事業者など、業界問わず情報セキュリティを重視するお客様にご利用いただいています。