セキュリティ(脆弱性対策、IPS、診断、TLPT)
1.CloudCoffer(クラウドコッファー)
ゲートウェイ型、クラウド型、AIサンドボックス
インターネットの出入口で出入りするトラフィックを検査し、不正なものがあるとそれをブロックしたり、警告を発したりする製品です。WAFやIPSと似たような位置づけの製品です。それらが見逃してしまうようなゼロデイ型攻撃や、既知の攻撃の亜種、難読なものの検出に威力を発揮。
Cloud Coffer 誕生の背景
脆弱期間の問題
- パターンマッチング方式はゼロディ攻撃に弱い
CloudCofferのWAFとしての進化、他社との違い
| CloudCoffer | 一般的なWAF | 検知対象 | ゼロデイ攻撃、不正リクエスト、機密情報の窃盗、バックドア埋め込みなど | 不正なリクエスト |
|---|---|---|
| ゼロディ攻撃検知 | 強力 | 困難 |
| 難読化、偽装、亜種亜種の検知 | 強力 | 困難 |
| 検知技術 | AIのデシジョントリー(決定木)により、不正なアクセスを検知 | パターンマッチングやシグネチャマッチング技術によって不正なリクエストを検知 |
| マルウェア検知 | オプションのSandbox機能によって、未知のマルウェアの動作を確認して危険度を検知 | 非常に限定的 |
| 某弱機関 | なし。パッチが適用されなくとも、AIが新たな脅威からシステムを保護し続ける | 未知の脅威を検知することができないため、パッチを適用するまでは脆弱 |
CloudCoffer とオンプレミス型WAFとの検知能力比較
| テスト一か月 | 検知総数 | 偽装された攻撃 | ゼロディ攻撃 | 他の攻撃(既知の攻撃及びIOTデバイスへのデバイスへの攻撃) | CloudCoffer 検知数 | 8910 | 1163 | 133 | 7614 |
|---|---|---|---|---|
| 一般WAF検知数 | 7220 | 163 | 4 | 7053 |
| 一般WAF検知率(CloudCofferを100%とした場合) | 81% | 14% | 3% | 93% |
CloudCofferと他のクラウドWAFとの検知能力比較
CloudCofferが次世代クラウドWAF CCC として登場
CCCは、Webサーバーへの外部からのサイバー攻撃を防御し、個人情報漏洩、不正電子取引、ホームページの改ざん、BOT化、サービス停止などからWebサイトを守る次世代のクラウド型WAFサービスです。
CloudCofferが次世代クラウドWAF CCC として登場
- 世界の名だたる金融機関で使われてきたCloudCofferのAIエンジンをそのまま使用
- OWASP Top 10を含む既知の攻撃の検知・防御に加え、ゼロデイ、難読化された攻撃、最新技術を使った攻撃を先進のAIエンジンにより確実に検知・防御
- 外部からの攻撃だけでなく、Webサイト側からの異常なレスポンスも検知
- DDoS対策(ネットワークでのDDos対策に加えてCloudCofferが、一定期間に特定IPからの連続した不審な通信を遮断するIPブロッキング機能あり)
- 検知統計の閲覧および日次・週次・月次での検知統計報告書
- ユーザ独自のホワイトリスト、ブラックリストの登録可(10月以降開放予定)
- ユーザはDNSの設定変更とSSL証明書のアップロード程度であとはお任せ
- 複数FQDNをまとめて保護(100Mbpsまでは標準で3xFQDN、200Mbps以上では標準で5xFQDNをサポート)。オプションで追加FQDN登録可能。
- 初期設定費用には、サービス使用前後の脆弱性自動診断ツールによる診断込み(報告書はPDF形式で提供)
- 7月から9月末までは無償トライアル期間。トライアルユーザが契約の際は、初期費用の半額免除。
CCCと他社製品との違い
| CCC | 一般のクラウドWAF | オンプレミスWAF | 導入コスト | 初期費用 98,000円、148,000円で簡易脆弱性診断が含まれる。月単位でいつでもサービス解約が可能。 | コスト的にはCCCと同程度だが、脆弱性診断は含まれない。月単位でいつでもサービス解約が可能。 | 機器やソフトウェアの購入、設計、設置作業など高価。一度導入すると、簡単に入れ替えられない。 |
|---|---|---|---|
| 導入の手間 | DNSの設定変更とSSLのアップロード程度で、1週間もかからない | CCCと同等 | パラメータ設定や、サイトごとの設定、シグネチャの更新など手間がかかる。 |
| 運用コスト | 月額料金を支払うだけで良い | CCCと同等 | 保守費用が別途発生する。オンサイトなどの際は、ユーザ側の負担も大きい。 |
| 保護対象Webサーバの数 | 100Mbpsモデルまでは保護対象となるFQDNを3個、200Mbps以上では5個まで追加料金なしに登録可能。それ以上は、追加料金で対応。 | 一般には、標準では保護対象FQDNは1つで、2つ目以上はオプションとなる。 | 一般には、性能要件以外の制約を除けば複数FQDNの登録が可能。 |
| DDoS対策 | モデルによって2種類あるが、DDoS対策が標準で含まれる。 | オプション | 別途DDoS対策ソリューションを購入する必要あり。 |
| 脅威の検出・防御 | シグネチャの更新など気にする必要がなく、常にゼロデイ、難読化を含不正アクセスを検知し、防御する | 一般的な脅威に対しては、ユーザの手間は不要だが、ゼロデイや難読化された攻撃にはやや脆弱さが残る | 常に最新のシグネチャに更新したり、パッチをあてたりとユーザ側の手間がかかる |
| 個別カスタマイズ | ブラックリストやホワイトリストなど、ユーザが個別に作成し、防御に関するカスタマイズが可能 | ベンダーによるが、一般にはカスタマイズはしない | きめ細かなカスタマイズが可能 |
| ユーザのセキュリティ技術レベル | セキュリティの専門家は不要。月次レポートや、自由にアクセスできるGUIでの脅威の傾向などについて理解できるとより安心できる。 | セキュリティの専門家は不要。 | ユーザ側にある程度のセキュリティの知識が期待される。 |
申し込み、契約条件など
- お申込み・お問い合わせに関してはページの一番下からご連絡ください。
- 契約期間は月次。最初の3か月のみがミニマム拘束期間。契約解除を希望する場合は、解除の1か月以上前に電話、メール、専用サイトから通知し、当社からの確認があって解除申し込みがなされたものとします。
- 9月末までの無償トライアル期間ユーザは、有償サービスに移る際に、初期費用を50%にて提供。最初の1か月目の請求と合わせて初期費用の50%を請求します。
CCC料金表
| 帯域 | CPU(コア数) | メモリ(GB) | HDD(GB) | FQDN数 | Pratform A 提供価格(月額) |
Pratform B 提供価格(月額) |
|---|---|---|---|---|---|---|
| 初期費用 | ¥98,000 | ¥148,000 | ||||
| 5Mbps | 1 | 4 | 50 | 3 | ¥58,000 | |
| 10Mbps | 1 | 4 | 50 | 3 | ¥98,000 | |
| 50Mbps | 3 | 6 | 75 | 3 | ¥128,000 | |
| 100Mbps | 4 | 8 | 100 | 3 | ¥178,000 | |
| 200Mbps | 6 | 10 | 200 | 5 | ¥278,000 | |
| 10Mbps | 1 | 4 | 50 | 3 | ¥128,000 | |
| 50Mbps | 3 | 6 | 100 | 3 | ¥148,000 | |
| 100Mbps | 4 | 8 | 100 | 3 | ¥218,000 | |
| 200Mbps | 6 | 10 | 200 | 5 | ¥298,000 | |
| 500Mbps | 8 | 12 | 500 | 5 | ¥508,000 |
・DDoS対策
Platform A 特定IPへのトラフィックが200Mbpsを超えた場合、対象トラフィックをDDoS対策経路に引き込み正常性の確認を行うサービスが標準バンドル
Platform B 専用のDDoS対策用としてNetGu@rdを利用
・保護対象Webサーバー
100Mbpsまでは再々3×FQDNまで、200Mbps以上は最大5×FQDNまで標準サポート、保護対象サーバーの追加は、FQDNあたり月額4,500円
対応可能なセキュリティ対策
CloudCofferはゲートウェイ型のセキュリティ製品で、様々な脅威リスクに対応しています。
CloudCofferの得意とする領域。イントラネットの保護(ATMなどの通常時閉域網である場合でも)、万一のための対策として有効。
CloudCofferの得意分野の一つ。クロススクリプティングなどの検出に非常に有効。
Sandbox機能や、ホワイトリスト(ファイル)機能などを使って特定ファイル以外のトラフィックを通さないなども可能。
CloudCofferによって防いだ事例は多々あり。
ファイルをダウンロードさせたり、またはリンクをクリックさせ偽装webサイトなどに誘導するという手口を検知。
海外の企業様がCloudCofferを入れる一番の理由としてあげられるもの。
CloudCofferで対応。
導入方法(サンドボックス構成)
CloudCofferのSandboxではファイルやコマンドを隔離されたマシン上で実行して、その動きを解析します。ファイルやコマンドがバックドアを開けようとしたり、機密情報を盗み出したり、あるいは他の不正を働こうと意図したものである場合、CloudCofferはそれらのファイルが不正であることを検出します。
2.脆弱性診断サービス・TLPT
当社は、レイイージスのパートナーとしてAIを使った脆弱性診断やTLPTを実施しています。ハッカーの手口及び技術、管理方法がいかに組み合わせるかについて、長年の経験から豊富な知識を有しています。ハッカーや従業員による不正入手を防ぐことを含めて、企業の秘密情報を保護します。
各サービス検査項目比較
各セキュリティ診断サービスではOWASPなどの規格に準拠した試験項目をもとに診断を実施します。実施する主なテスト項目は以下の通りです。
| 主な試験項目 | 試験項目概要 |
|---|---|
| 情報収集 | 対象環境の各サーバー、アプリケーションなど、プラットフォーム情報を収集します |
| 設定と構成管理のテスト | 許可されているメソッドやネットワークやアプリケーション構成に関する脆弱性を確認します。 |
| アイデンティティ管理のテスト | ユーザー登録やロール設定などアカウント管理に関する脆弱性を確認します。 |
| 認証のテスト | 認証情報の安全な転送方法やパスワードポリシーなど認証に関する脆弱性を確認します。 |
| 承認のテスト | 承認の迂回などに関する脆弱性を確認します。 |
| セッション管理のテスト | セッション管理スキームの迂回などの脆弱性を確認します。 |
| データ検証のテスト | SQLインジェクションやクロスサイトスクリプティングなどデータ検証に関する脆弱性を確認します。 |
| エラー制御のテスト | 返答されるエラーコードなどエラー制御に関する脆弱性を確認します。 |
| 暗号化のテスト | 不十分な暗号化やパディングオラクル攻撃などの脆弱性を確認します。 |
| ビジネスロジックのテスト | アプリケーションプロセスなどビジネスロジックに関する脆弱性を確認します。 |
| クライアントサイドのテスト | HTMLやCSSインジェクションやJavaScript例外などクライアント側に関する脆弱性を確認します。 |
各サービス標準価格
| クイック・ツール診断 | 45項目 | ¥350,000 (※1) 追加分:¥220,000 (※2) |
含む(1回) *初回診断実施後2か月以内 |
|---|---|---|---|
| 標準脆弱性診断 | 65項目 | ¥900,000 (※1) 追加分:¥600,000 (※2) |
含む(1回) *初回診断実施後3か月以内 |
| ペネトレーションテスト | 100項目 | ¥1,024,000 ~(※3) | 含む(何度でも) *初回診断実施後1年以内 |
| TLPT | (策定シナリオにより変動) | (個別お見積り) | |
| IoTセキュリティ | IoT機器・システム対する セキュリティ診断 |
(個別お見積り) |
- ※1サブドメイン/FQDN単位。
- ※2同一ドメイン内での追加サブドメイン/FQDN単位
- ※3サブドメイン/FQDN単位。アカウント種別によるログイン制御の有無など、サイトの特性により単価が変動します。追加分についても同額でのご提供となります。