WAF構築・運用

WAF(Web Application Firewall)は、ウェブアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するソリューションです。

cloudbric

Cloudbricとは

cloudbrikは、クラウド基盤のWebサイト・セキュリティ・サービスです。
保護対象のWebサイトへのアクセスを解析し攻撃性を判断する検出エンジンは、アジア・パシフィック地域WAFマーケットシェアNo1のペンタセキュリティシステムのWAPPLES(ワップル)を採用しており、20年間の技術力・ノウハウ・経験に基づいたお客様の信頼を得られているセキュリティ・サービスです。
毎月108,000,000以上のWeb攻撃から170,000以上の世界中のWebサイトを保護しています。

直感的なダッシュボード

インターネットが使用できる環境であればいつでもどこでも管理状況を確認できる直感的なユーザーインターフェースを提供いたします。

  • 攻撃数/観覧数/ハッカー/観覧者数
  • 攻撃回数の多いIP住所/国をTOP5で表示
  • サーバロードバランジング:直接CNAMEを設定可能(申請の手間が無い)
  • 告別ホワイトリスト/ブラックリスト
  • Web攻撃の目的別チャート
  • 攻撃ターゲットURLチャート

かんたん導入、安心サービス

難しいコーディング・時間のかかるダウンロード及びインストール・高いハードウェアは必要ありません。
3Stepで最も分かりやすく直感的なサービスを提供いたします。

  • サービス提供まで3ステップのみ(アカウント生成、保護対象登録、DNS変更)
  • 24時間・365日のサポート体制
  • 10,000以上の導入実績

サービス料金

初期導入費用68,000円~
月額サービス料金28,000円~

SiteGuard シリーズ

ジェイピー・セキュア社が提供する「SiteGuard」シリーズは、”ユーザビリティ・高い防御性能・高品質なサポート”を特長とする、国内利用サイト数No.1(ジェイピー・セキュア社調べ)の純国産ソフトウェア型WAF製品です。

当社は、ジェイピー・セキュア社の提供するソフトウェア「SiteGuard」シリーズのアソシエイトパートナーです。
公的機関の大規模Webでの構築、そして5年間にわたる24時間有人監視、運用実績ノウハウをベースに、SiteGuardシリーズの導入から24時間有人監視までワンストップサービスを行っております。

「SiteGuard Lite」は、ウェブサーバーのモジュールとして動作するホスト型WAF(ソフトウェア)製品です。ウェブサーバー自体にインストールするため、専用ハードウェアが必要ありません。
ネットワーク構成を変更せず、できるだけシンプルに導入したいお客様に最適な製品です。

株式会社ジェイピー・セキュア ホスト型WAF「SiteGuard Lite」

「SiteGuard」は、リバースプロキシとして動作するゲートウェイ型WAF(ソフトウェア)製品です。多機能型WAFとして、細かなカスタマイズを行うことができます。
ウェブサーバーと独立した構成で、複数のウェブサーバーを一元的に保護したいお客様に最適な製品です。

株式会社ジェイピー・セキュア ゲートウェイ型WAF「SiteGuard」

SiteGuard ワンストップサービス

導入サービス

サーバーインストール型のSiteGuardシリーズを、ネットワーク/サーバー設計、サーバー構築を含め実装します。
そのためお客様は、WAF導入にあたり、ハードウェア、OS、ミドルウェアなど複数のベンダーとの調整が不要となります。
また障害発生時においても、障害切り分けなど各ベンダーへの連絡、調査依頼が一本化でき、原因調査の迅速化が図れます。
構築ロケーションはお客様iDCでも各クラウドサービスでも対応可能です。

サービス内容 (個別に選択できます)

  • ネットワーク、サーバー設計
  • サーバー、機器調達
  • サーバー構築(Linux、Apache)
  • SiteGuard インストール、設定
  • SiteGuard の細かな運用チューニング
  • テスト

24時間有人監視サービス

スタンダード

SiteGuard が持つ優れた基本性能を活かした標準設定をベースにOS(Linux)、Webサーバー(Apache) も含めたサーバー全体の24時間有人監視をフェイス監視センターが行います。
WAFだけではなくサーバー全体の監視を行うことで、システム運用負荷の軽減や障害発生時の即応性というメリットがあります。

サービス内容 (個別に選択できます)

  • サーバー稼働監視
  • 障害検知、切り分け
  • お客様への連絡(電話、メール)
  • 事前手順書に準じた障害一次対応
  • ソフトウェアバージョンアップ、パッチ適用
  • 保守切れなどに伴うリプレイス対応

高セキュリティ

スタンダード+α のプロフェッショナルサービスです。
SiteGuard シリーズをお客様のWeb環境に合わせた細かな運用チューニングを行うことにより、さらに高度なセキュリティレベルを実現します。

サービス内容 (個別に選択できます)

  • シグネチャ カスタマイズ
  • 追加シグネチャ検証、シグネチャ手動インストール
  • 定期脆弱性診断(WAF有効性検証)
  • 脆弱性情報提供(早期対策、早期改善)

ログ分析

お客様にて運用中のSiteGuard シリーズのログをお預かりして弊社で分析します。
常時出力される膨大なログの精査ができない、誤検知なのか正しい検知なのかわからない、アプリケーションを変更したけれどもポリシーの見直しをしていない、
このようなお客様の悩みに対して、ログ分析サービスのレポートは現状を把握するとともに運用計画を導き出し、今後の指針を与えます。

サービス内容 (個別に選択できます)

  • スポット分析
  • 月次分析

価格(参考)

導入サービス

サーバー構築およびSiteGuard 設定250,000円~(フェイスiDC利用の場合)

24時間有人監視サービス

スタンダード監視および連絡50,000円/月~
障害対応、サーバー保守50,000円/月~
ソフトウェアバージョンアップ、パッチ適用個別お見積
保守切れなどに伴うリプレイス対応個別お見積
高セキュリティシグネチャカスタマイズ100,000円~
追加シグネチャ検証50,000円~
定期脆弱性診断200,000円~
脆弱性情報提供30,000円/月~
ログ分析スポット分析250,000円~
月次分析個別お見積

WEBサイト脆弱性診断

新規構築したWEBサイトは、公開した瞬間から徐々にセキュリティレベルが低下していきます。新たに出現するサイバー攻撃手法、新たに発見されるOSやアプリケーションの脆弱性、Webサイト改修の際にできるアプリケーションの脆弱性などがセキュリティレベル低下の原因となります。そしてこれはほとんどのWEBサイトに共通して起きる現象です。

また新規公開直後のWEBサイトだから安心できるわけではありません。システム開発は傾向として納期との闘いとなることが多く、セキュリティが十分に担保されたコーディングがされているケースはむしろ少ないと言えます。

そのためWEBサイトのセキュリティ診断は下記ケースで必要となります。

1 定期診断

ISMS(ISO27001)やプライバシーマーク取得企業・組織などがセキュリティのPDCAを回すために必要となってきます。年に1、2回診断を受け、リスクの把握をします。診断結果に基づきWEBサイトのセキュリティ対策をすることで低下するセキュリティレベルを引き上げることができます。本来、定期診断はすべてのWEBサイトで実施されることが望ましい姿です。

2 新規公開前の診断

新規公開、本番稼働する前のWEBサイトを診断します。新たに開発したアプリケーションに潜む脆弱性を事前に発見、修正を行った後に公開を行います。

3 WEBサイト改修後の診断

WEBサイトのアプリケーションに追加、変更が生じた場合、新たな脆弱性が発生する可能性があります。そのため改修、本番稼働前にあらかじめ診断を受け脆弱性を事前に発見して修正を行います。

フェイスのWEBサイト脆弱性診断

セキュリティ専門技術者がインターネット経由でリモートによりお客様WEBサイトを診断します。
診断内容はOS、ミドルウェアのチェックも含め、通常のセキュリティ運用に必要十分な約30項目程度を実施します。
また近年のサイバー攻撃はWebアプリケーションの脆弱性を突くものが50%を超えており、そのためWebアプリケーションの脆弱性を診断する内容を充実させています。
ご費用はWEBサイト 1サイト30万円からご提供します。
セキュリティ診断結果は報告書としてご提示します。報告内容は開発部門の改善目安となります。

診断項目

(お客様のWEBサイト環境やご要望によって不要な診断、実施できない診断があります。ご了承ください。)

  • ブルート・フォース
  • 脆弱パスワード調査
  • 資格情報/セッション予測
  • セッション固定
  • コンテンツ・スプーフィング
  • クロスサイト・スクリプティング
  • バッファー・オーバーフロー
  • 書式文字列攻撃
  • LDAP 注入
  • OS コマンド実行
  • SQL 注入
  • SSI 注入
  • アプリケーション・プライバシー・テスト
  • リモート・ファイル・インクルード
  • クロスサイト・リクエスト・フォージェリー
  • HTTP レスポンス分割
  • NULL バイト・インジェクション
  • XML 外部エンティティー
  • XPath 注入
  • パス・トラバーサル
  • サービス妨害
  • メール・コマンド注入
  • XML 注入
  • SSL/TLS強度チェック
  • ディレクトリブラウジング
  • ミドルウェアの不適切な設定
  • ミドルウェアの既知の脆弱性
  • 外部リダイレクト
  • ポートスキャン

データベースセキュリティ

この10数年、ネットワークのセキュリティはインターネットとプライベートネットワークの境界を防御することに重点が置かれていました。
今日まだDDOS攻撃、標的型攻撃など境界防御の課題はありますが、ようやく本来もっとも守らなければいけないデータベースのセキュリティ対策が本格化しようとしています。

2015年12月28日に公開された経済産業省「サイバーセキュリティ経営ガイドライン」において、情報セキュリティは経営者の責務と位置づけ、データベースセキュリティに関しては、重要情報が保存されているサーバ保護の施策として「重要データの高度な暗号化、アクセス制限、アクセスログ収集を行うべき」と定義されています。

2016年8月31日公開、内閣サイバーセキュリティ戦略本部 「政府機関の情報セキュリティ対策のための統一基準」においてデータベースの導入、運用時の対策として以下が示されています。

  • 内部不正防止のため管理者の適正な権限管理を行うこと
  • データベースにアクセスした利用者を特定できるよう措置を講ずること
  • データの不正な操作を検知できるよう対策を講ずること
  • 適切に暗号化すること

従来、既存アプリケーションの改修、高価な暗号化ツール、システムパフォーマンスの大幅な低下など課題が多かった分野ですが、企業経営責任の下、データベースセキュリティについて実施が求められる状況となりつつあります。

弊社はアジアのIT先進国 韓国の大手セキュリティメーカー ペンタセキュリティ社の製品「D’Amo」「My Diamo」を基にデータベースセキュリティをご提供します。

フェイスのデータベース セキュリティ ソリューション

「D’Amo」「My Diamo」は非常にコストパフォーマンスが高い製品です。
システムパフォーマンスが落ちないデータベース暗号化ツールを構築、運用も含めてご提供します。

商用DB暗号化ソリューション

商用データベースのOracle・Microsoft SQL Server
専用アドオン(Add-on)暗号化ソリューション

既存アプリケーションの開発なしで実装ができる唯一の3rd Party製品

  • Oracle Premium Edition+暗号化オプション以外では唯一の製品です。
  • 既存環境の変更を伴うことなくインストールができます。
  • インストールから稼働まで最短3日で可能です。

カラム単位で暗号化ができる

  • データをカラム単位で暗号化できます。
  • そのため暗号化処理のパフォーマンス低下を最小限にすることができます。

アクセスコントロール

  • 暗号化されたカラム単位で暗号化/復号化の権限設定ができます。

監査証跡

  • 暗号化されたカラムへのアクセスログを収集します。
  • 暗号化されていないカラムにも監査設定でログを残すことができます。

一元管理および日本語化されたわかりやすいGUI

  • 日本語化されたわかりやすいユーザーインターフェースを持っています。
  • 管理ツールにより暗号化、アクセスコントロールなどの設定を簡単にできます。

OSS DB暗号化ソリューション

世界初MySQL・MariaDBに特化したDBエンジンレベルの
データ暗号化ソリューション

オープンソースデータベースに対応する数少ない製品です。

上位製品「D’Amo」と同様の機能を持っています。

  • *My Diamo はデータベースの再構築が必要です。
  • 既存環境の変更を伴うことなくインストールができます。
  • *PostgreSQL(日本語版)の対応準備中です。

価格例

D’AmoD’Amo for Oracle Enterprise Edition (1~4コア)¥4,312,500
My DiamoMySQL Enterprise版 1~4Core Activeサーバ¥434,000

本ソリューションのビジネスパートナー

Penta Security Systems Inc.

株式会社 東和コンピュータマネジメント

標的型攻撃メール対応訓練サービス

標的型メール攻撃とは?

特定の人物や組織、あるいはその両者を標的とした攻撃で、通常のメールと区別がつかないようなメールを閲覧することでウイルスに感染し、社内の重要機密を盗み出すような攻撃。メール添付のほか、不正URLへの誘導など、方法は多様化しています。

厄介なことに、ウイルス/スパムフィルタリングでは、100%防ぐことはできません。

ITスキルの高い方であっても、身をもって経験しないとわかりません。

有効な防御方法は?

・メール送信者が信頼できるか確認する。

・不審なメールの添付ファイルを安易に開かない

標的型攻撃メール対応訓練サービス概要

訓練の目的:情報セキュリティにおける脅威の理解と適切な対処の促進

情報セキュリティ教育の一環として、標的型攻撃を想定した不審メールの対処に関する貴社の社員への訓練を実施します。訓練を通じて、より実際の脅威に近い形で社員の皆様に体験していただくことでエンドユーザーを狙うメールを用いた攻撃に対する危機意識とセキュリティ意識が向上し、適切な対処に関する理解の促進が期待されます。

具体的なサービス実施プロセス

標的型攻撃メール対応訓練サービスでは訓練メールを同一対象者に2回配信します。

2回の攻撃メール配信でセキュリティ意識向上の効果を計る本サービスの最小構成としております。

本サービスで期待される学習効果第1回訓練と第2回訓練の改善率

ご提供価格(ご参考)

基本料金:500,000円

アカウント課金:@1,000円×訓練対象者数

※1.消費税別途。

※2.上記価格は2016年10月現在のものです。これらは予告なしに変更する場合がございますので予めご了承ください。

セキュリティコンサルティング

ISO27001認証取得支援サービス

ITが現代の企業経営のあらゆる分野に浸透し、企業の重要な経営資源や資産として認識されてきています。
その一方で、コンピュータウィルスや不正アクセス等のセキュリティ対策の不備、震災等自然災害の影響による、機密情報の漏えいやサービスの停止など、事業存続を脅かすセキュリティ関連の事件・事故の危険にさらされています。

ISMSとは、企業組織が一環した方針に沿って一つの仕組みの基で、これらに対応するためのマネジメントシステムを構築し、運用・維持・改善を図ることで、より高いセキュリティレベルの向上を目指すもので、守るべき情報資産について、「機密性」、「完全性」、「可用性」をバランスよく保っていくことが主要なコンセプトとされています。

ISMS認証とは

ISMSは、情報セキュリティ認証制度として、2002年4月から運用が開始されておりましたが、2005年にISO化(ISO27001)され、情報セキュリティの国際規格としての発展が益々期待されています。
また、ISMSは企業の業務単位や部門、事業所単位等で取得することが可能ですので、中長期的計画を踏まえた段階的な構築が可能です。


JIPDEC 情報マネジメントシステム

取得のメリット

  • 個人情報保護体制の構築
  • 個人情報漏えいリスクの減少
  • 第三者認証によるお客様からの信頼獲得と不安解消
  • 第三者認証による取引先の信頼獲得と競合他社との差別化
  • 従業員の意識向上による内部情報漏えいの減少
  • 企業のイメージやブランドの向上

サービスの概要

  • マネジメントシステムの構築やISMS認証取得までの各種支援
  • 個人情報取り扱い上のリスクの分析
  • 社内規程類及び関連ドキュメントのテンプレート一式の提供
  • 従業員教育のための講師派遣や教育テキストの作成
  • 監査・審査等の特別支援サービス

コンサルティングの流れ

プライバシーマーク認証取得支援サービス

2005年4月に個人情報保護法が施行されましたが、その後も個人情報をめぐる事件・事故は後を絶たず、相変わらず企業不祥事の一環として新聞紙上をにぎわしています。また、2015年10月のマイナンバー制度の施行による個人番号と各種情報の連携など、プライバシー保護への対応はより一層求められています。

個人情報保護法は、何をすべきかを示してくれても、どのように対応すべきかは示してくれません。
そこで、企業が個人情報保護に適切な対応・対策を行うための有効的な手段として、プライバシーマーク(JISQ15001)の認証取得があげられます。

企業のコンプライアンス経営を確保するためには、関連する法制度に従っていることを自ら主張し、立証できるだけの論理性と証拠が収集されるマネジメントシステムが求められます。
プライバシーマーク(JISQ15001)に準拠した企業体制の構築と認証取得を行うことによって、貴社の個人情報保護マネジメントシステムが完成し、これらの目標を達成することができます。

プライバシーマークとは

経済産業省の外郭団体である日本情報処理開発協会(JIPDEC)が管理している個人情報の取扱いに関する認定制度であり、個人情報を適切に取扱っている企業を一定基準(JISQ15001規格)で審査・認定し、プライバシーマークの使用を許諾します。
近年の個人情報保護の高まりにより、取得企業は大幅に増加しています。


JIPDEC プライバシーマーク制度

取得のメリット

  • 個人情報保護体制の構築
  • 個人情報漏えいリスクの減少
  • 第三者認証によるお客様からの信頼獲得と不安解消
  • 第三者認証による取引先の信頼獲得と競合他社との差別化
  • 従業員の意識向上による内部情報漏えいの減少
  • 企業のイメージやブランドの向上

サービスの概要

  • マネジメントシステムの構築やプライバシーマーク認証取得までの各種支援
  • 個人情報取扱い上のリスクの分析
  • 社内規程類及び関連ドキュメントのテンプレート一式の提供
  • 従業員教育のための講師派遣や教育テキストの作成
  • 監査・審査等の特別支援サービス

コンサルティングの流れ

情報セキュリティ監査

高度情報通信ネットワーク社会の進展に伴い、広い範囲で電子化による利便性の恩恵を受ける事が可能となりました。便利な社会となった反面、電子化により増え続ける個人情報を含む情報資産に対する、セキュリティ対策も意識されるようになりました。様々な脅威から情報システム含む情報資産全体を守るためには、一定基準以上のセキュリティレベルを効果的に確保しているかどうか、第三者の専門家による情報セキュリティ監査が必要となります。

当社では、情報マネジメントシステムの構築だけでなく、組織全般を対象とする情報セキュリティ監査も行っています。

情報セキュリティ監査を実施することにより、現状のセキュリティ対策や運用状況を把握することが可能です。
また、経済産業省の管理基準により評価を行うため、明確な改善点を見出すことができます。
PDCAサイクルを実施し改善を継続することで、情報セキュリティレベルの向上と維持を実現させていきます。

情報セキュリティ監査とは

民間企業・政府・地方自治体等の情報セキュリティレベルを第三者により評価し、把握・向上することを目的として、2003年4月に経済産業省により施行された情報セキュリティ監査制度であり、情報システムはもちろん情報資産全体のセキュリティを定められた基準により監査します。
情報セキュリティ監査企業台帳に登録される専門機関により監査が行われます。

サービスの必要性

  • セキュリティ対策・運用状況における現状の把握・改善
  • 管理基準との差異の確認
  • 情報セキュリティにおける体制とノウハウの確立
  • 情報システムおよび情報リスクの適切な管理
  • 顧客および取引先への説明責任

サービスの概要

  • 監査計画の作成
  • 現場視察・ヒアリング
  • 実施状況の点検・評価
  • 監査報告書の作成、監査報告会の実施
  • 改善支援

監査の流れ