DTSは、ちょっと違う。
IT企業なのにパキスタンでインフラビジネスに挑戦中!

2010年11月

PCIDSS

midashi101130DTSのWAF SaaSモデルでももちろん準拠しているセキュリティ基準のひとつに「PCI DSS」があります。



pci


PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード大手5社が共同策定したクレジット業界の標準基準です。

以下、JCB様のサイトより引用させていただきました。

PCI DSS(Payment Card Industry Data Security Standard)とは、加盟店様・決済代行事業者様が取り扱うカード会員様のクレジットカード情報・お取り引き情報を安全に守るために、JCB・American Express・Discover・MasterCard・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
JCBは、PCI DSSを、JCB会員様情報を保護するためのセキュリティ基準として採用しています。
JCBは、PCI DSSに規定されているセキュリティ基準を満たすことを、JCBカードをお取り扱いいただいているすべての加盟店様・決済代行事業者様に推奨しています。



PCI DSSに準拠するためには、12件の項目をクリアしていなくてはなりません。そしてこのPCIDSS、現在ではクレジット業界以外でもセキュリティのグローバルスタンダードとして導入している企業が増えてきました。

気をつけていただきたいのが、WAFの中にはこのPCI DSSに準拠していないタイプのものも存在するという事実。特に、ブラックリストなどのデータベース照合にだけ依存するWAFには注意が必要です。
PCI DSSにも準拠している、DTSのWAF SaaSサービス詳細は間もなくオープンの特設サイトで詳細を。

DTSパキスタン支社訪問

midashi101129今週もDTSブログをよろしくお願いいたします!さて、しばらく製品紹介のエントリーが続きましたので、本日のエントリーでは久しぶりのDTS パキスタン支社関連のエントリーをお送りいたします。



現在、DTS CEOの高橋がDTSパキスタン支社に出張中。先週末にDTSパキスタン支社の社員がセレモニーを開催。

パキスタン支社から、日本本社に対して日頃の感謝の意で開催してくれたそうです。そして、このセレモニー、高橋には内緒のサプライズセレモニーだったようでかなり驚いたとのこと。


p_3パキスタン支社から贈られたケーキです!ちゃんとDTSのロゴも入っているのです。これには感激。











p_1そして、感謝状も。この感謝状は高橋だけではなく、パキスタン支社COOのIrfanや、日本本社の私たちにも用意されていました。










p_2CEO 高橋、パキスタン支社COOのIrfanとパキスタン支社のスタッフ。今回のパキスタン支社の訪問で、高橋が驚いたことがあったと連絡が入りました。前回の訪問時には開発チームは全員男性だったのですが、現在は女性のエンジニアが増えていたということです。さらにその女性エンジニアチームの優秀さにもかなり驚いたようです。



若い世代の開発チームはかなり優秀とのことで、高橋が日本で考えたアイディアもすぐに理解できるということ。テクノロジーには国境も人種もまったく無いと実感できるエピソードかもしれませんね。


※DTS WAF SaaS特設サイトは、12/1以降となります。もうしばらくお待ちくださいませ。

DTSのWAF SaaSサービス 来週前半には、特設サイトの方もアップされる予定です!

midashi101126今週のエントリーは、DTSのWAF SaaSサービス関連が続きました。来週前半には、特設サイトの方もアップされる予定です!




SaaStt


特設サイトの編集中に、あらためて認識したこと。
それは、今回の我々のサービスによって、今まで我々のプロダクトをご利用いただいている方々の他に、まったく予想もできない様々な企業の方々にお使いいただけるのではないだろうか?というより、ぜひ、お使いいただきたく思うのです。

サイトを運営されているすべての方々。


実際に、ガンブラーやXSSなどの脅威にさらされているのは、実に様々な企業の方々が運営されるサイトです。たったひとつのマルウエアによって、サイト自体が閉鎖に追い込まれることもあり得ます。ECサイトの場合、それは命取りにもなりかねません。

既存のブラックリスト型のWAFで防御しきれない、新種のマルウエアが現れる前に。現在よりも、より多くの方々に我々独自のテクノロジーによって生まれたWAFを知って欲しいと思います。

それでは、良い週末をお過ごしください。また来週、DTSブログでお会いしましょう!

関連記事
□現状のWAFが持つ、重大な危険性。
□WAFのブラックリストは、XSSを通過させてしまうことがあります!(WEB DB 2010 動画)

□DTS の WAF を最もシンプルなFAQ形式で

DTS の WAF SaaS は、「かなり」違う。

midashi101125DTSのWAFのSaaSサービスのエントリーが続きます。今日は、その概要を。




service_gaiyo




















特にご注目いただきたいのが、2〜4です。SaaS化の目的のひとつがサーバ構成変更が不要だということと、それによりコストが抑えられるということは当然としても、DTSのWAF SaaSサービスの肝は、やはり既存のWAFでは防御しきれない、未知の攻撃も防御可能で高検出率のオントロジールールエンジンによる防御がクラウドにより可能になったこと。

さらに、4で挙げているように、サーバにはDTSのキャッシュメモリ技術(特許取得済)を使用した「MCell」を使用。高速検出が可能となっているのです。

具体的な費用プランは現在進行中です。もちろん、幅広く、多くの、そしてあらゆるサイト運営のみなさまにご利用いただけるプランを考えております。

さらに、間もなくアップされる特設サイトには、「そんな技術が本当に可能なのか?」というみなさまのために、オントロジー技術詳細も掲載。かなり具体的に公表いたします。現在、DTSのWAFの技術が正式論文として技術学会で認定中。こちらの詳細も逐一お伝えいたします。


DTSのWAF SaaS は、「かなり」違う。実感していただけるはずです。


関連記事
□現状のWAFが持つ、重大な危険性。
□WAFのブラックリストは、XSSを通過させてしまうことがあります!(WEB DB 2010 動画)

□DTS の WAF を最もシンプルなFAQ形式で

DTSのWAFのSaaSサービス〜まずはWAFを今いちど・・・

midashi101124前回のエントリーでもお伝えしましたように、DTSのWAFのSaaSサービスがスタートします。現在、特設サイトを鋭意制作中!今しばらくお待ちくださいませ。


そこで今日のエントリーでは、WAF(Webアプリケーションファイヤーウオール)とは?という基本を。


図はクリックすると拡大します。

firewall_pict

















WAFは、Webアプリケーションの行き来を監視・管理して不正な侵入を防御するファイアウオールです。通常の(従来の)IDS/IPSやファイアウオールはネットワークでの管理。WAFはアプリケーションレベルの監視・管理を実行します。

WAFではないルータとネットワーク間のファイアウオールは、どんなWebアプリケーションが存在しているかを認識が不可能で、不正なアクセスも防御できませんでした。

WAFによって、Webアプリケーション関連のセキュリティが実行されるようになりました。現在の多様化するWebサーバへの攻撃の約9割がアプリケーションレイヤーに対して行われています。

そして、去年のガンブラー攻撃の時期あたりから、急速にサイト運営にWAFを利用することが普及、常識化しています。

他社のWAFとはまったく異なる高い検出率を記録している、世界初のオントロジーベースのWAFエンジンを使用しているDTSのWAF。おかげ様で導入企業の方々にもご好評をいただき、いよいよSaaSサービスがスタートします。「WAFは実行しておきたいが、システム構築や設備とコストが・・・」というサイト管理者の方々にぜひともお試しいただきたいサービスです。さらに、このWAFサーバに搭載されているのは、世界で認められているDTSのMCellを搭載。その検出スピードも並外れてスピーディーです。

DTSのWAFのサイトはこちらです(SaaSサービスではありません。Saasサービスサイトは現在制作中ですので今しばらくお待ちください)

MCellのサイトはこちらです

DTSのWAFのSaaSサービスがスタートします!

midashi101122「現状のシステム変更を変えずに、手頃な価格でDTSのWAFを利用できないか?」そんなお客様の声にお応えして、いよいよDTSのWAFのSaaSサービスがスタートします!




DTSのWAFの高機能・高検出率をそのままに、クラウド仕様(SaaS)でご提供できるようになりました。

もちろん、現状のシステム変更は不要。もちろん、低価格コストでDTSのオントロジー型WAFをご利用いただけます。

現在お使いのWebサーバ、ドメイン名の変更は不要。機能はDTSのWAFとまったく同様です。セキュリティ基準であるPCIDSSにも対応。

さらに、サーバにはDTSのハイブリッドメモリーディスクMCellが搭載されています。高検出率に加えて、高パフォーマンスをご提供!


system

















近日公開の特設サイトと、このブログで順次、情報をお伝えいたします!

年末・年始のアクセス増加のこの時期の対策は、DTSのWAF SaaSサービスがお手伝いいたします。





シグネイチャー型のWAFと、オントロジー型のWAFとの違い

midashi101119昨日のエントリー「現状のWAFが持つ、重大な危険性」。御覧いただけたでしょうか?



今日のエントリーでは、先日開催された学会の「Web DB 2010」でのDTSのプレゼンテーションの昨日のエントリーの内容の一部分を抜粋したものを、動画でご覧いただきましょう。(UST中継を編集したものです)





このDTSのWAFに関連するプロダクトのサイトが今月中にオープン予定。来週のDTSブログでも発表する予定ですのでチェックをよろしくお願いいたします。それでは、良い週末をお過ごしください!

現状のWAFが持つ、重大な危険性。

midashi101118今日のエントリーでも、ブラックリストに頼ったWAFの危険性を
具体的に。さらにオントロジールール生成型との違いもご説明します。必見です!




まずは昨日のエントリーでご紹介した、動画の詳細です。



1















上の緑枠の部分が、一般的なシグネイチャー。

下の赤枠の部分のスクリプトが、XSSのマルウエアとなります。そして、この部分がブラックリストのデータベースとなり、一般的なブラックリスト型のWAFはこのブラックリストと照合して(マルウエアかどうか)判断するのです。


問題は、このスクリプトの一部分を書き換えた場合。書き換えた新種のXSSマルウエアはブラックリストにありません。つまり、「これは大丈夫」と判断してしまうのです。これは重大な問題です。

では、ブラックリストだけに頼らないDTSのWAFの場合はどうやって判断しているのか?

2




DTSのWAFは、独自の「オントロジー」テクノロジーを使用しています。このスクリプトのXSSがアタックしたという「事実」を基にして、「オントロジールールを生成」してしまうのです。

このオントロジールールで関連付けで判断するので、スクリプトの一部分を変えてしまっても「これも危険」だと判断します。

端的には、ブラックリストの場合、「これがマルウエアだから、気をつけるように」とひとつひとつデータベースとして持つのに対して、自らがパターンマッチングを学習して、関連付けで判断できるのです。

現状一般的であるブラックリスト型のWAFは、データベースを積み上げて具体的に照合します。データベースの数が膨大になり、当然のことながら検出スピードが落ちます。さらに、新種のXSSが公開される前にアタックされてしまうのです。これが所謂「ゼロデイアタック」と呼ばれる攻撃です。

これに対して、DTSのWAFはデータベースに頼らないので、検出スピードは圧倒的に速く、新種のXSSの「ゼロデイアタック」を仕掛けられることがありません。


DTSのWAF 関連記事

□WAFのブラックリストは、XSSを通過させてしまうことがあります!(動画)
□DTS の WAF を最もシンプルなFAQ形式で


●DTSのWAF特設サイト

WAFのブラックリストは、XSSを通過させてしまうことがあります!

midashi101117今日から週末にかけては、サイト運営されている方々(今や、ほぼすべての企業の方々ですね)にとって重要エントリーとなります!



現在、ほとんどのWAFは「ブラックリスト形式(マルウエアのデータベース照合形式)」です。

ところが、このブラックリストでアップされているものの一部を変えてしまえば、安全だとみなして通過させてしまうことがあります。

まずは先日の「Web DB 2010」のDTSのプレゼンテーションの一部分をご覧ください。







DTSのWAF関連記事
□DTSのWAF(SWAF)と、GAPSはアルゴリズムが異なります。
□「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」
□Twitter〜Webアプリケーションレイヤーの脆弱性を実感してしまった夜
□DTS の WAF を最もシンプルなFAQ形式で

「SEMANTIC WALL」(ULTIMATE WEB SECURITY)

midashi101116DTSのパキスタン支社の方でも、海外向けのDTSのWAFのマーケティング活動が活発に行われています。



seman_1これは、東京支社のオフィスの壁にピンナップしてある、海外向けDTSのWAFのポスター。「01」で編まれた蜘蛛の巣。キャッチコピーは「セマンティックウオール(究極のウエブセキュリティ)」。

















seman_2アップにすると、「XSS」や「 Cross Site Scripting 」「SQL Injection」などマルウエア関連などのキーワードがレイヤー状に!









日本国内とはまた違うイメージでその実力を訴求している、クールで迫力のあるポスターです。さて、このDTSのWAF。近々、新しいプロダクトの発表もさせていただきます。今月中に、特設サイトがオープン。キャンペーンなども企画中です。
Categories
10524_bn


mailfフォームボタン
QRコード
QRコード