DTSは、ちょっと違う。
IT企業なのにパキスタンでインフラビジネスに挑戦中!

SWAF

セキュリティ

mds_2014_1006今週も平日の毎日更新の DTS ブログを宜しくお願いいたします!さて、週のはじめの今日は久しぶりのセキュリティの話題から。


こちらも久しぶりにIPA(情報処理推進機構)からの情報です。

最近のプレス発表では、「HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を」という項目が目立っています。これは米国からが脆弱性のある617のAndroidアプリを指摘されていることからなるようです。スマホアプリ(Android)の開発を行っている方は、IPAからも脆弱性の学習・点検ツール「AnCoLe」が無償サービスを行っていますのでご利用ください。
https://www.ipa.go.jp/security/vuln/ancole/index.html



さらに、昨日から今日にかけてネットを賑わせているのが、2012年の「Flashback」から本当に久しぶりの「Macのマルウエア」発見の話題。既に世界で1万7千台ほどの Mac が被害を受けているようです。(日本での感染の報告はまだありません)
「iWorm」(Apple社にとっては迷惑なネーミングです?)というこのマルウエア、さらに4種類の亜種があることも判明しているようで、感染源が不明というのも困ったものです。Appleからは既にプロテクトが配信されていますし、手動で発見、削除も可能なので Mac ユーザーの方は念のためご注意を。


さて、話はIPA に戻ります。8月には「昨秋以降ウェブサイト改ざんの報告は月平均400件前後で横ばい」
という見出しも。増えてはいないが、減少もしていないというところでしょうか。最近は、改ざんよりは
データ流出の方の事件の方が増加しているような気もします。対岸の火事と思わず、みなさまの会社運営のサイトのセキュリティをもう一度見なおしてみてくださいませ。



DTS は「SWAF」「GAPS」 など「ちょっと違うセキュリティ」をご提供しています。
独自オントロジー技術を利用した様々なセキュリティ製品を発表しています。現在、様々なジャンルで活躍中のDTSセマンテックオントロジー製品のルーツはこれらのセキュリティ製品から始まっています。
http://www.dts-1.com/products.php


それでは今週も宜しくお願いいたします!

関連記事
「DTS L3/L4 技術」「セキュリティ技術」「オントロジー技術」「Web 技術」
http://blog.livedoor.jp/dts_1/archives/1542057.html

「クレジットカード不正使用被害集計結果」

mds_2013_10_3先日、新しい iPhone の指紋認証について少しだけ触れましたが、今日は様々な報道で話題となっているセキュリティのお話です。


先月末に日本クレジット協会(一般社団法人)より「クレジットカード不正使用被害集計結果」が公表されました。(2013年1月〜6月)


日本クレジット協会公式サイト
1

















不正被害額が前期比14.3%。偽造被害額が6.6億。被害総額が 25 億円を超えるというのも驚きです。
(ただし、この間にクレジットカードそのものの使用率もアップしているということも念頭にいれておかなければなりません)
ネットショッピング(ショッピングサイト)系での被害のことには触れられていませんが、海外での被害額が増加しているという分析結果が記載されていました。

現在開催中の「CEATEC JAPAN」でも、指紋認証系のプロダクツがいくつか出展されていて、様々なデバイス、クラウドが急激な勢いで浸透していく現在、新たなセキュリティ技術にまた注目が集まっている
模様です。

DTS では既にお馴染みの SWAF や GAPS を始めとして、独自オントロジー技術を利用した様々なセキュリティ製品を発表しています。現在、様々なジャンルで活躍中のDTSセマンテックオントロジー製品のルーツはこれらのセキュリティ製品から始まりました。

DTS Products
http://www.dts-1.com/products.php


様々なデバイスの変化、そして新たな OS。企業でのセキュリティの見直しの時期に来ています。「他と違う、少し違う」確実なセキュリティをお考えの方はぜひご連絡をお待ちしております。DTS の独自オントロジー技術による推測するセキュリティを。

今週も DTSブログをご愛読いただきまして誠にありがとうございました!

mds_kihong_2013_2_15今週も DTSブログをご愛読いただきまして誠にありがとうございました!今週ラストのエントリーとして、最近このブログを初めて訪れてくれている方々のために「DTSってどんな会社?」的なエントリーをお送りしましょう。



本家サイトである「dts-1.com」にDTSのプロダクツを整理したシンプルなチャート図が掲載されています。

クリックで拡大
products_chart

















大まかに分けると、「DTS L3/L4 技術」「セキュリティ技術」「オントロジー技術」「Web 技術」の4つが DTS の核となります。

「DTS L3/L4 技術」のC4、そして M-Cell は既に世界中でお馴染みの技術。
詳しくはこちらを。
http://www.dts-1.com/dts-ssd.php

セキュリティでは「GAPS」「SWAF」などの技術が中心となり、OEMや公的機関にその技術を提供させていただいております。

そして、オントロジー技術、そして Web テクノロジー。これらはまさにこれからの世代のための(例えば、Web 3.0など)技術です。オントロジーベースの Web に落とし込まれます。

ハードウエアに始まり、セキュリティ技術、そして次世代オントロジー技術。そして、アイテムやジャンル、OS を問わず、テーマは「コンピュータの効率化」なのです。

来週はマーケティングのミーティングがあり、このブログでもまた続々と様々な情報をお送りできる予定ですのでお楽しみに!良い週末をお過ごしください。




DTSセマンテックセキュリティサービス・2

mds_12627昨日のエントリーでは、DTSセマンテックセキュリティサービスの概要をご紹介しました。本日は、サービス内容をご覧頂きます。



DTS独自のセキュリティ・アセスメントは、単なるセキュリティ評価サービスではありません。評価による「安全」で終わるのではなく、「安心」の運用が可能な段階までの流れをご提供いたします。


【内容】

■ポートスキャン(TCP,UDP:1〜65535、ICMP)
■OS、ミドルウエアスキャン
■webアプリケーションスキャン

・XSS
・SQLインジェクション

■緊急対応措置

+発見された重大なwebアプリケーションの脆弱性対応
(ex:SQLインジェクション攻撃など)

■報告会


【対象範囲】

■webサーバ、webアプリケーション
■DNSサーバ、メールサーバ、ファイアウオール など


【オプション】
■セキュリティ計画立案の作成
■webアプリケーションセキュリティの導入と運用
■セキュリティ監視サービス

※診断は、インターネットから各対象システムに実施いたします。

明日のエントリーでは、サービスフロー(お申込みから報告会の開催まで)と、webサイトにXSSの脆弱性を発見〜XSS攻撃の緊急対策(SWAF)の図説などをご覧いただきたいと思います。

先日のエントリーでも話題になりました大手プロバイダの事故や、Apple社のMacに関するウイルス感染の記載の変更などが連日報道されています。ぜひ、「安全」から「安心」のセキュリティを。

マイクロソフト社が4月の月例セキュリティ更新プログラムを公開しました

mds_12411マイクロソフト社が4月の月例セキュリティ更新プログラムを公開しました。先日のエントリーでMacのトロイの木馬についてお知らせしましたが、Windowsユーザーの方々もマメな更新を習慣に。


2012年4月のセキュリティ情報(マイクロソフト社)



今回の月例更新での「深刻度が緊急」の情報

MS12-023 MS12-024 MS12-025 MS12-027

MS12-023
インターネットエクスプローラー関連の脆弱性修正パッチです。対象バージョンは6〜9と公表されています。リモートでコードが実行される恐れがありますので注意が必要とのことです。

MS12-024
Windows Authenticode Signature Verifycation関連の脆弱性修正パッチです。対象OSは、XP/Vista/Windows 7と公表されています。PEファイル(Windows のローダが認識してくれる実行可能ファイルのフォーマットの一つ)実行の際にリモートでコードが実行される恐れがありますので注意が必要です。

MS12-025
.NET Framework関連の脆弱性修正パッチ。対象のソフトウエアのバージョンは .NET Framework 4/3.5.1/3.5/3.0/2.0/1.1/1.0

フィッシング系のサイト閲覧の際に、リモートでコードが実行される恐れがありますので注意が必要とのことです。

MS12-027
Windows コモン コントロール(Windows オペレーティング システムでは、多数の Windows コモン コントロールが提供されています)関連の脆弱性修正パッチです。対象ソフトが多いのでご注意ください。
Office 2010/2007/2003、SQL Server 2008 R2/2008/2005/2000、BizTalk Server 2002、Commerce Server 2009 R2/2009/2007/2002、Visual FoxPro 9.0/8.0、Visual Basic 6.0 Runtime

こちらのみ、アタックの実例が報告されているようです。メール添付のRTFファイルを開くとコードが実行。エクスプローラーにも応用可能な脆弱性とのことですのでじゅうぶん注意が必要です。


もうお気づきかと思いますが、dts-1.comの製品情報ページに、DTS SWAF(セマンテックウエブアプリケーションファイヤーウオール)の紹介動画が掲載されています。英文となりますがぜひご覧下さい。

SWAF

「Connect2011」

midashi11505本日(5月6日)よりDTSは正常営業となります。皆様、連休はいかがお過ごしだったでしょうか。


さて、日本では 5月の「情報セキュリティEXPO」が間もなく開催されますが、一足早く、DTSのパキスタンチームがカラチで開催中の「Connect2011」(会場:カラチ・エキスポセンター)に5月3日〜5日まで出展。DTSのWAF(SWAF)のプレゼンテーションを行いました。


D1「Connect2011」会場の様子











D2「Connect2011」オフィシャルサイト





















「Connect2011」は世界14カ国から100社以上の企業が参加する大規模イベントです。革新的なソリューションが集まってその技術をプレゼンテーションする展示会で、パキスタンでのビジネスネットワークのための企業な機会を得られることができます。

「Connect2011」
http://www.connectitpakistan.com/


そして、来週11日はいよいよ日本でも「情報セキュリティEXPO」(東京ビッグサイト)が開催。DTSの特別講演に皆様のご来場をお待ち申し上げております。

第8回・情報セキュリティEXPO 専門セミナー 5月11日(水)9:40〜12:30
「今、考慮すべき最新ネットワーク・セキュリティ」

DTS講演
「アプリケーション・レイヤの脆弱性を解決する!」(DTS CEO 高橋 宏尚)

http://www.ist-expo.jp/ja/Technical-Conference/Technical-Conference/IST-2/ 

「Web Application Firewall(WAF)読本 改訂第2版」

midashi1131昨日、IPA(独立行政法人 情報処理推進機構)より「Web Application Firewall(WAF)読本 改訂第2版」が公開されました。





この資料のサブタイトルが「Web Application Firewallを理解するための手引き」。今までこのブログのDTSのWAFの説明の中でも言ってきた様々なことも掲載されているようです。


waf













実際にWAFを導入する前の資料として、これほどうってつけのものは無いと思われますので、まずはぜひともダウンロードしてみてください。

さてこの資料の中でやはり気になった箇所があります。

4.1.1.導入検討
「脆弱性を狙った攻撃の種類によっては、WAF で防御できない可能性があります」
「事前に防御したい脆弱性を悪用する攻撃を、WAF で防御できるか調査します。」
(資料より引用)

まさに、我々がDTSのWAFを説明する時に何度も言ってきたことですね。そして、実際には「事前に防御したい攻撃」がわかっていない、突如として未知の攻撃を受けることがあるわけです。

これに付随して、こんな箇所もチェックしてみてください。

3.3.1. 「検査機能」における偽陽性(false positive)・偽陰性(false negative)
「ブラックリスト」における留意
「の「ブラックリスト」のすべての検出パターンを有効にすると、偽陽性が発生する可能性があります。」
(資料より引用)

ブラックリストによる攻撃防御の不安についても、このブログやセミナーなどで様々な形でご説明してきました。

つまり、DTSのWAFはこういった「導入する前に検証しなければならない・検証したとしても未知の攻撃からの防御は不明」なWAFではなく、ブラックリストも不要で、未知の攻撃の防御も可能なWAFであるわけです。

「Web Application Firewall(WAF)読本 改訂第2版」


DTSのWAF関連記事
□DTSのWAF(SWAF)と、GAPSはアルゴリズムが異なります。
□「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」
□Twitter〜Webアプリケーションレイヤーの脆弱性を実感してしまった夜
□DTS の WAF を最もシンプルなFAQ形式で

「ローカライズされた海外のセキュリティソフト」

midashi131今週もDTSブログをよろしくお願いいたします!今日のエントリーでは
ローカライズされたソフトウエアをテーマとしてお話したいと思います。


例えば、みなさんが通常使用している、ローカライズされたソフトウエアには何があるでしょうか?会計ソフトなどは、もう純然たる日本開発ソフトが圧倒的に多いですね。基幹業務システム系なども・・・。

マイクロソフトのオフィスなどは、基本的なエンジンはローカライズですが、細かな設定、チューニングは確実に日本仕様となっています。そうい意味では、海外で生まれて、日本で育ったソフトウエアといえるのかもしれません。そして、ソフトウエアの中には、「ソフトウエアに表示される英語を日本語に訳した」だけのような製品も多く存在しますよね。

一言でローカライズと言っても、ソフトウエアの場合、ちゃんと日本仕様にチューニングされたものでないと、完璧にローカライズされたソフトウエアとは言えません。

例えば、DTSのセキュリティエンジンである、WAF(SWAF)を例にとってみましょう。開発はもちろん、日本です。実際に携わるスタッフはそれこそ、各国のテクノロジー担当ですが、目的は「日本人の使うセキュリティエンジン」として完全にチューニングされています。アタックしてくる攻撃元は、国ごとに違いまるわけです。さらに、ユーザー様ごとの特長のあるチューニングにも対応しています。

未だ、企業の中には「ローカライズされた海外のセキュリティソフト」をご利用になられている方も多いようです。しっかりと、日本仕様にチューニングされたローカライズになっているかどうか、今一度チェックを。

■関連記事
□DTSのWAF(SWAF)と、GAPSはアルゴリズムが異なります。
□「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」
□Twitter〜Webアプリケーションレイヤーの脆弱性を実感してしまった夜
□DTS の WAF を最もシンプルなFAQ形式で


従来のWAFとDTSのWAFの考え方の違い

midashi11119今日は、先日のエントリーでもご紹介しましたDTSのCEO高橋が「Web DB 2010」でプレゼンテーションした際のUSTREAM中継から、従来のWAFとDTSのWAFの考え方をテキストにてお送りします。



WAF2010年11月に開催された「Web DB 2010」でのプレゼンテーションより。








図はクリックすると拡大します。

firewall_pict


















DTS CEO 高橋「レイヤー7はアプリケーション層ですので、具体的にはファイヤウオールの階のレイヤー2,レイヤー3ではなくてレイヤー7側のHTTPの箇所で判別をします。

従来は、アプリケーションファイヤウオール(WAF)ということで製品が多数ありますが、基本的にはネットワークと同様にシグネチャー、ブラックリストの比較だけで遂行されていました。

当然、DBなので検知率はどうしても最新の情報にアップデートしないと落ちていきます。それを、「どうアップデートするか」というのが現在のWAFの考え方です。これは一般的なセキュリティ製品の考え方です。

DTSはこの部分を根本的に変えようという発想から、オントロジーベースのセマンテックエンジンを搭載したDTS独自のWAF(SWAF)を開発しました。」



□補足
●現在の多様化するWebサーバへの攻撃の約9割がアプリケーションレイヤーに対して行われています。
SaaSサービスが間もなくスタートします。「WAFは実行しておきたいが、システム構築や設備とコストが・・・」というサイト管理者の方々にぜひともお試しいただきたいサービスです。さらに、このWAFサーバに搭載されているのは、世界で認められているDTSのMCellを搭載。その検出スピードも並外れてスピーディーです。


□DTSのWAF(SWAF)と、GAPSはアルゴリズムが異なります。
□「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」
□Twitter〜Webアプリケーションレイヤーの脆弱性を実感してしまった夜
□DTS の WAF を最もシンプルなFAQ形式で






「どのようなオントロジールールでDTSのWAFは検出するのか?」

midashi11117先週末はSQLインジェクションのリアルな体験をお届けしました。今日のエントリーでは、そのSQLインジェクションを含むwebアプリケーションレイヤーに対するアタックを防御できるDTSのWAFについて、少し深くご説明してみたいと思います。



1去年、DTSのCEO高橋が「Web DB 2010」でプレゼンテーションした際のUSTREAM中継からのスライドです。








「どのようなオントロジールールでDTSのWAFは検出するのか?」をプレゼンを箇条書きでまとめてみました。


●ドメインのコンセプチャライゼーション

オントロジーは、DBでいえば、元々存在する事実に対してのエンティティをつくっていき、それぞれ関係する連携性をそこで組み上げて
DB化していくテクノロジーです。ここでどういうレベルのオントロジー生成をするか?を決定します。

●オントロジーレイヤー

一般的webで言うところのセマンテックウエブで使用されるOWLを使用。

●インファレスレイヤー
推論。各々のつながりに対して短略化できるところは短略化していくことをリアルタイムに行っていく。

●ルールレイヤー
最終的にはルールレイヤーをこういったDTS独自のプログラムでつくっています。

2










Protoge APIから始まって、コンセプトを決定〜オントロジーレイヤーの方の書き込み、推論〜Jena API という以上をSQLデータベースとして組み上げます。これがまずは比較のDBとなります。


DTSのWAF関連記事
□DTSのWAF(SWAF)と、GAPSはアルゴリズムが異なります。
□「2010年 第2四半期 ソフトウェア等の脆弱性関連情報に関する届出状況」
□Twitter〜Webアプリケーションレイヤーの脆弱性を実感してしまった夜
□DTS の WAF を最もシンプルなFAQ形式で
Categories
10524_bn


mailfフォームボタン
QRコード
QRコード