クラウド型WAF「Cloudbric」、wizlynx group社によるテストで優秀な成績

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人)は9月28日、弊社取り扱いのクラウド型WAF「クラウドブリック(Cloudbric)」について、スイスのセキュリティ専門企業のwizlynx group社によるWebアプリケーションペネトレーションテスト(侵入テスト)で優秀な成績を納めたことを明らかにした。

一般社団法人JPCERTコーディネーションセンターによると、2020年4月から6月まで発生したサイバーセキュリティインシデント報告件数は10,416件で、前四半期の6,510件からおよそ60%増加したと報告され、Webセキュリティに対しさらに徹底したセキュリティ対策が求められている。

wizlynx group社はインフラ及びネットワーク情報セキュリティソリューション分野で豊富な経験を持っている。アメリカ、ドイツなど7か所の海外拠点を有し、全世界にサイバーセキュリティサービスを提供する企業である。特に、セキュリティ業界で認められた高いレベルのセキュリティ監査及びペネトレーションテストのサービスを提供している。

今回のテストは、クラウドブリックの性能を検証し、日本及びグローバル市場においての競争力をさらに強固にするために依頼したもので、セキュリティ教育機関の SANSトレーニングを修了し、CRESTやCIACなど、セキュリティ資格を獲得している専門家たちによる検証が行われた。また、オープンウェブアプリケーション・セキュリティプロジェクト(OWASP)テスティングガイドに基づき、オープンソースセキュリティテスト方法論マニュアル(OSSTMM)及びペネトレーションテスト実行基準(PTES)などのセキュリティ基準に沿ったペネトレーションテスト(侵入テスト)が行われた。

テストでは、合計1,738回の攻撃ペイロードを適用し、全ての攻撃がクラウドブリックにより検知・遮断されることを確認した。これにより、Webアプリケーションに対する最も重大なセキュリティリスクのOWASP Top10及び様々な脆弱性に対応可能であることが証明された。

ペンタセキュリティ日本法人代表取締役社長の陣は、「最高レベルのwizlynx社のペネトレーションテストで優秀な成績を納めることで、クラウドブリックの優秀な性能が検証されたと思う」とし「ハッカーの手口がますます高度化し巧妙化する中、我々は今回の結果にとどまらず、クラウドブリックのさらなる性能向上を目指して努力していきたい。また、18カ国28カ所のリージョンから、日本及びグローバル市場拡大に向けてクラウドブリックの競争力を強固にしていきたい」と述べた。

中小企業デジタル化応援隊事業 IT専門家登録完了のお知らせ

中小企業庁が、独立行政法人中小企業基盤整備機構(中小機構)を通じて、テレワークやEC等の活用についてIT専門家から助言等を受けられる「中小企業デジタル化応援隊事業」を2020年9月1日(火)から開始しました。

中小企業デジタル化応援隊事業とは、全国の中小企業・小規模事業者のさまざまな経営課題を解決する一助として、デジタル化・IT活用の専門的なサポートを充実させるため、フリーランスや兼業・副業人材等を含めたIT専門家を「中小企業デジタル化応援隊」として選定し、その活動を支援する取り組みです。

要件を満たす支援提供を行ったIT専門家に対して、最大3,500円/時間(税込)の謝金が事務局から支払われるため、中小企業は通常の時間単価から上記金額を差し引いた金額でデジタル化推進のための支援を受けることができます。
中小企業デジタル化応援隊事業図

弊社は既に、認定番号 第10号-20070014 として「情報処理支援機関(スマートSMEサポーター)」に認定されており、この度「中小企業デジタル化応援隊事業」への登録につきましても完了いたしましたのでお知らせさせていただきます。

中小企業デジタル化応援隊事業

これにより

  • デジタル化課題の分析・把握・検討
  • IT導入に向けた様々な支援・コンサルティング
    例:
    テレワーク導入 VPN・社内ネットワーク・クラウドPBX導入
    セキュリティ強化 UTM導入・アンチウイルス、EDR導入・WAF導入
    Web会議 Microsoft Teams導入、Zoom導入
    ビデオ会議 Microsoft Teams専用端末導入
    ECサイト構築
    …等

への対応解決に向けた課題解消への当事業支援適用が可能です。

新型コロナウイルス感染症の拡大により、事業継続のため今年度は大きく事業を変更する、あるいは社内環境を変える必要に迫られている企業も多いかと思います。リモートワークの推進や、オンラインでの会議やセミナー、新しいITツールの導入など、これまでのやり方では対応できないことも増えています。
社会の変化に対応し、事業を変更する、軌道修正する、体制を変えていくことが必要不可欠となっています。
 
一方で、中小企業の皆さんにとっては、これまでのやり方を変えるのはたくさんの困難を伴います。また、そもそもこれまで利用していなかったツールを利用するとなると、初めての導入で何をすればいいかわからない、あるいはどんなツールが自社に向いているかわからないという方も多いのではないでしょうか。特にデジタル化やテレワーク・オンラインミーティング、ECサイトなどは様々なツールが存在するため、自社にぴったりなものはどれか、また、それを社員全体で使えるように教育していくのは大変なことです。
IT活用を望む中小企業の皆さんは、当事業支援の適用により出費費用を抑えることができます。
是非、弊社にご相談ください。

データプライバシーデー・ジャパン賛同者掲載のお知らせ

「データプライバシーデー」とは、プライバシーの尊重と個人情報保護への信頼を得ることをテーマとし、毎年1月28日に行われる個人情報保護への意識の向上および議論の喚起のための国際的な取り組みです。

この度、弊社では「データプライバシーデー・ジャパン」への賛同を表明し、賛同者として掲載されましたのでお知らせさせていただきます。

働き方改革推進支援助成金(新型コロナウイルス感染症対策のためのテレワークコース)

現在、厚生労働省が新型コロナウイルス感染症対策として、新たにテレワークを導入した中小企業事業主を支援するための助成を行っています。
 

働き方改革推進支援助成金(新型コロナウイルス感染症対策のためのテレワークコース)
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/koyou_roudou/roudoukijun/jikan/syokubaisikitelework.html

 

 
支給要件
令和2年2月17日~5月31日にテレワークを新規で導入し、実際に 実施した労働者が1人以上いること ※少なくとも1人は直接雇用する労働者であることが必要です。
 
支給対象となる取り組み
テレワークの導入・実施に関して、以下の取組をいずれか1つ以上を実施。取組に要した費用に対する助成。

テレワーク用通信機器導入・運用
弊社にてご案内可能な取り扱い品目(例)
・VPN装置
・Web会議用機器
・保守サポートの導入
・クラウドサービスの導入
就業規則・労使協定等の作成・変更
労務管理担当者に対する研修
労働者に対する研修、周知・啓発
外部専門家(社会保険労務士など) によるコンサルティング

 
支給額
支給対象となる取組の実施に要した費用のうち、下の「対象経費」に該当するものについて助成。

対象経費 助成額
謝金、旅費、借損料、会議費、雑役務費、印刷製本費、備品費、機械装置等購入費、委託費 対象経費の合計額 × 1/2 (100万円が上限)

 

緊急事態宣言発令に伴うテレワーク対応ソリューションについて

新型コロナウイルスの感染拡大を防ぐために、テレワークを導入する企業が増えています。

ですが、突然の緊急事態宣言発令に戸惑っている中小企業の経営者や担当者は多いと思います。
非常時とも言える状況で、テレワークをいかに導入するのかは、労務面やコスト面からも普段から対応を徐々に進めていない企業には判断が難しいことが多々あります。

テレワークは「制度の導入」だけでなく「業務の見直し」「システムの導入」「意識改革」など、今までとは働き方が全く異なってしまうため、時間をかけてしっかり取り組む必要があります。
しかし、非常事態宣言となった今、事業継続対策(BCP対策)のためには社員の感染リスクを最小限に抑える必要があり、悠長に議論している時間もありません。
『テレワークなど導入できない』と言ってしまっては、社員の感染リスクを減らすことはできませんし、事業を継続することもできなくなってしまいます。

テレワークというと「セキュリティーをどう確保するか」が一般的に議論されがちです。
確かに個人情報が流出するとお客様にご迷惑をかけるだけではなく、企業は大きなダメージを受けます。

ただ、今は非常時ですので『すべての情報を守ること』ではなく、『漏えいすると問題が発生する情報』をテレワークで共有させることなく『どのようにテレワークで情報を共有することができるか』を考えなくてはいけません。

キャスト・ワークスではこれらの現状を鑑み、皆さま各社の状況にフィットしたテレワークを素早く開始していただけるよう、以下のソリューションをご用意させていただいております。
ご興味がございましたら、是非お問い合わせください。
 

お客様からの会社にかかってきた電話を、社員が自宅に居ながらBYODのスマホで取ることができ、会社の電話番号で発信することもできる
① クラウドPBX(クラウド型ビジネスフォン)「INNOVERA PBX」

INNOVERA PBX

BYODのスマホでも問題はないけれど、使い慣れたビジネスホンの利便性を求めるなら固定機型IP電話機
② (SIP電話機)Yealink

(SIP電話機)Yealink

在宅勤務時には社員間で疎になりがちなコミュニケーションを密にしたいが、何かと脆弱性の問題が出ているzoomのような無償のテレビ会議システムは社員に使わせたくない
③ Yealink 「ビデオ会議システム」

Yealink ビデオ会議システム

コンピュータウイルスやハッキング・フィッシングなどの脅威から社内ネットワークを効率的かつ包括的に保護。情報漏えいのリスク対策とネットワークの可視化します
④ Check Point UTM(統合脅威管理)

UTM(統合脅威管理)

リモートワークでも社員に貸与したPC端末の集中管理が可能
未知のウイルス・マルウェアに特化、振る舞い検知・EDR機能搭載純国産アンチウイルスソフト
⑤ FFRI yarai(アンチウイルス)

FFRI yarai(アンチウイルス)

会社のリソースを社員個人のDropboxのようなオンラインストレージに保存させたくない
社員間のチャットコミュニケーションを会社の管理下で実現したい
⑥ Nextcloud(オープンソースファイルホスティングサービス)導入支援

オンラインストレージまでは必要無いけれど、自社のチャットツールを構築し社内リソースの拡散・漏えいを防ぎたい
⑦ Mattermost(オープンソースチャットホスティングサービス)導入支援

 

STOP! パスワード使い回し!キャンペーン2019

複数のインターネットサービスで同じアカウント ID、パスワードを使い回していることが原因で生じてしまう、インターネットサービスへの不正なログイン、いわゆる「パスワードリスト攻撃」による被害を防ぐ啓蒙活動のため、2019年の今年もJPCERT/CC(一般社団法人 JPCERTコーディネーションセンター)さまによるキャンペーン
STOP! パスワード使い回し!キャンペーン2019が開始されました。

どうしてパスワードの使い回しがいけないのか
攻撃者がパスワードをどこから盗み出し、どのように悪用するのか、まずは情報漏えいのしくみを知っておきましょう。

どうすれば情報は悪用されないのか
安全なパスワードの設定条件を知っておきましょう。

パスワードを忘れたらどうしよう…
パスワードの適切な管理方法を知っておきましょう。

安心して利用できる方法は他にどんなものがあるの?
インターネットサービスによっては、安全に利用するために役立つさまざまなセキュリティ機能が提供されています。積極的に活用しましょう。

弊社も当キャンペーンへの2017年より当該キャンペーンに賛同しております。
STOP!!パスワード使い回し!!(2017)
STOP!!パスワード使い回し!!(2018)

STOP!!パスワード使い回し!!2018

STOP!!パスワード使い回し!!(2018)

複数の(インターネット上の)サービスで同じログインIDとパスワードを使い回しすると、どこかのサイトから流出した可能性のあるログインID・パスワードを用いた「パスワードリスト攻撃」(または「リスト型アカウントハッキング攻撃」)などと呼ばれる方法によって、第三者に不正にログインされる恐れがあります。

近年この方法によるアカウントの乗っ取りや、不正課金利用などの被害者が増加傾向にあります。

ID・パスワードをしっかり管理しましょう

(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
などの方法が有効です。
 
必ずしも定期的に変更する必要はないとの認識が総務省より示されました

パスワード「頻繁に変更はNG」総務省が方針転換
 定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の“常識”を覆すような注意喚起を始めた。(頻繁な変更は)「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、それよりも十分な長さかつ複雑なパスワードを使い続けるよう呼びかけ。
国民のための情報セキュリティサイト(総務省)
社員・職員全般の情報セキュリティ対策(PDF)

 

弊社おすすめのパスワード生成方法(2018年版)

※使い回さず、忘れにくいパスワードの特定のルールに従って生成することをおすすめします。以下に生成例を提示します。
(1) 記号を二つ決める
  たいていのサービスで !$/%@# あたりの記号が使えるようになっています。
  この中から二つ。
  例えば「$」と「@」
(2) 覚えやすい英単語を二つ思い浮かべる(3文字~4文字程度が良い)
  例えば「hand」と「foot」
(3) (0~9のうちから)数字を一つ思い浮かべる
  例えば「4」
(4) サイト固有の英単語を含める
  例えば弊社サイトであれば「works」
(5) 特定の順番に組み立てる
  →「hand$foot@4works」
これでサイト毎に違う16文字(ベースが必ず11文字)のパスワードが出来上がり!
 

【資料】できるだけ長いパスワードを利用することの計算的根拠

使用する文字の種類 最大解読時間
入力桁数
6桁 8桁 10桁 12桁
英小文字(例abc + 123) 1秒以下 8秒 59分 4週間
英大文字のみ 又は 英小文字のみ + 数字(例ABC 又は abc + 123) 1秒以下 1分 1日 4年
英大文字 + 英小文字 + 数字(例ABC + abc + 123) 1秒 2時間 4日 3000年
英大文字 + 英小文字 + 数字 + 記号(例ABC + abc + 123 + #$%) 5秒 9時間 6年 34000年

※すべての組み合わせを試すために必要な時間を試算した結果のおおよその値。計算するシステムの能力にもよる。

 

「STOP!!パスワード使い回し!!」キャンペーン

当社は一般社団法人 JPCERT/CC(JPCERTコーディネーションセンター)の「STOP!!パスワード使い回し!!」キャンペーンに賛同しています。
具体的な予防方法の詳細がJPCERT/CCのキャンペーンページにて掲載されていますので、是非ご覧下さい。

STOP!!パスワード使い回し!!キャンペーン2018(JPCERT/CC PC版)
STOP!!パスワード使い回し!!キャンペーン2018(JPCERT/CC mobile版)
STOP!!パスワード使い回し!!2018

STOP!!パスワード使い回し!!(2017)

複数の(インターネット上の)サービスで同じログインIDとパスワードを使い回しすると、どこかのサイトから流出した可能性のあるログインID・パスワードを用いた「パスワードリスト攻撃」(または「リスト型アカウントハッキング攻撃」)などと呼ばれる方法によって、第三者に不正にログインされる恐れがあります。

近年この方法によるアカウントの乗っ取りや、不正課金利用などの被害者が増加傾向にあります。

ID・パスワードをしっかり管理しましょう
・複数のサービスで同一のID、パスワードの組み合わせを使用しない
・定期的にパスワードを変更する
・文字・数字・記号の混在した推測されにくい羅列にする
などの方法が有効です。

「STOP!!パスワード使い回し!!」キャンペーン
当社は一般社団法人 JPCERT/CC(JPCERTコーディネーションセンター)の「STOP!!パスワード使い回し!!」キャンペーンに賛同しています。
具体的な予防方法の詳細がJPCERT/CCのキャンペーンページにて掲載されていますので、是非ご覧下さい。

STOP!!パスワード使い回し!!キャンペーン2017 https://www.jpcert.or.jp/pr/2017/pr170002.html(外部サイト)
STOP!!パスワード使い回し!!

あなたのメールアドレスは何点?【やってみた】

突然ですが、皆さんが事業でお使いのメールアドレス(ドメイン)は何点かご存知ですか?

そんなこと知らない」だったり「気にしたこともない」方が大半だと思います。

実は、皆さんがお使いのメールアドレス(ドメイン)はいろいろなところで『評価』され、大抵の場合『得点評価(スコアリング)』されています。

本日はその指標のひとつとして、「mail-tester」という迷惑メール度を判定してくれるサービスをご紹介します。

mail-testerサービスの概要
サイトに表示されるメールアドレスへ判定して欲しいメールアドレス/ドメインからメールを送信すると、様々な観点からチェックを行い、10点満点で評価をしてくれます。
また、評価項目毎に採点理由を表示してくれるため、改善ポイントがわかります。
送信したメールがどうして迷惑メールフォルダに入ってしまうのか判断の目安にすることができます。

主なチェック項目
○ SpamAssassinによる評価
○ メールのフォーマット
○ 各種認証設定の適用状況
 ・SPF
 ・Sender ID
 ・DKIM
 ・DMARC
○ 送信元IPアドレスの逆引き
○ 主なブラックリストへの登録状況

利用方法

1日に3回までならユーザ登録不要・無料で利用できます。
使い方もとても簡単です。

  1. サイトにアクセスして、テストメールを送信する宛先メールアドレスを確認します。
    mail-tester.com キャプチャ 1
  2. 上で確認したチェック用の宛先メールアドレスにテストしたいドメインのメールアドレスからメールを送信します。
  3. メールを送信後、しばらくしたら「THEN CHECK YOUR SCORE」ボタンをクリックします。
  4. 結果が表示されます。今回は某レンタルサーバーのデフォルトドメインのメールアドレスからメールを送信してみました。
    mail-tester.com キャプチャ 25点というなんとも怪しい雲行きの評価です…
    減点5点の内訳は次の評価項目でご確認ください。
  5. 「SCORE」が表示された下に、評価項目と項目ごとのマイナス点が表示されます。各項目の詳細な採点理由と対策が表示されます。
    mail-tester.com キャプチャ 3SpamAssassin(スパムフィルタ)に「スパム」である可能性として約2点減点されています。
    IPアドレスベースの送信ドメイン認証として、SPF/Sender IDが設定されていないため、それぞれ1点ずつ減点され、
    電子署名ベースの送信ドメイン認証として、DKIMが設定されていないため、1点減点され、送信ドメイン認証で計3点減点されています。


比較用に弊社”cast.works”ドメインの”info@cast.works”メールアドレスのテスト結果もご確認ください。
mail-tester.com キャプチャ 4


【総務省資料】DMARC導入に関する法的な留意点

送信ドメイン認証や25番ポートブロックといった迷惑メール対策技術は、効果的な迷惑メール対策として実用化が図られてきたところです。
 他方、こういった技術の中には、その利用が電気通信事業法に規定されている通信の秘密の保護及び役務提供における差別的取扱いの禁止に抵触するおそれがあるものもあります。
 そこで、総務省ではこうした迷惑メール対策技術に関して、法的な整理を行い、迷惑メール対策技術の導入を促進しているところです。

総務省資料 平成29年7月6日

送信ドメイン認証技術等の導入に関する法的解釈について

概要
送信ドメイン認証及び25番ポートブロックに関する法的留意点の概要 [PDF資料]

法的整理
受信側における送信ドメイン認証技術導入に関する法的な留意点 [PDF資料]
DMARC導入に関する法的な留意点 [PDF資料]