株式会社セキュアスカイ・テクノロジー(東京都千代田区 代表取締役 乗口雅充 以下、SST)がサービス提供を、株式会社ビットフォレスト(東京都新宿区 代表取締役 高尾都季一 以下、ビットフォレスト)が技術提供を行うWAFサービス「Scutum(スキュータム)」は、2014年に発見されたSSL3.0における深刻な脆弱性に対する攻撃、通称「POODLE(プードル)」を検知・防御する機能を、2015年1月26日より、WAFとして世界で初めて*搭載しました(*SST、ビットフォレスト調べ)。
POODLEへの対策は、一般的にSSL3.0を全面的に無効にすることが推奨されています。しかしScutumでは独自の技術により、SSL3.0を有効にしたままで、POODLEの攻撃のみを特定して検知し、攻撃を遮断することが可能になりました。これにより、SSL3.0がまだ使われているシステムにおけるPOODLE対策をスムーズに行えます。
POODLE対策としてSSL3.0を無効にすべきではあるが、いまだに旧バージョンのブラウザや携帯(フィーチャーフォン)などからのアクセスがあるため「SSL3.0を無効にしていいかどうか判断がしづらい」というケースは、Scutumをご利用中のお客様からも多数寄せられています。Scutumへ新たに搭載されたPOODLE検知・防御機能は、そのような状況への「現実的な防御」の対策としてご利用いただけます。
Scutumでは、多くのWebサイトが脆弱性を抱えたまま稼働している実情を踏まえ、最新のセキュリティ基準では推奨されない構成や古いシステムをWAFによって守ることで、サイト運営者およびそのユーザーへ安心を提供したいと考え、今後とも「現実的な防御」の実現と、情報の発信に努めてまいります。
参考: POODLE検知・防御機能の実装に至った背景や開発思想について
「ScutumはPOODLE攻撃を検知・防御する唯一のWAFです」
【Scutum開発者/エンジニアによる技術ブログ「WAF Tech Blog」】
http://www.scutum.jp/information/waf_tech_blog/2015/02/waf-blog-040.html
●Scutumの「SSLの設定」機能について
WAF「Scutum」では、上記のPOODLE攻撃に対する検知防御機能とは別に、管理画面よりSSL3.0(SSLv3)およびRC4の有効/無効を設定する機能を標準で提供しております。この機能により、Scutumで接続を許可する暗号スイートを、お客様ご自身のセキュリティポリシーに沿って選択可能です。
参考:「SSLの設定」【Scutumお客様サポートサイト】
http://support.scutum.jp/manual/waf-setting/ssl.html
●「POODLE」について
SSL3.0プロトコルに存在する、通信の一部が第三者に解読可能な脆弱性。Webサイトとその利用者との間でSSL3.0を用いた通信が行われ、その脆弱性を悪用された場合、第三者に通信内容の情報が漏えいする可能性がある。「POODLE」は「Padding Oracle On Downgraded Legacy Encryption」を略した呼称。
参照:「SSL 3.0 の脆弱性対策について(CVE-2014-3566)」【情報処理推進機構(IPA)】
https://www.ipa.go.jp/security/announce/20141017-ssl.html
●WAF(Web Application Firewall)サービス「Scutum(スキュータム)」について
Webサイト上のアプリケーションへの攻撃を防ぐセキュリティサービスで、国内SaaS型WAF製品市場におけるシェア1位を、2010年度より2013年度まで連続して獲得しています※。
※株式会社アイ・ティ・アール刊『ITR Market View: ゲートウェイ・セキュリティ市場2014』(2012年度、2013年度)
※ミック経済研究所刊 『情報セキュリティマネージド型・SaaS型サービス市場の現状と展望 2012』(2010年度、2011年度)
参考:http://www.scutum.jp/
<お問い合わせURL>https://www.scutum.jp/information/contact.jsp
【株式会社セキュアスカイ・テクノロジー 会社概要】
社名 :株式会社セキュアスカイ・テクノロジー
本社所在地 :東京都千代田区神田司町2-8-1 PMO神田司町2F
設立 :2006 年3 月
代表者 :代表取締役 乗口 雅充
事業内容 :Web アプリケーションのセキュリティ診断、コンサルティング、教育
URL :http://www.securesky-tech.com/
【株式会社ビットフォレスト 会社概要】
社名 :株式会社ビットフォレスト
本社所在地 :東京都新宿区信濃町3番地 S.court 2F
設立 :2002年2月
代表者 :代表取締役 高尾 都季一
事業内容 :Webアプリケーションセキュリティ技術の提供、Webサイト/Webシステムの企画・開発・運用・コンサルティング
URL :http://www.bitforest.jp/
【お問い合わせ先】
株式会社セキュアスカイ・テクノロジー
担当 :大木 元
E-mail :scutum-info@securesky-tech.com
TEL :03-3525-8045
FAX :03-3525-8046
POODLEへの対策は、一般的にSSL3.0を全面的に無効にすることが推奨されています。しかしScutumでは独自の技術により、SSL3.0を有効にしたままで、POODLEの攻撃のみを特定して検知し、攻撃を遮断することが可能になりました。これにより、SSL3.0がまだ使われているシステムにおけるPOODLE対策をスムーズに行えます。
POODLE対策としてSSL3.0を無効にすべきではあるが、いまだに旧バージョンのブラウザや携帯(フィーチャーフォン)などからのアクセスがあるため「SSL3.0を無効にしていいかどうか判断がしづらい」というケースは、Scutumをご利用中のお客様からも多数寄せられています。Scutumへ新たに搭載されたPOODLE検知・防御機能は、そのような状況への「現実的な防御」の対策としてご利用いただけます。
Scutumでは、多くのWebサイトが脆弱性を抱えたまま稼働している実情を踏まえ、最新のセキュリティ基準では推奨されない構成や古いシステムをWAFによって守ることで、サイト運営者およびそのユーザーへ安心を提供したいと考え、今後とも「現実的な防御」の実現と、情報の発信に努めてまいります。
参考: POODLE検知・防御機能の実装に至った背景や開発思想について
「ScutumはPOODLE攻撃を検知・防御する唯一のWAFです」
【Scutum開発者/エンジニアによる技術ブログ「WAF Tech Blog」】
http://www.scutum.jp/information/waf_tech_blog/2015/02/waf-blog-040.html
●Scutumの「SSLの設定」機能について
WAF「Scutum」では、上記のPOODLE攻撃に対する検知防御機能とは別に、管理画面よりSSL3.0(SSLv3)およびRC4の有効/無効を設定する機能を標準で提供しております。この機能により、Scutumで接続を許可する暗号スイートを、お客様ご自身のセキュリティポリシーに沿って選択可能です。
参考:「SSLの設定」【Scutumお客様サポートサイト】
http://support.scutum.jp/manual/waf-setting/ssl.html
●「POODLE」について
SSL3.0プロトコルに存在する、通信の一部が第三者に解読可能な脆弱性。Webサイトとその利用者との間でSSL3.0を用いた通信が行われ、その脆弱性を悪用された場合、第三者に通信内容の情報が漏えいする可能性がある。「POODLE」は「Padding Oracle On Downgraded Legacy Encryption」を略した呼称。
参照:「SSL 3.0 の脆弱性対策について(CVE-2014-3566)」【情報処理推進機構(IPA)】
https://www.ipa.go.jp/security/announce/20141017-ssl.html
●WAF(Web Application Firewall)サービス「Scutum(スキュータム)」について
Webサイト上のアプリケーションへの攻撃を防ぐセキュリティサービスで、国内SaaS型WAF製品市場におけるシェア1位を、2010年度より2013年度まで連続して獲得しています※。
※株式会社アイ・ティ・アール刊『ITR Market View: ゲートウェイ・セキュリティ市場2014』(2012年度、2013年度)
※ミック経済研究所刊 『情報セキュリティマネージド型・SaaS型サービス市場の現状と展望 2012』(2010年度、2011年度)
参考:http://www.scutum.jp/
<お問い合わせURL>https://www.scutum.jp/information/contact.jsp
【株式会社セキュアスカイ・テクノロジー 会社概要】
社名 :株式会社セキュアスカイ・テクノロジー
本社所在地 :東京都千代田区神田司町2-8-1 PMO神田司町2F
設立 :2006 年3 月
代表者 :代表取締役 乗口 雅充
事業内容 :Web アプリケーションのセキュリティ診断、コンサルティング、教育
URL :http://www.securesky-tech.com/
【株式会社ビットフォレスト 会社概要】
社名 :株式会社ビットフォレスト
本社所在地 :東京都新宿区信濃町3番地 S.court 2F
設立 :2002年2月
代表者 :代表取締役 高尾 都季一
事業内容 :Webアプリケーションセキュリティ技術の提供、Webサイト/Webシステムの企画・開発・運用・コンサルティング
URL :http://www.bitforest.jp/
【お問い合わせ先】
株式会社セキュアスカイ・テクノロジー
担当 :大木 元
E-mail :scutum-info@securesky-tech.com
TEL :03-3525-8045
FAX :03-3525-8046
