多要素認証「VPSL認証サービス」(弊社オリジナル)
& 「改ざん検知サービス」

【テレワークならVPSL】
VPSLで、どこからでも超セキュアにログイン



VPSL認証サービス(総務省が複数要素人認証の重要性を発表)

最近多発している標的型攻撃、機密情報窃取が目的の攻撃、パスワードリスト攻撃等は「WAFやIDS/IPSでは守れない」ということをご存知ですか?
しかし「複数要素認証」は対策として有効とされています。
そこで↓


・テレワークでもセキュアにサーバログインが出来るシステムを探している。
・Web改ざん、標的型攻撃、水飲み場攻撃、ドライブバイダウンロード等の対策は何をしたらよいのかわからず不安。
・最近、複数要素認証が重要といわれているが、何がベストなのかわからない。
・しかし、ログインが一要素(ID / PWだけ)では不安。
・ID / PWが漏れ誰でもログイン出来てしまうのは困る。
・退職した人や契約が終了した人もID / PWを知っているのは危険。
・かといって都度、ID / PWを変更していると管理が大変。
・特定のIPアドレスのみ許可すると、緊急作業時や災害時に他の場所から使えず困る。
・災害時およびBCP対策の一環として在宅勤務せざるえない場合でもセキュアに使いたい。
・協力会社等が固定IPの接続契約ではないため、プロバイダーのFQDN(最悪ドメイン)で許可せざるえなく危険。
・万が一の不正利用を考慮し、誰かが使った時点でプッシュ連絡が欲しい。
・ログイン履歴を簡単に知りたい。
・VPNを利用すると3389ポートを解放しなければならないので危険。
・つまり、どこからでもセキュアに接続(アプリログインやssh,ftp他)するためにはどうしたらよいのか???

↑のすべてを解決します↓

VPSL認証で「どこ」からでも「セキュア」なログイン、
わずかな作業で「5要素認証」「本人だけに43億分の1を一時的に許可」
VPSL認証は上記のすべての問題を解決し、その上どこからでもセキュアに使えるのが最大の特徴です。
VPSL認証を導入しますと、普段は誰も利用出来ない状態ながらVPSL事前登録を行った人の特定作業により、その方はどこからでも【43億分の一の穴が空き】 一時的に利用が許可されます。しかし、作業が終わると、また誰も使えない状態となります。(全ての穴が閉じる)
VPSLは、仮にIDとPW(アカウント情報)が盗まれても、本人以外は(5要素すべてが一致しなければ)サーバへのログインができません。且つ、5要素認証は非常に簡単な作業のみです。
※必要に応じてよく使う特定IPのみをVPSLの作業なしで許可することも可能です。





↑同じID/PWを使っても正規の人しかログインできない↑






━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


改ざん検知サービス

【改ざん検知サービスの特徴】

◆安全の証明書(毎日更新)をお客様のサイトに表示いたします。
◆不幸にも改ざんが起こった場合、即座に詳細な説明ページが記載されたアラートメールがOSMSご契約者様へ届きます。
◆瞬時に被害ページを安全なページに切り替え、閲覧者(お客様)への被害のばらまきを防ぎます。(安全なページも前もって自在に作成しておけますし、デフォルト画面もご用意しております)
◆カレンダー形式で過去の履歴も一覧できます。
◆問題がない日は「緑○」が表示されます。
◆改ざんがあった場合、「赤×」が表示され、当該URL、解析結果表示と問題のソースコードがハイライトされます。
◆非許可クロスドメインスクリプトを発見すると「黄!」と説明が表示されます。
◆各種詳細の設定が管理画面から行えます。
◆各種レポートの印刷も可能です。


一般企業のWebサイトが改ざんされる被害が急増しています。その多くは、改ざんされたWebサイトを見ただけで、閲覧者にマルウェアをダウンロードするドライブバイダウンロードサイトに改ざんされています。 
改ざんされたWebページにアクセスしても、マルウェアの活動が目に見えることはほとんどなく、Webサイトの運営者も外部から指摘されるまで被害に気付かないケースが多く見られます。改ざんされユーザにマルウェア感染を起こした場合、ビジネスに大きな影響が及びます。
もちろん「VPSL」にてほとんど守ることは可能ですが、インターネットを利用する以上「完全」はありえません。

「改ざん検知サービス」は、お客様のWebサイトが万が一改ざんの被害にあっていないかを定期的に確認するサービスです。
Webサイトの改ざんの有無を定期的にチェックすることで、Webサイトの安全性を確保します。改ざんをいち早く見つけることで、ユーザ保護と再発防止に貢献します。本サービスは、一般のWeb閲覧と同じように、インターネット側からコンテンツをチェックするため、サーバ側の監視では見つけることができない改ざんも検知が可能です。
また、ヒューリスティック検知エンジンが、コンテンツの様々な要素を解析するので、多様なパターンの改ざんを検知します。


検知可能な改ざん

・サイバー攻撃等によるWebサイトの改ざん
・脆弱性を悪用した攻撃を行うWebサイトの改ざん
・ウイルスなどが自動的にダウンロードされるWebサイトの改ざん
・政治意思や思想を誇示するために意図的にページを書き換える改ざん
・各種攻撃の踏み台に利用するためのWebサイト改ざん
・Darkleech Apache Module 他によるWebサイト改ざん
・他、、、



クロスドメインスクリプト管理・警告機能
近年の Web 改ざんの多くは、攻撃対象の一般企業の Web サイトに閲覧者をウイルス配布サイトなどに誘導するスクリプトを埋め込みます。
このため一般企業の Web サイトを閲覧したにもかかわらず、ウイルス感染にあう被害が多発しています。これらの攻撃の防御には、自社サイトにある別ドメインのスクリプトを監視することが重要です。

「クロスドメインスクリプト管理・警告機能」は、監視対象の Web サイト全体に含まれるクロスドメインスクリプトを一括して監視・管理することができます。管理者が任意で埋め込んでいるスクリプトを監視対象外に設定しておくことで、意図しない「クロスドメインスクリプト」が埋め込まれた際に、警告が送信され迅速に対処することが可能です。



改ざんを発見時に安全なページへ切り替え
改ざんが見つかった場合、自動で安全なページ(メンテナンスページ)に切り替えることができます。(タグの埋め込みが必要です。)
この改ざん検知時のページ切り替え機能を設定しておくと、お客様のホームページが復旧するまで、エンドユーザーへの被害を防ぐことができます。この機能は、お客様のホームページが安全な状態になると表示されません。


GRED証明書(毎日更新)
この証明書をお客様のサイトに表示すれば、GRED によって守られている検証結果を表示させることが出来ます。HTML のimg タグによりGRED 証明書のイメージを埋めこみます。タグをページ内のGRED 証明書を表示させたい部分に挿入して下さい。エンドユーザーがGRED 証明書をクリックすると、ポップアップ画面が表示され、そのページについてGRED での解析結果が表示されます。


検出されなかった場合





検出された場合



問題のソースコードがハイライトされます





クロスドメインスクリプトが発見された場合






レポートの印刷が出来ます





各種設定が管理画面で行えます



※「VPSL」はitecjapanの独自開発システムです。
※「改ざん検知サービス」は「株式会社セキュアブレイン様」のシステムを利用しております。