かんたん!わかりやすいWafのおはなし

1,831 views

Published on

2016-12-10(土)14:00 - 17:00
【WordBench Nagoya 12月度】WordPressセキュリティのおはなし

NHN テコラス 平賀よりサーバインフラ屋の経験談かえあ
WAFをわかりやすくご紹介いたしました。

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,831
On SlideShare
0
From Embeds
0
Number of Embeds
1,686
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • ・WPHへのWAF採用裏話
    ・なぜ我々はWPプランにWAFを導入・搭載したか?
  • WAFを取り巻く環境があり、その問題点もホスターとして理解した
    だから自分たちでWAFを作った(メーカーの協力を得て)
  • ●ポイント
    ・特にビジネスシーンでクライアントにウェブサイト構築案件を提案するときに、どうお客様にWAFを説明したら伝わるか?を中心に聞いていいただけるとわかりやすいと思います。

    ▼自己紹介
    私たちはレンタルサーバ、VPSのホスティングサービスを10年以上運営してまして、
    データセンター運用から、サポートまで、全て社内で行っています。
    仮想インスタンス含め16000台のサーバがあり、監視センターも100名近いエンジニアが3交代でサービスを運用・監視・障害対応しています。

    今日はWAFとCMSのセキュリティの話なんですが、
    このようなサービスをやっていますと、週に2回とか3回とか、
    サーバ乗っ取り、webサイトの改ざん、メールキュー溜まってる、などの
    相談、クレームがサポートに寄せられるんですが、
    アプリケーションは基本的にはお客さんの責任範囲なので、
    サービスの性質上、サーバ屋さんは手が出せないことが多いです。
    実際、お客さん側もサポートも労力がとても多いです。


    今年10月にリリースしたEX-CLOUDのWPHではWAFを採用したんですが、
    今、社内ではSecured Hostingという考えで、かんたん、あんぜん、なホスティングサービス提供をしよう、という考えがありまして
    WPHプランに関しては、そのようなインシデント対応の労力・損失の削減、損失という観点から、WAF採用を決定しています。
    今日は有名な過去のサイバー攻撃の実例から、攻撃手法を検証しながら、
    webサイトを運営する上でどういう攻撃にどういう対策が有効であるかをお話しようと思います。
  • ●ポイント
    ・特にビジネスシーンでクライアントにウェブサイト構築案件を提案するときに、どうお客様にWAFを説明したら伝わるか?を中心に聞いていいただけるとわかりやすいと思います。

  • ・不正アクセスとかいろいろな呼び方がありますが、かんたんにいうとITを駆使して相手のシステムや業務にダメージを与える行為と言える思います。
  • ●補足
    ・組織に対するサイバー攻撃イベントは最大3分に1回は発生しているといわれています(FireEye)
    ・実は過去に名だたる企業が被害にあっています。トヨタ、ソニー、はとバス、サンリオ、などなど
    ・最近の話題だと先週(11月最終週)防衛省へのサイバー攻撃のニュースがでていましたね
  • ・まずは大企業の事例から紹介します。
    ・この時南海電鉄も同時にやられてました
    ・国際的ハッカー集団「アノニマス」の仕業ではないかといわれています
  • ●サイト閲覧時の挙動
    ・改ざんされたページは、iframeを用いられ別のWebサイトにジャンプし、不正プログラム「Gongda」を実行させ、閲覧者のパソコンを感染させます。
    ・感染すると、以下に接続されます。(このIPアドレスの保有国はアメリカ)
     ・asd2qw.229.idcpcpc.com
     ・IPアドレス:108.171.252.229
    ・当該マルウエア(Infostealer.Torpplar)は日本人から情報を盗み出すことに特化してカスタマイズされていて、マルウエアはパソコンでのオンラインバンキングやクレジットカード企業サイトの利用状況を常時監視して、情報を詐取しようと試みる。(シマンテック)
    ・感染すると、閲覧者が以下のサイトを閲覧する際、データを盗み取ります。
     ・2カ所のオンラインバンキングサイト
     ・3カ所のオンラインショッピングサイト
     ・3カ所のWebメールサイト
     ・3カ所のゲーム/動画Webサイト
     ・14カ所クレジットカードサイト

    ●攻撃に使われた脆弱性
    ・Oracle Java SE Runtime Environment に存在するリモートコード実行の脆弱性(CVE-2012-0507)
    ・Microsoft XML コアサービスに存在するリモートコード実行の脆弱性(CVE-2012-1889)
    ・Oracle Java Runtime Environment に存在する複数のリモートコード実行の脆弱性(CVE-2013-0422)
    ・Adobe Flash Player に存在するリモートメモリ破損の脆弱性(CVE-2013-0634)
    ・Oracle Java SE に存在するメモリ破損の脆弱性(CVE-2013-2465)
  • ▼攻撃者の目的とは
    まず愉快犯とは、トップページに中国の国旗に書き換えたりですとか、業務妨害というのは、Ddosで嫌がらせする、とかですね。
    ただソニーがNECの売上を下げる為にDdosするとかはあまりないので、そんなに労力をかけて対策する必要性は低いんんじゃないかと思います。

    金銭目的、情報略取、クレジットカード情報を盗んだり、ID/PWを盗む攻撃です。
    大きく分けて標的型と乱れ打ち攻撃の2パターンがありますが、標的型攻撃というのはまずないです。
    以下略  99.9%ない→年金機構→JTB→地下室でハッカー→ミッションインポッシプル→自動攻撃ツールによる乱れ打ち攻撃

    ハクティビズムというのはプロパガンダです。
    アノニマスとか、liuzsec、sector404なんていうハッカー集団が世界各地にいるんですが、
    日本がイルカ漁やっている→日本を攻撃しよう→中部空港、成田空港がDDos攻撃
  • ●説明
    ・有名企業が連鎖的に攻撃された事例であること
    ・CMS(MT)のプラグインが攻撃された事例であること
  • ・開発元は迅速に対応したにも関わらず被害は広範囲に渡ってしまった
    ・なぜか?
  • ●説明
    ・図は別のOpenSSLのときのグラフ。即座に広がり、その後比較的早い段階で沈静化している
    ・急激に増えること、その後も常に新たな脆弱性に向けて興味を変えていくことを説明。

    ●資料元
    OpenSSLの脆弱性(CVE-2014-0160)を悪用する攻撃の検知数および
    送信元IPアドレス数の推移(日本国内) (Tokyo SOC調べ:2014年4月11日~2014年7月31日)
    出所:Tokyo SOC Report
  • ●出典
    ・2015年 情報セキュリティインシデントに関する調査報告書
    ・JNSA、特定非営利活動法人日本ネットワークセキュリティ協会資料より

    ●説明
    ・実は紛失や誤操作、管理ミスの割合が多い
    ・とはいえ不正アクセスや不正持出しも100件程度発生している(12%程度)
    ・私も学習企業某ベネッ●の情報漏えいでは、幸か不幸か、妻、長女、長男の情報が漏れたとして500円のAmazonのポイントを3枚いただいた(2014年)この時の被害は推計で4000万人の情報が被害にあい、ベネッセはお詫びとして総額200億円を負担

    ●用語
    ◯フォレンジック
    →(forensic)とは、「法廷の」「法医学的な」「科学捜査の」という意味を持った形容詞。 コンピュータ関連でフォレンジックという言葉が使われる場合は、コンピュータやネットワークシステムのログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集めることを意味します。
  • ●出典
    ・2015年 情報セキュリティインシデントに関する調査報告書
    ・JNSA、特定非営利活動法人日本ネットワークセキュリティ協会資料より

    ●説明
    ・実は紛失や誤操作、管理ミスの割合が多い
    ・とはいえ不正アクセスや不正持出しも100件程度発生している(12%程度)
    ・私も学習企業某ベネッ●の情報漏えいでは、幸か不幸か、妻、長女、長男の情報が漏れたとして500円のAmazonのポイントを3枚いただいた(2014年)この時の被害は推計で4000万人の情報が被害にあい、ベネッセはお詫びとして総額200億円を負担

    ●用語
    ◯フォレンジック
    →(forensic)とは、「法廷の」「法医学的な」「科学捜査の」という意味を持った形容詞。 コンピュータ関連でフォレンジックという言葉が使われる場合は、コンピュータやネットワークシステムのログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集めることを意味します。
  • ●出典
    ・2015年 情報セキュリティインシデントに関する調査報告書
    ・JNSA、特定非営利活動法人日本ネットワークセキュリティ協会資料より

    ●説明
    ・実は紛失や誤操作、管理ミスの割合が多い
    ・とはいえ不正アクセスや不正持出しも100件程度発生している(12%程度)
    ・私も学習企業某ベネッ●の情報漏えいでは、幸か不幸か、妻、長女、長男の情報が漏れたとして500円のAmazonのポイントを3枚いただいた(2014年)この時の被害は推計で4000万人の情報が被害にあい、ベネッセはお詫びとして総額200億円を負担

    ●用語
    ◯フォレンジック
    →(forensic)とは、「法廷の」「法医学的な」「科学捜査の」という意味を持った形容詞。 コンピュータ関連でフォレンジックという言葉が使われる場合は、コンピュータやネットワークシステムのログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集めることを意味します。
  • ●説明
    ・どこか遠くで起きている事件におもえてならないが実際に我々の身近なところでもおこるのだろうか?
    ・ホスティング屋をやってる私が経験した実例です

    ◯某オンラインゲーム案件
    ・自身が担当していた国内某大手PCオンラインゲームで発生した
    ・3年前くらい
    ・休日に運転してたら監視チームから電話、車をとめて客に事情を話して、対処開始
    ・調査したら複数のIPから攻撃をくらっていた
    ・NWチーム側で中国のIPを遮断して対処し復旧。原因調査や復旧に1時間以上かかった

    ●エクスクラウドお試し大量申し込み事件
    ・3,4年前の出来事
    ・1日普段数十件のはずが、1日で1万近く申し込み
    ・よく見るとSQL分をフォームに入力していた
    ・出本のIPが中国だったためWeb担当にてアクセス制限を施し塞いだ
    →本当の申し込みなら大歓迎なんだけど、、、これも中国からのアクセスだった

    ●余談
    ・中国グレートFWの話し
    ・China VPSのVPN接続の話
  • ●出典
    ・2015年 情報セキュリティインシデントに関する調査報告書
    ・JNSA、特定非営利活動法人日本ネットワークセキュリティ協会資料より

    ●説明
    ・実は紛失や誤操作、管理ミスの割合が多い
    ・とはいえ不正アクセスや不正持出しも100件程度発生している(12%程度)
    ・私も学習企業某ベネッ●の情報漏えいでは、幸か不幸か、妻、長女、長男の情報が漏れたとして500円のAmazonのポイントを3枚いただいた(2014年)この時の被害は推計で4000万人の情報が被害にあい、ベネッセはお詫びとして総額200億円を負担

    ●用語
    ◯フォレンジック
    →(forensic)とは、「法廷の」「法医学的な」「科学捜査の」という意味を持った形容詞。 コンピュータ関連でフォレンジックという言葉が使われる場合は、コンピュータやネットワークシステムのログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集めることを意味します。
  • ●説明
    ・実は無料で自分のウェブサーバーへの不正アクセスを確認することができます
    ・Googleでilogscannerで検索するとヒットします
     →GUI、CUIの2パターンあり、後者はオンライン版があり、OSスケジューラで定期チェックも可能とのこと
    https://www.ipa.go.jp/security/vuln/iLogScanner/app/offline.html
  • ・被害が合ったら大変なのはわかっているのになぜ対策ができないのか?課題について考えます。
  • ●説明
    ・国が言っているのは、要は社内に専門のセキュリティチームを設けなさいということです
    ・情報システム部門で兼務する体制が多いのではないかと思います
    ・また実情として大企業では設置がすすんでいるものの、多くの中小企業では人材不足から進んでいないのではないかとおもう
    ・中小はそうそうできないよね?
    ・人材不足、しかもコストも高い、ウリにつながらない
    →うちもセキュリテイエンジニアも採用できていない、紹介してもらいたいくらいだ
  • ・2016年1年間に60件の脆弱性に関する情報がJVNで表示されています。
    ・実際はWordPress自体はセキュア、脆弱性はプラグインがほとんど
    ・対岸の火事ではないな、と実感します
    ・wp関連の脆弱性としてはパナマ文書がその例といわれています



    ●用語説明

    ◯JVN
    JVN は、"Japan Vulnerability Notes" の略です。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)

    ★WPロゴもしくは見出し記事、Google検索の画像を貼る
    ・WP事件で検索すりゃでてくる
  • ●説明
    ◯導入コスト
    ・発生するかしないかわからないものにコストかけられない
    ・予算が得られない、あるいはクライアントの了解が得られない
    ・結論は事前に対策を「しない」のではなく、「できない」というのが答え
  • ●説明
    ・IPAでは4つの手口があると述べています。全体像をつかむのに大変わかりやすいのでご紹介します。
    ・IPAとは独立行政法人情報処理推進機構のこと
    ・ウェブサイト改ざんの脅威と対策(2014年)より抜粋

    【補足】
    -------------------------------------------------------------
    A 窃取したアカウント情報を悪用した不正ログイン 組織外の攻撃者がウェブサイト管理用パソコンから、アカウント情報を窃取し、ウェブサイ トに不正ログイン
    B ソフトウェアの脆弱性を突く 組織外の攻撃者がウェブサイトの使用しているソフトウェアの脆弱性を突く
    C ウェブアプリケーションの脆弱性を突く 組織外の攻撃者が独自に開発されたウェブアプリケーションの脆弱性を突く
    D 組織内のアクセス制御の不備を突く 組織内の管理者権限を持たない攻撃者(内部犯行)がアクセス制御不備を突く
  • A 窃取したアカウント情報を悪用した不正ログイン
    →組織外の攻撃者がウェブサイト管理用パソコンから、アカウント情報を窃取し、ウェブサイ トに不正ログイン
  • B ソフトウェアの脆弱性を突く
    →組織外の攻撃者がウェブサイトの使用しているソフトウェアの脆弱性を突く
  • C ウェブアプリケーションの脆弱性を突く
    →組織外の攻撃者が独自に開発されたウェブアプリケーションの脆弱性を突く
  • D 組織内のアクセス制御の不備を突く
    →組織内の管理者権限を持たない攻撃者(内部犯行)がアクセス制御不備を突く
  • ●説明
    ・聞きなれない名前が多いと思います
    ・正直私も初耳なものもあります

    【詳細】
    ---------------------------------------------------
    ■不正アクセス系

    ●ブルートフォースアタック
    →総当たり攻撃とは、暗号解読方法のひとつであり、可能な組み合わせを全て試す方法です。人間の操作では手間がかかりすぎる方法ではありますが、手軽に実行できるツールが普及しており、時間的制約がない限りは確実にパスワードを割り出して侵入することができる方法です。

    ●Dos攻撃/ DDoS攻撃
    →DoS攻撃は、攻撃側と相手側の1対1で行われますが、 DDoS攻撃とは、複数に分散(Distribute)した攻撃用マシンからの一斉に 攻撃を行います。DDoS攻撃の防御が難しい点は、この複数台の攻撃用マシンがどこにあるのか攻撃が始まるまで分からないことです。そのため、攻撃箇所すべてから守りきることが困難なことが挙げられます。

    ●SQLインジェクション
    →DBサーバと連携したWEBシステムの場合、WEBサーバではユーザが入力した情報を基にSQL文を組み立てるものがあります。そのSQL文によってデータベースへのデータ追加・更新など行います。このとき、WEBサーバがセキュリティ的に無防備な状態であると、ブラウザから入力された「悪意のあるSQL文」をそのままデータベース操作の一部に注入(Injection)される可能性があります。

    ●クロスサイトスクリプティング
    →掲示板やブログなどユーザが入力した内容をWEBページとして出力するWEBアプリケーションに対して多く行われる攻撃です。例えば、掲示板に悪意のあるスクリプト(簡易的なプログラミング言語のこと)を埋め込んだリンクを貼り付け、そのページを閲覧したユーザのブラウザ上でスクリプト(プログラム)を実行させるという攻撃を行います。

    ●ルートキット攻撃
    →他人のコンピュータに不正侵入した攻撃者は、侵入を隠ぺいするためのログの改ざんツール
    侵入口が防がれても再び侵入できるようにする裏口(バックドア)ツール
    侵入に気づかれないための改ざんされたシステムコマンド群 
    などをインストールします。これらを素早く導入するための、パッケージにまとめたものがルートキットと呼ばれ、いくつかの種類があります。

    ●バッファオーバーフロー(BOF)攻撃
    →バッファオーバーフロー(BOF)攻撃とは、OSやアプリケーションプログラムの入力データ処理に関するバグを突いてコンピュータを不正に操作する攻撃をいいます。
    BOF攻撃は、主にメモリのスタック領域で行われる攻撃をいいますが、その他にもヒープ領域で行われるヒープBOFやUNIX環境下でrootのSUID属性をもつコマンドを悪用して管理者権限を奪取するローカルBOF攻撃などがあります。

    ●セッションハイジャック
    →セッションハイジャックはなりすましの一種でクライアントとサーバの正規セッションに割り込んで、セッションを奪い取る行為をいいます。 セッションハイジャックにより行われる行為として以下のようなことが考えられます。
    正規サーバになりますてクライアントの機密情報を盗む
    正規クライアントになりすまして、サーバに侵入する
    セッションハイジャックの種類にはTCPセッションハイジャック、UDPセッションハイジャック、WEBセッションハイジャックなどがあります。

    ●OSインジェクション
    →独自開発のWEBアプリケーションの脆弱性を突いた攻撃の一種です。 不正な入力データによってOSコマンドを呼び出し、任意のファイルの読み出しや変更・削除などを不正にOSを操作する攻撃をいます。

    ■ マルウェアの種類

    サイバー攻撃の手段のうち、マルウェアによって行われるものも多くあります。
    マルウェアの分類にはいくつかの方法がありますが、ここでは「感染の種類」「感染経路」「活動パターン」から、分類してみます。

    ●ウイルス(コンピューターウイルス)
    →ウイルスとは、ある特定のプログラムの一部を書き換えることで感染し、感染したプログラムが実行されることで活動を開始するマルウェアのことです。生物界のウイルスは単独では増殖できず、宿主となる細胞に入り込むことで初めて増殖が可能となります。コンピュータのウイルスも同様に、宿主となるプログラムが必要とされることから、コンピューターウイルスと呼ばれています。
    ウイルスに感染したプログラムが実行されることで、 ウイルスが「悪意のある」活動を開始します。つまり、 ウイルスは正規のプログラムを書き換えることで動作を乗っ取り、スパイ活動や、データの損壊、さらなる感染を行います。

    ●ワーム
    →ワームとは、生物界では足がなく細長い虫のことですが、コンピュータにおけるワームは、宿主となるプログラムを必要とせずに単体で活動できるマルウェアのことを指します。プログラムの脆弱性などを利用して、メモリ上に本体を展開して直接実行したり、ファイルとしてワーム本体をコピーして実行したりするなどして、コンピュータに感染します。
    ワームも、ウイルス同様に、「悪意のある」活動を行い、また、新たなターゲットを探し出し感染させたりします。

    ●トロイの木馬
    →トロイの木馬とはギリシャ神話に登場する巨大な木馬のことで、その木馬の中には兵士が潜むことができました。女神アテナの献上物を装い、敵地へ侵入することで奇襲を行いました。この逸話から転じて、相手を油断させて罠にはめることをいいます。
    コンピュータにおけるトロイの木馬は、それ自身には感染する機能持っていませんが、何か有用なプログラムであることを偽装してユーザを騙し、実行させることで「悪意のある」活動を行うマルウェアです。

    ●ランサムウェア
    →ランサムウェアとはマルウェアの一種で、ユーザのデータを「人質」にとり、データの回復のために「身代金(ransom)」を要求するソフトウェアのことです。
    ランサムウェアの多くはトロイの木馬としてパソコン内部に侵入し、勝手にファイルを暗号化したり、パスワードを設定したりし 正常にデータにアクセス出来なくなってしまいます。
    ユーザがデータにアクセスしようとすると、アクセスが不可能になったことを警告し、復元するための対価としてユーザに金銭の支払いを要求するものです。

    ●バックドア(RAT)
    →バックドア(またの名をRemote Administration Tool)とは、ユーザーに気付かれずにコンピューターシステムへアクセスできるようにするアプリケーションです。
    システムのメンテナンスなどの目的でシステム管理者が利用することもありますが、サイバー犯罪者によって悪用されるケースもよく見られます。
    RATの機能によっては、他のソフトウェアのインストールや起動、キー入力情報の送信、ファイルのダウンロードや削除、マイクやカメラの有効化、コンピューターの動作の記録と攻撃者へのログの送信などが可能です。

    ●ダウンローダー
    →これはサイズの小さなコードで、実行可能ファイルや、攻撃者のサーバーから被害者のコンピューターに命令を出して好きなタスクを実行させるファイルを、ひそかにダウンロードします。
    メールの添付ファイルや不正に細工のしてある画像を介してダウンロードされたコードは、命令を出すサーバーと通信し、さらに別のマルウェアを被害者のシステムへダウンロードします。

    ■標的型

    標的型攻撃とは、金銭や知的財産等の重要情報の不正な取得を目的として特定の標的に対して行われるサイバー攻撃のことです。

    ■ゼロデイ攻撃

    修正プログラム(セキュリティ更新プログラム)などが未公表の脆弱(ぜいじゃく)性を悪用する攻撃のことです。従来は、攻撃者以外は知らない脆弱性を狙う攻撃をゼロデイ攻撃と呼ぶことが多かったのですが、最近では脆弱性自体はメーカーや研究者などによって公表されていても、修正プログラムが未公表な場合にはゼロデイ攻撃と呼ぶことが多いです。
    2006年には、Microsoft Office製品を狙ったゼロデイ攻撃が続出して話題となりました。この時は、修正プログラムをきちんと適用しているパソコンでも、メールなどで送られた攻撃用の文書ファイルを開くだけで、ウイルスに感染するなどの被害に遭う恐れがありました。その後は、Microsoft Officeに限らず、ジャストシステムの一太郎や、米アドビシステムズのAdobe Readerなどを狙ったゼロデイ攻撃も頻発しています。
    ゼロデイ攻撃の被害に遭わないためには、修正プログラムを適用するだけではなく、「信頼できないファイルは開かない」「ウイルス対策ソフトを使う」といった対策の実施が重要となってきます。

    ■パスワードリスト攻撃

    パスワードリスト攻撃とは、攻撃対象とは別のサイトから得たIDとパスワードの一覧(リスト)を用い、攻撃対象のサイトでログインを試行する攻撃方法のことです。「リスト型攻撃」「リスト型アカウントハッキング」などとも呼ばれ、2010年後半から主にオンラインゲーム業界等で報告されています。
    これは、同一のパスワードを、複数のWEBサービスで使い回す利用者が多いという傾向を利用したもので、SQLインジェクションをはじめとする脆弱性を利用する等の方法で事前に入手したパスワードリストを用い、さまざまなWEBサービスでログインの試行を繰り返すものです。そして、ログインが成功したサイトから、最終的には利用者の個人情報や金銭などを詐取しようとします。
  • ●説明
    ・前述の通り攻撃は多岐にわたっており、専門家でないと全部の内容を把握して対処するのが難しいのが実情です。
    →そこで対策ツールの検討が必要になってきます
  • ◯結論
    ・この中で特にWPなどのウェブアプリケーションやウェブサイトを攻撃から守るのに有効な「WAF」について説明をしていきます。

    ●用語説明

    ◯ウイルスチェック
    ・これは馴染みの方も多いと思います。パソコンにインストールして使ってる方も多いとおもいます。

    ◯web改ざん検知
    ・名前の通り改ざんを検知して通知してくれる機能です。結構高いです。

    ◯脆弱性診断
    ・ラック社などが行うもので値段かかります
    ・無料でつかえる検知ツールVulsもある、コマンド知識必要

    ◯WAF
    ・後ほど説明します

    ◯ファイアウォール
    ・ネットワークへのアクセス制御を行います

    ◯IDS/IPS
    ・同上
    ・侵入防御システム、侵入検知システムの略

    ◯SSL
    ・通信を暗号化します。アクセスハイジャックなどに有効です
  • ●説明
    ・散々話してきて今更ですが「わふ」と読みます
    ・以前お客さんで「ああ、知ってますよ、ダブリューエーエフでしょ?」と言ってる方がいました。動物愛護団体のことかとおもいました。ここは素直に日本語読みでわふとよんでください。

    ●意味
    →WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙う悪意ある通信(攻撃)から、Webアプリケーションを保護するものです。
    本来論で言えば、Webアプリケーションに脆弱性があるのであればWebアプリケーションを修正するのが正しい対応です。
    しかし未知の脆弱性があったり、修正コストが大きくWebアプリケーションでの対応が難しい場合や、緊急度が高くすぐに防御しなければならないが修正が間に合わない場合も、残念ながらあります。
    ユーザーとWebアプリケーションの間にWAFを入れることで、悪意ある通信を防ぐことが出来ます。
  • ・シグネチャとは、ウイルスチェックのパターンファイルのようなもので、パターンファイル=悪人リストに基づいて遮断するしないを判断します。
  • ●説明
    ・WAFの名称はウェブ アプリケーション ファイアウォールなので確かにFWの名前がつきますね、違いはなんでしょうか?
    ・FWは例えばこのポートへのアクセスはこのIPアドレスだけ許可しましょうとか、逆にこのIPからのアクセスは許可しませんとかそう言う設定を行い通信をある意味盲目的に遮断する機能です。
    ・WAF
    Webアプリケーションを守るために有効
    <対象範囲> Web(http、https)
    <Webアプリケーションへの攻撃に対する検知精度>
    Webアプリケーションに特化しており、パターンマッチングだけでなく、様々な手法により、検知精度を上げている。

    ・FW、IPSやIDS
    プラットフォームを守るために有効
    <対象範囲> OS、ミドルウェア、メール、Web等
    <Webアプリケーションへの攻撃に対する検知精度>
    パターンマッチングによる検出となる為、巧妙に作りこまれた攻撃を見逃す可能性がある。

    ●用語
    IDSとはIntrusion Detection Systemの略で、Intrusion(=侵入)をDetection(=検知、検出)するシステムとして、侵入検知システムと呼ばれています。これに対してIPSはIntrusion(=侵入)を Prevention(=防御)するシステム、すなわち侵入防御システムと呼ばれるのです。

    ・アプライアンス=機器として導入するため、高額な費用と運用ノウハウが必要です。

    ・WAFと守備範囲がことなりますが、最近WAFの守備範囲が増え、このあたりもカバーできるようになってきています。
    WAFは通信データの内容を機械的に解析できるのが特徴で、従来のファイアウォールやIDS・IPSではブロックしきれなかった、ユーザーからのリクエストに応えて動的なページを生成するタイプのWebサイトへの攻撃を防ぐことができます。

    ・参考になる
    http://it-trend.jp/ids-ips/article/misc
  • ・防御できる攻撃はWAFのメーカーによっても若干異なります。
  • ・大別すると従来型とクラウド型の2パターン
    ・従来型はハードウェア及びソフトウェア
  • ・大別すると従来型とクラウド型の2パターン
    ・従来型はハードウェア及びソフトウェア
  • ●手を加えなくて良い
    クラウド型の為、サーバ側の作業は不要です。
    お客様での必要作業はDNSの切り替えだけで技術サポート、運用サポートを含めた脆弱性対策が可能です。
    自社システム内に機器を置く場合、NW設計の調整なども発生します

    ●短期間
    お客様作業はDNSの切り替えのみとなり、即導入が可能です。
    SSL利用時の申請・アップロード作業もNHNテコラスがサポートします。

    ●運用コスト
    ・シグネチャ自動更新なので手間いらず
    ・WAFシステムのメンテフリー、全部業者がやってくれます

    ●将来のリスク
    ・自動的にWAFの定義ファイルをアップデートします。(年間約100回)
    WAFセンターは専門のセキュリティオペレータが運用し、防御性能は常に最新です。

    ●コスト
    年間費用なのでサービス費用が固定です。(プラン変更時は基本契約更改時に見直しとなります。)
    1ヶ月単位の一時的なトラフィック増にも対応可能です。最小プランでも複数台の冗長構成で提供します。
    アプライアンス型に比べて安い

  • ●説明
    ・もしクライアントからWAF単体の導入相談を受けたら弊社に相談ください。弊社もWAF販売をしていますのでご相談ください
  • ●導入
    ・普段数千円のサービスを提供しているホスティング屋としては正直これでも高いとおもっていました。
    ・そこでなんとか実績のあるWAFを安く、しかも楽にWordPress環境にWAFを導入することができないか考えました
     メーカーさんに頼み込んでできたのが、WAF標準提供のWPホスティングでした。
  • ・こちらは、大きなサイトを運営している人を除き、ご自身でというよりはクライアントに提案する際の選択肢の1つとして聞いていただければとおもいます。
    ・皆さんに個人的につかっていただくには500円や1000円のプランで十分です。
  • ・クライアントに提案するときはこういったプランを提案してください
  • かんたん!わかりやすいWafのおはなし

    1. 1. Copyright © NHN Techorus Corp. NHNテコラス株式会社 SMEサービス事業部 平賀 真琴 かんたん! わかりやすいWAFのおはなし ~ EX-CLOUD WordPressホスティングへのWAF採用裏話~
    2. 2. Page 2 自己紹介
    3. 3. Page 3 自己紹介 平賀 真琴 (ひらが まこと) • 所属:NHNテコラス株式会社 • 担当:「エクスクラウド(EX-CLOUD)」 販促・マーケ担当 • 趣味:車、キャンプ、DIY • 前職:Iaas営業、自動車部品メーカー、 人材営業 • その他:埼玉県出身、東京町田市在住、 3人家族
    4. 4. Page 4 本日のもくじ 1. サイバー攻撃事件簿 2. どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングの紹介
    5. 5. Page 5 本日のもくじ 1.サイバー攻撃事件簿 2. どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングのご紹介
    6. 6. Page 6 1.サイバー攻撃事件簿 サイバー攻撃とは? (参照)http://e-words.jp/w/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E6%94%BB%E6%92%83.html
    7. 7. Page 7 1.サイバー攻撃事件簿 代表的なサイバー攻撃事件の紹介 1. KADOKAWA Webサイト改ざん事件 2. ケータイキット for Movable Type事件 3. ホスティング屋が経験した事件
    8. 8. Page 8 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 【概要】 2014年1月7日、角川書店などのグループ企業を統括する KADOKAWAホールディングスのWebサイトが改ざんされ、 このサイトを閲覧したパソコンがウイルスに感染するおそれ があった。
    9. 9. Page 9 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 【時系列】 2014年01月07日 00時49分 犯人がKADOKAWAのWebサーバーに侵入し、 トップページを改ざん 2014年01月08日 11時ごろ 外部から「Webサイトが改ざんされているの ではないか?」との指摘 2014年01月08日 11時30分 委託しているサーバー管理会社が調査ス タート、改ざんを確認 2014年01月08日 13時07分 改ざんを修正 2014年01月08日 16時42分 セキュリティー対策を完了 (続く)
    10. 10. Page 10 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 2014年01月15日 シマンテックがブログで「日本の大手出版 社のWebサイトが悪用ツールキットに利用される」という記事を発表。 2014年01月16日 21時ごろ NHKテレビが「角川のWebサイトが改ざ ん」と報道 2014年01月16日 23時ごろ KADOKAWAがお詫びの文書を発表
    11. 11. Page 11 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 【攻撃の全容】 「Gongda」 SERVER Iframe injectionで 改ざんされたサイト ②ユーザが認識しないまま GongdaSERVERに接続 ③ マルウェアを ダウンロード ・2カ所のネットバンキング ・3カ所のECサイト ・14カ所クレカサイト 他 感 染①サイト 閲覧 ④ サイト 閲覧被害者 ⑤ID・PW カード情報 ・asd2qw.229.idcpcpc.com ・IPアドレス:108.171.252.229
    12. 12. Page 12 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 感染すると、閲覧者が以下のサイトを閲覧する際、データを盗み取ります。 ・2カ所のオンラインバンキングサイト ・3カ所のオンラインショッピングサイト ・3カ所のWebメールサイト ・3カ所のゲーム/動画Webサイト ・14カ所クレジットカードサイト
    13. 13. Page 13 2.Webセキュリティ事故の実例▼KADOKAWA Webサイト改ざん事件 ハッカー集団による攻撃 ◼ ハクティビズム 攻撃しやすいサイトを探し、自動攻撃ツールに よって片っ端から攻撃 ◼ 金銭目的・情報略取 技術力の誇示や企業意思を含む手動攻撃 ◼ 愉快犯・業務妨害 ◼攻撃者の目的とは?
    14. 14. Page 14 1.サイバー攻撃事件簿 1-2.ケータイキット for Movable Type 【概要】 2016年4月、ケータイキット for Movable Typeの画 像処理機能にOSコマンドインジェクションの脆弱性が 悪用された。 株式会社J-WAVEは4月22日、同社のホームページに 不正アクセスがあり、保有する個人情報のうち約64万 件が流出した恐れがあると発表した。
    15. 15. Page 15 1.サイバー攻撃事件簿 1-2.ケータイキット for Movable Type 【時系列】  前後の情報漏えい事件 ・4月20日 日本テレビ放送網株式会社 約43万件の個人情報が流出 ・4月21日 学習塾大手の栄光ゼミナール 2761人分の個人情報 ・4月22日 J-WAVE 個人情報約64万件が流出 ・4月25日 エイベックス・グループ・ホールディングス、個人情報約35万 件が流出
    16. 16. Page 16 1.サイバー攻撃事件簿 1-2.ケータイキット for Movable Type 【時系列】  プラグイン開発元の対応 ・4月22日 緊急パッチファイル提供開始 ・4月23日 修正バージョン提供開始 ・4月25日 ケータイキット for Movable Typeの脆弱性をチェックする 「KeitaiKit セキュリティチェック」プラグインを公開 ケータイキットの脆弱性対策 特設ページを開設 ・4月28日 設置された不正ファイルを、詳細に発見・検査するツールを 提供
    17. 17. Page 17 1.サイバー攻撃事件簿 1-2.ケータイキット for Movable Type  Webサイトへの攻撃は脆弱性発見直後に集中。  脆弱性のトレンドを追って精力的に新規開拓。 ※グラフはOpenSSLの脆 弱性を悪用する国内の攻撃 の検知数および送信元IPア ドレス数の推移 (Tokyo SOC調べ:2014年4月11日~2014年7月31日)
    18. 18. Page 18 1.サイバー攻撃事件簿 攻撃しやすいサイトとは Googleの検索結果で判別。 PHPのエラーメッセージで google検索 脆弱性なし 脆弱性あり 脆弱性あり 脆弱性のあるサイトを 狙いSQLインジェク ション攻撃などを行う。
    19. 19. Page 19 1.サイバー攻撃事件簿 攻撃ツールについて Google検索により容易にペネトレーションツールが入手できる。
    20. 20. Page 20 1.サイバー攻撃事件簿 サイバーキルチェーンについて Cyber Kill Chain (サイバー・キル・チェーン) 攻撃者の行動を分解した考え方を「Cyber Kill Chain」と呼びます。いずれかの階層で脅威を断 ち切るという多層防御の考え方を理解、設計するのに役立ちます。 偵察 武器 化 デリ バリー 攻撃 インス トール 遠隔 操作 感染 拡大 目的 実行
    21. 21. Page 21 1.サイバー攻撃事件簿 1-3.ホスティング屋さんが経験した事件 • 大手ソーシャルゲームで発生したDDos攻撃 • エクスクラウドお試しプラン申し込みフォーム へのSQLインジェクション →どちらも中国からの 不正アクセスだった
    22. 22. Page 22 1.サイバー攻撃事件簿 損害や被害はどの程度か? • 2015年情報漏えいデータ(JNSA) • 更にフォレンジック(調査)費用や 対策費用、 ブランドイメージの失墜・風評被害が発生 漏えい人数 496万0063人 インシデント件数 799件 想定損害賠償総額 2541億3663万円 一件あたりの漏えい人数 6578人 一件あたり平均想定損害賠償額 3億3705万円 一人あたり平均想定損害賠償額 2万8020円 (参照)JNSA資料 http://www.jnsa.org/result/incident/
    23. 23. Page 23 1.サイバー攻撃事件簿 まとめ • サイバー攻撃は目的を持って行われる。 • 大企業を狙うより攻撃しやすい企業を狙う。 • サイバーキルチェーンさえ断ち切れば勝ち。 • サイバー攻撃はスピード勝負、人力、自力で対 処するのはそれなりの体制が必要。
    24. 24. Page 24 1.サイバー攻撃事件簿(付録) 自分のサイトが攻撃されていないかを確認する方法 • IPAが提供するiLogScanner(無料)で可能
    25. 25. Page 25 本日のもくじ 1. サイバー攻撃事件簿 2.どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングのご紹介
    26. 26. Page 26 2.どうして事前に対策しないの?  経済産業省の推奨する体制 大企業及び中小企業 はCSIRT(サイバー攻撃による情報漏えいや障害など、コン ピュータセキュリティにかかる インシデントに対処するための組織)の整備が必要。 「サイバーセキュリティ」では、セキュリティの事件や事故(インシデント)に企業 内で対応する専門組織“CSIRT(Computer Security Incident Response Team)” を構築済み(構築中、類似機能の実施を含む)であると回答した企業が、前回調査の 19.0%から2.2倍の41.8%と大幅に伸びた。 (サイバーセキュリティ経営ガイドラインより抜粋 )
    27. 27. Page 27 脆弱性診断結果を元に、アプリケーションへの影響を調査し、改修要 件を 確定します。 セキュリティの専門知識を持ち、アプリケーションに精通している人材 が セキュリティを考慮した設計を行います。 WAFを導入しサイトを防御しつつ、定期的な脆弱性診断とシステム改 修で セキュリティレベルを保ちます。 Webサイトの脆弱性対策のあるべき姿 セキュアコーディングを十分に理解しているエンジニアがプログラムを実装。 外注の場合、十分なセキュリティスキルを備えているか判断することが困難な 場合があります。 運用 テスト 実装 要件定義 設計 システム単体で再度脆弱性診断を行い、脆弱性が改善されている事を確 認する。脆弱性が確認できた場合は、修正し再度診断を行います。 ※脆弱性診断は高額であり、割愛されてしまう場合もあります。 上流工程でセキュリティ対策がされているのが 好ましいが、実現できている例は少ない。 2.どうして事前に対策しないの?
    28. 28. Page 28 2.どうして事前に対策しないの?  2016年度はWordPressに関し60件の脆弱性が発生
    29. 29. Page 29 2.どうして事前に対策しないの? 課題 • コストが高く、経営層から決裁を得る必要があ る、クライアントの承諾を得る必要がある • 導入に際して労力や時間を確保する必要がある。 • セキュリティに対する知識や認識が必要 • 専門知識を持つ人材が必要 →対策しないというよりは「できない」のが実情
    30. 30. Page 30 本日のもくじ 1. サイバー攻撃事件簿 2. どうして事前に対策しないの? 3.そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングのご紹介
    31. 31. Page 31 3.そもそもどんな攻撃があるの? 代表的な4つの攻撃の手口 (参照)https://www.ipa.go.jp/files/000041364.pdf (引用)IPA資料より抜粋
    32. 32. Page 32 3.そもそもどんな攻撃があるの? A) 窃取したアカウント情報を悪用した不正ログイン
    33. 33. Page 33 3.そもそもどんな攻撃があるの? B) ソフトウェアの脆弱性を突く
    34. 34. Page 34 3.そもそもどんな攻撃があるの? C) ウェブアプリケーションの脆弱性を突く
    35. 35. Page 35 3.そもそもどんな攻撃があるの? D) 組織内のアクセス制御の不備を突く
    36. 36. Page 36 3.そもそもどんな攻撃があるの? 【不正アクセス】 • ブルートフォースアタック • Dos/DDoS攻撃 • SQLインジェクション • クロスサイト スクリプティング • ルートキット攻撃 • バッファオーバーフロー攻撃 • セッションハイジャック • OSインジェクション 【マルウェア】 • ウイルス • ワーム • トロイの木馬 • ランサムウェア • バックドア • ダウンローダー 【標的型】 【ゼロデイ攻撃】 【パスワードリスト攻撃】 (参照)https://cybersecurity-jp.com/cyber-security-guide/6-type-of-cyber-attack サイバー攻撃の例
    37. 37. Page 37 本日のもくじ 1. サイバー攻撃事件簿 2. どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4.対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングのご紹介
    38. 38. Page 38 3.どんな対策手段があるの? 一般的なセキュリティ対策の手段 • ウィルスチェック • Web改ざん検知 • 脆弱性診断 • WAF • ファイアウォール • IDS/IPS • SSL
    39. 39. Page 39 本日のもくじ 1. サイバー攻撃事件簿 2. 事前にできる?セキュリティ対策 3. そもそもどんな攻撃があるの? 4. 対策方法いろいろ 5.WAFって何?何ができるの? 【付録】WordPressホスティングの紹介
    40. 40. Page 40 4.WAFって何?何ができるの? WAFとは何のこと? • Web Application Firewallの略 です。 • ウェブサーバーへの通信を解析して、悪意のあ る攻撃からウェブアプリケーション (WordPressなど)を守る機能の事です。 • ハードウェア、ソフトウエア、クラウド型があ ります。
    41. 41. Page 41 4.WAFって何?何ができるの? WAFのしくみ • シグネチャと呼ばれる防御ファイルに基づいて 悪意のある攻撃を遮断します。 (参照)http://dev.classmethod.jp/security/getting-started-waf/ シグネ チャ
    42. 42. Page 42 4.WAFって何?何ができるの? ファイアウォール、IPS/IDSとの違い • それぞれ得意分野が異なる
    43. 43. Page 43 4.WAFって何?何ができるの? WAFで防げる攻撃の種類 • SQLインジェクション • OSコマンドインジェクション • LDAPインジェクション • URLエンコード攻撃 • パスワードリスト攻撃 • ブルートフォースアタック • 改行コードインジェクション • ディレクトリトラバーサル • Dos/DDoS攻撃※一部のWAFのみ • クロスサイトスクリプティング※一部検 知のみ • コマンドインジェクション • ファイルインクルード • OSやミドルウェアの脆弱性への攻撃 • その他
    44. 44. Page 44 4.WAFって何?何ができるの? カテゴリ 内容 アプライアンス・ソフトウエア型 クラウド型 ハードウェア (帯域) スケールアウト・ダウ ン 機器の買い替えが必要 契約変更により対応可能 障害対応 機器交換時の立会調整及び、その 間のネットワーク構成について考 慮が必要 エンドユーザが意識をせず、対応を実施 チューニング シグネチャやウェブの チューニング 必要 不要(クラウドWAF側で実施) WAFエンジン アップデート リモートでの自動更新。エンド ユーザが意識をせず、対応を実施 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施 障害対応 通常はリモート運用。障害の内容 により、現地作業が必要となった 場合、立会調整及びその間のネッ トワーク構成について考慮が必要 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施。 防御 シグネチャアップデー ト リモートでの自動更新。エンド ユーザが意識をせず、対応を実施 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施。 タイプ ホワイトリストとブラックリスト の2種類 ブラックリストのみ 費用 導入および運用コスト 機器購入、設計など高価 安価、冗長構成もとられている WAFのタイプは2種類に大別
    45. 45. Page 45 4.WAFって何?何ができるの? カテゴリ 内容 アプライアンス・ソフトウエア型 クラウド型 ハードウェア (帯域) スケールアウト・ダウ ン 機器の買い替えが必要 契約変更により対応可能 障害対応 機器交換時の立会調整及び、その 間のネットワーク構成について考 慮が必要 エンドユーザが意識をせず、対応を実施 チューニング シグネチャやウェブの チューニング 必要 不要(クラウドWAF側で実施) WAFエンジン アップデート リモートでの自動更新。エンド ユーザが意識をせず、対応を実施 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施 障害対応 通常はリモート運用。障害の内容 により、現地作業が必要となった 場合、立会調整及びその間のネッ トワーク構成について考慮が必要 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施。 防御 シグネチャアップデー ト リモートでの自動更新。エンド ユーザが意識をせず、対応を実施 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施。 タイプ ホワイトリストとブラックリスト の2種類 ブラックリストのみ 費用 導入および運用コスト 機器購入、設計など高価 安価、冗長構成もとられている WAFのタイプは2種類に大別
    46. 46. Page 46 4.WAFって何?何ができるの? クラウド型WAFのメリット • 自社システムに手を加えること なく導入が可能 • 短期間で導入が可能 • 運用コストが低い • 将来発生するリスクに対応が可能 • コストパフォーマンスが良い クラウド型WAF WEBサーバ
    47. 47. Page 47 4.WAFって何?何ができるの? クラウド型WAF導入のポイント • ウェブサイトの回線利用帯域の把握 • SSL証明書の用意とWAFへのインストール作業 • DNSの設定変更
    48. 48. Page 48 4.WAFって何?何ができるの? まとめ • 単体でWAFの導入を検討するなら、比較的安価 で導入・運用が楽な「クラウド型WAF」がオス スメです!
    49. 49. Page 49 本日のもくじ 1. サイバー攻撃事件簿 2. どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングの紹介
    50. 50. Page 50 今後、クライアントにWordPressとWAFの提案をす るシーンがあるかもしれません。そんなときは… WAF標準搭載、エクスクラウドの WordPressホスティング をご活用ください
    51. 51. <EXC-PN-2.0.0-1510>NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. サービス説明資料
    52. 52. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -52- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト エクスクラウドとは
    53. 53. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -53- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト エクスクラウドの特長
    54. 54. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -54- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト WordPressプランの特長
    55. 55. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -55- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト WordPressプランの特長
    56. 56. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -56- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト WordPressプランの特長【セキュリティ】
    57. 57. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -57- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト WordPressプランの特長【超高速】
    58. 58. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -58- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 WordPressプランの特長【拡張性】と【サポート】
    59. 59. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -59- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 WordPressプランの特長
    60. 60. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -60- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 WordPressプランのおすすめユーザー
    61. 61. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -61- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 WordPressプランの価格
    62. 62. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -62- 最大13段階のサービス 無停止スケールアップ WordPressプランの仕様
    63. 63. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -63- 最大13段階のサービス 無停止スケールアップ WordPressプランの仕様
    64. 64. NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -64- パ ー ト ナ ー 登 録 頂 き ま す と 、 N H N テ コ ラ ス が 運 営 、 参 加 す る 勉 強 会 に 優 先 的 に ご 案 内 し ま す 。 C M S 勉 強 会 、 セ キ ュ リ テ ィ 勉 強 会 等 、 パ ー ト ナ ー 様 同 士 の 交 流 会 や 情 報 交 換 の 機 会 を ご 提 供 し て い ま す 。 E X - C L O U D 各 プ ラ ン や S S L ク ー ポ ン も 最 大 1 7 % O F F の パ ー ト ナ ー 価 格 で ご 利 用 で き ま す 。 実際のイベント風景 テコラスパートナー登録について Sell Through the Community
    65. 65. Page 65 質疑応答
    66. 66. Page 66 ご清聴ありがとうございました。

    ×