Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[ビジネス編] 今一度見直そう、ウェブサイトセキュリティ(合同会社シマンテック・ウェブサイトセキュリティ社 ご講演資料)

910 views

Published on

2016年2月29日に開催しました、【セキュリティ×クラウド】タイアップセミナーの内容です。
合同会社シマンテック・ウェブサイトセキュリティ社 大塚氏による最新のセキュリティ動向からセキュリティの基礎知識~見直しのポイントなどをご紹介します。これから本格的にセキュリティ対策を実施したい・見直したい方必見の内容になっております。

Published in: Technology
  • Be the first to comment

[ビジネス編] 今一度見直そう、ウェブサイトセキュリティ(合同会社シマンテック・ウェブサイトセキュリティ社 ご講演資料)

  1. 1. [ビジネス編] 今一度見直そう、ウェブサイトセキュリティ 合同会社シマンテック・ウェブサイトセキュリティ 1
  2. 2. 本日の内容 2 ウェブサイトに対する脅威の傾向1 攻撃者からみた現在の状況2 外部攻撃対策の必要性 ~ まず何から始めるか3 改ざんや脆弱性は見つかった ~ 次に何をすべきか4 シマンテック クラウド型WAFとは5 シマンテック クラウド型WAF 利用事例6
  3. 3. ウェブサイトに対する脅威の傾向1
  4. 4. Copyright © 2014 Symantec Corporation ウェブサイトへの不正アクセスによる情報漏えい事件 4
  5. 5. 情報漏えいの多くが、攻撃者によって引き起こされています 出典 「シマンテック ウェブサイトセキュリティ脅威レポート 2015年」 5
  6. 6. ウェブサイトへの攻撃は、依然として多い状況です 出典 「シマンテック ウェブサイトセキュリティ脅威レポート 2015年」 6
  7. 7. 攻撃を受けるのは、大手企業だけではありません 7 従業員数が 2,500人を超える大 規模企業への標的型攻撃は、 2011年と2012年が 50%であっ たのに対し、2013年は 39%、 2014年は、41%に減少。 このことからは、標的型攻撃は、大 規模企業への直接攻撃ではなく、 取引のある中小規模企業を経由 して、行われていることがわかります。 出典 「シマンテック ウェブサイトセキュリティ脅威レポート 2015年」 企業規模別の標的型攻撃の分布(2011-2014) 7
  8. 8. 皆さんのPCやスマートフォンにも脆弱性はあります 8 出典 「シマンテック ウェブサイトセキュリティ脅威レポート 2015年」 8
  9. 9. 情報漏えいは、企業活動に甚大な影響を及ぼします 損害賠償額 : 7500万円 JNSA 「情報セキュリティインシデントに関する調査報告書」 調査費用、セキュリティ再構築費用 : 5000万円~1億円 IPA 「企業における情報セキュリティ事象被害額調査」 ブランド毀損、風評被害、イメージ低下 : 売上の5%~40% 過去の事例より 1回の攻撃で流出した個人情報の平均件数 出典 「シマンテック ウェブサイトセキュリティ脅威レポート 2015年」 9
  10. 10. 【参考】 「情報セキュリティ10大脅威 2016」個人別・組織別 順位 10 出典:独立行政法人情報処理推進機構(IPA) 2016年2月15日プレスリリースより一部抜粋
  11. 11. 攻撃者からみた現在の状況2
  12. 12. データベース ウェブサーバ フィッシングサイト フィッシャー ボットネット業者 マルウェア業者 スパムメール配信業 クラッカー フィッシングサイトへの誘導 マルウェア感染等 フィッシングサイトの設置 サイト閲覧者の情報取得等 ボットネットワークの構築 サーバへのDDoS攻撃等 システムへの不正アクセス等 マルウェアの作成 正規サイトへ罠(マルウェア)を仕込む等 フィッシングメール スパムメール 攻撃側は、分業化が進んでいます サイバー犯罪は高度に分業化されている 直接的攻撃 / 間接的攻撃に分類される 想定される被害 : -顧客情報漏洩、損害賠償金の支払などの 直接的被害 -ブランド毀損や風評被害などの間接的被害 12
  13. 13. ウェブサイトへの代表的な攻撃手法 1. 『フィッシング詐欺』 実際の企業等を装ったニセの電子メールやリンクから、サイト訪問者を偽のサイトに誘導し、個人情報を盗む攻撃。 2. 『中間者攻撃』 正規の通信の間に“割り込んで”,通信の当事者には気付かれないように通信内容を盗んだり改ざんしたりする攻撃手法 3. 『ドライブバイダウンロード攻撃』 正規サイトを改ざんし、マルウェアをダウンロードさせる不正サイトに誘導する攻撃。 4. 『SQLインジェクション攻撃』 フォームにSQL文を直接入力し、開発者が意図していない動作をウェブアプリケーションに行わせる攻撃。これに より、ユーザ認証をすり抜けたり、権限がなくてもデータベース内の全データを窃取することが可能。 DB ウェブアプリ偽サイト 1. 『フィッシング詐欺』 2. 『中間者攻撃』 3. 『ドライブバイダウンロード攻撃』 4. 『SQLインジェクション攻撃』 5. 『Apache Strutsの脆弱性を 狙った攻撃』 これらの対策を怠ると、顧客情報の漏洩などの 直接的な被害のほか、損害賠償金の支払い、 ブランド毀損や風評被害など経営に係る被害も 想定される。 13
  14. 14. 攻撃の目的  愉快犯  技術力を持った攻撃者による手動攻撃  金銭目的  自動攻撃ツールによる乱れ打ちで、攻撃しやすいサイトを探す  ハクティビズム  ハッカー集団(Anonymous、LulzSecなど)が攻撃対象に合わせて攻撃 14
  15. 15. サイト1 サイト2 サイト3 攻撃しやすいサイトをどう判別するか(例) 1. 検索エンジンでPHPエ ラーメッセージを検索 2. PHPエラーメッセージ を持つページの検索 結果を取得 3. 脆弱なサイトに狙いをつけてSQL インジェクション攻撃などを行う 注:エラーメッセージ自体は脆弱性では ないが、作りが甘いことを露呈して いるため狙われる原因と成り得る。 例; 15
  16. 16. 簡単に入手できる攻撃ツール 検索エンジンで、攻撃ツール を検索・入手が可能 16
  17. 17. ウェブサイトで発見される脆弱性 出典 「シマンテック ウェブサイトセキュリティ脅威レポート 2015年」 17
  18. 18. ウェブサーバの脆弱性が狙われています 出典 「シマンテック ウェブサイトセキュリティ脅威レポート 2015年」 18
  19. 19. • IPAの調査によると、脆弱性の修正に 31 日以上の日数を要した届出は、 全体の 53%にのぼります。91日以上でも、34%。 • ウェブアプリケーションの改修には、予算取得が難しい、開発者確保 が難しいなどの事情により、危険性の高い脆弱性でも放置されている 現状があります。 19 出展:IPA 「2015年第4四半期 ソフトウェア等の脆弱性関連情報に関する活動報告レポート」2016年1月 脆弱性対策に1ヶ月以上要するサイトは、全体の約53%
  20. 20. 08年9月 ゴルフ関連サイトが改ざん。 サイトの全面停止を余儀なくされ、ユーザへのウィルス感染も判明 09年7月 芸能関係のECサイトへ不正アクセスがあり、約14万件の個人情報(含むカード情報)が流出 10年2月 アウトドア用品ECサイトへ不正アクセスがあり、カード情報1万1446件が流出 10年2月 大手鉄道会社のサイトが改ざん。修正するものの同月に再度改ざんが発覚 10年8月 ネットスーパー運営会社に国内外から不正アクセスがあり、カード情報1万2191件が流出 11年3月 釣り具の通販サイトに不正アクセス、最大3千件強のカード情報流出の可能性 11年4月 大手ゲーム会社 ネット配信サービスで、1億件強の顧客情報漏えい 11年5月 老舗蒲鉾店 ECサイトで3,194件クレジットカード情報漏えい 12年3月 大手ソフトウェアダウンロードサイト26万件の顧客情報漏えい 12年4月 お中元・お歳暮通販サイトに不正アクセス、1,117名の顧客情報が漏えいか 13年3月 環境省 サイト改ざん エンドユーザがマルウェア感染の恐れ 13年5月 百貨店オンラインサイトが相次いで情報漏えい 13年5月 レンタルルータ・携帯業者がマルウェア感染の恐れ 14年2月 旅行予約サイトにマルウェアが埋め込まれユーザが感染 14年7月 不正アクセスで製造業 6万人の顧客情報と560件のカード情報流出。 14年から15年にかけて、パスワードリスト攻撃が頻発。 ウェブサイトへの攻撃事件 近年の主だった情報漏えい事件、ウェブサイトの改ざんなどの事件 これらの原因となった攻撃は、 SQLインジェクション攻撃、マルウェア、不正アクセスなど セキュリティ対策費用 1億円強を引き当て計上 対策費用を140億円と発表 17日間のサイト閉鎖中 数億円の機会損失 20
  21. 21. 外部攻撃対策の必要性 ~ まず何から始めるか3
  22. 22. まずは、ウェブサイトの「現状把握」をすることが大切!! PLAN (計画) CHECK (評価) DO (実行) ACT (改善) PDCA CAPD みえる化 • みえる化で“現状を上層部や管 理者が把握”することが重要 • 常に上層部や管理者に“改善 提案”することで、事故発生時 に備える • 一過性では無く定期的な評価、 継続的な改善 • 新規サイトであっても、評価の 仕組みを考えておくこと 22
  23. 23. シマンテックのウェブサイト向けセキュリティソリューション DB ウェブアプリ偽サイト 1. 『フィッシング詐欺』 2. 『中間者攻撃』 3. 『ドライブバイダウンロード攻撃』 4. 『SQLインジェクション攻撃』 5. 『Apache Struts2の脆弱性を狙った攻撃』  EV SSL証明書  シールインサーチ  マルウェアスキャン  シールインサーチ  脆弱性アセスメント  シマンテック クラウド型 WAF 常時SSL (SSLサーバ証明書) 23
  24. 24. ①SSLサーバ証明書 – 【自社サイトであることの証明と暗号化】 目的・用途に合わせたSSLサーバ証明書の選び方 24 証明書の種類 EV認証型 企業認証型 ドメイン認証型 求められる機能 特徴 - 最も信頼感が高いSSLサーバ証明書 - フィッシング詐欺(なりすまし)対策に特に有効 - EVガイドラインに基づく、より厳格な申請手順  を経て発行 - 標準的なSSLサーバ証明書 - フィッシング詐欺(なりすまし)対策にも有効 - 厳格な申請手順を経て発行 - 簡易型のSSLサーバ証明書 - ドメイン名管理者の申請確認のみで発行 適した用途 - 金融機関、ECサイトなど、大量の個人情報  を扱う企業・団体 - 一般企業、団体、ECサイト等での利用 - 個人情報を扱う企業・団体 - 企業のイントラネットや限定された相手との  通信しか行わないサイト - 個人での利用 シマンテック でのブランド より厳格な認証 実在性証明 SSL暗号通信 簡易な認証 SSL暗号通信 SSL暗号通信 実在性証明
  25. 25. 「企業認証型」と「ドメイン名認証型」の見分け方 企業認証型 ドメイン名認証型 サイト運営会社/組織の 名前まで含めた認証なの で、確実に本物のウェブサ イトであるとわかる。 証明内容はドメインの実 在のみ。手続きは簡易で あるが、その分証明できる 内容は少なくなる。 25
  26. 26. ①SSLサーバ証明書 – 【自社サイトであることの証明と暗号化】 利用者向け フィッシングサイトに関する注意喚起 26 フィッシング対策協議会(協力: IPA) 東京メトロ160駅にて、2016年2月22日~2月28日まで掲出 利用者に自社ウェブサイトである こと(フィッシングサイトでは無い こと)を、ウェブサイト運営者側と して、確実に伝える方法はない? EV SSLサーバ証明書が最適
  27. 27. 攻撃1.フィッシング詐欺への対策 企業認証型SSLサーバ証明書の上位規格「EV SSLサーバ証明書」 SSL暗号化通信の 視認性がより高い 証明書発行の為の 審査がより厳格 サイト利用者が瞬時に 「安全」と判断 フィッシング(なりすまし) などがますます困難 シマンテック ・ウェブサイトセキュリティのWebサイト - 一目でわかる「緑色」の アドレスバー - Webサイト運営者と 証明書発行者を交互に 交互に分かりやすく表示 27
  28. 28. 多くのウェブサイトで、個人情報、重要事項の入力が必要な 「ページ」にしか実装されていない ⇒ もちろん、これらの「ページ」への実装は、「正規サイトであること」、 「暗号化」機能を利用者に提供するために欠かせない ⇒ しかし、利用者側の利用環境が変化してきている - 検索サイトの利用で、自社ウェブサイトの様々なページから訪問 - モバイル通信や無料Wi-Fiスポットからのアクセス ⇒ そして、運営者側でも、SSL対応は必須に SSL対応が必要となる新たな要件 個人情報、重要情報の 入力が必要な場合 SSLは必須... 約9割のインターネット 利用者 28
  29. 29. httpとhttps(SSL対応ページ)の切り替わりを体感し、同じ運営者のサイト であるかどうか、利用者を不安にさせる可能性も。 検索サイトの利用で、様々なページから訪問 Topページ 検索ワード:シマンテック・ウェブサイトセキュリティ 29 関連ページ
  30. 30. • お問合せフォームやログイン入口ページのみ、パスワードを 暗号化するためにSSLを使っているケースが多い • 常時SSL化(Always-On SSL)して、セキュリティを強化す る流れになりつつある – Cookie(セッションID)の保護 – Wi-Fi(スマホなど)対応 – 信頼性のアピール – CPU処理速度の進化 トップ トップ 同じドメインのページ 全て(あるいはログイ ン後)に常時SSLをか けるログイン後 http httphttps https 常時SSLでいつでもSSL暗号化 https://www.symantec.com/ja/jp/page.jsp?id=always-on-ssl 30 常時SSL化 – ウェブサイト全体をSSL化する
  31. 31. HTTPS Webサイトが急増中 • 「サイト丸ごとHTTPS化」(常時SSL/TLS化)する ウェブサイトが増加中 – Google/Bing/Facebook/Twitter/YouTube/Wikipedia/ Netflix/Shopifyなど • アメリカ政府では「2016年末までに全ての”.gov” サイトを常時SSL/TLS化」することを宣言 • ブラウザベンダーは”HTTPアクセスの警告表示”を 検討中 31 出典元:Pulse https://pulse.cio.gov/ 出典元:Marking HTTP As Non-Secure https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure Firefox 44 nightly (開発版) ではHTTP接続ページ に<input type=“password”>があれば警告表示 Chromeの試験機能には実装済み Copyright © 2016 Symantec Corporation
  32. 32. SEO対策、ブラウザでの表示対策の必要性 Googleの取り組み • SSL/TLSはSEO順位向上の要素のひとつ – 2014年8月からhttpsの順位を上げるロジックを実装 • Google検索サイトを常時SSL/TLS化 – 2012年3月から検索サイトがデフォルトでhttps化(BingとYahoo もhttps化) 32
  33. 33. ■具体的な攻撃の例: 偽AP確立(EvilTwin):同じ名前(SSID)の APを立ち上げ、通信を盗聴 PCの有線接続と同じよう な感覚で非暗号化通信で情 報のやりとりがなされる 情報を暗号化する手段を提供 するかどうかはサイト運営者 の判断 正規のウェブサイト盗聴・改ざん 正規のAP 正規の通信の間に“割り込んで”、当事者に気付かれないように通信内容を盗聴・ 改ざんする手法 偽AP 特にWi-Fi環境では経路上での暗号化は必須 攻撃2. 中間者攻撃(Man-in-the-middle attack)への対策 ⇒ 利用者に一貫して、https(SSL暗号化)ページを提供する 33
  34. 34. • VPN(Virtual Private Network)を使う – クライアントにVPNソフトをインストール • https(SSL)を使う – ウェブサイトがSSLを導入 ウェブサイトVPNゲートウェイ無線 アクセスポイント クライアント SSL導入済み ウェブサイト 無線 アクセスポイントクライアント 個人情報を扱う ウェブサイト エンドユーザの「自衛」方法:暗号化 「Wi-Fiを使う時はVPNかhttpsのどちらかを使う」 → 一般のウェブサイトはhttps化が求められる 34 中間者攻撃への対策 – 暗号化
  35. 35. シマンテックSSLサーバ証明書にのみ無償バンドルされる3つのセキュリティ機能 シールインサーチ 検索結果で安全を表示 マルウェアスキャン 不正プログラムを検出 脆弱性アセスメント※ サイトに潜む“弱点”を診断 Google、Yahoo、gooなど の検索結果※で、シマンテック SSL導入サイトのリンク横に ノートンセキュアドシールを表示 します サイト集客アップを支援 お客様のウェブサイトに対し、ハッ カーの攻撃対象になる脆弱性が 存在していないか、シマンテックが 週1回、外部から検知・レポート します マルウェア感染を未然に防ぐ サイバー攻撃の危険に備える お客様のサイトを毎日チェックし、 悪意のあるソフトやコードをス キャンして管理者に通知。サイト 訪問者のPCがマルウェア感染す る危険性を軽減します ※ シールインサーチを表示するには、ノートンセキュリティ、ノートンインターネットセキュリティ、ノートン360がインストールされていて、 IE、Firefox上でGoogle/Yahoo!/Bingで検索される必要があります。 35 ②ウェブサイトの状態確認 – 【マルウェア/脆弱性の有無の確認】 通常「有償」となることが多い、以下のようなセキュリティ機能が、シマンテックSSLなら、 「無償」で利用可能です。
  36. 36. • 概要 – 検索エンジン上でウェブサイトがマルウェアに 感染していないことを 毎日確認でき、安心感を得られる – 消費者(訪問者)への安心を得られます – ウェブサイト運営者が検索エンジンやブラウザのブラックリ ストに載ることを防ぎ、トラフィックの増加を見込めます • SSLサーバ証明書製品に無償で付属 – セキュア・サーバID – グローバル・サーバID – EV SSL証明書 • 診断方法 – お客様のウェブサイトに対して、マルウェアが 存在していないかシマンテックが外部から診 断・レポートいたします。 ①クローラーがお客様の ウェブサイトの200page を毎日取得・分析 ②マルウェアが 検知された場合は ユーザに通知 ③マルウェアが検知 されない場合、検索 結果にシールインサ ーチを表示 攻撃3. ドライブバイダウンロード対策 – 【マルウェアスキャン】 36
  37. 37. • 概要 – お客様ウェブサイトに潜在するセキュリティの 問題点(脆弱性)の有無を 週に1回診断いたします – 診断結果を詳細レポート(PDF)で ご確認いただけます • SSLサーバ証明書製品に無償で付属 – EV SSL証明書 – グローバル・サーバID • 診断方法 – お客様のウェブサイトに対して、ハッカーの攻 撃対象になる 脆弱性が存在していないか、 シマンテックが外部から診断・ レポートいたします。 攻撃4,5. 脆弱性の確認 – 【脆弱性アセスメント】 37
  38. 38. • 脆弱性アセスメントの結果を、2段階のリスクレベルと9種類の影響範囲で示します。 2段階の リスクレベル 9種類の 影響範囲 検知した脆弱性の 種類の数を表示 脆弱性アセスメント - レポート 38
  39. 39. シマンテック SSLサーバ証明書機能比較 EV認証型 EV SSLサーバ証明書 企業認証型 SSLサーバ証明書 製品名 グローバル・ サーバID EV セキュア・ サーバID EV グローバル・ サーバID セキュア・ サーバID セキュリティの可視性 ★★★ ★★★ ★ ★ 証明書発行基準の 厳格さ ★★★ ★★★ ★★ ★★ 暗号の強度 ★★★ ★★ ★★★ ★★ ECC(楕円曲線暗 号)対応 ○ ― ○ ― ノートンセキュアド シール(無償) ○ ○ ○ ○ マルウェアスキャン (無償) ○ ○ ○ ○ 脆弱性アセスメント (無償) ○ ○ ○ ― 価格 (1年 税抜き) ¥219,000- ¥162,000- ¥138,000- ¥81,000- ※その他、各種有効期間の製品、ワイルドカード製品も提供しています 39
  40. 40. 【参考】 ジオトラストSSLサーバ証明書機能比較 40
  41. 41. 目的・用途に合わせたSSLサーバ証明書の選び方 ¥31,300 41
  42. 42. 診断対象の ウェブサーバ 診断対象のウェブサーバ に対して、設定変更や、 Agentソフトウェアなどの インストールは一切不要 です。 インターネット 診断は、診断サーバを介して 実施します。不正防止対策と して、診断サーバで全ての通 信記録を取得し、監査を行っ ています。 お客様サイト 診断はインターネット経由で実施します。 お客様のご希望に応じて、オンサイト診断も実施 します(別途費用) 診断の際に利用するIPアド レスは事前に通知します。 テストサーバへの診断の際 にはF/Wの設定を追加して いただくことがあります。 診断サーバ 診断時のトラフィック量 は、数十kbps程度です 万が一の障害 に備え、事前 にバックアッ プの取得をお 願いしていま す。 【更に詳しい脆弱性診断が必要な場合】 シマンテック セキュリティ診断サービス(有料サービス) 42
  43. 43. ウェブサイトにおける “CAPD”サイクル PLAN (計画) CHECK (評価) DO (実行) ACT (改善) みえる化 脆弱性診断 ログ調査 改ざん検知システム WAF セキュアコーディング マルウェア診断 定期診断ツール導入 セキュリティ診断 Web診断 PF診断 WAF クラウド型WAF 【Web Application Firewall】 SSL無償バンドル 脆弱性アセスメント マルウェアスキャン 43
  44. 44. 改ざんや脆弱性は見つかった ~ 次に何をすべきか4
  45. 45. 脆弱性発見から対策完了までの流れ 脆弱性の認知 Webサイト、メーカーからの通知などにより、 脆弱性があることを知る 影響範囲の確認 自社のWebサイトが脆弱性の影響を受けるか確認 する 影響の確認 パッチ適用、もしくはバージョンアップを行って、 Webサイトに問題が起きないかを確認する 対策適用 パッチ適用、もしくはバージョンアップを行う この段階で攻撃 は来ています この対応に 何日かかり ますか? 45
  46. 46. ウェブサイトに脆弱性が見つかった ⇒ 根本的な対策は、アプリケーションの修正やパッチ適用 ・・・しかし約53%が脆弱性対策に1ヶ月以上要するのが現実 • IPAの調査によると、脆弱性の修正に 31 日以上の日数を要した届出は、 全体の 53%にのぼります。91日以上でも、34%。 • ウェブアプリケーションの改修には、予算取得が難しい、開発者確保 が難しいなどの事情により、危険性の高い脆弱性でも放置されている 現状があります。 46 出展:IPA 「2015年第4四半期 ソフトウェア等の脆弱性関連情報に関する活動報告レポート」2016年1月
  47. 47. ウェブサイトの脆弱性対策に対する悩み ウェブサイトに脆弱性 が見つかったが、修 正のための予算をど うしよう 売り上げを増大させる ウェ ブサイトの新機能開発スケ ジュールが、脆弱性対応で 遅れそう ウェブサイトの修正の 為に、アプリの作りに 詳しいメンバーが確 保できない 脆弱性の修正でプロ ジェクトを完了したば かりなのに、また!? ウェブサイトの改修 後の動作テストは誰 がやるの? 脆弱性の影響は今回 指摘されたウェブサイト だけ? そういった方のために、クラウド型WAFという防御手段が あります。 47
  48. 48. シマンテックの提案 • OS/ミドルウェアなどの脆弱性発見から、対策完了までの間にクラウド型WAFで、 攻撃を防御し、影響範囲の確認や脆弱性に対する根本的な対策(アプリケーション の修正やパッチ適用)を実施する 脆弱性の認知 Webサイト、メーカーからの通知などにより、 脆弱性があることを知る 影響範囲の確認 自社のWebサイトが脆弱性の影響を受けるか確認 する 影響の確認 パッチ適用、もしくはバージョンアップを行って、 Webサイトに問題が起きないかを確認する 対策適用 パッチ適用、もしくはバージョンアップを行う 余裕をもって 対応できます クラウド型WAF の対応 攻撃手法が確立しているなど、実際に攻撃が行わ れる危険があるものは、できるかぎり即日対応と します この段階で攻撃を ブロックします 48
  49. 49. シマンテック クラウド型WAFとは5
  50. 50. WAF(Web Application Firewall)とは  Webサーバ側にセキュリティ上の問題があっても、攻撃を防御 する製品・サービス 画像:IPA 独立行政法人 情報処理推進機構 50
  51. 51. シマンテック クラウド型 WAF  WAF機能をクラウド型で提供 – 顧客のWebアプリケーションに変更を加えることなく、WAFの導入が可能です – 短期間で導入が可能です – 運用やシグネチャ更新は、全てクラウド側で対応します 51
  52. 52. 「脆弱性を見つける/無害化する」対策のカバー範囲 • 現在、全範囲をカバーするソリューションはない Webアプリケーション (サイト毎に開発された部分) ソフトウェア/OS (利用されるソフトウェア) インフラ/ネットワーク (インターネット、サーバ) 守る部分 脆弱性を無害化する F/W IPS / IDS WAF 脆弱性を見つける プラット フォーム診断 / ネットワーク 診断 Webアプリ ケーション 診断 【脆弱性アセスメント】 で一部カバー可能 52
  53. 53. シマンテック クラウド型WAFでどこまで守れるか Webアプリケーション (サイト毎に開発された部分) ソフトウェア/OS (利用されるソフトウェア) インフラ/ネットワーク (インターネット、サーバ) 守る部分 脆弱性を無害化する ここの範囲は? F/W WAF Webサイトであれば、 F/Wによりhttpと、 httpsだけに絞ることに より、この範囲は埋まる • 一般的なF/Wでは、「SQLインジェクション」や「クロスサイトスクリプティング」、「パラメータ改ざん」等は防 げません。IPS/IDSにおいては難読化されている攻撃に対する検知精度は低いと言われています。 • 実際、WAFで検知したサイバー攻撃のうち、IDS/IPSはその54%を検知できなかったという報告もあります。 53
  54. 54. 従来型WAFとクラウド型WAFの比較 比較ポイント 従来型WAF (アプライアンス型、ソフトウェア型) 高価 – 機器購入費用、保守費用、設計・構築費用な ど高額な初期費用が発生する。年ごとに機器 の保守費用、設定変更時にメンテナンス費用 が必要。 シマンテック クラウド型WAF 導入費用 安価 – 複数台の冗長構成環境で、すぐに使用可能 な状態をご用意。 – 初期費用:98,000円~ (税抜) 年額費用:339,720円~(税抜) 2種類 – ホワイトリストとブラックリストの両方を使 用することができ、高いセキュリティ要求に も対応可能。 防衛モデル 1種類 – ブラックリストを使ったシグネチャーモデル のみを採用し、サイトの構成変更にも柔軟に 対応可能。 非常に手間がかかる – サイトにあわせて細かいパラメータ設定が必 要で、導入まで半年ほどかかる場合も。 – 運用開始後もアプリケーションを変更するた びに、WAF設定を変更する必要がある。 導入・運用の 手間 とても手軽 – お客様側作業はDNSの切り替えだけとなる 為、即座に導入が可能。 必要 – 導入時・運用時とも、お客様サイトのシステ ム構成とWAFを理解したセキュリティの専門 技術者が必要。 セキュリティ 技術者 不要 – 運用は全てクラウド側で実施するため、お客 様側ではWAF用のセキュリティ技術者は不要。 – 従来同様のサーバ運営でOK。 従来型WAFは、理想的な脆弱性対策の一つとしての機能は果たすが、 効果に比べ、コスト、運用負荷などが割高になっている 54
  55. 55. シマンテック 総合ウェブサイトセキュリティソリューション サーバの正規・実在性証明、暗号化 : なりすまし / 盗聴 / 改ざん防止 ⇒ 利用者の安心感 EV SSL証明書 SSLサーバ証明書 常時SSL サイト全体 エンドユーザー ユーザID ログイン パスワード OK 不正アクセス 実在性証明 暗号化 脆弱性アセスメント 【検知】マルウェアスキャン【検知】 今、自社ウェブサイト にマルウェアが仕掛けら れていないことが確認 できる。 Pass マルウェア診断 今、自社ウェブサイトに脆弱性 が無いことが確認できる。 Pass 脆弱性診断(簡易) 運営団体名の表示 緑のアドレスバー シマンテック クラウド型WAF 脆弱性対策 【防御対策】 シグネチャ クラウド 脆弱性等の問題が見つかった 自社のウェブサイトを、その攻 撃から守る 改ざん防止 脆弱性対策 セキュリティ診断 【検知】 ツール診断手動診断 より詳細に、自社ウェブサイト に脆弱性が無いことを診断で きる。 攻撃者 55
  56. 56. Cloudnとの親和性 56 クラウド型WAFをはじめ、シマンテック・ウェブサイトセキュリティで ご提供しますセキュリティソリューションは、Cloudn環境上で 安心してご利用いただけます。
  57. 57. シマンテック クラウド型WAF 利用事例6
  58. 58. クラウド型WAFの実績 58 1400サイト超の豊富な実績(2016年2月現在)があります ので、安心してご利用いただけます。 導入サイト数の推移(2011年6月~2015年10月) 出典:セキュアスカイテクノロジー社
  59. 59. クラウド型WAFの実績 59 業種・規模を問わない導入実績 近年特に、公的機関、製造業、教育機関等での導入が 増加傾向。 出典:セキュアスカイテクノロジー社
  60. 60. Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 60 詳しくは、シマンテックのウェブサイトへ シマンテック WAF 検索 Click!

×