Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[技術編] Webサイトへの不正アクセスに対する理想的な対策、現実的な対策(株式会社セキュアスカイ・テクノロジー社 ご講演資料)

872 views

Published on

2016年2月29日に開催しました、【セキュリティ×クラウド】タイアップセミナーの内容です。
株式会社セキュアスカイ・テクノロジー社 大木氏による不正アクセスに対する実践的なウェブサイトセキュリティのノウハウや関連する技術TIPSをご紹介した内容になっております。

Published in: Technology
  • Be the first to comment

[技術編] Webサイトへの不正アクセスに対する理想的な対策、現実的な対策(株式会社セキュアスカイ・テクノロジー社 ご講演資料)

  1. 1. Webサイトへの不正アクセスに対する 理想的な対策、現実的な対策 株式会社セキュアスカイ・テクノロジー 大木 元
  2. 2. アジェンダ セキュアスカイ・テクノロジーについて 理想的な対策について 現実的な対策について デモ 最後に
  3. 3. セキュアスカイ・テクノロジー について
  4. 4. 提供しているサービス内容 Webアプリケーションのセキュリティに特化した専門集団です。 脆弱性に対し、3つの切り口からお客様のビジネスをサポートして おります。 脆弱性を作らない 脆弱性を調べる 脆弱性を無害化する セキュアプログラミング教育 開発ガイドライン策定支援 サービス 内容 Webアプリケーション診断 プラットフォーム診断 クラウド型WAF「Scutum」 年間約30社に対し、サービスを 提供しております。導入実績 年間500サイト以上の診断を 実施しております。 1400サイト以上のWebサイトで 利用されております。
  5. 5. 実績について SSTが提供するクラウド型WAFサービス「Scutum(スキュータム)」および脆弱性診断サービスは 「イード・センタープライズセキュリティアワード2015」において最優秀賞を受賞いたしました。 SSTが提供するクラウド型WAFサービス「Scutum(スキュータム)」は、 国内のSaaS型WAF市場におけるシェア1位を 2010年度より2013年度まで4年連続して獲得しています。 ・株式会社アイ・ティ・アール刊 『ITR Market View:ゲートウェイ・セキュリティ市場2014』 ・ミック経済研究所刊 『情報セキュリティマネージド型・SaaS型サービス市場の現状と展望 2012』 【Webアプリケーション ファイアウォールの部】 ・導入満足度 ・トラブル対応満足度 ・サポート満足度 ・今後も利用し続けたい1位 ・誰かにすすめたい1位 クラウド型WAFサービス 「Scutum」 【脆弱性診断サービス (対象:Webアプリケーション)の部】 ・導入満足度 ・運用管理満足度 ・対費用効果満足度 ・総合満足度 ・今後も利用し続けたい1位 ・誰かにすすめたい1位 Webアプリケーション診断 【脆弱性診断サービス (対象:サーバ、ネットワーク)の部】 ・導入満足度 ・運用管理満足度 ・対費用効果満足度 ・品質精度満足度 ・サポート満足度 ・総合満足度 ・今後も利用し続けたい1位 ・誰かにすすめたい1位 プラットフォーム診断
  6. 6. 本日のお話の前提 Webサイトのセキュリティのお話ですが、あくまでWebサイトを インターネットからの不正アクセスに対し、どう対応するかとい う観点になります。 ※Webサイトの管理者PCのウィルス感染や内部犯行などは含んで おりません。
  7. 7. 理想的な対策について
  8. 8. 不正アクセスに対する対策 切り口としては、大きく3つある。  脆弱性を作らない  脆弱性を見つける  脆弱性を無害化する
  9. 9. フェーズに合わせた対応 それぞれの対策を行うタイミング 要件定義 設計 実装 テスト 運用フェーズ 脆弱性を 作らない 脆弱性を 見つける 脆弱性を 無害化する どんな対策 があるか セキュリティを考慮した設計 ・設計段階からセキュリティの 専門家を入れる ・会社としてルールを定める セキュア コーディング ・開発者向け 教育 ・開発ガイド ライン 脆弱性診断 ・Webアプリ ケーション ・プラット フォーム 防御装置 ・F/W ・IPS/IDS ・WAF
  10. 10. 「脆弱性を作らない」について セキュリティの5原則  必要最小限の情報・機能にアクセスを許可する  最小限の情報のみ保有する  個人情報・機密データは暗号化/暗号化通信を行う  安全な方に倒す  標準的な技術を使用する
  11. 11. 「脆弱性を見つける」について どのような脆弱性診断があるか Webアプリ ケーション 診断 ・実際にWebサイトの動きを 確認し、擬似攻撃により脆弱 性がないかを確認 リリース時だけでなく、 追加開発毎に実施する 必要がある 診断内容 実施タイミング プラット フォーム 診断 ・設定に不備がないかを確認 ・脆弱性のあるソフトウェア を利用していないかを確認 リリース時だけでなく、 定期的に実施する必要 がある
  12. 12. 「脆弱性を無害化する」について どのような防御機能があるか F/W ・アクセスできるポートを限定する 防御内容 IDS/IPS ・サーバやネットワークへの攻撃を 検知・防御する WAF ・Webアプリケーションへの攻撃を 検知・防御する
  13. 13. 「脆弱性を見つける/無害化する」の カバー範囲 全範囲をカバーするソリューションはない Webアプリケーション (サイト毎に開発された部分) ソフトウェア/OS (利用されるソフトウェア) インフラ/ネットワーク (インターネット、サーバ) 守る部分 脆弱性を無害化する F/W IPS / IDS WAF 脆弱性を見つける プラット フォーム診断 / ネットワーク 診断 Webアプリ ケーション 診断
  14. 14. 対策の課題 全てをしっかりできている企業は少ない 脆弱性を 作らない ・要件定義・設計では、セキュリティより優先される事項が多い ・外注などもある中、開発者のスキルレベルを保つことが難しい 課題 脆弱性を 見つける ・期間もコストもかかり、完全に実施することは難しい 脆弱性を 無害化する ・これだけで完全に防御できるものでもない
  15. 15. 現実的な対策について
  16. 16. こんな声が出ているのでは? 専門的知識をもった 社員がいない セキュリティ対策など考える 予算も余裕もない ルールを強いる役目は 嫌われるから誰もやり たがらない これまでに一度も事故 など起こしてないから 大丈夫だと思ってる 自社にあった、セキュリティ 対策レベルが不明
  17. 17. 現実的な対策は? こんな課題が多い  セキュリティにコストをさけない  専門のセキュリティ担当者が不在  セキュリティ担当者がいても、専門知識を維持 できない セキュリティをアウトソースする
  18. 18. アウトソースできるのは? 要件定義~テストまで、サイト作成までのセキュリティを 完全にアウトソースすることは難しい 要件定義 設計 実装 テスト 運用フェーズ 脆弱性を 作らない 脆弱性を 見つける 脆弱性を 無害化する アウトソースできるのは、この部分 WAFによる対策が注目されてきている
  19. 19. IPS、WAFの選択 Webサイトであれば、WAFが効果的であると考えられる Webアプリケーション (サイト毎に開発された部分) ソフトウェア/OS (利用されるソフトウェア) インフラ/ネットワーク (インターネット、サーバ) 守る部分 脆弱性を無害化する ここの範囲は? F/W WAF Webサイトであれば、 F/Wにより、 httpと、httpsだけに 絞る ことにより、この範囲 は埋まる
  20. 20. クラウド型WAF(Scutum)で どこまで守れるか?
  21. 21. WAFでどこまで守れるか WAFで防げる攻撃内容 ※100%の防御を保証するものではありません。 ※防御可能と記載している中でも、誤検知などを考慮し防御性能に差はあります。 攻撃区分 代表的攻撃名称 想定されるリスク Scutumでの防御 ・なりすまし ・権限越え パラメータでやり取りされるUserIDの値を変 更すると、AさんがBさんの情報を入手できて しまうなど 防御できない ・不正ログイン  ・総当り攻撃  ・パスワードリスト攻撃 攻撃者が利用者のアカウントでログインし、 サイト内のポイントなどを使用されるなど 防御可能 クライアント側での攻撃 ・クロスサイトスクリプティング ユーザ側の操作により、そのユーザの情報が漏え いしてしまうなど 例)メールで送られたURLにアクセスしたら、悪意の あるサイトに飛ばされ、セッションIDを漏えいしてし まった 防御可能 コマンドの実行 ・SQLインジェクション ・OSコマンドインジェクション 攻撃者にWebサイトにて悪意のあるコマンド を実行され、DBのデータを漏えいしてしまう など 防御可能 情報公開 ・ディレクトリトラバーサル ・リソース位置の推測 Webサーバの情報などを想定外に漏えいして しまうなど 防御可能 認証・承認
  22. 22. クラウド型WAFでどこまで守れるか 攻撃者の気持ちで考える 攻撃区分 代表的攻撃名称 Scutumでの防御 ・なりすまし ・権限越え 防御できない ・不正ログイン  ・総当り攻撃  ・パスワードリスト攻撃 防御可能 クライアント側での攻撃 ・クロスサイトスクリプティング 防御可能 コマンドの実行 ・SQLインジェクション ・OSコマンドインジェクション 防御可能 情報公開 ・ディレクトリトラバーサル ・リソース位置の推測 防御可能 認証・承認 サイトの内容を 知らなくても 攻撃できる (脆弱性の有無は 確認しやすい) サイトの内容を 知らないと 攻撃できない
  23. 23. 攻撃の傾向 金銭目的などの場合、脆弱性があるサイトに攻撃を行う 傾向がある。  脆弱性のあるサイトを探して攻撃  新たに確認されたOS/ミドルウェアなどの 脆弱性に対する攻撃
  24. 24. 脆弱性のあるサイトを探して攻撃 脆弱性があるサイトは簡単に見つけられる サイト1 サイト2 サイト3 Warning: mysql_fetch_row() 1. 検索エンジンで PHPエラーメッ セージを検索 2. PHPエラーメッセー ジを持つページの検 索結果を表示 3. 脆弱なサイトに狙いをつけてSQL インジェクション攻撃などを行う
  25. 25. WAFの効果 2つの効果がある サイト1 サイト2 サイト3 Warning: mysql_fetch_row() 1. 検索エンジンで PHPエラーメッ セージを検索 2. PHPエラーメッセー ジを持つページの検 索結果を表示 3. 脆弱なサイトに狙いをつけてSQL インジェクション攻撃などを行う エラーを抑制 攻撃を防御
  26. 26. 新たに確認された脆弱性に対する攻撃 2014年bashの脆弱性が確認された後の攻撃件数 2014年9月25日 JPCERT/CCで注意喚起 脆弱性が確認されてから攻撃までの間隔が短い
  27. 27. WAFの効果 攻撃コードが出回っているケースなどは、迅速に対応 攻撃者が攻撃コードを作成、もしくは入手する 検索エンジンやIPレンジなどから、ランダムに攻撃し脆弱性が あるサイトを探す 脆弱性があるサイトに対し、より深い攻撃を行う この段階で防御
  28. 28. OS/ミドルウェアなどの脆弱性に対するクラウド型WAF(Scutum) の対応実績 WAFの効果
  29. 29. 攻撃の傾向 金銭目的などの場合、脆弱性があるサイトに攻撃を行う 傾向がある。  脆弱性のあるサイトを探す  新たに確認されたOS/ミドルウェアなどの 脆弱性に対する攻撃 WAFで防御可能! これだけで、大幅にリスクを軽減できる
  30. 30. WAFの運用 アウトソースするには、WAFの運用を任せる必要がある <必要な運用> ・導入時の調整 ・シグネチャ更新 ・WAF自体のアップデート ・検出状況の確認 ・誤検知への対処 ・WAF自体のアップデート ・障害対応・保守 ・サポート体制の確保 クラウド型WAF(Scutum)では 全てサービスに含まれています POINT 自社で運用する場合、 セキュリティ専門のノウハウ をもった技術者・体制が必要 アウトソースする場合 事業者毎にサービス内容が 異なるので正しく確認する 必要がある
  31. 31. デモ
  32. 32. 最後に
  33. 33. リスク対応を戦略に セキュリティはトレードオフの関係  コスト  セキュリティ向上のためのコスト増加は簡単に許容されない こともある  利便性  セキュリティ向上のために利便性を犠牲にすると利用者が不便 に感じることがある コストや利便性を適切なレベルとすることも重要
  34. 34. セキュリティ対策の考え方 一定以上の対策を行うとコストが大きくなりやすい このポイントを見つけることが コスト抑制と効果の最大ポイント このエリアのリスクについては許容する
  35. 35. ご清聴ありがとうございました

×