SlideShare a Scribd company logo

かんたん!わかりやすいWafのおはなし

Download as PPTX, PDF
H
haruna tanaka

2016-12-10(土)14:00 - 17:00 【WordBench Nagoya 12月度】WordPressセキュリティのおはなし NHN テコラス 平賀よりサーバインフラ屋の経験談かえあ WAFをわかりやすくご紹介いたしました。

Technology
1 of 66
Copyright © NHN Techorus Corp. NHNテコラス株式会社 SMEサービス事業部 平賀 真琴 かんたん! わかりやすいWAFのおはなし ~ EX-CLOUD WordPressホスティングへのWAF採用裏話~
Page 2 自己紹介
Page 3 自己紹介 平賀 真琴 (ひらが まこと) • 所属:NHNテコラス株式会社 • 担当:「エクスクラウド(EX-CLOUD)」 販促・マーケ担当 • 趣味:車、キャンプ、DIY • 前職:Iaas営業、自動車部品メーカー、 人材営業 • その他:埼玉県出身、東京町田市在住、 3人家族
Page 4 本日のもくじ 1. サイバー攻撃事件簿 2. どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングの紹介
Page 5 本日のもくじ 1.サイバー攻撃事件簿 2. どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングのご紹介
Page 6 1.サイバー攻撃事件簿 サイバー攻撃とは? (参照)http://e-words.jp/w/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E6%94%BB%E6%92%83.html
Page 7 1.サイバー攻撃事件簿 代表的なサイバー攻撃事件の紹介 1. KADOKAWA Webサイト改ざん事件 2. ケータイキット for Movable Type事件 3. ホスティング屋が経験した事件
Page 8 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 【概要】 2014年1月7日、角川書店などのグループ企業を統括する KADOKAWAホールディングスのWebサイトが改ざんされ、 このサイトを閲覧したパソコンがウイルスに感染するおそれ があった。
Page 9 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 【時系列】 2014年01月07日 00時49分 犯人がKADOKAWAのWebサーバーに侵入し、 トップページを改ざん 2014年01月08日 11時ごろ 外部から「Webサイトが改ざんされているの ではないか?」との指摘 2014年01月08日 11時30分 委託しているサーバー管理会社が調査ス タート、改ざんを確認 2014年01月08日 13時07分 改ざんを修正 2014年01月08日 16時42分 セキュリティー対策を完了 (続く)
Page 10 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 2014年01月15日 シマンテックがブログで「日本の大手出版 社のWebサイトが悪用ツールキットに利用される」という記事を発表。 2014年01月16日 21時ごろ NHKテレビが「角川のWebサイトが改ざ ん」と報道 2014年01月16日 23時ごろ KADOKAWAがお詫びの文書を発表
Page 11 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 【攻撃の全容】 「Gongda」 SERVER Iframe injectionで 改ざんされたサイト ②ユーザが認識しないまま GongdaSERVERに接続 ③ マルウェアを ダウンロード ・2カ所のネットバンキング ・3カ所のECサイト ・14カ所クレカサイト 他 感 染①サイト 閲覧 ④ サイト 閲覧被害者 ⑤ID・PW カード情報 ・asd2qw.229.idcpcpc.com ・IPアドレス:108.171.252.229
Page 12 1.サイバー攻撃事件簿 1-1.KADOKAWA Webサイト改ざん事件 感染すると、閲覧者が以下のサイトを閲覧する際、データを盗み取ります。 ・2カ所のオンラインバンキングサイト ・3カ所のオンラインショッピングサイト ・3カ所のWebメールサイト ・3カ所のゲーム/動画Webサイト ・14カ所クレジットカードサイト
Page 13 2.Webセキュリティ事故の実例▼KADOKAWA Webサイト改ざん事件 ハッカー集団による攻撃 ◼ ハクティビズム 攻撃しやすいサイトを探し、自動攻撃ツールに よって片っ端から攻撃 ◼ 金銭目的・情報略取 技術力の誇示や企業意思を含む手動攻撃 ◼ 愉快犯・業務妨害 ◼攻撃者の目的とは?
Page 14 1.サイバー攻撃事件簿 1-2.ケータイキット for Movable Type 【概要】 2016年4月、ケータイキット for Movable Typeの画 像処理機能にOSコマンドインジェクションの脆弱性が 悪用された。 株式会社J-WAVEは4月22日、同社のホームページに 不正アクセスがあり、保有する個人情報のうち約64万 件が流出した恐れがあると発表した。
Page 15 1.サイバー攻撃事件簿 1-2.ケータイキット for Movable Type 【時系列】  前後の情報漏えい事件 ・4月20日 日本テレビ放送網株式会社 約43万件の個人情報が流出 ・4月21日 学習塾大手の栄光ゼミナール 2761人分の個人情報 ・4月22日 J-WAVE 個人情報約64万件が流出 ・4月25日 エイベックス・グループ・ホールディングス、個人情報約35万 件が流出
Page 16 1.サイバー攻撃事件簿 1-2.ケータイキット for Movable Type 【時系列】  プラグイン開発元の対応 ・4月22日 緊急パッチファイル提供開始 ・4月23日 修正バージョン提供開始 ・4月25日 ケータイキット for Movable Typeの脆弱性をチェックする 「KeitaiKit セキュリティチェック」プラグインを公開 ケータイキットの脆弱性対策 特設ページを開設 ・4月28日 設置された不正ファイルを、詳細に発見・検査するツールを 提供
Page 17 1.サイバー攻撃事件簿 1-2.ケータイキット for Movable Type  Webサイトへの攻撃は脆弱性発見直後に集中。  脆弱性のトレンドを追って精力的に新規開拓。 ※グラフはOpenSSLの脆 弱性を悪用する国内の攻撃 の検知数および送信元IPア ドレス数の推移 (Tokyo SOC調べ:2014年4月11日~2014年7月31日)
Page 18 1.サイバー攻撃事件簿 攻撃しやすいサイトとは Googleの検索結果で判別。 PHPのエラーメッセージで google検索 脆弱性なし 脆弱性あり 脆弱性あり 脆弱性のあるサイトを 狙いSQLインジェク ション攻撃などを行う。
Page 19 1.サイバー攻撃事件簿 攻撃ツールについて Google検索により容易にペネトレーションツールが入手できる。
Page 20 1.サイバー攻撃事件簿 サイバーキルチェーンについて Cyber Kill Chain (サイバー・キル・チェーン) 攻撃者の行動を分解した考え方を「Cyber Kill Chain」と呼びます。いずれかの階層で脅威を断 ち切るという多層防御の考え方を理解、設計するのに役立ちます。 偵察 武器 化 デリ バリー 攻撃 インス トール 遠隔 操作 感染 拡大 目的 実行
Page 21 1.サイバー攻撃事件簿 1-3.ホスティング屋さんが経験した事件 • 大手ソーシャルゲームで発生したDDos攻撃 • エクスクラウドお試しプラン申し込みフォーム へのSQLインジェクション →どちらも中国からの 不正アクセスだった
Page 22 1.サイバー攻撃事件簿 損害や被害はどの程度か? • 2015年情報漏えいデータ(JNSA) • 更にフォレンジック(調査)費用や 対策費用、 ブランドイメージの失墜・風評被害が発生 漏えい人数 496万0063人 インシデント件数 799件 想定損害賠償総額 2541億3663万円 一件あたりの漏えい人数 6578人 一件あたり平均想定損害賠償額 3億3705万円 一人あたり平均想定損害賠償額 2万8020円 (参照)JNSA資料 http://www.jnsa.org/result/incident/
Page 23 1.サイバー攻撃事件簿 まとめ • サイバー攻撃は目的を持って行われる。 • 大企業を狙うより攻撃しやすい企業を狙う。 • サイバーキルチェーンさえ断ち切れば勝ち。 • サイバー攻撃はスピード勝負、人力、自力で対 処するのはそれなりの体制が必要。
Page 24 1.サイバー攻撃事件簿(付録) 自分のサイトが攻撃されていないかを確認する方法 • IPAが提供するiLogScanner(無料)で可能
Page 25 本日のもくじ 1. サイバー攻撃事件簿 2.どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングのご紹介
Page 26 2.どうして事前に対策しないの?  経済産業省の推奨する体制 大企業及び中小企業 はCSIRT(サイバー攻撃による情報漏えいや障害など、コン ピュータセキュリティにかかる インシデントに対処するための組織)の整備が必要。 「サイバーセキュリティ」では、セキュリティの事件や事故(インシデント)に企業 内で対応する専門組織“CSIRT(Computer Security Incident Response Team)” を構築済み(構築中、類似機能の実施を含む)であると回答した企業が、前回調査の 19.0%から2.2倍の41.8%と大幅に伸びた。 (サイバーセキュリティ経営ガイドラインより抜粋 )
Page 27 脆弱性診断結果を元に、アプリケーションへの影響を調査し、改修要 件を 確定します。 セキュリティの専門知識を持ち、アプリケーションに精通している人材 が セキュリティを考慮した設計を行います。 WAFを導入しサイトを防御しつつ、定期的な脆弱性診断とシステム改 修で セキュリティレベルを保ちます。 Webサイトの脆弱性対策のあるべき姿 セキュアコーディングを十分に理解しているエンジニアがプログラムを実装。 外注の場合、十分なセキュリティスキルを備えているか判断することが困難な 場合があります。 運用 テスト 実装 要件定義 設計 システム単体で再度脆弱性診断を行い、脆弱性が改善されている事を確 認する。脆弱性が確認できた場合は、修正し再度診断を行います。 ※脆弱性診断は高額であり、割愛されてしまう場合もあります。 上流工程でセキュリティ対策がされているのが 好ましいが、実現できている例は少ない。 2.どうして事前に対策しないの?
Page 28 2.どうして事前に対策しないの?  2016年度はWordPressに関し60件の脆弱性が発生
Page 29 2.どうして事前に対策しないの? 課題 • コストが高く、経営層から決裁を得る必要があ る、クライアントの承諾を得る必要がある • 導入に際して労力や時間を確保する必要がある。 • セキュリティに対する知識や認識が必要 • 専門知識を持つ人材が必要 →対策しないというよりは「できない」のが実情
Page 30 本日のもくじ 1. サイバー攻撃事件簿 2. どうして事前に対策しないの? 3.そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングのご紹介
Page 31 3.そもそもどんな攻撃があるの? 代表的な4つの攻撃の手口 (参照)https://www.ipa.go.jp/files/000041364.pdf (引用)IPA資料より抜粋
Page 32 3.そもそもどんな攻撃があるの? A) 窃取したアカウント情報を悪用した不正ログイン
Page 33 3.そもそもどんな攻撃があるの? B) ソフトウェアの脆弱性を突く
Page 34 3.そもそもどんな攻撃があるの? C) ウェブアプリケーションの脆弱性を突く
Page 35 3.そもそもどんな攻撃があるの? D) 組織内のアクセス制御の不備を突く
Page 36 3.そもそもどんな攻撃があるの? 【不正アクセス】 • ブルートフォースアタック • Dos/DDoS攻撃 • SQLインジェクション • クロスサイト スクリプティング • ルートキット攻撃 • バッファオーバーフロー攻撃 • セッションハイジャック • OSインジェクション 【マルウェア】 • ウイルス • ワーム • トロイの木馬 • ランサムウェア • バックドア • ダウンローダー 【標的型】 【ゼロデイ攻撃】 【パスワードリスト攻撃】 (参照)https://cybersecurity-jp.com/cyber-security-guide/6-type-of-cyber-attack サイバー攻撃の例
Page 37 本日のもくじ 1. サイバー攻撃事件簿 2. どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4.対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングのご紹介
Page 38 3.どんな対策手段があるの? 一般的なセキュリティ対策の手段 • ウィルスチェック • Web改ざん検知 • 脆弱性診断 • WAF • ファイアウォール • IDS/IPS • SSL
Page 39 本日のもくじ 1. サイバー攻撃事件簿 2. 事前にできる?セキュリティ対策 3. そもそもどんな攻撃があるの? 4. 対策方法いろいろ 5.WAFって何?何ができるの? 【付録】WordPressホスティングの紹介
Page 40 4.WAFって何?何ができるの? WAFとは何のこと? • Web Application Firewallの略 です。 • ウェブサーバーへの通信を解析して、悪意のあ る攻撃からウェブアプリケーション (WordPressなど)を守る機能の事です。 • ハードウェア、ソフトウエア、クラウド型があ ります。
Page 41 4.WAFって何?何ができるの? WAFのしくみ • シグネチャと呼ばれる防御ファイルに基づいて 悪意のある攻撃を遮断します。 (参照)http://dev.classmethod.jp/security/getting-started-waf/ シグネ チャ
Page 42 4.WAFって何?何ができるの? ファイアウォール、IPS/IDSとの違い • それぞれ得意分野が異なる
Page 43 4.WAFって何?何ができるの? WAFで防げる攻撃の種類 • SQLインジェクション • OSコマンドインジェクション • LDAPインジェクション • URLエンコード攻撃 • パスワードリスト攻撃 • ブルートフォースアタック • 改行コードインジェクション • ディレクトリトラバーサル • Dos/DDoS攻撃※一部のWAFのみ • クロスサイトスクリプティング※一部検 知のみ • コマンドインジェクション • ファイルインクルード • OSやミドルウェアの脆弱性への攻撃 • その他
Page 44 4.WAFって何?何ができるの? カテゴリ 内容 アプライアンス・ソフトウエア型 クラウド型 ハードウェア (帯域) スケールアウト・ダウ ン 機器の買い替えが必要 契約変更により対応可能 障害対応 機器交換時の立会調整及び、その 間のネットワーク構成について考 慮が必要 エンドユーザが意識をせず、対応を実施 チューニング シグネチャやウェブの チューニング 必要 不要(クラウドWAF側で実施) WAFエンジン アップデート リモートでの自動更新。エンド ユーザが意識をせず、対応を実施 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施 障害対応 通常はリモート運用。障害の内容 により、現地作業が必要となった 場合、立会調整及びその間のネッ トワーク構成について考慮が必要 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施。 防御 シグネチャアップデー ト リモートでの自動更新。エンド ユーザが意識をせず、対応を実施 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施。 タイプ ホワイトリストとブラックリスト の2種類 ブラックリストのみ 費用 導入および運用コスト 機器購入、設計など高価 安価、冗長構成もとられている WAFのタイプは2種類に大別
Page 45 4.WAFって何?何ができるの? カテゴリ 内容 アプライアンス・ソフトウエア型 クラウド型 ハードウェア (帯域) スケールアウト・ダウ ン 機器の買い替えが必要 契約変更により対応可能 障害対応 機器交換時の立会調整及び、その 間のネットワーク構成について考 慮が必要 エンドユーザが意識をせず、対応を実施 チューニング シグネチャやウェブの チューニング 必要 不要(クラウドWAF側で実施) WAFエンジン アップデート リモートでの自動更新。エンド ユーザが意識をせず、対応を実施 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施 障害対応 通常はリモート運用。障害の内容 により、現地作業が必要となった 場合、立会調整及びその間のネッ トワーク構成について考慮が必要 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施。 防御 シグネチャアップデー ト リモートでの自動更新。エンド ユーザが意識をせず、対応を実施 WAFセンターによる更新。エンドユーザが意 識をせず、対応を実施。 タイプ ホワイトリストとブラックリスト の2種類 ブラックリストのみ 費用 導入および運用コスト 機器購入、設計など高価 安価、冗長構成もとられている WAFのタイプは2種類に大別
Page 46 4.WAFって何?何ができるの? クラウド型WAFのメリット • 自社システムに手を加えること なく導入が可能 • 短期間で導入が可能 • 運用コストが低い • 将来発生するリスクに対応が可能 • コストパフォーマンスが良い クラウド型WAF WEBサーバ
Page 47 4.WAFって何?何ができるの? クラウド型WAF導入のポイント • ウェブサイトの回線利用帯域の把握 • SSL証明書の用意とWAFへのインストール作業 • DNSの設定変更
Page 48 4.WAFって何?何ができるの? まとめ • 単体でWAFの導入を検討するなら、比較的安価 で導入・運用が楽な「クラウド型WAF」がオス スメです!
Page 49 本日のもくじ 1. サイバー攻撃事件簿 2. どうして事前に対策しないの? 3. そもそもどんな攻撃があるの? 4. 対策方法の紹介 5. WAFって何?何ができるの? 【付録】WordPressホスティングの紹介
Page 50 今後、クライアントにWordPressとWAFの提案をす るシーンがあるかもしれません。そんなときは… WAF標準搭載、エクスクラウドの WordPressホスティング をご活用ください
<EXC-PN-2.0.0-1510>NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. サービス説明資料
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -52- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト エクスクラウドとは
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -53- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト エクスクラウドの特長
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -54- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト WordPressプランの特長
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -55- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト WordPressプランの特長
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -56- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト WordPressプランの特長【セキュリティ】
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -57- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 国内外クウドサービスの 1/3のコスト WordPressプランの特長【超高速】
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -58- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 WordPressプランの特長【拡張性】と【サポート】
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -59- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 WordPressプランの特長
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -60- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 WordPressプランのおすすめユーザー
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -61- 最大13段階のサービス 無停止スケールアップ セキュアプライベート LAN接続を標準提供 WordPressプランの価格
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -62- 最大13段階のサービス 無停止スケールアップ WordPressプランの仕様
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -63- 最大13段階のサービス 無停止スケールアップ WordPressプランの仕様
NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. -64- パ ー ト ナ ー 登 録 頂 き ま す と 、 N H N テ コ ラ ス が 運 営 、 参 加 す る 勉 強 会 に 優 先 的 に ご 案 内 し ま す 。 C M S 勉 強 会 、 セ キ ュ リ テ ィ 勉 強 会 等 、 パ ー ト ナ ー 様 同 士 の 交 流 会 や 情 報 交 換 の 機 会 を ご 提 供 し て い ま す 。 E X - C L O U D 各 プ ラ ン や S S L ク ー ポ ン も 最 大 1 7 % O F F の パ ー ト ナ ー 価 格 で ご 利 用 で き ま す 。 実際のイベント風景 テコラスパートナー登録について Sell Through the Community
Page 65 質疑応答
Page 66 ご清聴ありがとうございました。

Recommended

WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016yoshinori matsumoto
 
Word press セキュリティ show!!
Word press セキュリティ show!!Word press セキュリティ show!!
Word press セキュリティ show!!yoshinori matsumoto
 
0709wordbench新潟
0709wordbench新潟0709wordbench新潟
0709wordbench新潟真琴 平賀
 
0325できる?どうやる!word pressのセキュリティ運用
0325できる?どうやる!word pressのセキュリティ運用0325できる?どうやる!word pressのセキュリティ運用
0325できる?どうやる!word pressのセキュリティ運用真琴 平賀
 
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る株式会社スカイアーチネットワークス
 
Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威真琴 平賀
 
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225株式会社スカイアーチネットワークス
 
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAKCLARA ONLINE, Inc.
 

Recommended

WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016yoshinori matsumoto
 
Word press セキュリティ show!!
Word press セキュリティ show!!Word press セキュリティ show!!
Word press セキュリティ show!!yoshinori matsumoto
 
0709wordbench新潟
0709wordbench新潟0709wordbench新潟
0709wordbench新潟真琴 平賀
 
0325できる?どうやる!word pressのセキュリティ運用
0325できる?どうやる!word pressのセキュリティ運用0325できる?どうやる!word pressのセキュリティ運用
0325できる?どうやる!word pressのセキュリティ運用真琴 平賀
 
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る株式会社スカイアーチネットワークス
 
Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威Mt福岡0624 cmsの脆弱性と改ざんの脅威
Mt福岡0624 cmsの脆弱性と改ざんの脅威真琴 平賀
 
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225株式会社スカイアーチネットワークス
 
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAKCLARA ONLINE, Inc.
 
常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜 #wctokyo
常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜 #wctokyo常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜 #wctokyo
常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜 #wctokyoMasayuki Maekawa
 
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップWordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップTakeaki Inoue
 
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTipsすぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTipsyoshinori matsumoto
 
スカイアーチセミナー:[スカイアーチNTTCom共催セミナー]事例で学ぶ賢いクラウド活用法 ~コンテンツ配信編~(事例セッション):150522
スカイアーチセミナー:[スカイアーチNTTCom共催セミナー]事例で学ぶ賢いクラウド活用法 ~コンテンツ配信編~(事例セッション):150522スカイアーチセミナー:[スカイアーチNTTCom共催セミナー]事例で学ぶ賢いクラウド活用法 ~コンテンツ配信編~(事例セッション):150522
スカイアーチセミナー:[スカイアーチNTTCom共催セミナー]事例で学ぶ賢いクラウド活用法 ~コンテンツ配信編~(事例セッション):150522株式会社スカイアーチネットワークス
 
セキュリティの夕べ20161124 公開用
セキュリティの夕べ20161124 公開用セキュリティの夕べ20161124 公開用
セキュリティの夕べ20161124 公開用Masanori Fujisaki
 
20200331secuasambapro
20200331secuasambapro20200331secuasambapro
20200331secuasambaprossuseraba4ca
 
Webアクセシビリティ 海外の最新動向 2018
Webアクセシビリティ 海外の最新動向 2018Webアクセシビリティ 海外の最新動向 2018
Webアクセシビリティ 海外の最新動向 2018Makoto Ueki
 
「安全なウェブサイトの作り方」を読もう
「安全なウェブサイトの作り方」を読もう「安全なウェブサイトの作り方」を読もう
「安全なウェブサイトの作り方」を読もうAtsushi Matsuo
 
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshareShinichiro Kawano
 
JAWS DAYS 2016 The Next Cloud
JAWS DAYS 2016 The Next CloudJAWS DAYS 2016 The Next Cloud
JAWS DAYS 2016 The Next Cloud晋也 古渡
 
脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -Isao Takaesu
 
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証するHiroshi Tokumaru
 
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成Isao Takaesu
 
[CB16] 機械学習でWebアプリケーションの脆弱性を見つける方法 by 高江須 勲
[CB16] 機械学習でWebアプリケーションの脆弱性を見つける方法 by 高江須 勲[CB16] 機械学習でWebアプリケーションの脆弱性を見つける方法 by 高江須 勲
[CB16] 機械学習でWebアプリケーションの脆弱性を見つける方法 by 高江須 勲CODE BLUE
 
WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?Toyohiko Asai
 
Understanding Underscores 〜「_s」テーマってなんだろう〜
Understanding Underscores 〜「_s」テーマってなんだろう〜Understanding Underscores 〜「_s」テーマってなんだろう〜
Understanding Underscores 〜「_s」テーマってなんだろう〜Naoko Takano
 
ノンプログラマーのためのカンタンWordPressテーマ作成入門 ∼子テーマで WordPress のテーマをつくろう∼
ノンプログラマーのためのカンタンWordPressテーマ作成入門 ∼子テーマで WordPress のテーマをつくろう∼ノンプログラマーのためのカンタンWordPressテーマ作成入門 ∼子テーマで WordPress のテーマをつくろう∼
ノンプログラマーのためのカンタンWordPressテーマ作成入門 ∼子テーマで WordPress のテーマをつくろう∼Mignon Style
 
WordBench京都 9月号:kintone×WordPressハンズオン
WordBench京都 9月号:kintone×WordPressハンズオンWordBench京都 9月号:kintone×WordPressハンズオン
WordBench京都 9月号:kintone×WordPressハンズオンTakashi Hosoya
 
メニューは管理画面で設定できるようにしよう
メニューは管理画面で設定できるようにしようメニューは管理画面で設定できるようにしよう
メニューは管理画面で設定できるようにしようMayuko Moriyama
 
テーマに機能を含めちゃダメなんて誰が決めた! テーマをモリモリにカスタマイズする
テーマに機能を含めちゃダメなんて誰が決めた! テーマをモリモリにカスタマイズする テーマに機能を含めちゃダメなんて誰が決めた! テーマをモリモリにカスタマイズする
テーマに機能を含めちゃダメなんて誰が決めた! テーマをモリモリにカスタマイズする文樹 高橋
 
実録 WordPress Twenty Sixteen のカスタマイズ | WordBench東京 2月勉強会 「みんなのテーマ開発」〜自分の好きな作り方...
実録 WordPress Twenty Sixteen のカスタマイズ | WordBench東京 2月勉強会 「みんなのテーマ開発」〜自分の好きな作り方...実録 WordPress Twenty Sixteen のカスタマイズ | WordBench東京 2月勉強会 「みんなのテーマ開発」〜自分の好きな作り方...
実録 WordPress Twenty Sixteen のカスタマイズ | WordBench東京 2月勉強会 「みんなのテーマ開発」〜自分の好きな作り方...Akira Tachibana
 
WordBench京都9月号
WordBench京都9月号WordBench京都9月号
WordBench京都9月号Koji Asaga
 

More Related Content

What's hot

常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜 #wctokyo
常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜 #wctokyo常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜 #wctokyo
常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜 #wctokyoMasayuki Maekawa
 
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップWordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップTakeaki Inoue
 
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTipsすぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTipsyoshinori matsumoto
 
スカイアーチセミナー:[スカイアーチNTTCom共催セミナー]事例で学ぶ賢いクラウド活用法 ~コンテンツ配信編~(事例セッション):150522
スカイアーチセミナー:[スカイアーチNTTCom共催セミナー]事例で学ぶ賢いクラウド活用法 ~コンテンツ配信編~(事例セッション):150522スカイアーチセミナー:[スカイアーチNTTCom共催セミナー]事例で学ぶ賢いクラウド活用法 ~コンテンツ配信編~(事例セッション):150522
スカイアーチセミナー:[スカイアーチNTTCom共催セミナー]事例で学ぶ賢いクラウド活用法 ~コンテンツ配信編~(事例セッション):150522株式会社スカイアーチネットワークス
 
セキュリティの夕べ20161124 公開用
セキュリティの夕べ20161124 公開用セキュリティの夕べ20161124 公開用
セキュリティの夕べ20161124 公開用Masanori Fujisaki
 
20200331secuasambapro
20200331secuasambapro20200331secuasambapro
20200331secuasambaprossuseraba4ca
 
Webアクセシビリティ 海外の最新動向 2018
Webアクセシビリティ 海外の最新動向 2018Webアクセシビリティ 海外の最新動向 2018
Webアクセシビリティ 海外の最新動向 2018Makoto Ueki
 
「安全なウェブサイトの作り方」を読もう
「安全なウェブサイトの作り方」を読もう「安全なウェブサイトの作り方」を読もう
「安全なウェブサイトの作り方」を読もうAtsushi Matsuo
 
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshareShinichiro Kawano
 
JAWS DAYS 2016 The Next Cloud
JAWS DAYS 2016 The Next CloudJAWS DAYS 2016 The Next Cloud
JAWS DAYS 2016 The Next Cloud晋也 古渡
 
脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -Isao Takaesu
 
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証するHiroshi Tokumaru
 
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成Isao Takaesu
 
[CB16] 機械学習でWebアプリケーションの脆弱性を見つける方法 by 高江須 勲
[CB16] 機械学習でWebアプリケーションの脆弱性を見つける方法 by 高江須 勲[CB16] 機械学習でWebアプリケーションの脆弱性を見つける方法 by 高江須 勲
[CB16] 機械学習でWebアプリケーションの脆弱性を見つける方法 by 高江須 勲CODE BLUE
 

What's hot (14)

常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜 #wctokyo
常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜 #wctokyo常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜 #wctokyo
常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜 #wctokyo
 
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップWordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
WordPress初心者のあなた! 後で痛い目を見ないために、 最低限のセキュリティとバックアップ
 
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTipsすぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
 
スカイアーチセミナー:[スカイアーチNTTCom共催セミナー]事例で学ぶ賢いクラウド活用法 ~コンテンツ配信編~(事例セッション):150522
スカイアーチセミナー:[スカイアーチNTTCom共催セミナー]事例で学ぶ賢いクラウド活用法 ~コンテンツ配信編~(事例セッション):150522スカイアーチセミナー:[スカイアーチNTTCom共催セミナー]事例で学ぶ賢いクラウド活用法 ~コンテンツ配信編~(事例セッション):150522
スカイアーチセミナー:[スカイアーチNTTCom共催セミナー]事例で学ぶ賢いクラウド活用法 ~コンテンツ配信編~(事例セッション):150522
 
セキュリティの夕べ20161124 公開用
セキュリティの夕べ20161124 公開用セキュリティの夕べ20161124 公開用
セキュリティの夕べ20161124 公開用
 
20200331secuasambapro
20200331secuasambapro20200331secuasambapro
20200331secuasambapro
 
Webアクセシビリティ 海外の最新動向 2018
Webアクセシビリティ 海外の最新動向 2018Webアクセシビリティ 海外の最新動向 2018
Webアクセシビリティ 海外の最新動向 2018
 
「安全なウェブサイトの作り方」を読もう
「安全なウェブサイトの作り方」を読もう「安全なウェブサイトの作り方」を読もう
「安全なウェブサイトの作り方」を読もう
 
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
 
JAWS DAYS 2016 The Next Cloud
JAWS DAYS 2016 The Next CloudJAWS DAYS 2016 The Next Cloud
JAWS DAYS 2016 The Next Cloud
 
脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -
 
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
 
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成
 
[CB16] 機械学習でWebアプリケーションの脆弱性を見つける方法 by 高江須 勲
[CB16] 機械学習でWebアプリケーションの脆弱性を見つける方法 by 高江須 勲[CB16] 機械学習でWebアプリケーションの脆弱性を見つける方法 by 高江須 勲
[CB16] 機械学習でWebアプリケーションの脆弱性を見つける方法 by 高江須 勲
 

Viewers also liked

WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?Toyohiko Asai
 
Understanding Underscores 〜「_s」テーマってなんだろう〜
Understanding Underscores 〜「_s」テーマってなんだろう〜Understanding Underscores 〜「_s」テーマってなんだろう〜
Understanding Underscores 〜「_s」テーマってなんだろう〜Naoko Takano
 
ノンプログラマーのためのカンタンWordPressテーマ作成入門 ∼子テーマで WordPress のテーマをつくろう∼
ノンプログラマーのためのカンタンWordPressテーマ作成入門 ∼子テーマで WordPress のテーマをつくろう∼ノンプログラマーのためのカンタンWordPressテーマ作成入門 ∼子テーマで WordPress のテーマをつくろう∼
ノンプログラマーのためのカンタンWordPressテーマ作成入門 ∼子テーマで WordPress のテーマをつくろう∼Mignon Style
 
WordBench京都 9月号:kintone×WordPressハンズオン
WordBench京都 9月号:kintone×WordPressハンズオンWordBench京都 9月号:kintone×WordPressハンズオン
WordBench京都 9月号:kintone×WordPressハンズオンTakashi Hosoya
 
メニューは管理画面で設定できるようにしよう
メニューは管理画面で設定できるようにしようメニューは管理画面で設定できるようにしよう
メニューは管理画面で設定できるようにしようMayuko Moriyama
 
テーマに機能を含めちゃダメなんて誰が決めた! テーマをモリモリにカスタマイズする
テーマに機能を含めちゃダメなんて誰が決めた! テーマをモリモリにカスタマイズする テーマに機能を含めちゃダメなんて誰が決めた! テーマをモリモリにカスタマイズする
テーマに機能を含めちゃダメなんて誰が決めた! テーマをモリモリにカスタマイズする文樹 高橋
 
実録 WordPress Twenty Sixteen のカスタマイズ | WordBench東京 2月勉強会 「みんなのテーマ開発」〜自分の好きな作り方...
実録 WordPress Twenty Sixteen のカスタマイズ | WordBench東京 2月勉強会 「みんなのテーマ開発」〜自分の好きな作り方...実録 WordPress Twenty Sixteen のカスタマイズ | WordBench東京 2月勉強会 「みんなのテーマ開発」〜自分の好きな作り方...
実録 WordPress Twenty Sixteen のカスタマイズ | WordBench東京 2月勉強会 「みんなのテーマ開発」〜自分の好きな作り方...Akira Tachibana
 
WordBench京都9月号
WordBench京都9月号WordBench京都9月号
WordBench京都9月号Koji Asaga
 
WordPressのコミュニティとイベントの運営ガイドラインについて
WordPressのコミュニティとイベントの運営ガイドラインについてWordPressのコミュニティとイベントの運営ガイドラインについて
WordPressのコミュニティとイベントの運営ガイドラインについてToyohiko Asai
 
WordPress名古屋コミュニティの進化[WordBench Nagoya 2017年3月勉強会]
WordPress名古屋コミュニティの進化[WordBench Nagoya 2017年3月勉強会]WordPress名古屋コミュニティの進化[WordBench Nagoya 2017年3月勉強会]
WordPress名古屋コミュニティの進化[WordBench Nagoya 2017年3月勉強会]takashi ono
 
非(エンジニア|プログラマ)でも知っておきたい正規表現【第5回 WordBench山口 セッション2】
非(エンジニア|プログラマ)でも知っておきたい正規表現【第5回 WordBench山口 セッション2】非(エンジニア|プログラマ)でも知っておきたい正規表現【第5回 WordBench山口 セッション2】
非(エンジニア|プログラマ)でも知っておきたい正規表現【第5回 WordBench山口 セッション2】Hiroyuki Ishikawa
 
デザイナーとエンジニアの境界線 〜 Are you a Designer or an Engineer? 〜
デザイナーとエンジニアの境界線 〜 Are you a Designer or an Engineer? 〜デザイナーとエンジニアの境界線 〜 Are you a Designer or an Engineer? 〜
デザイナーとエンジニアの境界線 〜 Are you a Designer or an Engineer? 〜Mignon Style
 
WordPressで行う継続的インテグレーション入門編
WordPressで行う継続的インテグレーション入門編WordPressで行う継続的インテグレーション入門編
WordPressで行う継続的インテグレーション入門編Hiroshi Urabe
 
WordPressと離島での図書館作り〜コントリビュートすることで働き方を選択する未来へ
WordPressと離島での図書館作り〜コントリビュートすることで働き方を選択する未来へWordPressと離島での図書館作り〜コントリビュートすることで働き方を選択する未来へ
WordPressと離島での図書館作り〜コントリビュートすることで働き方を選択する未来へJunko Nukaga
 
WordPressプラグイン開発の めんどうな作業は執事(Jenkins)にお任せ
WordPressプラグイン開発の めんどうな作業は執事(Jenkins)にお任せWordPressプラグイン開発の めんどうな作業は執事(Jenkins)にお任せ
WordPressプラグイン開発の めんどうな作業は執事(Jenkins)にお任せSeto Takahiro
 
WordPress 4.7 と 今後の開発ロードマップ
WordPress 4.7 と 今後の開発ロードマップWordPress 4.7 と 今後の開発ロードマップ
WordPress 4.7 と 今後の開発ロードマップNaoko Takano
 
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~haruna tanaka
 
Translation Day 2 日本語訳 - WordBench Nagoya 2016年11月
Translation Day 2 日本語訳 - WordBench Nagoya 2016年11月Translation Day 2 日本語訳 - WordBench Nagoya 2016年11月
Translation Day 2 日本語訳 - WordBench Nagoya 2016年11月Katz Ueno
 
BuddyPressで街のポータルサイトを作ろう
BuddyPressで街のポータルサイトを作ろうBuddyPressで街のポータルサイトを作ろう
BuddyPressで街のポータルサイトを作ろう松田 千尋
 
Kaizenとコーディングで、2年間生き抜いた
Kaizenとコーディングで、2年間生き抜いたKaizenとコーディングで、2年間生き抜いた
Kaizenとコーディングで、2年間生き抜いたToshimichi Suekane
 

Viewers also liked (20)

WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?WordPressセキュリティ対策ど~してる?
WordPressセキュリティ対策ど~してる?
 
Understanding Underscores 〜「_s」テーマってなんだろう〜
Understanding Underscores 〜「_s」テーマってなんだろう〜Understanding Underscores 〜「_s」テーマってなんだろう〜
Understanding Underscores 〜「_s」テーマってなんだろう〜
 
ノンプログラマーのためのカンタンWordPressテーマ作成入門 ∼子テーマで WordPress のテーマをつくろう∼
ノンプログラマーのためのカンタンWordPressテーマ作成入門 ∼子テーマで WordPress のテーマをつくろう∼ノンプログラマーのためのカンタンWordPressテーマ作成入門 ∼子テーマで WordPress のテーマをつくろう∼
ノンプログラマーのためのカンタンWordPressテーマ作成入門 ∼子テーマで WordPress のテーマをつくろう∼
 
WordBench京都 9月号:kintone×WordPressハンズオン
WordBench京都 9月号:kintone×WordPressハンズオンWordBench京都 9月号:kintone×WordPressハンズオン
WordBench京都 9月号:kintone×WordPressハンズオン
 
メニューは管理画面で設定できるようにしよう
メニューは管理画面で設定できるようにしようメニューは管理画面で設定できるようにしよう
メニューは管理画面で設定できるようにしよう
 
テーマに機能を含めちゃダメなんて誰が決めた! テーマをモリモリにカスタマイズする
テーマに機能を含めちゃダメなんて誰が決めた! テーマをモリモリにカスタマイズする テーマに機能を含めちゃダメなんて誰が決めた! テーマをモリモリにカスタマイズする
テーマに機能を含めちゃダメなんて誰が決めた! テーマをモリモリにカスタマイズする
 
実録 WordPress Twenty Sixteen のカスタマイズ | WordBench東京 2月勉強会 「みんなのテーマ開発」〜自分の好きな作り方...
実録 WordPress Twenty Sixteen のカスタマイズ | WordBench東京 2月勉強会 「みんなのテーマ開発」〜自分の好きな作り方...実録 WordPress Twenty Sixteen のカスタマイズ | WordBench東京 2月勉強会 「みんなのテーマ開発」〜自分の好きな作り方...
実録 WordPress Twenty Sixteen のカスタマイズ | WordBench東京 2月勉強会 「みんなのテーマ開発」〜自分の好きな作り方...
 
WordBench京都9月号
WordBench京都9月号WordBench京都9月号
WordBench京都9月号
 
WordPressのコミュニティとイベントの運営ガイドラインについて
WordPressのコミュニティとイベントの運営ガイドラインについてWordPressのコミュニティとイベントの運営ガイドラインについて
WordPressのコミュニティとイベントの運営ガイドラインについて
 
WordPress名古屋コミュニティの進化[WordBench Nagoya 2017年3月勉強会]
WordPress名古屋コミュニティの進化[WordBench Nagoya 2017年3月勉強会]WordPress名古屋コミュニティの進化[WordBench Nagoya 2017年3月勉強会]
WordPress名古屋コミュニティの進化[WordBench Nagoya 2017年3月勉強会]
 
非(エンジニア|プログラマ)でも知っておきたい正規表現【第5回 WordBench山口 セッション2】
非(エンジニア|プログラマ)でも知っておきたい正規表現【第5回 WordBench山口 セッション2】非(エンジニア|プログラマ)でも知っておきたい正規表現【第5回 WordBench山口 セッション2】
非(エンジニア|プログラマ)でも知っておきたい正規表現【第5回 WordBench山口 セッション2】
 
デザイナーとエンジニアの境界線 〜 Are you a Designer or an Engineer? 〜
デザイナーとエンジニアの境界線 〜 Are you a Designer or an Engineer? 〜デザイナーとエンジニアの境界線 〜 Are you a Designer or an Engineer? 〜
デザイナーとエンジニアの境界線 〜 Are you a Designer or an Engineer? 〜
 
WordPressで行う継続的インテグレーション入門編
WordPressで行う継続的インテグレーション入門編WordPressで行う継続的インテグレーション入門編
WordPressで行う継続的インテグレーション入門編
 
WordPressと離島での図書館作り〜コントリビュートすることで働き方を選択する未来へ
WordPressと離島での図書館作り〜コントリビュートすることで働き方を選択する未来へWordPressと離島での図書館作り〜コントリビュートすることで働き方を選択する未来へ
WordPressと離島での図書館作り〜コントリビュートすることで働き方を選択する未来へ
 
WordPressプラグイン開発の めんどうな作業は執事(Jenkins)にお任せ
WordPressプラグイン開発の めんどうな作業は執事(Jenkins)にお任せWordPressプラグイン開発の めんどうな作業は執事(Jenkins)にお任せ
WordPressプラグイン開発の めんどうな作業は執事(Jenkins)にお任せ
 
WordPress 4.7 と 今後の開発ロードマップ
WordPress 4.7 と 今後の開発ロードマップWordPress 4.7 と 今後の開発ロードマップ
WordPress 4.7 と 今後の開発ロードマップ
 
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
【SMEサービス事業部】本当にあった怖い話~中国サイトは突然に~
 
Translation Day 2 日本語訳 - WordBench Nagoya 2016年11月
Translation Day 2 日本語訳 - WordBench Nagoya 2016年11月Translation Day 2 日本語訳 - WordBench Nagoya 2016年11月
Translation Day 2 日本語訳 - WordBench Nagoya 2016年11月
 
BuddyPressで街のポータルサイトを作ろう
BuddyPressで街のポータルサイトを作ろうBuddyPressで街のポータルサイトを作ろう
BuddyPressで街のポータルサイトを作ろう
 
Kaizenとコーディングで、2年間生き抜いた
Kaizenとコーディングで、2年間生き抜いたKaizenとコーディングで、2年間生き抜いた
Kaizenとコーディングで、2年間生き抜いた
 

Similar to かんたん!わかりやすいWafのおはなし

正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティymmt
 
AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)雅太 西田
 
改ざん検知の分類資料
改ざん検知の分類資料改ざん検知の分類資料
改ざん検知の分類資料Kouji Uchiyama
 
JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話
JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話
JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話Tetsuya Mase
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information securitySAKURUG co.
 
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampこれからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampKyo Ago
 
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎Takahisa Kishiya
 
2019 12-14 DIY WIDS IoTSecJP Version 6.0
2019 12-14 DIY WIDS IoTSecJP Version 6.02019 12-14 DIY WIDS IoTSecJP Version 6.0
2019 12-14 DIY WIDS IoTSecJP Version 6.0Isaac Mathis
 
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-uploadIss seminar 2010709#1-upload
Iss seminar 2010709#1-uploadOpenwave Systems
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由グローバルセキュリティエキスパート株式会社(GSX)
 
20140904 国際フロンティア産業メッセ2014
20140904 国際フロンティア産業メッセ201420140904 国際フロンティア産業メッセ2014
20140904 国際フロンティア産業メッセ2014Midori Ikegami
 
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナーランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー株式会社クライム
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」Masato Kinugawa
 
2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshare2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshareShinichiro Kawano
 
2019 0705 f-secure_ali_eater_sapporo03_slideshare
2019 0705 f-secure_ali_eater_sapporo03_slideshare2019 0705 f-secure_ali_eater_sapporo03_slideshare
2019 0705 f-secure_ali_eater_sapporo03_slideshareShinichiro Kawano
 
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014Hiroshi Tokumaru
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2tobaru_yuta
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_securityShinichiro Kawano
 

Similar to かんたん!わかりやすいWafのおはなし (20)

正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
 
AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)
 
改ざん検知の分類資料
改ざん検知の分類資料改ざん検知の分類資料
改ざん検知の分類資料
 
JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話
JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話
JAWS-UG京王線 レッツラーニング LT AWS+WAFなお話
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information security
 
これからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccampこれからのWebセキュリティ フロントエンド編 #seccamp
これからのWebセキュリティ フロントエンド編 #seccamp
 
Mix Leap 0214 security
Mix Leap 0214 securityMix Leap 0214 security
Mix Leap 0214 security
 
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
 
2019 12-14 DIY WIDS IoTSecJP Version 6.0
2019 12-14 DIY WIDS IoTSecJP Version 6.02019 12-14 DIY WIDS IoTSecJP Version 6.0
2019 12-14 DIY WIDS IoTSecJP Version 6.0
 
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-uploadIss seminar 2010709#1-upload
Iss seminar 2010709#1-upload
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
 
[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017] CLD 023[Japan Tech summit 2017] CLD 023
[Japan Tech summit 2017] CLD 023
 
20140904 国際フロンティア産業メッセ2014
20140904 国際フロンティア産業メッセ201420140904 国際フロンティア産業メッセ2014
20140904 国際フロンティア産業メッセ2014
 
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナーランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
 
2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshare2019 0731 f-secure_ali_eater_tokyo12_slideshare
2019 0731 f-secure_ali_eater_tokyo12_slideshare
 
2019 0705 f-secure_ali_eater_sapporo03_slideshare
2019 0705 f-secure_ali_eater_sapporo03_slideshare2019 0705 f-secure_ali_eater_sapporo03_slideshare
2019 0705 f-secure_ali_eater_sapporo03_slideshare
 
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
 

Recently uploaded

Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)Hiroki Ichikura
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 

Recently uploaded (10)

Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 

かんたん!わかりやすいWafのおはなし

Editor's Notes

  1. ・WPHへのWAF採用裏話 ・なぜ我々はWPプランにWAFを導入・搭載したか?
  2. WAFを取り巻く環境があり、その問題点もホスターとして理解した だから自分たちでWAFを作った(メーカーの協力を得て)
  3. ●ポイント ・特にビジネスシーンでクライアントにウェブサイト構築案件を提案するときに、どうお客様にWAFを説明したら伝わるか?を中心に聞いていいただけるとわかりやすいと思います。 ▼自己紹介 私たちはレンタルサーバ、VPSのホスティングサービスを10年以上運営してまして、 データセンター運用から、サポートまで、全て社内で行っています。 仮想インスタンス含め16000台のサーバがあり、監視センターも100名近いエンジニアが3交代でサービスを運用・監視・障害対応しています。 今日はWAFとCMSのセキュリティの話なんですが、 このようなサービスをやっていますと、週に2回とか3回とか、 サーバ乗っ取り、webサイトの改ざん、メールキュー溜まってる、などの 相談、クレームがサポートに寄せられるんですが、 アプリケーションは基本的にはお客さんの責任範囲なので、 サービスの性質上、サーバ屋さんは手が出せないことが多いです。 実際、お客さん側もサポートも労力がとても多いです。 今年10月にリリースしたEX-CLOUDのWPHではWAFを採用したんですが、 今、社内ではSecured Hostingという考えで、かんたん、あんぜん、なホスティングサービス提供をしよう、という考えがありまして WPHプランに関しては、そのようなインシデント対応の労力・損失の削減、損失という観点から、WAF採用を決定しています。 今日は有名な過去のサイバー攻撃の実例から、攻撃手法を検証しながら、 webサイトを運営する上でどういう攻撃にどういう対策が有効であるかをお話しようと思います。
  4. ●ポイント ・特にビジネスシーンでクライアントにウェブサイト構築案件を提案するときに、どうお客様にWAFを説明したら伝わるか?を中心に聞いていいただけるとわかりやすいと思います。
  5. ・不正アクセスとかいろいろな呼び方がありますが、かんたんにいうとITを駆使して相手のシステムや業務にダメージを与える行為と言える思います。
  6. ●補足 ・組織に対するサイバー攻撃イベントは最大3分に1回は発生しているといわれています(FireEye) ・実は過去に名だたる企業が被害にあっています。トヨタ、ソニー、はとバス、サンリオ、などなど ・最近の話題だと先週(11月最終週)防衛省へのサイバー攻撃のニュースがでていましたね
  7. ・まずは大企業の事例から紹介します。 ・この時南海電鉄も同時にやられてました ・国際的ハッカー集団「アノニマス」の仕業ではないかといわれています
  8. ●サイト閲覧時の挙動 ・改ざんされたページは、iframeを用いられ別のWebサイトにジャンプし、不正プログラム「Gongda」を実行させ、閲覧者のパソコンを感染させます。 ・感染すると、以下に接続されます。(このIPアドレスの保有国はアメリカ)  ・asd2qw.229.idcpcpc.com  ・IPアドレス:108.171.252.229 ・当該マルウエア(Infostealer.Torpplar)は日本人から情報を盗み出すことに特化してカスタマイズされていて、マルウエアはパソコンでのオンラインバンキングやクレジットカード企業サイトの利用状況を常時監視して、情報を詐取しようと試みる。(シマンテック) ・感染すると、閲覧者が以下のサイトを閲覧する際、データを盗み取ります。  ・2カ所のオンラインバンキングサイト  ・3カ所のオンラインショッピングサイト  ・3カ所のWebメールサイト  ・3カ所のゲーム/動画Webサイト  ・14カ所クレジットカードサイト ●攻撃に使われた脆弱性 ・Oracle Java SE Runtime Environment に存在するリモートコード実行の脆弱性(CVE-2012-0507) ・Microsoft XML コアサービスに存在するリモートコード実行の脆弱性(CVE-2012-1889) ・Oracle Java Runtime Environment に存在する複数のリモートコード実行の脆弱性(CVE-2013-0422) ・Adobe Flash Player に存在するリモートメモリ破損の脆弱性(CVE-2013-0634) ・Oracle Java SE に存在するメモリ破損の脆弱性(CVE-2013-2465)
  9. ▼攻撃者の目的とは まず愉快犯とは、トップページに中国の国旗に書き換えたりですとか、業務妨害というのは、Ddosで嫌がらせする、とかですね。 ただソニーがNECの売上を下げる為にDdosするとかはあまりないので、そんなに労力をかけて対策する必要性は低いんんじゃないかと思います。 金銭目的、情報略取、クレジットカード情報を盗んだり、ID/PWを盗む攻撃です。 大きく分けて標的型と乱れ打ち攻撃の2パターンがありますが、標的型攻撃というのはまずないです。 以下略  99.9%ない→年金機構→JTB→地下室でハッカー→ミッションインポッシプル→自動攻撃ツールによる乱れ打ち攻撃 ハクティビズムというのはプロパガンダです。 アノニマスとか、liuzsec、sector404なんていうハッカー集団が世界各地にいるんですが、 日本がイルカ漁やっている→日本を攻撃しよう→中部空港、成田空港がDDos攻撃
  10. ●説明 ・有名企業が連鎖的に攻撃された事例であること ・CMS(MT)のプラグインが攻撃された事例であること
  11. ・開発元は迅速に対応したにも関わらず被害は広範囲に渡ってしまった ・なぜか?
  12. ●説明 ・図は別のOpenSSLのときのグラフ。即座に広がり、その後比較的早い段階で沈静化している ・急激に増えること、その後も常に新たな脆弱性に向けて興味を変えていくことを説明。 ●資料元 OpenSSLの脆弱性(CVE-2014-0160)を悪用する攻撃の検知数および 送信元IPアドレス数の推移(日本国内) (Tokyo SOC調べ:2014年4月11日~2014年7月31日) 出所:Tokyo SOC Report
  13. ●出典 ・2015年 情報セキュリティインシデントに関する調査報告書 ・JNSA、特定非営利活動法人日本ネットワークセキュリティ協会資料より ●説明 ・実は紛失や誤操作、管理ミスの割合が多い ・とはいえ不正アクセスや不正持出しも100件程度発生している(12%程度) ・私も学習企業某ベネッ●の情報漏えいでは、幸か不幸か、妻、長女、長男の情報が漏れたとして500円のAmazonのポイントを3枚いただいた(2014年)この時の被害は推計で4000万人の情報が被害にあい、ベネッセはお詫びとして総額200億円を負担 ●用語 ◯フォレンジック →(forensic)とは、「法廷の」「法医学的な」「科学捜査の」という意味を持った形容詞。 コンピュータ関連でフォレンジックという言葉が使われる場合は、コンピュータやネットワークシステムのログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集めることを意味します。
  14. ●出典 ・2015年 情報セキュリティインシデントに関する調査報告書 ・JNSA、特定非営利活動法人日本ネットワークセキュリティ協会資料より ●説明 ・実は紛失や誤操作、管理ミスの割合が多い ・とはいえ不正アクセスや不正持出しも100件程度発生している(12%程度) ・私も学習企業某ベネッ●の情報漏えいでは、幸か不幸か、妻、長女、長男の情報が漏れたとして500円のAmazonのポイントを3枚いただいた(2014年)この時の被害は推計で4000万人の情報が被害にあい、ベネッセはお詫びとして総額200億円を負担 ●用語 ◯フォレンジック →(forensic)とは、「法廷の」「法医学的な」「科学捜査の」という意味を持った形容詞。 コンピュータ関連でフォレンジックという言葉が使われる場合は、コンピュータやネットワークシステムのログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集めることを意味します。
  15. ●出典 ・2015年 情報セキュリティインシデントに関する調査報告書 ・JNSA、特定非営利活動法人日本ネットワークセキュリティ協会資料より ●説明 ・実は紛失や誤操作、管理ミスの割合が多い ・とはいえ不正アクセスや不正持出しも100件程度発生している(12%程度) ・私も学習企業某ベネッ●の情報漏えいでは、幸か不幸か、妻、長女、長男の情報が漏れたとして500円のAmazonのポイントを3枚いただいた(2014年)この時の被害は推計で4000万人の情報が被害にあい、ベネッセはお詫びとして総額200億円を負担 ●用語 ◯フォレンジック →(forensic)とは、「法廷の」「法医学的な」「科学捜査の」という意味を持った形容詞。 コンピュータ関連でフォレンジックという言葉が使われる場合は、コンピュータやネットワークシステムのログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集めることを意味します。
  16. ●説明 ・どこか遠くで起きている事件におもえてならないが実際に我々の身近なところでもおこるのだろうか? ・ホスティング屋をやってる私が経験した実例です ◯某オンラインゲーム案件 ・自身が担当していた国内某大手PCオンラインゲームで発生した ・3年前くらい ・休日に運転してたら監視チームから電話、車をとめて客に事情を話して、対処開始 ・調査したら複数のIPから攻撃をくらっていた ・NWチーム側で中国のIPを遮断して対処し復旧。原因調査や復旧に1時間以上かかった ●エクスクラウドお試し大量申し込み事件 ・3,4年前の出来事 ・1日普段数十件のはずが、1日で1万近く申し込み ・よく見るとSQL分をフォームに入力していた ・出本のIPが中国だったためWeb担当にてアクセス制限を施し塞いだ →本当の申し込みなら大歓迎なんだけど、、、これも中国からのアクセスだった ●余談 ・中国グレートFWの話し ・China VPSのVPN接続の話
  17. ●出典 ・2015年 情報セキュリティインシデントに関する調査報告書 ・JNSA、特定非営利活動法人日本ネットワークセキュリティ協会資料より ●説明 ・実は紛失や誤操作、管理ミスの割合が多い ・とはいえ不正アクセスや不正持出しも100件程度発生している(12%程度) ・私も学習企業某ベネッ●の情報漏えいでは、幸か不幸か、妻、長女、長男の情報が漏れたとして500円のAmazonのポイントを3枚いただいた(2014年)この時の被害は推計で4000万人の情報が被害にあい、ベネッセはお詫びとして総額200億円を負担 ●用語 ◯フォレンジック →(forensic)とは、「法廷の」「法医学的な」「科学捜査の」という意味を持った形容詞。 コンピュータ関連でフォレンジックという言葉が使われる場合は、コンピュータやネットワークシステムのログや記録、状態を詳細に調査し、過去に起こったことを立証する証拠を集めることを意味します。
  18. ●説明 ・実は無料で自分のウェブサーバーへの不正アクセスを確認することができます ・Googleでilogscannerで検索するとヒットします  →GUI、CUIの2パターンあり、後者はオンライン版があり、OSスケジューラで定期チェックも可能とのこと https://www.ipa.go.jp/security/vuln/iLogScanner/app/offline.html
  19. ・被害が合ったら大変なのはわかっているのになぜ対策ができないのか?課題について考えます。
  20. ●説明 ・国が言っているのは、要は社内に専門のセキュリティチームを設けなさいということです ・情報システム部門で兼務する体制が多いのではないかと思います ・また実情として大企業では設置がすすんでいるものの、多くの中小企業では人材不足から進んでいないのではないかとおもう ・中小はそうそうできないよね? ・人材不足、しかもコストも高い、ウリにつながらない →うちもセキュリテイエンジニアも採用できていない、紹介してもらいたいくらいだ
  21. ・2016年1年間に60件の脆弱性に関する情報がJVNで表示されています。 ・実際はWordPress自体はセキュア、脆弱性はプラグインがほとんど ・対岸の火事ではないな、と実感します ・wp関連の脆弱性としてはパナマ文書がその例といわれています ●用語説明 ◯JVN JVN は、"Japan Vulnerability Notes" の略です。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA) ★WPロゴもしくは見出し記事、Google検索の画像を貼る ・WP事件で検索すりゃでてくる
  22. ●説明 ◯導入コスト ・発生するかしないかわからないものにコストかけられない ・予算が得られない、あるいはクライアントの了解が得られない ・結論は事前に対策を「しない」のではなく、「できない」というのが答え
  23. ●説明 ・IPAでは4つの手口があると述べています。全体像をつかむのに大変わかりやすいのでご紹介します。 ・IPAとは独立行政法人情報処理推進機構のこと ・ウェブサイト改ざんの脅威と対策(2014年)より抜粋 【補足】 ------------------------------------------------------------- A 窃取したアカウント情報を悪用した不正ログイン 組織外の攻撃者がウェブサイト管理用パソコンから、アカウント情報を窃取し、ウェブサイ トに不正ログイン B ソフトウェアの脆弱性を突く 組織外の攻撃者がウェブサイトの使用しているソフトウェアの脆弱性を突く C ウェブアプリケーションの脆弱性を突く 組織外の攻撃者が独自に開発されたウェブアプリケーションの脆弱性を突く D 組織内のアクセス制御の不備を突く 組織内の管理者権限を持たない攻撃者(内部犯行)がアクセス制御不備を突く
  24. A 窃取したアカウント情報を悪用した不正ログイン →組織外の攻撃者がウェブサイト管理用パソコンから、アカウント情報を窃取し、ウェブサイ トに不正ログイン
  25. B ソフトウェアの脆弱性を突く →組織外の攻撃者がウェブサイトの使用しているソフトウェアの脆弱性を突く
  26. C ウェブアプリケーションの脆弱性を突く →組織外の攻撃者が独自に開発されたウェブアプリケーションの脆弱性を突く
  27. D 組織内のアクセス制御の不備を突く →組織内の管理者権限を持たない攻撃者(内部犯行)がアクセス制御不備を突く
  28. ●説明 ・聞きなれない名前が多いと思います ・正直私も初耳なものもあります 【詳細】 --------------------------------------------------- ■不正アクセス系 ●ブルートフォースアタック →総当たり攻撃とは、暗号解読方法のひとつであり、可能な組み合わせを全て試す方法です。人間の操作では手間がかかりすぎる方法ではありますが、手軽に実行できるツールが普及しており、時間的制約がない限りは確実にパスワードを割り出して侵入することができる方法です。 ●Dos攻撃/ DDoS攻撃 →DoS攻撃は、攻撃側と相手側の1対1で行われますが、 DDoS攻撃とは、複数に分散(Distribute)した攻撃用マシンからの一斉に 攻撃を行います。DDoS攻撃の防御が難しい点は、この複数台の攻撃用マシンがどこにあるのか攻撃が始まるまで分からないことです。そのため、攻撃箇所すべてから守りきることが困難なことが挙げられます。 ●SQLインジェクション →DBサーバと連携したWEBシステムの場合、WEBサーバではユーザが入力した情報を基にSQL文を組み立てるものがあります。そのSQL文によってデータベースへのデータ追加・更新など行います。このとき、WEBサーバがセキュリティ的に無防備な状態であると、ブラウザから入力された「悪意のあるSQL文」をそのままデータベース操作の一部に注入(Injection)される可能性があります。 ●クロスサイトスクリプティング →掲示板やブログなどユーザが入力した内容をWEBページとして出力するWEBアプリケーションに対して多く行われる攻撃です。例えば、掲示板に悪意のあるスクリプト(簡易的なプログラミング言語のこと)を埋め込んだリンクを貼り付け、そのページを閲覧したユーザのブラウザ上でスクリプト(プログラム)を実行させるという攻撃を行います。 ●ルートキット攻撃 →他人のコンピュータに不正侵入した攻撃者は、侵入を隠ぺいするためのログの改ざんツール 侵入口が防がれても再び侵入できるようにする裏口(バックドア)ツール 侵入に気づかれないための改ざんされたシステムコマンド群  などをインストールします。これらを素早く導入するための、パッケージにまとめたものがルートキットと呼ばれ、いくつかの種類があります。 ●バッファオーバーフロー(BOF)攻撃 →バッファオーバーフロー(BOF)攻撃とは、OSやアプリケーションプログラムの入力データ処理に関するバグを突いてコンピュータを不正に操作する攻撃をいいます。 BOF攻撃は、主にメモリのスタック領域で行われる攻撃をいいますが、その他にもヒープ領域で行われるヒープBOFやUNIX環境下でrootのSUID属性をもつコマンドを悪用して管理者権限を奪取するローカルBOF攻撃などがあります。 ●セッションハイジャック →セッションハイジャックはなりすましの一種でクライアントとサーバの正規セッションに割り込んで、セッションを奪い取る行為をいいます。 セッションハイジャックにより行われる行為として以下のようなことが考えられます。 正規サーバになりますてクライアントの機密情報を盗む 正規クライアントになりすまして、サーバに侵入する セッションハイジャックの種類にはTCPセッションハイジャック、UDPセッションハイジャック、WEBセッションハイジャックなどがあります。 ●OSインジェクション →独自開発のWEBアプリケーションの脆弱性を突いた攻撃の一種です。 不正な入力データによってOSコマンドを呼び出し、任意のファイルの読み出しや変更・削除などを不正にOSを操作する攻撃をいます。 ■ マルウェアの種類 サイバー攻撃の手段のうち、マルウェアによって行われるものも多くあります。 マルウェアの分類にはいくつかの方法がありますが、ここでは「感染の種類」「感染経路」「活動パターン」から、分類してみます。 ●ウイルス(コンピューターウイルス) →ウイルスとは、ある特定のプログラムの一部を書き換えることで感染し、感染したプログラムが実行されることで活動を開始するマルウェアのことです。生物界のウイルスは単独では増殖できず、宿主となる細胞に入り込むことで初めて増殖が可能となります。コンピュータのウイルスも同様に、宿主となるプログラムが必要とされることから、コンピューターウイルスと呼ばれています。 ウイルスに感染したプログラムが実行されることで、 ウイルスが「悪意のある」活動を開始します。つまり、 ウイルスは正規のプログラムを書き換えることで動作を乗っ取り、スパイ活動や、データの損壊、さらなる感染を行います。 ●ワーム →ワームとは、生物界では足がなく細長い虫のことですが、コンピュータにおけるワームは、宿主となるプログラムを必要とせずに単体で活動できるマルウェアのことを指します。プログラムの脆弱性などを利用して、メモリ上に本体を展開して直接実行したり、ファイルとしてワーム本体をコピーして実行したりするなどして、コンピュータに感染します。 ワームも、ウイルス同様に、「悪意のある」活動を行い、また、新たなターゲットを探し出し感染させたりします。 ●トロイの木馬 →トロイの木馬とはギリシャ神話に登場する巨大な木馬のことで、その木馬の中には兵士が潜むことができました。女神アテナの献上物を装い、敵地へ侵入することで奇襲を行いました。この逸話から転じて、相手を油断させて罠にはめることをいいます。 コンピュータにおけるトロイの木馬は、それ自身には感染する機能持っていませんが、何か有用なプログラムであることを偽装してユーザを騙し、実行させることで「悪意のある」活動を行うマルウェアです。 ●ランサムウェア →ランサムウェアとはマルウェアの一種で、ユーザのデータを「人質」にとり、データの回復のために「身代金(ransom)」を要求するソフトウェアのことです。 ランサムウェアの多くはトロイの木馬としてパソコン内部に侵入し、勝手にファイルを暗号化したり、パスワードを設定したりし 正常にデータにアクセス出来なくなってしまいます。 ユーザがデータにアクセスしようとすると、アクセスが不可能になったことを警告し、復元するための対価としてユーザに金銭の支払いを要求するものです。 ●バックドア(RAT) →バックドア(またの名をRemote Administration Tool)とは、ユーザーに気付かれずにコンピューターシステムへアクセスできるようにするアプリケーションです。 システムのメンテナンスなどの目的でシステム管理者が利用することもありますが、サイバー犯罪者によって悪用されるケースもよく見られます。 RATの機能によっては、他のソフトウェアのインストールや起動、キー入力情報の送信、ファイルのダウンロードや削除、マイクやカメラの有効化、コンピューターの動作の記録と攻撃者へのログの送信などが可能です。 ●ダウンローダー →これはサイズの小さなコードで、実行可能ファイルや、攻撃者のサーバーから被害者のコンピューターに命令を出して好きなタスクを実行させるファイルを、ひそかにダウンロードします。 メールの添付ファイルや不正に細工のしてある画像を介してダウンロードされたコードは、命令を出すサーバーと通信し、さらに別のマルウェアを被害者のシステムへダウンロードします。 ■標的型 標的型攻撃とは、金銭や知的財産等の重要情報の不正な取得を目的として特定の標的に対して行われるサイバー攻撃のことです。 ■ゼロデイ攻撃 修正プログラム(セキュリティ更新プログラム)などが未公表の脆弱(ぜいじゃく)性を悪用する攻撃のことです。従来は、攻撃者以外は知らない脆弱性を狙う攻撃をゼロデイ攻撃と呼ぶことが多かったのですが、最近では脆弱性自体はメーカーや研究者などによって公表されていても、修正プログラムが未公表な場合にはゼロデイ攻撃と呼ぶことが多いです。 2006年には、Microsoft Office製品を狙ったゼロデイ攻撃が続出して話題となりました。この時は、修正プログラムをきちんと適用しているパソコンでも、メールなどで送られた攻撃用の文書ファイルを開くだけで、ウイルスに感染するなどの被害に遭う恐れがありました。その後は、Microsoft Officeに限らず、ジャストシステムの一太郎や、米アドビシステムズのAdobe Readerなどを狙ったゼロデイ攻撃も頻発しています。 ゼロデイ攻撃の被害に遭わないためには、修正プログラムを適用するだけではなく、「信頼できないファイルは開かない」「ウイルス対策ソフトを使う」といった対策の実施が重要となってきます。 ■パスワードリスト攻撃 パスワードリスト攻撃とは、攻撃対象とは別のサイトから得たIDとパスワードの一覧(リスト)を用い、攻撃対象のサイトでログインを試行する攻撃方法のことです。「リスト型攻撃」「リスト型アカウントハッキング」などとも呼ばれ、2010年後半から主にオンラインゲーム業界等で報告されています。 これは、同一のパスワードを、複数のWEBサービスで使い回す利用者が多いという傾向を利用したもので、SQLインジェクションをはじめとする脆弱性を利用する等の方法で事前に入手したパスワードリストを用い、さまざまなWEBサービスでログインの試行を繰り返すものです。そして、ログインが成功したサイトから、最終的には利用者の個人情報や金銭などを詐取しようとします。
  29. ●説明 ・前述の通り攻撃は多岐にわたっており、専門家でないと全部の内容を把握して対処するのが難しいのが実情です。 →そこで対策ツールの検討が必要になってきます
  30. ◯結論 ・この中で特にWPなどのウェブアプリケーションやウェブサイトを攻撃から守るのに有効な「WAF」について説明をしていきます。 ●用語説明 ◯ウイルスチェック ・これは馴染みの方も多いと思います。パソコンにインストールして使ってる方も多いとおもいます。 ◯web改ざん検知 ・名前の通り改ざんを検知して通知してくれる機能です。結構高いです。 ◯脆弱性診断 ・ラック社などが行うもので値段かかります ・無料でつかえる検知ツールVulsもある、コマンド知識必要 ◯WAF ・後ほど説明します ◯ファイアウォール ・ネットワークへのアクセス制御を行います ◯IDS/IPS ・同上 ・侵入防御システム、侵入検知システムの略 ◯SSL ・通信を暗号化します。アクセスハイジャックなどに有効です
  31. ●説明 ・散々話してきて今更ですが「わふ」と読みます ・以前お客さんで「ああ、知ってますよ、ダブリューエーエフでしょ?」と言ってる方がいました。動物愛護団体のことかとおもいました。ここは素直に日本語読みでわふとよんでください。 ●意味 →WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙う悪意ある通信(攻撃)から、Webアプリケーションを保護するものです。 本来論で言えば、Webアプリケーションに脆弱性があるのであればWebアプリケーションを修正するのが正しい対応です。 しかし未知の脆弱性があったり、修正コストが大きくWebアプリケーションでの対応が難しい場合や、緊急度が高くすぐに防御しなければならないが修正が間に合わない場合も、残念ながらあります。 ユーザーとWebアプリケーションの間にWAFを入れることで、悪意ある通信を防ぐことが出来ます。
  32. ・シグネチャとは、ウイルスチェックのパターンファイルのようなもので、パターンファイル=悪人リストに基づいて遮断するしないを判断します。
  33. ●説明 ・WAFの名称はウェブ アプリケーション ファイアウォールなので確かにFWの名前がつきますね、違いはなんでしょうか? ・FWは例えばこのポートへのアクセスはこのIPアドレスだけ許可しましょうとか、逆にこのIPからのアクセスは許可しませんとかそう言う設定を行い通信をある意味盲目的に遮断する機能です。 ・WAF Webアプリケーションを守るために有効 <対象範囲> Web(http、https) <Webアプリケーションへの攻撃に対する検知精度> Webアプリケーションに特化しており、パターンマッチングだけでなく、様々な手法により、検知精度を上げている。 ・FW、IPSやIDS プラットフォームを守るために有効 <対象範囲> OS、ミドルウェア、メール、Web等 <Webアプリケーションへの攻撃に対する検知精度> パターンマッチングによる検出となる為、巧妙に作りこまれた攻撃を見逃す可能性がある。 ●用語 IDSとはIntrusion Detection Systemの略で、Intrusion(=侵入)をDetection(=検知、検出)するシステムとして、侵入検知システムと呼ばれています。これに対してIPSはIntrusion(=侵入)を Prevention(=防御)するシステム、すなわち侵入防御システムと呼ばれるのです。 ・アプライアンス=機器として導入するため、高額な費用と運用ノウハウが必要です。 ・WAFと守備範囲がことなりますが、最近WAFの守備範囲が増え、このあたりもカバーできるようになってきています。 WAFは通信データの内容を機械的に解析できるのが特徴で、従来のファイアウォールやIDS・IPSではブロックしきれなかった、ユーザーからのリクエストに応えて動的なページを生成するタイプのWebサイトへの攻撃を防ぐことができます。 ・参考になる http://it-trend.jp/ids-ips/article/misc
  34. ・防御できる攻撃はWAFのメーカーによっても若干異なります。
  35. ・大別すると従来型とクラウド型の2パターン ・従来型はハードウェア及びソフトウェア
  36. ・大別すると従来型とクラウド型の2パターン ・従来型はハードウェア及びソフトウェア
  37. ●手を加えなくて良い クラウド型の為、サーバ側の作業は不要です。 お客様での必要作業はDNSの切り替えだけで技術サポート、運用サポートを含めた脆弱性対策が可能です。 自社システム内に機器を置く場合、NW設計の調整なども発生します ●短期間 お客様作業はDNSの切り替えのみとなり、即導入が可能です。 SSL利用時の申請・アップロード作業もNHNテコラスがサポートします。 ●運用コスト ・シグネチャ自動更新なので手間いらず ・WAFシステムのメンテフリー、全部業者がやってくれます ●将来のリスク ・自動的にWAFの定義ファイルをアップデートします。(年間約100回) WAFセンターは専門のセキュリティオペレータが運用し、防御性能は常に最新です。 ●コスト 年間費用なのでサービス費用が固定です。(プラン変更時は基本契約更改時に見直しとなります。) 1ヶ月単位の一時的なトラフィック増にも対応可能です。最小プランでも複数台の冗長構成で提供します。 アプライアンス型に比べて安い
  38. ●説明 ・もしクライアントからWAF単体の導入相談を受けたら弊社に相談ください。弊社もWAF販売をしていますのでご相談ください
  39. ●導入 ・普段数千円のサービスを提供しているホスティング屋としては正直これでも高いとおもっていました。 ・そこでなんとか実績のあるWAFを安く、しかも楽にWordPress環境にWAFを導入することができないか考えました  メーカーさんに頼み込んでできたのが、WAF標準提供のWPホスティングでした。
  40. ・こちらは、大きなサイトを運営している人を除き、ご自身でというよりはクライアントに提案する際の選択肢の1つとして聞いていただければとおもいます。 ・皆さんに個人的につかっていただくには500円や1000円のプランで十分です。
  41. ・クライアントに提案するときはこういったプランを提案してください