0709wordbench新潟

Copyright © NHN Techorus Corp.
NHNテコラス株式会社
SME事業部
平賀真琴
コレだけはおさえておきたいホームページ環境選びのコツと、
コレさえやっとけば無事だったのに〜、なセキュリティ対策

Page／2
サーバ選びについて
・⾃⼰紹介
・1. レンタルサーバとVPSの違い
・2. VPSとクラウドサーバの違い
・3. サーバの⽐較
・4. サーバの選び⽅ポイント
・5.まとめ

Page／3
⾃⼰紹介
平賀真琴
•  所属：NHNテコラス株式会社
•  担当：エクスクラウド販促・マーケ担当
•  趣味：⾞、キャンプ、DIY
•  職歴：Iaas営業、⾃動⾞部品メーカー、
⼈材営業
•  その他：家族持ち（3⼈家族）

NHN テコラス株式会社 Copyright © NHN Techorus Corp. All rights reserved. －4－
1. レンタルサーバとVPSの違い
エクスクラウド VPS https://ex-cloud.jp/vps/
ミドルウェア
OS
CPU・メモリ
サーバ本体
【レンタルサーバの場合】
OS
サーバ本体
【VPSの場合】
HDDHDD HDDHDDHDD HDD
ゲスト
OS
ゲスト
OS
ゲスト
OS
ミドル
ウェア
ミドル
ウェア
ミドル
ウェア
CPU・
メモリ
CPU・
メモリ
CPU・
メモリ

1. レンタルサーバとVPSの違い
ミドルウェア
OS
CPU・
メモリ
サーバ本体
【レンタルサーバの場合】
OS
サーバ本体
【VPSの場合】
HDDHDD HDDHDDHDD HDD
ゲスト
OS
ゲスト
OS
ゲスト
OS
ミドル
ウェア
ミドル
ウェア
ミドル
ウェア
CPU・
メモリ
CPU・
メモリ
CPU・
メモリ
負荷

2. VPSとクラウドサーバの違い
クラウドサーバは、VPSに比べ
リソースを動的に増強できる
　・コントロールパネル
　・従量制課金
が特徴

3. サーバの⽐較
レンタルサーバ VPS クラウド
柔軟性・拡張性
パフォーマンス
（コンパネ）
☓ ◯ ◎
コスト ◯ ◯
△
従量制
メンテナンス
◯
サーバ会社
△
ユーザ
△
ユーザ
サポート ◯ ◯ ☓
クラウドサーバは日々サーバの増設や、NW設定の変更をしたい人向け、基本セルフサービス

4. サーバの選び⽅ポイント
①使い勝⼿
②性能、安定性、速さ
③セキュリティ
④バックアップ

レンタルサーバ：かんたんインストールあるもの
VPS：Plesk等を活⽤
クラウド：パブリックイメージ／パッケージを活⽤
①使い勝⼿

【EX-CLOUDブログ改善例】
・スマートフォンの離脱率、
直帰率が１７０％改善
・サイト内の回遊が増えた
・管理画⾯の表⽰が早く、
管理者のストレスが減った
【サイト⾼速化の例】https://www.youtube.com/watch?v=8y_ZIhyj1Ig
7秒？ 3秒？表⽰速度はもはや2秒の時代

サイトが落ちていると、
・コンバージョンできない
・ユーザがコンテンツをシェアできない
・サイトがなくなったと思われ、お気に⼊りから外れる

③セキュリティ（詳細はのちほど）
・ブランドイメージ毀損
・サイト停⽌
・情報流出の恐れ

④バックアップ
②バックアップオプション環境
⽇次でバックアップ
※リストアはNHNテコラスでの作業
※平⽇⽇中帯での対応となります。
①RAID1によるデータ保護
※障害時はNHNテコラスにて復旧
ストレージ機器障害
復旧
復旧
【エクスクラウド WordPressホスティングでのバックアップ例】

5.まとめ
【WordPressでサイトを作る場合の注意点】
・レンタルサーバはかんたんだが、制限がある
・VPSはそれなりの知識が必要だが、⾃由度あり
・楽してWordPress環境を⼊⼿ものを選ぶ
・バックアップ、セキュリティは要チェック

Page／15
セキュリティについて
・1.サイバー攻撃とは
・2.近年のサイバー攻撃例
・3.攻撃者の⽬的
・4.WordPressは⼈気、攻撃者からも魅⼒的
・5.WordPressの脆弱性とは
・6.脆弱性攻撃を知る
・7.攻撃ってどうやる？
・8.どう運⽤する？WordPressのセキュリティ対策
・9.まとめ

Page／16
1.サイバー攻撃とは
インターネットの通信機能を悪⽤した犯罪⾏為
ランサムウェア／／SQLインジェクション／ビットコイン不正採掘／クロスサイトス
クリプティング／個⼈情報流出／ボットネット／トロイの⽊⾺／DDoS攻撃／スパム
メール／マルウェア／標的型攻撃／バックドア／ゼロデイ攻撃／ブルートフォースア
タック／Dos攻撃／SQLインジェクション／クロスサイトスクリプティング／ルート
キット攻撃／バッファオーバーフロー（BOF）攻撃／セッションハイジャック／OS
インジェクション／ウイルス(コンピューターウイルス)／／ワーム／バックドア
（RAT)／ダウンローダー／パスワードリスト攻撃／DNSリフレクション／UDPフル

Page／17
2.近年のサイバー攻撃例

Page／18
3.攻撃者の⽬的
⾦銭メリット
情報⾦額
メールアカウント 0.5-10ドル
クレジットカード情報 0.1-20ドルフルパッケージだと25-40ドル
盗難ゲームアカウント 10-15ドル仮想アイテム獲得
盗難クラウドアカウント 5-8ドルコマンド&コントロールサーバの
ホストとして悪⽤
マルウェアに感染したコンピューター情報1000件 20ドル 1件あたり2.4円〜
マルウェアに感染したコンピューター情報5000件 90ドル
マルウェアに感染したコンピューター情報1万件 160ドル
マルウェアに感染したコンピューター情報1万5000件 250ドル
・Secureworks　ブログ　　
https://www.secureworks.com/blog/the-underground-hacking-economy-is-alive-and-well
・Symantec　ブログ　　
https://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services

Page／19
4.WordPressは⼈気、攻撃者からも魅⼒的
CMS CMS
CMS CMS
CMS CMS
CMS CMS
WordPressは国内でCMS82%のシェアを獲得
同時に最⼤規模のシェアを誇る
WordPressは脆弱性を突かれ
やすいソフトウェアとしても
知られている

Page／20
CMS CMS
CMS CMS
CMS CMS
CMS CMS
WordPressをねらう無差別攻撃は⾼い命中率をほこる

Page／21
【改ざん状況】
2017/5/27-2017/6/8（12⽇間）
改ざん141件
マルウェア72件（51.06%）
（zone-h調べ）
サイト改ざん状況と攻撃観測件数
【無差別攻撃の件数推移】
<出展：情報通信研究機構資料>

Page／22
5.WordPressの脆弱性とは
本体の脆弱性の例：4.7.0/1 REST APIの脆弱性による改ざん

Page／23
・2016年の脆弱性は約60件（ほとんどがプラグイン）
5.WordPressの脆弱性とは

Page／24
6.脆弱性攻撃を知る
脆弱性攻撃は脆弱性が公開された直後に集中
▶対策はスピード勝負
※OpenSSLの脆弱性を
悪⽤する国内の攻撃の検
知数および送信元IPアド
レス数の推移
（Tokyo／SOC調べ：2014年4⽉11⽇〜2014年7⽉31⽇）

Page／25
6.脆弱性攻撃を知る
脆弱性対策には全体の1/3が3ヶ⽉以上を要している
▶対策が全然間に合っていない
攻撃が終わっている
タイミング
※ウェブサイトの修正に
要した⽇数
（IPA／ソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート／）

Page／26
7.攻撃ってどうやる？
攻撃ツールについて
Google検索により容易にペネトレーションツールが⼊⼿できる。

Page／27
7.攻撃ってどうやる？
攻撃しやすいサイトとは
Googleの検索結果で判別できる PHPのエラーメッセージで
google検索
脆弱性なし
脆弱性あり
脆弱性あり
脆弱性のあるサイトを
狙いSQLインジェク
ション攻撃などを⾏う

Page／28
8.どう運⽤する？WordPressのセキュリティ対策
対応は２つ
・発⽣してくる脆弱性に対応する
・ログイン画⾯への対策

Page／29
【脆弱性対策】
・WordPress本体、プラグインの脆弱性を
随時チェックし即座にアップデート（SOC?）
・WAFによる攻撃パケットの無効化
（REST／APIの脆弱性も対応）

Page／30
クラウド型の為、サーバ側の作業は不要です。
お客様での必要作業はDNSの切り替えだけで技術サポート、運⽤サポートを含めた脆弱性対策が可能です。
システムはそのまま
お客様作業はDNSの切り替えのみとなり、即導⼊が可能です。
SSL利⽤時の申請・アップロード作業もNHNテコラスがサポートします。
短期間で導⼊開始
⾃動的にWAFの定義ファイルをアップデートします。（年間約100回）
WAFセンターは専⾨のセキュリティオペレータが運⽤し、防御性能は常に最新です。
将来のリスクへの対応
年間費⽤なのでサービス費⽤が固定です。(プラン変更時は基本契約更改時に⾒直しとなります。)
１ヶ⽉単位の⼀時的なトラフィック増にも対応可能です。最⼩プランでも複数台の冗⻑構成で提供します。
コストパフォーマンス
クラウド型WAF
WEBサーバ
クラウドWAF導⼊のメリット

Page／31
【ログイン画⾯への対策】
①パスワードは強⼒に
②Fail2banによるSSH、およびWordPress
パスワードへのアタック対策
③Captchaによるログイン⼆重認証

Page／32
9.まとめ
・最新版へ即座にアップデート
もしくはWAFを活⽤
・パスワードは強⼒に
・ログイン画⾯へも対策

Page／33
【APPENDIX】エクスクラウド WordPressホスティング
超⾼速！

NHN テコラス株式会社／Copyright © NHN Techorus Corp. All rights reserved. －35－
パートナー登録頂きますと、 N H N テコラスが運営、参加する勉強会に優先的にご案内しま
す。 C M S 勉強会、セキュリティ勉強会等、パートナー様同⼠の交流会や情報交換の機会を
ご提供しています。
E X - C L O U D 各プランや S S L クーポン
も最⼤ 1 7 % O F F のパートナー価格で
ご利⽤できます。
実際のイベント⾵景
テコラスパートナー登録も無料

0709wordbench新潟

More Related Content

What's hot

Similar to 0709wordbench新潟

More from 真琴 平賀

0709wordbench新潟

More from 真琴平賀