Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

20181108 kashiwa chamberofcommerce

61 views

Published on

柏商工会議所 サービス諸業部会・法務医療教育部会 共催講演会

Published in: Technology
  • Be the first to comment

  • Be the first to like this

20181108 kashiwa chamberofcommerce

  1. 1. クラウドパートナー 中山 桂一 nakayama@cloud‐partner.jp WEBサーバセキュリティの現状とクラウド活用 1 柏商工会議所 サービス諸業部会・法務医療教育部会 共催講演会 2018年 11月 8日
  2. 2. 自己紹介 名前: 中山 桂一 所属: 株式会社キャラウェブ クラウドソリューショングループ ソリューションアーキテクト 役割: クラウド導入コンサル ソリューション設計、プロジェクトマネジメント 自社関連サービスの開発 好きなAWSサービス: ・AWS Lambda   ・AWS CloudFormation ・Amazon API Gateway ・AWS Systems Manager k1nakayama          2
  3. 3. Cloud Partner® Amazon Web Services(AWS)のオフィシャルパートナー 主な事業内容 ◦クラウド最適化 ◦運用自動化支援 ◦事業継続対策(BCP)支援 ◦クラウド移行支援 特にサーバーレスアーキテクチャについて多くの知見を持つ 「クラウドパートナー」および「Cloud Partner」は株式会社キャラウェブの登録商標です。 3
  4. 4. Agenda WEBサイト所有者が行うべきこと 昨今のサイバー攻撃 攻撃対象になりやすいWordPress 簡易WEBサイト脆弱性診断デモ 安全なサイト運営を行うためには Amazon Web Servicesのご紹介 サーバーレスアーキテクチャとは 4
  5. 5. WEBサイト所有者が行うべきこと 5
  6. 6. ◆ WEBサイトを公開する目的  企業・組織を広く知ってもらう (広報・ブランディング)  企業・組織の商品・サービスへの興味・関心・購買へつなげる(広告・宣伝)  企業・組織のステークスホルダーへの報告(報告・告知) WEBサイトは企業・組織の前面に立つ重要な情報資産 6
  7. 7. ◆ 情報資産の保全 情報管理を行う上での三原則 機密性 完全性 可用性 7
  8. 8. 情報管理の三原則に則って WEBサイトを管理すること ◆ WEBサイト所有者の行うべきこと 8
  9. 9. ◆ 機密性の保護  一部の限られた人しかアクセスをされては困るページへアクセスさせない  会員制サイトなどの場合、本人以外の人がなりすましてアクセスできない  個人情報等の機微情報が外部に漏洩しない 9
  10. 10. ◆ 完全性の保護  ページデータ等が改ざんされることがないようにする  データの一部でも紛失したり古い情報になることがないようにする  誤った削除など(作業ミスなど)によりデータを失うことを防ぐ 10
  11. 11. ◆ 可用性の保護  WEBサイトは24時間365日いつでも閲覧することが出来る状態を保つ  原因の如何に問わず急激なアクセス増が起きうることを想定する  サイトのページ更新等を行いたいときに、すぐに行うことができる 11
  12. 12. ◆ WEBサイト所有者のあるべき状況  サーバ情報の管理は組織内の2名以上が常に理解している  サーバ内のソフトウェアは毎日最新状態に保つ  管理画面へのログイン情報は社員同士であっても共有しない  管理画面へのアクセスは社内などの限られた場所からのみ許可をする  サーバへの直接のアクセスが行えないようにする  データは常にバックアップを行い、世代管理を行う  サイトが常にアクセスできる状態かを監視する(監視されている状態をつくる)  アクセス数などの負荷に応じてサーバが増減できるようにする 12
  13. 13. うちの会社IT企業でもないし ホームページ運営が仕事じゃないのに こんなの無理!! ちょっとまって! 13
  14. 14. 昨今のサイバー攻撃 14
  15. 15. ◆ 最近のサイバー攻撃の種類  標的型攻撃 特定の組織を狙って攻撃を行う。取引先などになりすましてメールを送り、機密情報の取得などを行う  ゼロデイ攻撃 ソフトウェアの脆弱性等が見つかり、対処が行われるまでの間に、それらの脆弱性をついた攻撃を行う  マルウェア 情報取得を行うためのウイルスやスパイウェア、ランサムウェアなどの総称  DoS攻撃/DDoS攻撃 サーバに対して大量のアクセスや膨大なデータを送りつけることでサーバを麻痺させアクセスできない状態にする攻撃  SQLインジェクション ブラウザ上からデータベースを操作する処理を利用し、不正にデータを取得したり、改ざん、削除等を行う攻撃 15
  16. 16. ◆ 不正アクセスの届け出状況 出典: IPAコンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第3四半期(7月~9月)] 16
  17. 17. ◆ 不正アクセス被害の原因 出典: IPAコンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第3四半期(7月~9月)] 17
  18. 18. ◆ 最近の被害事例  フリーメールを業務利用し情報漏えい 静岡県島田市 2018/10/1 禁止されていたフリーメールの業務利用を行い、海外から不正アクセスを受け個人情報の漏洩の疑い  不正アクセスにより学内情報が漏洩 高知県立大学 2018/8/25 大学が管理する学外メールサービスへ不正アクセスが発生した  サーバがランサムウェアに感染 多摩都市モノレール 2018/7/22 業務用ファイルサーバ内に保存しているファイルがランサムウェア感染により暗号化される被害が発生した  通販サイトに不正アクセス キルフェボン 2018/6/8 洋菓子店の通販サイト「キルフェボンWEBストア」が不正アクセスを受け、会員のメールアドレスとパスワードが外部に流出した  元従業員が不正アクセス 中日本エクストール横浜 2018/5/27 元従業員が不正アクセスし、セキュリティ対策ソフトを削除した 18
  19. 19. 身近なところでもサーバや 関連システムへの不正アクセスは 行われている 19
  20. 20. 攻撃対象になりやすいWordPress 20
  21. 21. ◆ WordPress  世界中で最も多く使われているCMS 世界中のサイトで使用されているCMSの分布のうち、WordPressが群を抜い てトップ(全体の32.2%がWordPressで作られている)  OSS(Open Source Software) WordPressはOSSのため、世界中で様々なエンジニアが日々機能拡張やバ グフィクスを行いWordPressを成長させている  無料 基本的な機能は全て無料で公開されているため、組織の規模を問わず利用 できる  使いやすい管理画面 ワープロ感覚でサイトの作成が誰でも行える 出典: W3Techs  Usage of content management systems for websites 21
  22. 22. ◆ WordPressを狙った攻撃  サイト改ざん  迷惑メールの送信元として使用される  サイトにマルウェアを埋め込まれる 22
  23. 23. ◆ WordPressが攻撃対象になりやすい理由  全サイトの30%超がWordPressを利用している  WordPressは原則としてそのサーバー自体の管理もサイト所有者が行う  バージョンごとの問題が公開されている 23
  24. 24. ◆ 攻撃対象になりにくくするためには  WordPress本体とプラグイン(拡張機能)を毎日更新する  ログインページには管理者以外がアクセス出来ないようにする  ログインユーザー情報が分からないように設定する 24
  25. 25. ◆ WordPressを使わなければ安全!?  サイト公開はWordPressだけでは行えない  アプリケーションごとにバージョン情報と脆弱性情報が公開されている  不正アクセスだけが攻撃ではない 25
  26. 26. 安全なサイト運営を行うためには 30
  27. 27. ◆ アプリケーションの更新  OSやWebサーバ、実行言語、CMS等、全ての更新を毎日行う  実行言語やOSは1年から3年サイクルでメジャーバージョンアップする 31
  28. 28. ◆ パスワード管理  各種パスワードは8文字以上で3種類以上の文字を含める  他で使用していないパスワードを設定する  複数人で管理する場合は1人1IDを持ち、パスワード情報を共有しない  定期的に変更する 32
  29. 29. ◆ サーバ構成・設定  サーバは複数台構成にするなど、大量トラフィックがいつ来てもよい構成に  バージョン情報を公開しないように設定する  常時SSL化を行う  WAF(Web Application Firewall)を導入する 33
  30. 30. ◆ サーバ保守  サーバのDISKやDBデータを日々バックアップを行う  サーバ監視を行い常に正常に稼働しているかを確認する 34
  31. 31. Amazon Web Servicesのご紹介 35
  32. 32. ◆ Amazon Web Services(AWS)  世界のクラウドベンダーで常にトップ  月間数百万以上のアクティブカスタマー  125種以上のサービスラインナップ 36
  33. 33. ◆ AWSの特徴 37
  34. 34. ◆ 高いセキュリティと多くの第三者認証を取得 38
  35. 35. ◆ AWSを使った場合  適切な設定と運用を行うことで、毎日自動的にOSやアプリケーションの更新 を実施  オートスケーリング機能を実装することで、負荷に応じて自動的にサーバ台 数を増減  WAFサービスの導入により主な攻撃をブロック  DISKやDBデータの自動的なバックアップ  SSL証明書を無料で発行 41
  36. 36. サーバーレスアーキテクチャとは 42
  37. 37. ◆ サーバーレスアーキテクチャの特徴 サーバー管理不要 柔軟なスケーリング 十二分に考慮され た高可用性 アイドル時のリソース 確保が不要 43
  38. 38. ◆ 責任範囲 オンプレミス クラウド(EC2) サーバーレス 44
  39. 39. 45 ◆ 静的Webサイトの公開例 AWS Cloud  静的HTMLや画像だけで構成された サイトの場合 CloudFront(CDN) + S3(Storage) + Route53(DNS) のみで配信可能  S3の堅牢性は99.999999999%  サイトデータが1GBの場合でも固定 費は100円未満※ ※商用で利用する場合、サポート契約等は別途必要 ※データ通信量に応じて費用が別途発生します
  40. 40. ◆ サイトをサーバレス化した場合  アプリケーションの更新作業 → 不要  負荷に合わせたサーバの増減等のコントロール → 不要  データのバックアップ → 不要(原則自動)  障害発生時の対応 → 原則不要  データの暗号化 → 自動・または容易に設定可能 機密性・完全性・可用性の保護をAWSが行う 46
  41. 41. まとめ 47
  42. 42. ◆ まとめ  サイト所有者は、サイト全体の「機密性」「完全性」「可用性」の保護を行う必 要がある  サイト運用には多くの手間やコストが必要となる  AWSを使用することで多くの手間やコストを削減できる  更にサーバーレスアーキテクチャを採用することで大部分の管理から開放さ れる 48
  43. 43. ◆無料Webサイト簡易脆弱性診断について 簡易的なWebサイト脆弱性診断を承ります 診断結果には、簡易的なチェックによって分かった情報や推測される情 報のご提供と、改善が必要と思われる場合には、その改善案等をご提 示いたします。 ご希望の方は、お手元にお配りしている、「無料Webサイト簡易脆弱性 診断申込書」をご記入の上、FAX( 03‐3843‐8126)または メール( web‐shindan@cloud‐partner.jp)にお送りください。 ※診断結果のご提供にはお時間をいただく場合があります 49
  44. 44. ご清聴ありがとうございました お問い合わせはこちら 株式会社キャラウェブ 開発部 副部長 中山 桂一 TEL: 03‐5830‐2280 (Cloud Partner直通) FAX: 03‐3843‐8126 Mail: nakayama@cloud‐partner.jp 50

×