Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
クラウド型CMSのセキュリティと
運用・構築のポイント
2016年1月25日
シックス・アパート株式会社
長内毅志
自己紹介
–長内 毅志 (おさない たけし)
–2011年~ Movable Typeプロダクトマネージャー
–2014年~ ディベロッパーリレーションマネージャー
エバンジェリスト
–趣味 ダンス (ストリート、ジャズ)
ジョギング (サブフ...
アジェンダ
•CMSのセキュリティと攻撃の実際
•クラウド環境構築のポイント
•Movable Type の最新情報
CMSのセキュリティと攻撃の実際
データ出典:JPCERT/CC インシデント報告対応レポート
グラフ:http://www.nca.gr.jp/2013/web201303/
ウェブサイトに改ざんでよく使われる手法
http://www.ipa.go.jp/security/txt/2013/07outline.html
•CMSの管理権限を奪取してウェブサイトを改ざん
•CMSの公開ディレクトリに任意のファイルをアップロ
ードしてウェブサイトを改ざん
CMSに関するハッキングの傾向
•20%はCMSのコア部分にある脆弱性への攻撃、80%
はプラグインなど周辺プログラムの脆弱性を狙った
攻撃
BSI「Content Management Syttem」より
https://www.bsi.bu...
もっとも多いパターン
•使用されているCMSを識別して攻撃
http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
• オープンソースCMSが脆弱なわけではない
• 活発なプロジェクトは固く作らており、パッチの供給も早い
• MTも同様、セキュリティ対応は早い
• FingerPrint(指紋)が紛れ込むことが多いことが問題
• 管理画面のURL特定=>攻撃...
ブルートフォースアタック(総当り攻撃)
イラスト:「2014年版 情報セキュリティ10大脅威」より
http://www.ipa.go.jp/security/vuln/10threats2014.html
ファイルアップロード攻撃(バックドア)
イラスト:「2014年版 情報セキュリティ10大脅威」より
http://www.ipa.go.jp/security/vuln/10threats2014.html
その他
•SQLインジェクション
•CSRF
•XSS
–主にソフトウェアの脆弱性を付くもの
CMSをセキュアに保つために
•ジェネレーター情報はできる限り消去
•管理画面は特定させない
•ステージング構成はセキュリティ的に強い
–構築・運用の手間は考慮の必要あり
•パッケージやプラグインは常に最新の状態にアップ
デート
•Movable Typeセキュリティ対策ガイド
• http://www.movabletype.jp/guide/movable-type-security-guide.html
ここまでのまとめ
•CMSが特定できると、攻撃しやすい
•総当たり攻撃やファイルアップロード攻撃など、攻撃
者はCMSとプラグインの脆弱性を狙って攻撃をおこ
なう
クラウド上でCMSを構築・運用する際のポ
イント
この章について
•一般的なクラウドサービスについて言及
(Microsoft Azure、AWS)
(PowerCMS クラウド、Movable Type クラウド版など、クラウド基盤
を利用したCMSサービスは「クラウドCMSサービス」と称し...
クラウド上でのCMS構築
•クラウド+CMS
=> Virtual Machine、DB、データストレージが中心とな
る
•クラウドの特性を理解して利用が吉
クラウドにデータを預けるのは心配?
•10億円を保管するなら自宅? 銀行?
•銀行なみのセキュリティ?
クラウド事業者のセキュリティレベルは高い
•Azureなら
–国際規格 (ISO 27001、HIPAA、FedRAMP、SOC 1/2)
–英国 (G-Cloud)
–オーストラリア (I-RAP)
–シンガポール (MTCS)
出典: ht...
Azure 仮想マシンのダウンタイム
•Azure 仮想マシンの稼働率 99.9996%
–40.07分のダウンタイム
画像及びデータはCloudSquare (https://cloudharmony.com/cloudsquare)
via...
AWSのダウンタイム
•AWS EC2の稼働率 99.9992%
–2回の障害 16.88分のダウンタイム
画像及びデータはCloudSquare (https://cloudharmony.com/cloudsquare)
via “Publ...
肝は「構成」
•クラウドのメリットは「構成が柔軟」なこと
–冗長構成 (仮想マシンの複数構成)
–Geoレプリケーション (異なる地域へのデータ保全)
–ディザスタ・リカバリ
•データ保全、システムの可用性
クラウドのセキュリティ
•不必要なポートは開放しない
–(クラウドCMSサービスを利用する場合は特に意識する必要はな
い)
•仮想ネットワークサービスを活用して設定を
–Azure ならVirtual Network
–AWSならVPC
Microsoft Azureでのセキュリティ設定
AWSでのセキュリティ設定
セキュリティチェックは要注意
•各種セキュリティチェック
–ペネトレーションテスト
–ポートスキャン
•そのままでは攻撃とみなされる
クラウドのセキュリティチェックは申請が必要
•Microsoft Azure での侵入テスト申請
–http://blogs.msdn.com/b/dsazurejp/archive/2014/10/15/micro
soft-azure-pe...
セキュリティチェックポリシーは事前にすり合わせを
•事前に確認と手続きを
•サーバー管理担当者やシステム構築担当者との手
続きが必要
•クラウドCMSサービスの場合、サービス提供者へ問
い合わせを
インフラへの理解は運用・構築の工数を削減
•運用のトラブルを未然に防げる
–Azureなら
•Virtual Machine
•Web Apps
•Storage
–専門家になる必要はない
•サービス事業者へ聞けば良い
クラウドサービス型CMSの構築は仕様に準じて
•クラウドサービス型CMSの場合、サーバーのルート
権限は使えない
•仕様内の構築が望ましい
–プログラム的に負荷の高いカスタマイズは運用継続性の足かせ
になるケースがある
•サポートをうまく活用する
Movable Type を利用したクラウドCMSサービス
•PowerCMS クラウド
–Movable Type + PowerCMSのクラウドサービス
–高機能、エンタープライズ
•Movable Type クラウド版
–Movable ...
ここまでのまとめ
•クラウドの特性を理解したシステム構築が肝
•セキュリティチェックは事前のすり合わせを
•クラウド基盤の理解はスムーズな運用に繋がる
•クラウドCMSサービスを利用する際は無理なカスタマ
イズをしない
Movable Type 最新情報
最新バージョン
Movable Type 6.2.2
パフォーマンス改善
MT6 からの新機能「Data API」
•REST 形式のAPI
•Movable Type のデータを読み込み・書き込み・保存
可能
•JSON形式でデータ取得
APIの活用例
マルチデバイス対応
APIの活用例
スマホアプリとの連動
Data APIの活用事例
http://www.sixapart.jp/movabletype/data-api/
iOS用アプリ「Movable Type for iOS」
Google Analyticsの連携
• Google Analyticsと連携してアクセスデータをダッシュボード上に表
示
JSONデータで取得可能
•JSON形式でデータを取得可能
•PHP、JavaScriptなどで任意の形で
加工、利用
Movable Type のラインアップ
•Movable Type
•Movable Type クラウド
•MovableType.net
Movable Type クラウド版
•クラウド環境でMTを提供
•サーバー保守、メンテナンスはシックス・アパートが
担当
•月額5000円~
サーバー配信機能
•外部サーバーへhtml送信
•ステージング構成が簡単
バックアップ機能
•1日に1度データをバックアップ
•いつでも復旧可能
MovableType.net
•Webサービス型CMS
•カスタムフィールドが利用可能
•GitHub上のテーマと連携可能
•低価格(2500円/月~)
自由度低
(ウェブサービス型)
高
(ソフトウェア型)
手軽さ
複
雑
容
易
MT on AWS
•AWS marketplace で提供
•microインスタンスは無料(AWS使用料別)
MTコミュニティとイベント
•MT蝦夷
•MT東北
•MT東京
•MTなごや
•MT愛媛
•MT鹿児島
•MT関西
•MT広島
•MT福岡
•MT長野
•MT SAGA
•MT ∗/ NIIGATA(新潟)
MTDDC Meetup TOKYO 2015
セミナー・勉強会も随時実施中
•http://www.sixapart.jp/seminar/
ご清聴ありがとうございました
20160125 power cms_cloud_public
Upcoming SlideShare
Loading in …5
×

20160125 power cms_cloud_public

525 views

Published on

2016年1月25日 ビジネスセミナーの登壇資料です

Published in: Technology
  • Be the first to comment

  • Be the first to like this

20160125 power cms_cloud_public

  1. 1. クラウド型CMSのセキュリティと 運用・構築のポイント 2016年1月25日 シックス・アパート株式会社 長内毅志
  2. 2. 自己紹介 –長内 毅志 (おさない たけし) –2011年~ Movable Typeプロダクトマネージャー –2014年~ ディベロッパーリレーションマネージャー エバンジェリスト –趣味 ダンス (ストリート、ジャズ) ジョギング (サブフォー) 英語の勉強 (TOEIC 875, 英検準1級) 家族と過ごすこと
  3. 3. アジェンダ •CMSのセキュリティと攻撃の実際 •クラウド環境構築のポイント •Movable Type の最新情報
  4. 4. CMSのセキュリティと攻撃の実際
  5. 5. データ出典:JPCERT/CC インシデント報告対応レポート グラフ:http://www.nca.gr.jp/2013/web201303/
  6. 6. ウェブサイトに改ざんでよく使われる手法 http://www.ipa.go.jp/security/txt/2013/07outline.html
  7. 7. •CMSの管理権限を奪取してウェブサイトを改ざん •CMSの公開ディレクトリに任意のファイルをアップロ ードしてウェブサイトを改ざん
  8. 8. CMSに関するハッキングの傾向 •20%はCMSのコア部分にある脆弱性への攻撃、80% はプラグインなど周辺プログラムの脆弱性を狙った 攻撃 BSI「Content Management Syttem」より https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.ht ml Via http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
  9. 9. もっとも多いパターン •使用されているCMSを識別して攻撃 http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
  10. 10. • オープンソースCMSが脆弱なわけではない • 活発なプロジェクトは固く作らており、パッチの供給も早い • MTも同様、セキュリティ対応は早い • FingerPrint(指紋)が紛れ込むことが多いことが問題 • 管理画面のURL特定=>攻撃につながる
  11. 11. ブルートフォースアタック(総当り攻撃) イラスト:「2014年版 情報セキュリティ10大脅威」より http://www.ipa.go.jp/security/vuln/10threats2014.html
  12. 12. ファイルアップロード攻撃(バックドア) イラスト:「2014年版 情報セキュリティ10大脅威」より http://www.ipa.go.jp/security/vuln/10threats2014.html
  13. 13. その他 •SQLインジェクション •CSRF •XSS –主にソフトウェアの脆弱性を付くもの
  14. 14. CMSをセキュアに保つために •ジェネレーター情報はできる限り消去 •管理画面は特定させない •ステージング構成はセキュリティ的に強い –構築・運用の手間は考慮の必要あり •パッケージやプラグインは常に最新の状態にアップ デート
  15. 15. •Movable Typeセキュリティ対策ガイド • http://www.movabletype.jp/guide/movable-type-security-guide.html
  16. 16. ここまでのまとめ •CMSが特定できると、攻撃しやすい •総当たり攻撃やファイルアップロード攻撃など、攻撃 者はCMSとプラグインの脆弱性を狙って攻撃をおこ なう
  17. 17. クラウド上でCMSを構築・運用する際のポ イント
  18. 18. この章について •一般的なクラウドサービスについて言及 (Microsoft Azure、AWS) (PowerCMS クラウド、Movable Type クラウド版など、クラウド基盤 を利用したCMSサービスは「クラウドCMSサービス」と称します)
  19. 19. クラウド上でのCMS構築 •クラウド+CMS => Virtual Machine、DB、データストレージが中心とな る •クラウドの特性を理解して利用が吉
  20. 20. クラウドにデータを預けるのは心配? •10億円を保管するなら自宅? 銀行? •銀行なみのセキュリティ?
  21. 21. クラウド事業者のセキュリティレベルは高い •Azureなら –国際規格 (ISO 27001、HIPAA、FedRAMP、SOC 1/2) –英国 (G-Cloud) –オーストラリア (I-RAP) –シンガポール (MTCS) 出典: https://azure.microsoft.com/ja-jp/support/trust-center/compliance/
  22. 22. Azure 仮想マシンのダウンタイム •Azure 仮想マシンの稼働率 99.9996% –40.07分のダウンタイム 画像及びデータはCloudSquare (https://cloudharmony.com/cloudsquare) via “Publickey” (http://www.publickey1.jp/) より
  23. 23. AWSのダウンタイム •AWS EC2の稼働率 99.9992% –2回の障害 16.88分のダウンタイム 画像及びデータはCloudSquare (https://cloudharmony.com/cloudsquare) via “Publickey” (http://www.publickey1.jp/) より
  24. 24. 肝は「構成」 •クラウドのメリットは「構成が柔軟」なこと –冗長構成 (仮想マシンの複数構成) –Geoレプリケーション (異なる地域へのデータ保全) –ディザスタ・リカバリ •データ保全、システムの可用性
  25. 25. クラウドのセキュリティ •不必要なポートは開放しない –(クラウドCMSサービスを利用する場合は特に意識する必要はな い) •仮想ネットワークサービスを活用して設定を –Azure ならVirtual Network –AWSならVPC
  26. 26. Microsoft Azureでのセキュリティ設定
  27. 27. AWSでのセキュリティ設定
  28. 28. セキュリティチェックは要注意 •各種セキュリティチェック –ペネトレーションテスト –ポートスキャン •そのままでは攻撃とみなされる
  29. 29. クラウドのセキュリティチェックは申請が必要 •Microsoft Azure での侵入テスト申請 –http://blogs.msdn.com/b/dsazurejp/archive/2014/10/15/micro soft-azure-penetration-test-request.aspx •侵入テスト AWS セキュリティセンター –https://aws.amazon.com/jp/security/penetration-testing/
  30. 30. セキュリティチェックポリシーは事前にすり合わせを •事前に確認と手続きを •サーバー管理担当者やシステム構築担当者との手 続きが必要 •クラウドCMSサービスの場合、サービス提供者へ問 い合わせを
  31. 31. インフラへの理解は運用・構築の工数を削減 •運用のトラブルを未然に防げる –Azureなら •Virtual Machine •Web Apps •Storage –専門家になる必要はない •サービス事業者へ聞けば良い
  32. 32. クラウドサービス型CMSの構築は仕様に準じて •クラウドサービス型CMSの場合、サーバーのルート 権限は使えない •仕様内の構築が望ましい –プログラム的に負荷の高いカスタマイズは運用継続性の足かせ になるケースがある •サポートをうまく活用する
  33. 33. Movable Type を利用したクラウドCMSサービス •PowerCMS クラウド –Movable Type + PowerCMSのクラウドサービス –高機能、エンタープライズ •Movable Type クラウド版 –Movable Type のクラウドサービス –ブログ、中小から大規模サイトまで
  34. 34. ここまでのまとめ •クラウドの特性を理解したシステム構築が肝 •セキュリティチェックは事前のすり合わせを •クラウド基盤の理解はスムーズな運用に繋がる •クラウドCMSサービスを利用する際は無理なカスタマ イズをしない
  35. 35. Movable Type 最新情報
  36. 36. 最新バージョン Movable Type 6.2.2
  37. 37. パフォーマンス改善
  38. 38. MT6 からの新機能「Data API」 •REST 形式のAPI •Movable Type のデータを読み込み・書き込み・保存 可能 •JSON形式でデータ取得
  39. 39. APIの活用例 マルチデバイス対応
  40. 40. APIの活用例 スマホアプリとの連動
  41. 41. Data APIの活用事例 http://www.sixapart.jp/movabletype/data-api/
  42. 42. iOS用アプリ「Movable Type for iOS」
  43. 43. Google Analyticsの連携 • Google Analyticsと連携してアクセスデータをダッシュボード上に表 示
  44. 44. JSONデータで取得可能 •JSON形式でデータを取得可能 •PHP、JavaScriptなどで任意の形で 加工、利用
  45. 45. Movable Type のラインアップ •Movable Type •Movable Type クラウド •MovableType.net
  46. 46. Movable Type クラウド版 •クラウド環境でMTを提供 •サーバー保守、メンテナンスはシックス・アパートが 担当 •月額5000円~
  47. 47. サーバー配信機能 •外部サーバーへhtml送信 •ステージング構成が簡単
  48. 48. バックアップ機能 •1日に1度データをバックアップ •いつでも復旧可能
  49. 49. MovableType.net •Webサービス型CMS •カスタムフィールドが利用可能 •GitHub上のテーマと連携可能 •低価格(2500円/月~)
  50. 50. 自由度低 (ウェブサービス型) 高 (ソフトウェア型) 手軽さ 複 雑 容 易
  51. 51. MT on AWS •AWS marketplace で提供 •microインスタンスは無料(AWS使用料別)
  52. 52. MTコミュニティとイベント
  53. 53. •MT蝦夷 •MT東北 •MT東京 •MTなごや •MT愛媛 •MT鹿児島 •MT関西 •MT広島 •MT福岡 •MT長野 •MT SAGA •MT ∗/ NIIGATA(新潟)
  54. 54. MTDDC Meetup TOKYO 2015
  55. 55. セミナー・勉強会も随時実施中 •http://www.sixapart.jp/seminar/
  56. 56. ご清聴ありがとうございました

×