PowerPoint プレゼンテーション

Size: px

Start display at page:

Download "PowerPoint プレゼンテーション"

ありかついさし
5 years ago
Views:

1 情報種別 : 公開会社名 : NTT データイントラマート情報所有者 : 開発本部 intra-mart で運用する場合のセキュリティの考え方株式会社 NTT データイントラマート

2 Webアプリケーションのセキュリティ対策一般的にセキュリティ脆弱性対策は次に分類されます ①各製品部分に潜むセキュリティ対策製品の中でも次のように分類したとします A サーバOS Java データベース製品 Webブラウザ等のミドルウェア製品» 例) JDK8の脆弱性 WindowsServer2012R2の脆弱性等 Internet Explorerの脆弱性による問題 OSに侵入したウィルスによる問題等 P.3にて解説します B intra-mart製品 P.4にて解説します ②個別に開発したアプリケーション連携先アプリケーションの対策» 例) SIer開発のプログラム連携先のERPやWebサービス等 P.7にて解説します ③サーバOS Webサーバ等のインフラ部分の設定管理の徹底サーバその他物理的なネットワークに関するセキュリティ対策» 例) 暗号化通信 SSL VPN回線専用回線 Firewall等のアーキテクチャ P.8にて解説します 2

html OS Webブラウザは定期的なWindows Updateを実施» Microsoft 製品の脆弱性対策について(2015年5月) http://www.ipa.go.jp/security/ciadr/vul/20150513-ms.

3 ①各製品部分に潜むセキュリティ対策サーバOS Java データベース製品 Webブラウザ等各ベンダーから提供される修正プログラムを必ず適用してくださいミドルウェアベンダーからの修正プログラムを適用» Oracle Java の脆弱性対策について(CVE 等) OS Webブラウザは定期的なWindows Updateを実施» Microsoft 製品の脆弱性対策について(2015年5月) -コラム- 修正プログラムの適用によるintra-mart製品への影響は原則影響はないものと考えられます脆弱性に対する修正となるため動作仕様が変更となる事はないと考えられますただし弊社から提供するものではありませんので修正プログラムの詳細については各ベンダー側へご確認くださいまた修正プログラム適用後に問題が発生した場合は弊社までお問合せください 3

4 ①各製品部分に潜む脆弱性 intra-mart製品パッケージ部分 intra-mart製品のセキュリティ脆弱性対策はリリース前に一定の水準を持ったテストおよび脆弱性対応を施しています弊社製品リリース前に実施する脆弱性テストの検知対象クロスサイトスクリプティング OSコマンドインジェクション HTTPレスポンス分割 SQLインジェクションパラメータ改竄強制ブラウジング Hiddenフィールドの不正な操作 Cookieの濫用バックドアおよびデバッグオプションコンテンツ脆弱性製品リリース後万が一 intra-mart製品に関する部分でセキュリティに関する脆弱性などが見つかった場合は最新アップデートに対する緊急パッチ次期アップデートにて対応します事象に応じては過去1年のアップデートに対するパッチ提供も検討致します弊社から提供する脆弱性修正プログラムによって原則動作仕様が変更になる事はありません 4

①各製品部分に潜む脆弱性代表的な脆弱性に対するintra-martの方針１パラメータタンパリングなどURL操作

が対象リソースへのアクセスを厳密に制限しますこのため不正なパラメータが送られた場合においても通常は個人に割当

よるセキュリティリスクがありますクロスサイトスクリプティング通常ユーザが入力する箇所についてはクロスサイト

のものの脆弱性に関するスクリプトなどは対応しかねる部分がありますまた一部管理者向けの機能にて

アクセス権の厳密な運用によってリスク回避を行う必要があります SQLインジェクション通常ユーザが入力する箇所については

5 ①各製品部分に潜む脆弱性代表的な脆弱性に対するintra-martの方針１パラメータタンパリングなどURL操作リクエスト操作によるセキュリティ intra-mart製品はユーザに紐付けられた権限 IM-Authz が対象リソースへのアクセスを厳密に制限しますこのため不正なパラメータが送られた場合においても通常は個人に割当られた情報のみが開示される仕組みになりますただしユーザアプリケーションカスタマイズアプリケーションその他設定の漏れによるセキュリティリスクがありますクロスサイトスクリプティング通常ユーザが入力する箇所についてはクロスサイトスクリプティングを想定したサニタイジング無害化処理を行ったアプリケーションを作成していますただし Webブラウザそのものの脆弱性に関するスクリプトなどは対応しかねる部分がありますまた一部管理者向けの機能にて悪意あるスクリプトが入れられてしまうリスクがありますこれらについてはアクセス権の厳密な運用によってリスク回避を行う必要があります SQLインジェクション通常ユーザが入力する箇所については SQLインジェクションを想定したサニタイジング無害化処理を行ったアプリケーションを作成していますまた一部管理者向けの機能にて悪意あるSQLが入れられてしまうリスクがありますこれらについてはアクセス権の厳密な運用によってリスク回避を行う必要があります 5

①各製品部分に潜む脆弱性代表的な脆弱性に対するintra-martの方針 2 ブロークンアクセスコントロール intra-mart製品はユーザに紐付けられた権限 IM-Authz が対象リソースへのアクセスを厳密に制限しますこのため不正なパラメータが送られた場合においても通常は個人に割当られた情報のみが開示される仕組みになりますただしユーザアプリケーション

6 ①各製品部分に潜む脆弱性代表的な脆弱性に対するintra-martの方針 2 ブロークンアクセスコントロール intra-mart製品はユーザに紐付けられた権限 IM-Authz が対象リソースへのアクセスを厳密に制限しますこのため不正なパラメータが送られた場合においても通常は個人に割当られた情報のみが開示される仕組みになりますただしユーザアプリケーションカスタマイズアプリケーションその他設定の漏れによるセキュリティリスクがありますバッファーオーバーフロー intra-mart製品は Javaで作成されています通常は不正なメモリ領域にアクセスさせるようなパラメータを侵入させることは困難な仕組みとなりますセッションハイジャックセッションポイズニングセッションハイジャックについては今現在のアーキテクチャにおいてはリスクを完全に回避することが困難ですこのため物理的なレイヤでの制御やOSでのセキュリティ強化によってユーザのCookieを秘匿に保っておくなどの対策が必要です 6

②個別に開発したアプリケーション連携先アプリケーション弊社intra-mart製品基盤上で動作する個別に開発したアプリケーション連携先アプリケーションについては Sier お客様側でセキュリティ脆弱性対策が別途必要です製品基盤で全て担保されるものではありません脆弱性検知ツールや脆弱性診断サービス等のご利用をご検討ください -コラム-

7 ②個別に開発したアプリケーション連携先アプリケーション弊社intra-mart製品基盤上で動作する個別に開発したアプリケーション連携先アプリケーションについては Sier お客様側でセキュリティ脆弱性対策が別途必要です製品基盤で全て担保されるものではありません脆弱性検知ツールや脆弱性診断サービス等のご利用をご検討ください -コラム- どこまで対策を行えばよいのかお客様企業におけるセキュリティポリシーや RFP 提案依頼書に盛り込まれるセキュリティ要件システムの用途外部への公開有無機密情報の取り扱いレベル利用者の範囲により異なります以上でお困りの場合弊社コンサルティングサービスをご利用ください個別に開発したアプリケーション連携先アプリケーションなどお客様毎で最適なご提案が可能です 7

ションレイヤーの一部分となります intra-mart 製品基盤としてのセキュリティ対策は施していますが

その他ウィルス対策ソフト導入などの弊社製品の範囲外については別途対策を総じて講じる必要があります

-コラム- どこまで対策を行えばよいのかお客様企業におけるセキュリティポリシーや RFP 提案依頼書

8 ③サーバOS Webサーバ等のインフラ部分の設定管理の徹底 intra-mart製品の取り扱うセキュリティは物理システムや通信アーキテクチャなどを除いたアプリケーションレイヤーの一部分となります intra-mart 製品基盤としてのセキュリティ対策は施していますがその上で Firewallによるアクセス制御 SSLクライアント認証 VPN敷設その他ウィルス対策ソフト導入などの弊社製品の範囲外については別途対策を総じて講じる必要がありますインフラ等のシステム初期構築のみではなくその後の運用も考慮したセキュリティ対策を検討する必要があります -コラム- どこまで対策を行えばよいのかお客様企業におけるセキュリティポリシーや RFP 提案依頼書に盛り込まれるセキュリティ要件システムの用途外部への公開有無機密情報の取り扱いレベル利用者の範囲により異なりますお困りの際は弊社コンサルティングサービスまでご相談ください 8

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション情報種別 : 公開会社名 : NTT データイントラマート情報所有者 : 開発本部 intra-mart で運用する場合のセキュリティの考え方株式会社 NTT データイントラマート Webアプリケーションのセキュリティ対策一般的にセキュリティ脆弱性対策は次に分類されます ①各製品部分に潜むセキュリティ対策製品の中でも次のように分類したとします A サーバOS Java データベース製品