PowerPoint プレゼンテーション

Size: px

Start display at page:

Download "PowerPoint プレゼンテーション"

あおしさわまつ
5 years ago
Views:

1 Webサイトの最新防御法 :WAFを低コストで導入運用 WAFを利用した脆弱性診断 & 対策サービス (WSS) のご紹介三和コムテック株式会社

2 三和コムテック (SCT) ってどんな会社か? 三和コムテック株式会社東京都港区六本木三和ビル Tel Fax URL 設立 : 業務内容 : 1991 年 Webシステムインフラの構築 Webアプリケーション開発 PCI DSS 準拠の普及促進 (JCDSC 活動 ) 技術提携先 : 日本 IBM McAfee, Inc. ( 米国 ) Penta Security Systems Inc.( 韓国 ) Tango/04 ( スペイン ) Razlee( イスラエル ) 参加団体 : 日本カード情報セキュリティ協議会 (JCDSC) 運営委員情報システム学会日本ガイドシェア (JGS)IP 部会メンバー

3 PCI DSS 準拠対策の前に PCI DSS 準拠に関係なく WAF は必要です!

4 どうして必要か? 漏えいや改ざんがいっぱい起きてますたとえば 2013 年前半だけでもこんなにいっぱいですよ例えばこんな具合です 4

5 2013/1 UCC に不正アクセス会員情報が改ざん - 外部流出は否定桜島フェリーのサイトが改ざん - 閲覧でウイルス感染のおそれ宮崎県の農業向け気象情報サイトが改ざん - 閲覧でマルウェア感染のおそれ須坂市公式サイトが改ざん - ウイルス感染は発生せず農業環境技術研究所のサイトが改ざん被害 - 情報流出は確認されず鳥取県立博物館のサイトが改ざん - 個人情報漏洩は発生せず栃木県の雨量水位観測システムにサイバー攻撃 - データ改ざんが発生 2013/2 不正アクセスで Twitter のユーザー情報約 25 万人分が外部漏洩の可能性振袖レンタルサイトが改ざん閲覧でウイルス感染のおそれ 2013/3

6 2013/3 Evernoteのアカウント情報が流出 - パスワードリセットを実施サイト改ざんで閲覧者にウイルス感染のおそれ - 日本郵政グループ会社 JINSのオンラインショップに不正アクセス - カード情報流出の可能性サイトが改ざん被害閲覧でウイルス感染のおそれ - 日本エアロゾル学会環境省の運営サイトが改ざん被害 - 不正サイトへ誘導素粒子原子核研究所理論センターのウェブサイトが改ざん被害企業サイトや通販サイトなど関連 21サイトが改ざん - マイクロマガジン情報処理学会 HCI 研究会のウェブサイトが改ざん被害 2013/4 gooid に対してブルートフォース攻撃 - 約 3 万件に不正ログイン Yahoo!JAPAN サーバに不正プログラム-ファイル抽出途中で強制停止情報流出は否定特定 IPよりフレッツ光メンバーズクラブに大量アクセス- 一部アカウントをロックいしかわ動物園のサイトが改ざん被害 - 閲覧でウイルス感染のおそれ gooid への攻撃使い回しアカウント狙った可能性 - 全アカウントをロック対象に JR 東の会員向けサイトでも不正ログイン - 他社被害を受け調査したところ判明国内のDNSキャッシュサーバがDDoS 攻撃の踏み台に - JPCERTが適切な設定呼びかけにんしんSOS サイトに不正アクセス改ざんや情報漏洩は否定 - 大阪府アノニマスによる攻撃で朝鮮新報の登録者情報が流出スマホ向け認証決済サービス mopita で不正ログインが発生 - 不正課金は確認されず

7 これって今よく耳にする標的型攻撃ですか? いいえおそらく大部分は標的型攻撃ではないと思います 7

8 それでもハッキングされてしまうのですか? はい残念ながらなかでも WEBアプリケーションの脆弱性をよくつかれますね 8

9 権限昇格パス開示 CSRF 任意のファイル LFI RFI 情報開示その他すべてのアプリケーション脆弱性のうちメモリ破壊任意のコード実行 57% が WEB 脆弱性 57% 43% SQL インジェクション XSS DoS Application Security Trends Report March 11,2012 Cenzic, Inc.

10 Web アプリケーションファイアウォールの必要性国際 Web アプリケーションセキュリティ研究団体である OWASP から発表された 2010 年度の主な Web 脆弱性の項目及び各セキュリティ製品の対応能力の分析 OWASP Top Firewall IDS / IPS WAF A1: Injection X O A2: Cross Site Scripting (XSS) X O A3: Broken Authentication and Session Management X O A4: Insecure Direct Object References X X O A5: Cross Site Request Forgery (CSRF) X X O A6: Security Misconfiguration X X O A7: Failure to Restrict URL Access X X O A8: Insecure Cryptographic Storage X X O A9: Insufficient Transport Layer Protection X O O A10: Unvalidated Redirects and Forwards X X O Web アプリケーションファイアウォール (WAF ) だけが Web 脆弱性に完璧に対応 Copyright2011 Sanwa Comtec K.K. 10

11 なぜ WEB アプリは脆弱なのでしょうか? 簡単に直せないからです! 11

12 Web アプリケーションの脆弱性対策と問題点 Web アプリケーション脆弱性への解決方法は下記の 2 通り 1Web アプリケーションのプログラムを修正する 2WAF(Web Application FireWall) を導入する Web アプリケーション修正の問題点開発環境がなく本番をそのまま修正する場合が多い修正した場合の現行 WEB サービスへの不具合発生のリスクが計り知れない脆弱性を直せない / 放置!! 12

13 それなら WAF を入れれば良いのでは? 何か問題点がはいあるんです! 13

14 どんな問題点ですか? 高い! 運用できない!! から意味がない!!! 14

15 ある Sier の営業マンの話では --- もう WAF の話は聞くのも嫌だ! 15

16 なぜですか? 数年前に金融系に当時著名なWAFを販売したがその後運用負荷 (= コスト ) の高さから放置状態となり顧客との関係悪化! 16

17 それなら WAF はみんなダメじゃないですか? いいえそんなことはありません 17

18 それは WAPPLES(WAF) と脆弱性診断を利用した WAF の運用サービス WSS です! 18

19 どこが良いの? WSS(web security suite) 従来の WAF 利用における全ての問題を解決したサービスだからです! 19

20 どういうこと? もう少し教えてよどこが良いのつまり WAPPLES の優れた WAF 機能 / 運用性脆弱性診断を組み合わせて => WAF 本来の機能及び適切な運用を低コストでサービスで提供できるのです 20

21 SCT Web Security Suite概要 Webシステムの脆弱性を発見する診断サービスと脆弱性に対処して貴社システムを守るWAF そしてWAFのメンテナンスサポートをセットにしてご提供しますお客様クラウドセンター脆弱性診断最新情報で毎日診断 WAF インターネット脆弱性診断サービスサーバー貴社Webシステム最大スループット100MbpsのWAF1台脆弱性診断トータルサポートを月額17.7万円よりご提供脆弱性診断のレポート攻撃状況のレポート WAFに対策設定 WAFのメンテナンス SCTサポートセンター診断と対策対応をセットで月額サービスとしてご提供 Copyright2011 Sanwa Comtec K.K. WSSサービス詳細へ 21

22 WAF 導入運用 + デイリー脆弱性診断 (ASV) をパッケージにした WAF ソリューション WEB SECURITY SUITE (WSS) とは

23 WSS サービスの流れ ( 時系列 ) パッチ適用 ( 必要な場合 ) 1 か月 1 か月 1 か月導入ログ提供定期ポリシー見直しログ提供定期ポリシー見直しログ提供定期ポリシー見直し McAfee SECURE 連動ポリシー見直し ( 随時 ) 23 McAfee SECURE 連動ポリシー見直し ( 随時 )

24 1 導入時作業事前調査導入プラン作成導入セットアップ訪問検知のみ遮断なしのポリシーに設定します約2週間 1か月後ログ取得ログ解析ポリシー設定遮断ありのポリシーに設定しますログの確認 24

25 2 検知ポリシー確認月次ログ取得レポート送付 WAFにて取得した検知ログを月次でレポート致します検知ポリシーの見直し適宜ログレポートより不正アクセスの可能性があればお客様と確認の上保護できるよう検知ポリシーを見直します 25

26 ３パッチ適用 WAPPLESのパッチ適用はパッチの内容必要性重要度等を考慮し必要な場合に適用します導入準備環境確認バックアップパッチ適用ログの確認 26

27 ４ McAfee SECURE連動随時 PCI DSS / ASVとしても定評のあるMcAfee Inc. の McAfee SECURE のデイリー診断をWAFの保護対象サイトへ診断します McAfee SECUREによる診断で一定レベルのWebアプリケーションの脆弱性が検出された場合に適宜検知ポリシーの見直しを行い当該脆弱性をついた不正アクセスから防御しますログの確認 McAfee SECUREによる再検査実施結果の確認検知ポリシー見直しによる保護設定の有効性を確認します 27

28 なぜ WAF にて保護しているサイトに脆弱性診断をかけるのか? WAF の保護設定が不正アクセスに対する効果があるか設定不備がないかを確認するのに重要だからです 28

29 価格体系はどうなっていますか? アプライアンス或いはソフトウェアWAFを販売或いは月額レンタルし弊社の WAF 運用サービスを課金する形になります 29

30 価格体系はどうなっていますか? アプライアンス或いはソフトウェアWAFを販売或いは月額レンタルし弊社の WAF 運用サービスを課金する形になります 30

31 具体的には? 保護対象サイトへのトラフィック量サイト数保護レベルにもよりますが月額 15 万円くらいから利用可能です 31

32 アプライアンス型の月額レンタルの場合 WSS サービスメニューサービス名称 SWSS50 SWSS100 SWSS500 ご提供形式 HW+ サービススィート HW+ サービススィート HW+ サービススィート最大スループット 100 Mbps 300 Mbps 500 Mbps HTTP TPS 2,000 9,000 15,000 Form Factor 1U 1U 1U WAF 保護対象サーバー数 2 Servers 無制限無制限初期費用 148, , ,000 月額サービスご提供価格 177, , ,000 上記のスペックの WAF に加えて 3IP の Web サイトに対して毎日の脆弱性診断サービス WAF のメンテナンス定期的に WAF の対策設定実施 Copyright2011 Sanwa Comtec K.K. 32

33 ちなみにもっと安いものはないの? ソフトウェア型 WAF の利用の場合なら更に安くなります 33

34 そろそろ時間がないのでまとめに入ります WAFによる脆弱性対策とその有効性を毎日の脆弱性診断で確認対策も診断もお客様の手間殆どいらず診断は自動対策運用は弊社にて対応 WAF検知レポートにて月次で状況変化を確認高価で運用負担も大きいWAFを安価な月額サービスで利用可能 PCIDSS準拠サービス/ツールの利用による確かな品質 McAfee SECURE: 要件11.2 ( PCI DSS ASV ) WAF (WAPPLES): 要件 6.6 機能適合証明取得 34

35 他にも是非ご紹介したい PCI DSS 対策ソリューション

36 SCTはPCI DSSの12の要件の視点からソリューションをご提案しますファイアウォールインフラ/DB/アプリの監視管理 Visual Message Center SSL証明書発行 Webサイトの脆弱性テスト McAfee Secure/AppScan アンチウィルス運用負荷の小さい WAF WAPPLES Webセキュリティコンサルティングサービス Ⅰ 安全なネットワークの構築維持要件1. ファイアーウォールを導入し最適な設定を維持する信用しないネットワークからのアクセスを拒否しないといけない FTPには対策を施さないといけない DMZを設置しなければならない要件2. システムまたはソフトウェアの出荷時の初期設定値をそのまま使用しないこと不要なアカウントは削除しないといけないシステムセキュリティパラメータは悪用を防ぐように設定されていなければいけない Ⅱ カード会員データの保護要件3. 保存されたカード会員データを安全に保護すること保存するデータは最小限にしなければならない認証データは削除しなければならないカード番号は判読不能にしなければならない暗号鍵を管理しなければならない要件4. 公衆ネットワーク上でカード会員データを送信する場合暗号化すること伝送データをSSLなどで暗号化しなければならない Ⅲ 脆弱性を管理するプログラムの整備カード会員データの保護要件5. アンチウィルスソフトウエアを利用し定期的に更新することアンチウィルスの監査ログを取得しなければならない要件6. 安全性の高いシステムとアプリケーションを開発し保守すること産業のベストプラクティスに基づく開発を行うこと変更管理基準に従ったソフトウェア設定変更を行うことコーディングの脆弱性をつぶさなければならない WAFを設置しなければならない Ⅳ 強固なアクセス制御手法の導入要件7. カード会員へのアクセスを業務上の必要範囲に制限することアクセス権は業務上の必要範囲に制限しなければならない要件8. コンピュータにアクセスする利用者毎に個別IDを割り当てること利用者ごとに個別のIDを付与しなければならない Ⅴ ネットワークの定期的な監視およびテスト要件9. カード会員データへの物理アクセスを制限すること物理アクセスを制限しなければならない媒体管理をしなければならないマシンルームへの入退出を監視しないといけない要件10. ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し監視すること関連するログをすべて監視しなければならない時計を合わせなければならないアクセスログを3ヶ月間保管しなければならない Ⅵ 情報セキュリティポリシーの整備要件11. セキュリティシステムおよび管理手順を定期的にテストすること四半期に一回以上脆弱性スキャンをしなければならないすべてのネットワークトラフィックを監視しなければならない要件12. 情報セキュリティに関するポリシーを整備することポリシーを整備しなければならないリスク評価のプロセスを含まなければならないリスクを評価しなければならないインシデント対応計画を導入しなければならないサプライチェーンを考慮しなければならない SCT社はPCI DSSに準拠するためのコンサルティングサービスや特別なソリューション製品サービスをご提供します

37 一押し対策ソリューション脆弱性診断ツール WEB アプリケーション診断脆弱性診断サービス PCI DSS 準拠各種診断 DB アクセス保護監視 Guardium ( ガーディアム )

38 WEB アプリケーションの脆弱性診断公開前診断による脆弱性リスクの早期対策を実現 WEB アプリケーション脆弱性診断ツール AppScan

39 世界標準の脆弱性診断ツール AppScan Standard Edition の概要市場シェア No.1(*) の Webアプリケーションセキュリティテストツール使いやすいインターフェースで Webアプリケーションの脆弱性とインフラ(Webサーバー等)の設定ミスや既知の問題を検知 Web アプリケーションをブラックボックスとして検査するためＯＳや利用言語によらず検査可能テストを自動化し手作業に比べて圧倒的な網羅性を確保しテスト時間とコストの削減が可能脆弱性の指摘だけではなく修正方法の提示レポートの作成 Web アプリケーション問題が重大度分けして表示される HTTP リクエスト Application サイトの構成が一目で分かる AppScan HTTP レスポンス Databases Web Servers セキュリティアドバイザリが日本語で Source: Worldwide Security and Vulnerability Management Software Forecast and Analysis: Managing Security Knowledge and Control, IDC #204693, December 2006; Gartner Dataquest, "Market Share: Application Development and Project and Portfolio Management, Worldwide, 2005, Table 2-1," Laurie F. Wurster and Fabrizio Biscotti, 18 May, 2006; Gartner Dataquest, "Market Share: Application Development and Project and Portfolio Management Software, Worldwide, 2006." (*) 39

40 AppScan SE - 分かり易い情報表示問題の詳細な解説と影響を提示修正方法の提示.NET J2EE PHP に特化した修正方法も提示 40

41 AppScan SE - 詳細なテスト情報の表示結果をブラウザでも表示可能スクリーンショットの添付リクエスト / レスポンスの詳細を確認可能変更点と問題点が強調表示される 41

42 AppScan SE - 詳細なレポート PCI-DSS OWASP Top 10 などのコンプライアンスレポートも豊富レポートに載せる内容は選択可能レポートは pdf html txt など様々なフォーマットで保存可能 42

43 AppScan SE - 国際化英語日本語をはじめ 8 ヶ国語に対応 43

44 ASV 診断だけではない PCI DSS 準拠診断 PCI DSS 対策診断サービス

46 PCI DSS 準拠診断の概要テストの種類要件目的実施頻度実施主体社内 ASV 第三者弊社における該当サービス脆弱性スキャニングテスト内部ネットワークにおける OS や各種サービス等に対する脆弱性の有無を調査する最低 4 半期ごとネットワークの大きな変更時ネットワーク診断 ( オンサイトによる脆弱性診断 ) 外部ネットワークにおける OS や各種サービス等に対する脆弱性の有無を調査する最低 4 半期ごとネットワークの大きな変更時 ( 大きな変更時 ) ( 大きな変更時 ) ネットワーク診断 ( インターネット経由による脆弱性診断 ) ペネトレーションテスト外部及び内部のネットワーク層における脆弱性の検出に加え検出した脆弱性を利用して攻撃者の視点から実際に侵入が可能か検証する最低年 1 回ネットワークの大きな変更時ネットワーク診断 ( ペネトレーション ) 外部及び内部のアプリケーション層における脆弱性の検出に加え検出した脆弱性を利用して攻撃者の視点から実際に侵入が可能か検証する最低年 1 回アプリケーションの大きな変更時 Webアプリケーション診断無線アクセスポイントのテスト 11.1 無線装置 ( 無線アクセスポイント ) の設置場所の調査及びセキュリティ設定が適切に実施されているかを調査する最低 4 半期ごと無線 LAN 調査 IDS/IPS の稼働調査 11.4 IDS/IPS が不正な攻撃に対して適切に警告が発生するか調査する最低年 1 回システムの大きな変更時ネットワーク診断 (IDS/IPSの調査) セキュリティ運用管理に関するテスト 12.1 セキュリティ基準 (PCI DSS の各要件及びセキュリティポリシー ) に基づき対象範囲のシステムの運用状況を確認する最低年 1 回情報セキュリティ監査 ( ヒアリングや現地視察等 ) 46 社内ネットワークからインターネット経由での診断は現実的には難しいと想定されます Copyright Five drive Inc. All Rights reserved.

47 最後は Database 監視 GUARDIUM( ガーディアム )

48 セキュリティ - 対策 - アプローチの変化 - 既存のアプローチコントロールの範囲全ての情報資産コントロールの焦点防御的コントロール (Anti-Virus, Firewall) 高度なアプローチ視点ネットワークの境界線データ中心もっとも重要な資産の保護に注力発見的コントロール ( 偏差データ常時監視 ) ログ収集の目的コンプライアンス用のレポート脅威の発見の為インシデント管理脅威情報成功の定義部分的な対応 : マルウェアの駆除と感染 PC の復旧マルウェアの情報収集攻撃者がネットワークに侵入して来ない事全体像の把握 : 発見と攻撃パターンの分析昨今の攻撃者のターゲット手口組織の重要な資産を深く理解するネットワークに侵入はされるかもしれないが迅速に発見し影響を最小化する参考情報 :Security for Business Innovation Council Report by RSA, The Security Division of EMC 48

50 Guardium3 大機能 DB 層に必要な記録警告集計レポートリアルタイムセキュリティー DB アクセス 100% 監視記録監査対応レポートテンプレート

51 ちょっと脱線しましたが最後のまとめです WSSは面倒かつコストの見えなかったWAFの導入と運用をサービス提供かつリーズナブルな費用で定額対応 PCIDSS準拠サービス/ツールの利用による確かな品質 McAfee SECURE: 要件11.2 ( PCI DSS ASV ) WAF (WAPPLES): 要件 6.6 機能適合証明取得 WSS以外にも WEBアプリケーションを初め各種診断 ASV ソースペネトレーションやDBアクセス監視ソリューションを提供 51

ご清聴ありがとうございました! 三和コムテック株式会社 135-0047 東京都港区六本木 3-4-3 三和ビル TEL.

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション WAF を利用した脆弱性診断 & 対策サービス (WSS) のご紹介三和コムテック株式会社情報漏えいや改ざんの状況はどうですか? 相変わらずいっぱい起きてますねたとえば 2013 年だけでもこんなにいっぱいですよ例えばこんな具合です 2 2013/1 UCC に不正アクセス会員情報が改ざん - 外部流出は否定桜島フェリーのサイトが改ざん - 閲覧でウイルス感染のおそれ宮崎県の農業向け気象情報サイトが改ざん