1. セキュアスカイ テクノロジーについて 2. Webサイトを狙った攻撃の最新動向 3. セキュリティ対策の考え方 4. Scutumを利用した対策 5. Scutumのポイントと導入 2 Copyright 2013 SecureSkyTechnology Inc. All rights res

Transcription

1

2 1. セキュアスカイ テクノロジーについて 2. Webサイトを狙った攻撃の最新動向 3. セキュリティ対策の考え方 4. Scutumを利用した対策 5. Scutumのポイントと導入 2 Copyright 2013 SecureSkyTechnology Inc. All rights reserved.

3

4 会社概要 Web アプリケーションのセキュリティに特化した企業となります 設立 2006 年 3 月 15 日 社員数 25 名 資本金 4,800 万円 拠点 本社 東京都千代田区 福岡ラボ 福岡県福岡市中央区 業界の著名な方に支えられています 取締役 ( 非常勤 ) 歌代和正 JPCERT 代表理事 技術顧問三輪信雄 総務省 CIO 補佐官米ファイア アイ日本法人 CTO 元ラック社長 4

5 提供サービス Webアプリケーションのセキュリティに対して ３つの切り口からお客様のビジネスをサポートいたします 実績 顧客 事例 その他 脆弱性を作らない 脆弱性を見つける 脆弱性を無害化する 教育事業 脆弱性診断 SaaS型WAFサービス Scutum 約20社に対し セキュアプログ ラミング教育を実施し 約10社 に対しセキュア開発ガイドライン 策定の支援を行っております 年間300サイト以上の診断を実施 しております 450サイト以上のサイトで利用さ れております リクルートグループ ポケモン リクルートグループ 電通国際情報サービス インターネットイニシアティブ 電通国際情報サービス 他 他 PHP Javaのサンプルコードを含 むより具体的なセキュアプログラ ミング教育 2013年Androidセ キュア開発教育も開始した イード アワード 法人向けセキュ リティ 診断部門の費用対効果満 足度で最優秀賞 2013年 5 他 SaaS型WAFサービスのシェア No.1 70%以上 ミック経済研究所 調査

6 販売代理店 / 技術提携パートナー 多くのパートナー企業様の専門技術やノウハウを共有することで さらなるサービス向上に努めています 順不同 6

7

8 セキュリティ10大脅威 1位 2位 3位 4位 5位 6位 7位 8位 9位 10位 標的型攻撃を用いた組織へのスパイ 諜報活動 後ほど詳しく 不正ログイン 不正利用 Webサイトの改ざん Webサービスからのユーザー情報の漏えい オンラインバンキングからの不正送金 悪意あるスマートフォンアプリ SNSへの軽率な情報公開 紛失や設定不備による情報漏えい ウイルスを使った詐欺 恐喝 サービス妨害 参照元 IPA独立行政法人情報処理推進機構 2014年版 情報セキュリティ10大脅威 8

9 国内 EC サイトを狙った標的型メール攻撃多発! 攻撃者側からすると 一般のサイトを改ざんするよりも効率よく ID やパスワードを入手できるので EC サイトは狙われやすいです EC サイトの管理者などを標的に クレームを装った電子メールにマルウェアを添付させています マルウェアは 攻撃者が狙っているデータをほぼ何でも盗み出すような 以下のような機能を備えている スクリーンショットを取得する キーストロークを記録する クリップボードのデータを取得する 複数のアプリケーションのアカウント情報を盗み出す ある電子メールアカウント宛てに 取得した情報を SMTP で送信する クレームを装った件名 添付マルウェア 参照元 : 9

10 多様化する攻撃手口 Web サイト改ざん ガンブラーの手口に Web サーバーの脆弱性 や 簡単な FTP パスワード を 攻略 して侵入するという改ざん手口が加わることで Web 改ざんの負の連鎖が拡大しています 侵入手口 盗難パスワードの悪用 ソフトウェアの脆弱性の悪用 Web サイトの脆弱性の悪用など 盗難パスワードを悪用して侵入 Web サーバーも狙う Web サーバなどの脆弱性を悪用して侵入 簡単な FTP パスワードを破って侵入 管理者パソコンの ID PASS 漏えい Web サイトの改ざん & ウイルスの配置 ウイルス感染 パスワード攻撃 Web サイト管理用の ID/PASS 盗難 管理者パソコンの ID PASS 漏えい ウイルス感染 パスワード攻撃 1 一般利用者と同じ使用方法でウイルス感染 画像 :IPA 独立行政法人情報処理推進機構 10 Copyright 2014 SecureSkyTechnology Inc. All rights reserved.

11

12 Webサイトを攻撃から守るための対策 ひとつの対策では全てを守れない 守る部分 守るソリューション Webアプリケーション サイト毎に開発された部分 e. Webアプリ ケーション 診断 c. WAF b. IPS IDS ソフトウェア OS 利用されるソフトウェア インフラ ネットワーク インターネット サーバ 穴がないかを検査 a. F/W 12 d. プラット フォーム診断 ネットワーク 診断

13 各ソリューションの解説 a. F/W ファイアウォール 接続する通信を限定する Webサイトであれば httpとhttps以外は通さないようにする b. IDS 不正侵入検知システム IPS 不正侵入防御システム 通信の内容を監視し 不正と思われる通信を 検知 防御する ネットワーク ソフトウェア部分に強い c. WAF ウェブアプリケーションファイアウォール 通信の内容を監視し 不正と思われる通信を 検知 防御する Webアプリケーション部分に強い 13

14 各検査の解説 d. プラットフォーム ネットワーク脆弱性診断 設定に不備がないかを確認 脆弱性のあるソフトウェアを利用していないかを確認 e. Webアプリケーション脆弱性診断 実際にWebサイトの動きを確認し 疑似攻撃により脆弱性がないか を確認 14

15 安全なWebサイトとは 安全なWebサイトとは 何を守るのか 個人情報 サイトの信頼性 自分が攻撃者になるかも 攻撃に利用されるかも 重要情報を持っていなくても リスクがあります 15

16 安全なWebサイトとは 各フェーズに合わせて適切な対策が必要 実施すべき 対策 フェーズ 対策の目的 セキュリティを考慮した設計 要件定義 セキュア コーディング 設計 セキュリティを考慮した設計を構築する パスワードの桁数 情報の管理方法等 実装 管理者 開発 者のスキルアッ プを目指す 開発体制を強 化する 16 脆弱性診断 テスト ヒューマンエ ラーによる脆弱 性などを検査す る F/W IDS/IPS WAF 運用 繰り返す追加開発 などの補完 新たな脆弱性に対 する防御対策をする

17 安全なWebサイトとは 各フェーズに対する対策のよくある問題点 実施すべき 対策 フェーズ よくある 問題点 セキュリティを考慮した設計 要件定義 セキュア コーディング 設計 セキュリティの専門知識をもった人間がい ないケースが多く セキュリティを考慮し た設計が困難 実装 外注する場合 開発者のスキル がばらつく 17 脆弱性診断 テスト スケジュールや予算 に余裕がなく 実施 することが困難 F/W IDS/IPS WAF 運用 完全な防御策では ない

18 よくあるご意見 セキュリティの専門的知識をもった社員がいない セキュリティ対策など考える予算や時間の余裕はない 細かいルールを強いる役目は嫌われるから誰もやりたがらない これまでに一度も事故は起こしてないから大丈夫だと思ってる 自社に適したセキュリティ対策レベルが分からない 18

19 現実的な対策とは 以下のような課題を踏まえて 現実的な対策はあるのか セキュリティを知っている人がいない 専門の担当者を立てられない どうやって最新のセキュリティ情報を入手する セキュリティをアウトソースする 19

20 アウトソースできる対策は 実施すべき 対策 フェーズ セキュリティを考慮した設計 要件定義 セキュア コーディング 設計 実装 脆弱性診断 テスト F/Wは既に入れているけど IDS/IPSは高いし Webアプリケーションの対策としては 不十分だと聞くし 今 WAFによる対策が注目されています 20 F/W IDS/IPS WAF 運用

21 WAFの効果はどの程度なのか セキュリティは お金をいくらでもかけられるもの しかし 費用対効果を考え リスクを許容するという考えが必要 自社の 印のポイントを見つけることが コスト抑制と効果の最大ポイント 斜線エリアの リスクを許容する 21

22 リスク対応を戦略的に 利便性 使いやすさ 使い勝手の低下 コスト セキュリティ対策費の増大 スピード セキュリティ対応によるサイト C/O の遅延 POINT リスクを許容するということを戦略的に! 完璧な対策ではなく 合格点のセキュリティを手にいれる 各サイトに適した費用対効果 バランスのとれたセキュリティレベルを確保する 22

23

24 WAF とは 参照元 :IPA 独立行政法人情報処理推進機構 24

25 WAF の効果 Web サイトに対する脆弱性を悪用した攻撃を防御もしくは検知する Web サーバ (Apache や IIS) や Web 用のミドルウェア (Tomcat 等 ) 言語システム (PHP 等 ) の脆弱性についても防御能力あり WAF で防御できないものは? Web (HTTP,HTTPS 通信 ) 以外のプロトコルには対応していない なりすまし 権限超えなどといった認証や承認などのセッション周 りに関する攻撃は防御できない傾向にある 25

26 WAFの課題 コスト 100万~数千万 安価な商品 サービスも増えてきた 運用 誤検知対応など 専門家の運用が必要 運用会社 サービスに運用を付加する企業も出てきた クラウド対応 アプライアンス製品 機器を設置する の場合 クラウド環境に設置する ことが困難 ソフトウェア型 サービス型 SaaS型 であれば対応可能 26

27 Scutumとは 従来型WAFの課題を克服するために Scutumではそのサービス形態をSaaS型としました エンドユーザからお客様サイトへの通信を DNS変更により そのままScutumセンターで中継し その過程で不正な通信を監視 遮断します POINT お客様のシステムは 何もかわりません SaaS型WAFサービス Webサイトの改ざん ブロック ブロック ブロック POINT Scutum センター Scutumご利用の お客様のシステム 27 運用 更新 シグネチャの更新など すべてSSTで実施します

28 Scutum が防御できる主な攻撃 28

29 SQL インジェクション攻撃 下図は 不正な文字列により認証を回避する SQL インジェクションの攻撃の例です データベースの SQL クエリのパラメータとなる入力に 1 攻撃者は不正な文字列を入力して 2 3 不正な SQL クエリを実行させます 不正アクセスによる Web サイトからの情報漏えい事件の原因は その多くが SQL インジェクションによるものとなります 29

30 SQLインジェクション攻撃へのScutumのポリシー 発生頻度と被害の大きさを考えると これこそがWebサイトのセキュリティにとって 最大の脅威といっても過言ではありません Webサイトへの不正アクセスや情報漏えい事件 Webサイト改ざんなどで大きく報道 されるもののうち 実に8 9割以上がこの攻撃によって引き起こされているという見 方もあります 実際に Scutumが検知した攻撃のなかでもダントツ1位です したがって Scutumでは 一度に大きな被害をもたらすことが多くさらに発生頻度も高い SQLインジェクション攻撃については SQLインジェクション専用の検索エンジンを搭載することで 特に決め細かい対策を実装しています 30

31 クラウド環境との親和性 アプライアンス製品ではクラウド環境に導入できない Scutum は SaaS 型だから環境を選ばない 既定の仮想サーバー構成でしか利用できなかったパブリッククラウド環境にも対応 最低利用期間 1 か月のため サイトの成長に合わせた増速 減速が可能 クラウド本体のメリットを最大限に引き出すことが可能なセキュリティサービス 31

32 WAFの運用 WAFはどのように運用していくかが重要 POINT 必要な運用 自社で運用する場合 セキュリティ専門のノウハウ をもった技術者 体制が必要 導入時の調整 テスト運用 シグネチャ更新 検出状況の確認 誤検知への対処 WAF自体のアップデート 障害対応 保守 サポート体制の確保 アウトソースする場合 事業者毎サービス内容が異な るので正しく確認する必要が ある Scutumには すべての必要な 運用が含まれています 32

33 Scutum導入後のお客様の声 WAFを導入したにも かかわらず 作業が増えなかった あまり意識せずとも セキュリティ対策が できた WAFを導入している ことを忘れます WAFの運用をお客様側にて 実施しなくていい WAFがちゃんと機能しているか判断できていない というご意見が 一番多く寄せられてます にすることが不安でできない 気づいたら 間に シグネチャアップデートはしたが ブロックON 入っているだけの状態 33

34 最近 注目された攻撃 パスワードリスト攻撃 画像 :IPA 独立行政法人情報処理推進機構 (2013 年 8 月の呼びかけ ) 34

35 パスワードリスト攻撃の流れ 1 どこかでユーザ ID とパスワードのリストを入手する 2 攻撃のターゲットとなるサイトで 入手したユーザ ID とパスワードのリストを試し 不正にログインする ユーザが複数のサイトで同一の ID パスワードを利用している場合 成功する パスワードを複数回間違えた場合のアカウントロックなどは効果がない 3 不正にログインできたアカウントを利用する アカウントの情報を取得 アカウントのポイントなどを利用し現金化 35

36 パスワードリスト攻撃への対応 Scutumのパスワードリスト攻撃に対する対応 攻撃をブロックする 標準機能 同じIPアドレスからの同処理の通信回数が閾値を越えた場合にブロック 上記 処理がログインの処理であった場合 その閾値を下げてブロック これで 実際の攻撃を防げるか 36

37 パスワードリスト攻撃のとある攻防例 攻撃者 同一のIPアドレスで 様々なパターンのID パスワードでログインを試行 ログインエラー件数の増加に気づき 該当のIPアドレスを拒否 攻撃者 IPアドレスが拒否されたことに気づき 複数のIPアドレスで試行してくる IPアドレスを変えてきたことに気づき ログインのURLに対し 連続したアクセスに 閾値 30回 を設定し 閾値を上回ったIPアドレスからのアクセスを拒否する 攻撃者 Webサイト側 30回の閾値が設定されたことに気づき 1つのIPアドレスから29回を上限に大量の IPアドレスから試行を繰り返す アクセスの特徴 UserAgentや Accept-Languageなど を確認し その特徴を 持っている通信を拒否する 攻撃者 Webサイト側 Webサイト側 特徴により ブロックされたことに気づき その特徴を変え 再度試行を繰り返す 攻撃による影響を考慮して Webサイトを一時停止 ユーザへのアナウンスと パスワードの変更を促進 37 Webサイト側

38 とある攻防例から分かること 狙われたサイトを かなりしつこく攻撃する 所有しているリストを全て試すまで? サイトの対策状況を確認している ログインの成功率を見ている? 正規にログインできる ID パスワードを定期的に試している? 付け焼刃の対策は突破される 閾値での対策は閾値を下回ってくる ヘッダー情報などの特徴から対策をしてもすぐに突破される そこで Scutum では 38

39 認証機能を強化 Webサイト側の改修を行わず ID パスワードにプラスした認証機能を提供 します SMS認証機能 2014年6月提供予定 オプション機能 リリース前 ログインのリクエスト時 Scutumにより携帯のショートメッセージに トークンを送り そのトークンを入力させ マッチした場合にのみ ログ イン処理を通す形とする キャプチャ認証機能 2014年4月提供開始 ログインのリクエスト時 Scutumによりキャプチャ画像を出し 正し く入力できた場合にのみ ログイン処理を通す形とする オプション機能はリリース前ですが 既に提供実績はありますので お急ぎの 場合 ご相談ください 39

40 SMS 認証機能 scutum リクエストを保留 ログイン成功 受信したトークンを入力 電話番号入力ページを生成して表示 二要素認証で使う一時トークンを生成して SMS 送信を要求 トークン入力ページを生成して表示 トークンを照合し 問題がなければ Web アプリケーションにログイン情報を送信 入力された電話番号宛に受け取ったトークンを送信 (SMS) Web アプリ側の動作は二要素認証導入前と同じ 受け取ったログイン情報 ( ユーザー ID/ パスワード ) でログイン認証 40 Copyright 2013 SecureSkyTechnology Inc. All rights reserved.

41 2要素認証機能に関する注意事項 SMS認証について 携帯電話のSMSを利用した個人認証の仕組み ユーザーがWebサイトへのログイ ン時に 携帯電話の番号を入力して送信し WebアプリケーションがSMSを通じて 一時的なトークンを発行します ログインには 発行されたトークンを使うため ユーザーはログイン時に実際に携帯電話を持っている必要があります 本機能のSMS認証では 株式会社KDDIウェブコミュニケーションズの提供する クラウド電話APIサービス Twilio for KDDI Web Communications を利用して おります 参照 対応キャリア au Docomo Softbank EMOBILE キャリアによって SMS送信料がことなります 参照 41 Copyright 2013 SecureSkyTechnology Inc. All rights reserved.

42 キャプチャ認証機能 scutum リクエストを保留 > 文字入力 > 別の文字を表示 送信 ログイン成功 キャプチャ文字列を生成し 難読化した画像を 再表示 入力された文字を照合し 一致すれば Web アプリケーションにログイン情報を送信 Web アプリ側の動作は二要素認証導入前と同じ 受け取ったログイン情報 ( ユーザー ID/ パスワード ) でログイン認証 42 Copyright 2013 SecureSkyTechnology Inc. All rights reserved.

43 キャプチャ認証機能 43 Copyright 2013 SecureSkyTechnology Inc. All rights reserved.

44

45 SaaS 型 WAF サービス Scutum の 4 つのポイント 45

46 SaaS 型 WAF サービス Scutum の導入の流れ お客様の負荷をかけずに簡単導入 赤太枠の 3 ステップだけ! 点線より : 無料で確認可 点線より : 導入開始 46

47 Scutum の通常導入スケジュール 多くのお客様が 1 ヶ月程度で導入しております お客様の作業 : 赤色 47

48 お急ぎの導入スケジュール ( 有償サービス ) これまで 3 日 ~1 週間程度で導入したケースがございます ただし お客様には以下 2 点を頑張っていただきます!! 1 証明書の早急なご準備 2 Hostsファイルを変更し 全操作のテストを実施していただきます ( 誤検知調整のため ) お客様の作業 : 赤色 48

49 Scutumのサービスメニュー/料金表 小規模サイトから 100Mbps以上の高トラフィックサイト クラウド環境まで 柔軟に対応したセキュリティをご提供いたします 基本料金 ピーク時トラフィックの目安 オプション 初期費用 500kbps 500kbps 5Mbps 月額費用 適用可能ホスト数(FQDN数) 29,800 98,000 オプション内容 ScutumCDNオプション 月次報告書 128,000 10Mbps 50Mbps 148,000 50Mbps 100Mbps 198,000 無料 無料 (100GB/月まで利用可能) 1ホスト(1FQDN)につき 20,000 高トラフィックプラン(ピーク時10Mbps)用オプション ( )2FQDN以上でSSLをご利用になる場合にはオプション料金が必要です ,000 初期費用 月額費用 1 59,800 5Mbps 10Mbps 月額費用 ( ) SSL利用ホスト追加 1ホスト(1FQDN)追加につき 10,000 SSL利用1ホスト分を含みます 認証強化オプション 100Mbps 以上 個別お見積り 個別ご提案 算定基準はあくまでも目安となります 実際のご利用状況により異なる場合がございます 金額は税別です 別途消費税が加算されますのでご了承ください お客様のご要望によりAmazon EC2上にScutum環境を構築してサービスをご提供する場合 当料金表とは異なるプランをご提案させていただく場合がございます 49 キャプチャ認証追加機能 1サイトにつき初期費用 500,000 月額費用 50,000 3ヶ所まで認証設置可能 SMS認証追加機能 1サイトにつき初期費用 1,000,000 月額費用 50,000 1ヶ所まで認証設置可能

50 最後に SaaS 型 WAF サービス Scutum( スキュータム ) は 以下のコンセプトに基づいています セキュリティを適正価格で提供する お客様に極力セキュリティを意識させない 導入に伴うお客様側の負荷を極力少なくする 50

51 51 Copyright 2013 SecureSkyTechnology Inc. All rights reserved.