Webサイトのセキュリティ 対 策 について Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved.
情 報 セキュリティ 対 策 について 情 報 セキュリティ 対 策 は 必 要 ですか?? という 問 いに 対 して 企 業 経 営 者 情 報 システム 担 当 者 は もちろん IT ITを 利 用 する 人 であれば 10 人 中 9 人 は 必 要 と 答 えるでしょう 最 近 では なりすまし なりすまし による 冤 罪 事 件 も 報 道 され 自 宅 でPC PCを 利 用 する 学 生 主 婦 など 個 人 ユーザ の 間 でも セキュリティ セキュリティに 対 する 意 識 が 高 まっており ウィルス 対 策 ソフトなど などセキュリティ 対 策 ツール の 売 上 げが 好 調 だという 話 を 耳 にします しかしながら 一 口 に 情 報 セキュリティ といってもその 言 葉 の 示 す 範 囲 は 多 岐 に 渡 っており ざっと 挙 げられるだけでも 以 下 のようなものがあります 認 証 通 信 制 御 暗 号 化 ( 通 信 保 護 データ 保 護 ) ウィルス 対 策 /マルウェア 対 策 /フィッシング 対 策 メール 監 査 監 査 証 跡 重 要 データの 持 ち 出 し 制 限 個 人 情 報 保 護 不 正 アクセス 検 知 Web Webアプリケーション アプリケーションのセキュリティ 対 策 ファシリティ etc.. 少 し 考 えただけでもこれだけの 対 策 が 必 要 という 事 で IT 担 当 者 は 費 用 対 効 果 との 狭 間 で 常 に 頭 を 悩 ませるわけですが 避 けては 通 れない 問 題 です 今 回 は 最 近 頻 繁 に 報 道 されるハッカー 集 団 アノニマスに 代 表 されるような Web Webサーバ サーバへの 不 正 アク セスに 対 する 対 策 に 焦 点 を 絞 ってみたいと 思 います Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 1
皆 さんのWebサイトは 安 全 ですか? Web Webアプリケーション アプリケーションに 対 する 攻 撃 は 増 加 中 近 年 Web Webアプリケーション アプリケーションの 脆 弱 性 を 悪 用 した 攻 撃 によるWeb Webサイト サイトの 改 竄 や 情 報 漏 えいの 事 件 が 度 々 報 道 されています 多 賀 城 市 / 宮 城 県 のホームページ ホームページ(HP) (HP)が 勝 手 に 改 ざんされて3 日 間 閉 鎖 (2012 年 6 月 20 日 ) 警 視 庁 サイバー 犯 罪 対 策 課 によると 今 年 1~5 月 の 不 正 アクセスに 関 する 相 談 は 約 390 件 (2012 年 06 月 23 日 ) 財 務 省 のサイト 改 ざん アノニマスが 攻 撃 予 告 財 務 省 サイト 一 部 閉 鎖 ハッカーの 攻 撃 か(2012 年 6 月 27 日 ) 米 Yahoo! 不 正 アクセスで 約 45 万 件 のアカウント 情 報 が 流 出 (2012 年 7 月 12 日 ) お 客 様 のWeb Webサイト サイトは 安 全? Webアプリケーション アプリケーションのセキュリティ 診 断 ( 脆 弱 性 診 断 )を 受 けたことがある 企 業 (229 社 )の 中 で 注 意 や 危 険 を 診 断 されたWeb Webサイト サイトが7 割 以 上 となっており 決 して 安 全 とは 言 い 切 れません 業 種 別 のWeb Webサイト 危 険 度 割 合 サイバーセキュリティ 出 典 :NRI NRIセキュアテクノロジーズ 傾 向 分 析 レポート2011 2011 Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 2
Webサイトを 攻 撃 されるとどうなるの? 様 々なWeb Webサイト サイトが 悪 意 を 持 った 攻 撃 を 受 けているという 現 状 は 前 述 の 通 りですが 実 際 に 攻 撃 を 受 けたからどのような 被 害 があるのか?について 認 識 を 持 たれている 方 は 少 ないように 感 じます ここでは 実 際 の 例 をもとに 想 定 される 被 害 について 記 載 します 例 1: 改 竄 による 被 害 1HPの 改 竄 による 信 用 問 題 改 竄 攻 撃 の 多 くは 官 公 庁 教 育 機 関 などに 向 けて 行 われますが 一 般 企 業 も 例 外 という 事 では ありません 前 者 は 政 治 的 な 意 図 もしくはハッカー 達 の 実 力 誇 示 や 悪 ふざけといった 動 機 が ほとんどを 占 めますが ますが 企 業 向 けに 行 われる 改 竄 については 営 業 妨 害 不 買 運 動 信 用 失 墜 など 明 確 に 企 業 活 動 を 妨 害 する 意 図 を 持 ったケース ケースもあります もあります 政 治 的 意 図 をもった 改 竄 の 例 2012 年 9 月 14 日 最 高 裁 運 営 の 全 国 裁 判 所 のHPが 改 ざんされ 釣 魚 島 は 中 国 である との 文 章 などが 表 示 され て 閲 覧 できない 状 態 になりました これは 記 憶 に 新 しいですね Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 3
年 Webサイトを 攻 撃 されるとどうなるの? 2HPの 改 竄 によるWeb Webシステム システムの 停 止 とウィルス 感 染 の 被 害 企 業 向 けの 攻 撃 として 改 竄 が 行 われた 場 合 サイト サイトの 停 止 に 追 いやられるケース ケースも 少 なくありません ありません ECサイト 事 業 者 などの 場 合 は サイト サイトが 停 止 している 時 間 だけ 取 引 ができないことになりますので ないことになりますので サイトの 規 模 にもよりますが その 損 害 は 計 り 知 れません 企 業 が 2005 年 に 某 ECサイト 事 業 者 のHPが 停 止 した 際 には 復 旧 に2 日 間 かかり 復 旧 対 策 費 用 を 含 め 被 害 総 額 は 約 3000 万 円 に 上 ったという 例 も 報 告 されています 月 運 営 キヤノン 様 改 サポートページより 竄 の 例 また 改 竄 と 同 時 にアクセス アクセスした 際 にウィルス ウィルスに 感 染 する 可 能 性 のあるプログラムが 不 正 に 埋 め 込 まれるケース ケースもあります もあります するHP 2012 4 Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 4
Webサイトを 攻 撃 されるとどうなるの? 例 2: 不 正 アクセスによる 情 報 漏 えい 被 害 Webサイト 管 理 者 の 中 には Web Webサーバ サーバには 重 要 な 情 報 は 置 いていない 内 部 のサーバ サーバに 保 管 して 連 携 してるだけだからWeb Webサーバ サーバへの 対 策 は 必 要 ない( 改 竄 はされても 良 い) ) と 言 われる 方 もおりますが 果 たしてそれで 良 いのでしょうか? 現 在 顕 在 化 している 攻 撃 手 法 には SQL QLイン インジェクション ェクションなど など Web Webサーバ サーバに 悪 意 をもったスクリプト を 埋 め 込 み 内 部 DBを 不 正 に 操 作 するようなものも 存 在 します ( 情 報 を 抜 き 取 るという 目 的 を 持 っ た 不 正 アクセスの 手 段 としては 一 般 的 なものです) 2012 年 10 月 に 東 京 京 都 名 古 屋 東 北 大 阪 市 立 の5 大 学 に 不 正 アクセスがあり があり メールア メールアドレ ドレス などの 個 人 情 報 を 不 正 に 取 得 されたケース ケースが 報 告 されています 同 様 の 被 害 がECサイト サイト 会 員 サイトなどで 起 こる 場 合 も 少 なくありませんが ありませんが その 場 合 は 補 償 問 題 などに 発 展 し 実 際 に 損 害 が 発 生 することになります Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 5
どうすれば 攻 撃 を 防 げるの? Web Webアプリケーション アプリケーションに 対 する 代 表 的 な 攻 撃 Webサーバ サーバへの 攻 撃 手 法 として 代 表 的 なものを 紹 介 します 1.SQL SQLイン インジェクション SQLイン インジェクション ェクションとは とは データ データベース ースと 連 携 したウェ ウェブアプリケーション アプリケーションに 問 合 せ 命 令 文 の 組 み 立 て 方 法 に 問 題 があるとき ウェ ウェブアプリケーション アプリケーションへ 宛 てた 要 求 に 悪 意 を 持 って 細 工 されたSQL 文 を 埋 め 込 まれて(Inj nject ection ion)しまうと しまうと データ データベース ースを 不 正 に 操 作 されてしまう 問 題 です これにより これにより データベース ースが 不 正 に 操 作 され ウェ ウェブサイト サイトは 重 要 情 報 などが 盗 まれたり 情 報 が 書 き 換 えられた りといった 被 害 を 受 けてしまう 場 合 があります 2.OS OSコマン マンド イン インジェクション OSコマン マンド イン インジェクション ェクションとは とは ウェ ウェブサーバ 上 の 任 意 のOS OSコマン マンドが 実 行 されてしまう 問 題 です これにより により ウェ ウェブサーバ サーバを 不 正 に 操 作 され 重 要 情 報 などが 盗 まれたり 攻 撃 の 踏 み 台 に 悪 用 され る 場 合 があります 3.クロスサイト スサイト スクリプティング スクリプティング クロスサイト スサイト スクリプティング スクリプティングとは とは ウェ ウェブサイト サイトの 訪 問 者 の 入 力 をそのまま 画 面 に 表 示 する 掲 示 板 などが 悪 意 あるスクリプト スクリプト( 命 令 )を 訪 問 者 のブラ ブラウザ ウザに 送 ってしまう 問 題 です これにより これにより アンケ ート 掲 示 板 サイト 内 検 索 など ユーザ ユーザからの 入 力 内 容 をウェ ウェブペ ブページに 表 示 するウェ ウェブアプリケー ションで 適 切 なセキュリティ 対 策 がされていない 場 合 悪 意 を 持 ったスクリプト スクリプト( 命 令 )を 埋 め 込 まれ てしまい しまい ウェ ウェブペ ブページを 表 示 した 訪 問 者 のプラウザ 環 境 でスクリプト スクリプトが 実 行 されてしまう 可 能 性 があ ります ます その 結 果 として cooki ookieなどの 情 報 の 漏 洩 や 意 図 しないページの 参 照 が 行 われてしまいます これらの 攻 撃 は Web Application Firewall(WAF)でのみ 防 ぐ 事 ができます Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 6
Web Application Firewallって 何?? Web アプリケーションへの 攻 撃 は 一 般 的 なFirewallやIPSなどでは 防 ぐことができません また アプリケーションの 脆 弱 性 を 利 用 した 攻 撃 などには Webサーバへのパッチ 適 用 や アプリケーションのセキュリティ 実 装 などにより 対 応 することができますが 多 大 なコストと 時 間 を 消 費 します これらの 課 題 を 解 決 するための 技 術 が Web Application Firewall [WAF] です WAFはWebアプリケーションの 脆 弱 性 を 悪 用 した 攻 撃 などからWebアプリケーションを 保 護 する 機 能 を 有 します WAFを 導 入 する 事 により 以 下 の 効 果 を 期 待 できます 脆 弱 性 を 悪 用 した 攻 撃 からWeb Webアプリケーション アプリケーションを 防 御 脆 弱 性 を 悪 用 した 攻 撃 を 検 出 複 数 のWeb Webアプリケーション アプリケーションへの 攻 撃 をまとめて 防 御 出 Web 典 : Application 独 立 行 政 法 Firewall 人 情 報 読 処 本 理 機 構 Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 7
Web Application FirewallとFirewallは 別 物 うちはFirewallを 使 っているから 大 丈 夫 というお 話 もよく 伺 いますが WAFとは 機 能 が 異 なります Firewall は 通 信 における 送 信 元 情 報 と 送 信 先 情 報 (IP アドレスやポート 番 号 等 )を 基 にアクセスを 制 限 する 機 能 を 有 します FW を 使 用 する 事 で サーバで 動 作 しているサービスとの 通 信 を 制 限 できますが インターネットに 公 開 す るWebサーバは FWでアクセスを 制 限 することができないため Webアプリケーションの 脆 弱 性 を 悪 用 する 攻 撃 を 防 ぐことはできません 一 方 WAF は FW で 制 限 できない Webアプリケーションへの 通 信 内 容 を 検 査 することができます 例 えば Webアプリケーションの 通 信 内 容 に 外 部 からデータベースを 不 正 に 操 作 する SQLインジェクション 攻 撃 の 特 徴 的 なパターンが 含 まれていた 場 合 その 通 信 を 遮 断 するといった 対 策 をとることができます 出 Web 典 : Application 独 立 行 政 法 Firewall 人 情 報 読 処 本 理 機 構 Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 8
Web Application FirewallとIPSも 似 て 非 なるもの IPSを 入 れてるから 大 丈 夫 でしょ というお 話 もよく 伺 いますが Webアプリケーション 攻 撃 への 対 応 という 事 では 不 十 分 です WAF とIPS は どちらも 検 出 パターンに 基 づいて 通 信 の 中 身 を 検 査 します IPS は Webサイト 運 営 者 が 設 定 する 検 出 パターンに 基 づいて 様 々な 種 類 の 機 器 への 通 信 を 検 査 する 機 能 を 有 します 一 般 的 にIPS は 様 々な 種 類 の 攻 撃 (OSの 脆 弱 性 を 悪 用 する 攻 撃 ファイル 共 有 サービスへの 攻 撃 等 ) を 防 御 できます IPS は 攻 撃 の 詳 細 を 定 義 した 検 出 パターンである ブラックリスト による 検 査 により 攻 撃 を 防 御 します 一 方 WAF は Webサイト 運 営 者 が 設 定 する 検 出 パターンに 基 づいて Webアプリケーションへの 通 信 を 検 査 します IPS が 様 々な 種 類 の 攻 撃 を 防 御 できることに 対 して WAF はWebアプリケーションへの 攻 撃 を 防 御 できます 特 に WAF では 保 護 する 対 象 がWebアプリケーションに 特 化 しています IPSの 動 作 イメージ WAFの 動 作 イメージ 出 Web 典 : Application 独 立 行 政 法 Firewall 人 情 報 読 処 本 理 機 構 Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 9
それぞれの 役 割 分 担 前 述 しました 各 製 品 にはそれぞれ 得 意 分 野 があります 機 能 を 簡 単 に 比 較 してみましょう Webサイトのセキュリティを 保 つためには FW/ISPだけでは 不 十 分 です! 既 存 のセキュリティ 対 策 にWAFを 加 えることで Webアプリケーションに 対 する 脆 弱 性 対 応 が 可 能 となります FW IPS WAF Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 10
WAFの 導 入 にあたって WAF AFについて 解 説 してきましたが ましたが WAF AFを 導 入 するにあたっては いくつか 注 意 が 必 要 です WAF AFは 運 用 が 大 変 Webサーバ サーバは 基 本 的 に 不 特 定 多 数 からアクセス アクセスされるものであり されるものであり その 特 性 から 通 信 を 止 める という 行 為 は 行 いたくないものです ないものです WAF AFは 不 正 な 攻 撃 を 遮 断 するためのツール ツールですが ですが 誤 検 知 に よる 正 常 なアクセス アクセスの 遮 断 を 防 ぐため ポリシー リシーを 甘 くして 運 用 されている 管 理 者 も 少 なくありません ありません 最 悪 の 場 合 単 なるログ 取 のモニタリングツール ニタリングツールとして 運 用 されているケース ケースもあります もあります これではせっかくWAF AFを 導 入 しても 効 果 は 半 分 以 下 不 正 アクセスから からWeb Webサイト サイトを 守 るためには には ポリシー リシーチューニング ューニングの 正 しい 知 識 と 日 々の 適 切 な 運 用 が 必 要 です 自 社 運 用 はイニシ イニシャル ランニング ンニングコスト スト 運 用 負 荷 が 高 すぎる WAF AFを 自 社 運 世 数 るためには には 初 期 費 用 として 専 用 のアプ アプライアンス 購 入 及 び 設 置 導 入 費 で 数 百 万 円 のコスト ストがかかります がかかります また また 適 切 な 運 用 を 行 うためには には 上 記 の 課 題 をクリア クリアしなければ なりません そのた そのためには には 専 任 の 運 用 者 をアサイン アサインし 且 つ 年 間 数 十 万 円 に 上 る 保 守 契 約 費 用 を ランニング ンニングとして 支 払 う 必 要 があります ( ( どれ どれくらいの らいのコスト ストになるかは になるかは です ですね) そこで そこでSaaS 型 WAF AF! 月 額 数 万 円 で 利 用 開 始! 運 用 はプロのエキス キスパート ートに 全 てお 任 せ! そこで 登 場 したのがSaaS 型 WAF AFサー サービスです です 弊 社 ICIでは では Scutum um という というWAF AFサー サービスを 展 開 しております SaaS 型 WAF AFサー サービスとしては としては70 70%を 超 える 国 内 シェアを 誇 り 契 約 サイトは 既 に300 00を 超 えております 上 記 の 課 題 をすべてクリア クリアし 月 額 29,8,800 円 ~ご 利 用 頂 けるサー サービスとな となって っております おります ご 興 味 のある 方 は 是 非 この 後 のページもご 覧 ください ださい! Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 11
SaaS 型 WAFサービス Scutum(スキュータム) のご 紹 介 Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 12
Scutumについて Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 13
サービスの 特 徴 Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 14
サービスの 特 徴 Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 15
サービスの 特 徴 Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 16
代 表 的 な 脅 威 について Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 17
Scutum 導 入 実 績 2012 年 7 月 現 在 250サイト Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 18
サービス 価 格 表 Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved. 19
お 問 い 合 わせ お 問 合 せ 会 社 名 : 株 式 会 社 アイ シー シー アイ メール: security@i-c-i.jp 電 話 : 03-6459-0063 担 当 : セキュリティコンサルティング 担 当 20 Copyright 2012 Internet & Communication Innovator, Ltd. All Rights Reserved.