ビヨンド第5回勉強会「【今日から使える!】 知らないとマズイ!Webコンテンツを狙ったサイバー攻撃の脅威と対策。 ~ ビヨンド勉強会 #5 Powered by IIJ GIO + Scutum ~」を開催しました!
インフラエンジニアの伊藤です。
お知らせでもお伝えしていたのですが、第5回勉強会を開催しました!
【第5回】 ビヨンド勉強会を開催します! | 株式会社ビヨンド
Doorkeeper:【今日から使える!】 知らないとマズイ!Webコンテンツを狙ったサイバー攻撃の脅威と対策。 ~ ビヨンド勉強会 #5 Powered by IIJ GIO + Scutum ~ - ビヨンド勉強会 | Doorkeeper
今回はインターネットイニシアティブ様とセキュアスカイテクノロジー様にご登壇頂き、
セキュリティについてお話して頂きました。また、弊社からは私が脆弱性検知スキャンツールであるNessusをご紹介させて頂きました。
その模様を少しだけご紹介したいと思います!
IIJが考える、Webサーバへのセキュリティについて & Webサーバセキュリティに最適なソリューション【IIJ Webサイト不正アクセス遮断ソリューション】のご紹介
IIJ様からは「IIJ Webサイト不正アクセス遮断ソリューション」としてご紹介して頂きました。
「不正アクセス遮断」についていうと、アプライアンス(実際の機器)を設置すると、
コストメリットは出ないそうです。
確かに、「機器の減価償却」を考えたり、「じゃあ誰が運用するねん」とか、
「機器を持っている」ということで、自分の会社で運用する必要が出てきて、
その機器が壊れたときの費用とか、色んなところでお金がかかってきますね。
また、アプライアンスを持つことのデメリットとして、
DDos攻撃などの場合、大量のパケットが投げられます。
そのパケットはアプライアンスで受けるのですが、
その手前のDMZの入り口でもうパケットを受け切れない可能性がありますよね。
「不正アクセス対策」をクラウド化することで上記のデメリットが解消されるとのこと。
「不正アクセスの定義」とか考えるだけで
「機器」のことを考える必要がなかったら、コストメリットも出てきそうですね。
大量のパケットに関しては、IIJバックボーンでまず受けることになるので、
社内システムのDMZの入り口で受け切れないこともなくなりそうです。
では、Webサイト不正アクセス遮断ソリューションにはどんなものがあるでしょう。
かいつまんで紹介すると・・・
CDNサービス
コンテンツをキャッシュしてくれて、アクセスがあればそのキャッシュを返すCDN。
自分のサーバに対するアクセスはCDNからのみに絞っておけばアクセスも限定できます。
また、DNSを切り替えるだけで設定可能な手軽さもいいですね。
パケットフィルタ
不要なパケットを通さないようにするパケットフィルタ。
適切でないポートやIPアドレスといったものを段階ごとに通さないようにして、
本当に必要なアクセスだけ通せば、不正アクセスはかなり減ることが期待できます。
SSL証明書
httpの通信を暗号化して使うためのSSLですね。
「IIJのセキュリティ対策」としては、ハニーポッドと言われる、
セキュリティが甘いサーバをあえて置いておき、
どんな攻撃がくるか?を解析して、その対策をされているとのこと。
これは安心出来そうです!!
導入実績1,500サイト越え!WAFの常識を変えた『Scutum』とは?
第2セッションでは、セキュアスカイテクノロジー様にScutumのご紹介をして頂きました。
Scutumと従来のWAF(Web Application Firewall)との違いはこんな感じ。
- 低価格
- 導入のハードルが低い
- 運用はセキュアスカイテクノロジーが実施
WAFを使えば、「攻撃とみなすアクセス」をWAFが全て遮断してくれるという、
素晴らしいサービスです。
ただ、シグネチャの更新やアップデートなど、やることは多いですが、
「運用はセキュアスカイテクノロジー」となっているので安心。
クラウドなので、機器側のことについては全てやってくれる、ということ。
セキュリティって、運用の「PDCA」を回すことが理想ですが、なかなか難しい。
「誰が?何を?」という問題が常についてきます。
Scutumであれば、この辺りも問題も解決してくれるそう。
そういえばセキュリティといえば…ということで、
CMSが狙われやすいというお話もしてくれました。
利用者が多く、オープンソースのものが多いCMS。
プラグインやテーマといった拡張機能や
「オープンソース」ということを使って攻撃してくる人も多いです。
Wordpressは特に利用者も多いので、狙われやすいです。
Configのバックアップが意図せず見える場所にないか?など、気をつけましょう!!
オープンソースのNessusを使って、無料でWebコンテンツの脆弱性診断する方法。
最後に私のほうから、Nessusについてお話させていただきました。傾いてる。。
セキュリティの話をする上でよく出るのが「脆弱性対応」です。
httpproxyの脆弱性や、Opensslの脆弱性など、巷を賑わせてくれます。
参照:
JVNVU#91485132: CGI ウェブサーバがヘッダ Proxy の値を環境変数 HTTP_PROXY に設定する脆弱性
OpenSSLに複数の脆弱性(CVE-2016-2107, CVE-2016-2108等) — | サイオスOSS | サイオステクノロジー
脆弱性がこうして見つかるのであればいいのですが、
じゃあもともとサーバの設定は大丈夫なのか?と見つけてくれるのが「脆弱性検知スキャン」といわれる、今回紹介したNessusに代表されるツールです。
擬似的な攻撃をすることで、「サーバの穴」を見つけてくれるのです。
Nessusは商用であればライセンス代が必要ですが、私的利用に限り無料で使用可能です。
サーバにインストールして使うのですが、AWSのマーケットプレイスであれば起動するだけでNessusが利用できます。
Nessus Enterprise for AWS (Manager) on AWS Marketplace
NessusはIPアドレスを入れてスキャンしてくれるだけで穴がないか見つけてくれ、非常に便利です。
色んなタイプのスキャンが出来るのですが、ここで数が多いことが裏目に出て、「どのスキャンをしたらいいのか」となります。
社内でセキュリティがしっかり決められていたらいいですが、そこまで手が回らないのが実情。
ビヨンドでは「PCI DSS」というセキュリティ基準を使用してスキャンしています。
クレジットカード会社が決めたセキュリティ基準で、結構厳しくてアメリカではクレジットカードに関係ない会社でも
この基準を使うことが多く、ビヨンドでもこちらを採用しています。
ただ、サーバを余り使わない方がNessusのスキャンをして「SSLの暗号強度変えときや」と出ても対処が難しい。。。
となると思います。そんなときはビヨンドにお任せください!!!
まとめ
攻撃される方法は多数あるので、守る方法もいくつも知っておく必要があると思います。
それがCDNだったりWAFだったりするのですが、それでもどうなっているかわからないときは
Nessusなどの脆弱性検知スキャンツールで状態を知るのがいいでしょう。
一生この問題には付き合っていく必要があるので、色んな情報を仕入れていきたいですね!
IIJさん、セキュアスカイテクノロジーさん、改めてありがとうございました!