Amazon CloudFront で今すぐ始めるWAF/SSL 証明書セミナー パリのテロ事件で遭遇した実際のサイバー攻撃から あなたのWebを守り抜くための 3つの実装ポイント アイレット株式会社 後藤 和貴 2016.3.10
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Amazon CloudFront で今すぐ始めるWAF/SSL 証明書セミナー
パリのテロ事件で遭遇した実際のサイバー攻撃から あなたのWebを守り抜くための
3つの実装ポイントアイレット株式会社
後藤 和貴
2016.3.10
後藤 和貴@kaz_goto
執行役員 / エバンジェリスト
☁ cloudpack事業 執行役員 • エバンジェリスト • 営業、PR、ウェブ…
☁ バックグラウンド • Oracle カスタマーサポート→開発@HQ • ウェブデザイン会社 • テクニカルディレクター(フリーランス)
アイレット株式会社
設立
資本金
代表者
従業員数
事業内容 システム開発・保守 マネジドホスティング
2003年10月15日
7,000万円
齋藤 将平
117名(2016年3月現在)
について
AWSを活用しながらビジネスに集中できるコンシェルジュサービス
cloudpackビジネス
設計支援 コンサル
MSP 運用保守
システム 開発
24時間365日
定額課金/ 請求書払い
PCI DSS、ISMS、Pマーク取得済みの運用体制
監視運用保守
企業 AWS
(2,100日以上)
※ 2010年5月cloudpackサービススタート
50,000時間 連続稼働(※)
4 社 社超
プロジェクト超
6001200
6年間
6年間AWSのみで運用保守
ワンストップでシステム開発から運用保守まで
アジア地域5社世界46社最上位パートナー
プレミアコンサルティングパートナー
企業規模別 cloudpack利用比率
36% 27 37% %
中小企業 中堅企業 大企業
cloudpack セキュリティの取り組み
securitypack
☁ Deep Security導入から運用保守までをサポート
☁ 24時間365日、システム監視と運用・保守
☁ 脆弱性情報の提供ルール設定代行ログ分析など
安全なネットワーク
☁ AWS Direct Connect ☁ 専用接続プラン with 光
安全なデータアップロード
☁ ダイレクトインポート • 完全プライベート回線経
由でAWSへ • 機密レベルの高いデータ
のやりとり • マイグレーション時のダ
ウンタイム最小化
認証・セキュリティの取り組み
+セキュリティルーム
ICMS-PCI0162/PCI DSS
ICMS-PCI0162/PCI DSS
PCI DSSICMS-PCIxxxx
PCI DSS監査証明マーク PCI DSSロゴマーク
PCI DSSICMS-PCIxxxx
※写真はイメージです
• 米国公認会計士協会(AICPA)が定める、財務報告目的以外の受託サービスに関する内部統制の保証報告書
• 監査法人や公認会計士が独立した第三者の立場から、客観的に検証した結果を記載したもの
• AWS上でのSOC2受領は日本初!
SOC2レポート受領
• 国際・国内セキュリティ基準への取り組み
• ソフトウェア脆弱性情報に関する取り組み
• 業務ネットワークのセキュリティ
• 運用上のセキュリティ保持体制
セキュリティ ホワイトペーパー
• NTTドコモ社のクラウド導入・構築・運用管理ノウハウやツールをパッケージ化
• セキュリティデザインパータンやテンプレートを提供
• 準拠したSIをcloudpackで実施可能
ドコモ・クラウド パッケージ
昨今のセキュリティ攻撃状況
一般社団法人JPCERTコーディネートセンター JPCERT/CC インシデント報告対応レポート[2015年10月1日~2015年12月31日]
https://www.jpcert.or.jp/pr/2016/IR_Report20160114.pdf
ウェブサイト改ざんの傾向改ざんされた Web サイトを確認したところ、埋め込まれる不正なコードには、body タグの直後に cookie を送信する JavaScript と、攻撃サイトに誘導する iframe が埋め込まれているという特徴がありました。また、誘導先の攻撃サイトでは、マルウエアに感染させるために、Internet Explorer や Adobe Flash Player の脆弱性が使用されていました。
上記のような改ざんが行われた Web サイトでは、WordPress を使用しているという共通点が見られました。WordPress のような CMS を使用している Web サイトは、CMS やそのプラグインのバージョンが古い場合、脆弱性をつかれて改ざんされてしまう恐れがあります。Web サイトの管理者は、CMS を常に最新のバージョンに維持し、不要なプラグインを削除するなどの対策を取ることが重要です。
自社サイトの改ざん被害のみならず、不正なマルウエアを感染させることになり
被害拡大の支援をすることになる
http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/manipulation/
同 インシデント報告対応レポート より
WordPressが攻撃されるケース
� ������� ������
���攻撃者 攻撃者
管理者ページへの不正ログイン
プラグインを中心とした 脆弱性を悪用した不正侵入
もし改ざんされると…
自社サイトが改ざんされる ↓
自社サイトへアクセスしたユーザーが不正なサイトへ転送される ↓
誘導されたサイトでマルウェアに感染 ↓
さらなる被害へ
一般社団法人JPCERTコーディネートセンター インシデント報告対応レポート 2015年4月1日~2015年6月30日 https://www.jpcert.or.jp/pr/2015/IR_Report20150714.pdf
改ざん検知からサイト再開まで
1. ウェブサイトが改ざんされる 2. ウェブサイト停止(閲覧者への被害拡大停止のため)
3. 原因・影響度の調査 4. ウェブサイト復旧
(最悪のケース、OS・アプリの再構築) 5. ウェブサイト再開
サイト停止から復旧までが長いとビジネス的なインパクトが多い
DDoS攻撃に関する統計
☁ 2014年第4四半期との比較 • DDoS攻撃の総数が148.85%増加 • インフラストラクチャレイヤー(レ
イヤー3および4)に対する攻撃が168.82%増加
• 平均攻撃時間が49.03%減少:14.95時間対29.33時間
• 100Gbpsを超える攻撃数が44.44%減少:5件対9件
出典: Akamaihttps://www.akamai.com/us/en/about/news/press/2016-press/akamai-releases-fourth-quarter-2015-state-of-the-internet-security-report.jsp
いつ誰が標的になるかわからない
実際のサイバー攻撃事例
2015.11.13
https://ja.wikipedia.org/wiki/パリ同時多発テロ事件
パリとの時差 日本 -8時間
2015/11/12 23:26:29(JST)
この時は “パリからの攻撃なんだ”
”珍しいな”と
55,247特定のお客さまの環境での総検知数
Dynamic Protection 動的な対応
☁ 未知の攻撃のを含む可能性を考慮して、随時NACLに登録(運用負荷高い)
☁ IPコロコロ替わってイタチごっこ(40近く)
☁ ”195.154.0.0/16”と登録したかったが、数が微妙だった(最終的には登録した)
別の環境にて NACLでの遮断後も検知継続
受け身ではツライので DS → WAF 連携を思いついたが…
☁ 直前の送信元IPアドレスがCloudFrontなので、X-Forwarded-Forに記録されたIPをNACLに登録しても遮断ができない。
☁ 当時はAWS WAFが出たばかりで、テスト無しでの本番投入はハードルが高かった。
IP制御を速やかにCloudFrontまで持っていく
必要があった
System Integration システム連携
静的情報 (IP List)を AWS WAFへ登録するもの だけど、使えるのでは?
よろしい ならば実装だ
http://files.trendmicro.com/jp/ucmodule/tmds/96/sp1/Deep_Security_9.6_SP1_Admin_Guide_JP.pdf
Deep Security検知ログを作成
不正アクセスIPの集計
Deep Security Managerへプッシュ
Deep Security MangerからAWS WAFへ連携
http://qiita.com/fnifni/items/8ae2b49d5fe6af3d08fe
1度設定しておしまいではない 新たな脅威、不要となった設定などを
最適化していく必要がある
Tuning Rules 運用・ルール最適化
チューニングのポイント
☁ 推奨設定の検索 ☁ 対応済みの脆弱性のルールは外す(検知ベー
ス) ☁ 検知傾向を知る(どんな通信を検知するか) ☁ サービスで使用している通信か否か
• URI, POST, XML, SQL, CSS, HTML, SSL…
システムは生き物 攻撃も生き物
チューニングは運用の一部
セキュリティ製品は
運用が命!
でも なんでDeep Securityでできることを
AWS WAFにやらせるの?
異常に気づいてから 復旧まで1週間
もともとはOCN経由で自社データセンター運用(推測)
↓ 攻撃負荷が高く調査も難航、一旦停止せざるを得ない状態
http://d.hatena.ne.jp/Kango/20160116/1452985392
CloudFront
WAF
WAFでサーバー負荷をオフロード
EC2Deep Security Manager
単なるDDoS攻撃ではびくともしないサイトへ
セキュリティ対策事例
ハイレベルなセキュリティ基準☁ AWSで国内初のPCI-DSS Level1環境の構築の実績
• PCI-DSSとは • PCI DSS (Payment Card Industry Data Security Standard) は国際カードブランド5
社(Visa、MasterCard、JCB、American Express、Discover) が共同で設立したPCI SSC(Payment Card Industry Security Standard Council)によって策定されたグローバルセキュリティ基準。
• プレスリリース(http://www.cloudpack.jp/press/20130308.html)
世界のクレジットカード会社が求める セキュリティ実装のスタンダード
Coiney
既存サイトをPCI DSS Level1に準拠させる為、 cloudpackはインフラ構築・セキュリティ面でのコンサルティングを担当
実践的セキュリティ対策
アプリケーション
データ
ランタイム
ミドルウェア
OS
仮想化
サーバー
ストレージ
ネットワーク
☁ ユーザー責任範囲 • 権限設定、ネットワーク設定
• ソフトウェアのアップデート
• セキュリティログの収集・管理
• データの暗号化
• ウイルス対策 etc…
☁ AWS責任範囲
改ざんから検知の流れ(初期アイディア)
Victim web
Real time log store
1.バックドアを操作
3.アラート送信
2.ファイル改ざん
4. 自動復旧シナリオ実行
攻撃者
改ざんから復旧までのメカニズム
Firewall
LOG
・・・・・・・・・・・・・・・・・・・・・・
ファイル改ざん
改ざん検知
ログに記録
自動リカバリー開始
削除命令
リカバリー命令
オリジナルファイルでリカバリー
Auto-Healingプログラム
Deep Security Agent
攻撃者
Webセキュリティを保護するセキュリティツール。 自動化を実行する為の、最初のトリガーを担当。
コンテンツ・アプリのソースコードなどの変更履歴を記録・追跡・保存するための分散型バージョン管理システム。 コンテンツのオリジナルデータ先として利用。git(ギット)
Deep Security Agent
バッドロボットからのリクエストを自動的に対処
• 人間ではアクセスしないリンクを仕込む
• API Gateway→Lambda→WAFという連携でブロック制御
http://blogs.aws.amazon.com/security/post/Tx1G747SE1R2ZWE/How-to-Reduce-Security-Threats-and-Operating-Costs-Using-AWS-WAF-and-Amazon-Clou
Deep Security User Group
勉強会なども 開催中
CloudFront / WAF ソリューション
業界最安値 CDN専用プラン
https://cloudpack.jp/lp/cdn/
AWSは直接契約するよりもcloudpackの方が安く利用できます
☁ 基本料金 1,500円/月 • Web ACL x1 + 最大5ルール
☁ 設定変更 1万円~ • 作業内容により応相談
☁ ルール追加その他応相談 • Deep Security連携など
【初公開】CDN専用プラン WAFオプション
AWS WAF
まとめ
• 複雑化・高度化するサイバー攻撃には、1)動的な対応、2)システム連携、3)運用・ルール最適化 が求められる
• ツール・サービスも高度な連携が可能な時代にDSとAWS WAFの連携でProactiveな対策を
• 最適なルールの適用が最大の防御=ツール任せではなく人による運用が大切
まとめ
Related Documents
