Trend Micro DIRECTION 2015 RoBoHoN登場! アクセスが集中するサイトの障害回避に シンプルな解決策をシャープ様と取り組んでみた cloudpack 後藤 和貴 2015.11.20
Trend Micro DIRECTION 2015
RoBoHoN登場! アクセスが集中するサイトの障害回避に
シンプルな解決策をシャープ様と取り組んでみたcloudpack 後藤 和貴
2015.11.20
後藤 和貴@kaz_goto
執行役員 / エバンジェリスト
☁ cloudpack事業 執行役員 • エバンジェリスト • 営業、PR、ウェブ…
☁ バックグラウンド • Oracle カスタマーサポート→開発 • ウェブデザイン会社 • テクニカルディレクター(フリーランス)
アイレット株式会社
設立
資本金
代表者
従業員数
事業内容 システム開発・保守 マネジドホスティング
2003年10月15日
7,000万円
齋藤 将平
100名(2015年9月現在)
について
AWSを活用しながらビジネスに集中できるコンシェルジュサービス
cloudpackビジネス
設計支援 コンサル
MSP 運用保守
システム 開発
24時間365日
定額課金/ 請求書払い
PCI DSS、ISMS、Pマーク取得済みの運用体制
監視運用保守
企業 AWS
4 社 社超
プロジェクト超
500800
5年間
5 年間AWSのみで運用保守
ワンストップでシステム開発から運用保守まで
アジア地域5社世界46社最上位パートナー
プレミアコンサルティングパートナー
企業規模別 cloudpack利用比率
36% 27 37% %
中小企業 中堅企業 大企業
Web系 91%
うち33%が ソーシャルゲームや
メディアサイト
cloudpackの主な利用状況
シャープ株式会社 CEカンパニー
クラウドサービス推進センター 第二サービス開発部 部長
音川 英之 さま
☁ 各種商品向けのAWS上のサーバの24時間365日の運用・監視
• システムの異常事象に対するタイムリーな通知
• 実際のサービス提供に影響が生じた問題に対する迅速な復旧
☁ プレミアコンサルティングパートナーとしてのAWSの超エキスパート
• AWS/クラウドをフル活用するための各種提案、情報提供
シャープにおけるcloudpack様の価値
本日の事例もcloudpack様からのご提案によりスタート!
robohon.com
RoBoHoNの発表に合わせて開設したプロモーション用の新規Webサイト
RoBoHoN
身長 約19.5cm 体重 約390g 基本能力 通話、メール、 カメラ、プロジェクタ、 音声認識、顔認識、 歩行、起き上がり 通信能力 LTE/3G/WiFi
☁ 何はさておき、安定稼働が重要! ☁ セキュリティの確保
• サイト改ざんは、単なるサイトのトラブルだけでなく、商品/ブランドに波及するリスクが存在
商品に関わるWebサイトにおける課題
改ざん発生!
SNS等での拡散 意図と異なるブランドイメージの形成
プロモーションへの投資が有効に活用できない事態に!
☁ 開設後、相当数のアクセスが予想されることから、様々な対応を検討
• 安定稼働に最適なインフラを選択インフラの選定においてもcloudpack様からアドバイスを頂きました
☁ トレンドマイクロ様およびcloudpack様からのAuto-Healingシステムのご提案
• 弊社のAWS上のEC2に標準で利用しているDeep Securityの活用で、Webサイトの安定性向上が可能とのご紹介
• 実現のために必要な対応工数が非常に小さいことが魅力
Auto-Healingシステム導入の背景
最近のウエブ改ざんについて
一般社団法人JPCERTコーディネートセンター インシデント報告対応レポート 2015年4月1日~2015年6月30日 https://www.jpcert.or.jp/pr/2015/IR_Report20150714.pdf
ウェブサイト改ざんの傾向改ざんされた Web サイトを確認したところ、埋め込まれる不正なコードには、body タグの直後に cookie を送信する JavaScript と、攻撃サイトに誘導する iframe が埋め込まれているという特徴がありました。また、誘導先の攻撃サイトでは、マルウエアに感染させるために、Internet Explorer や Adobe Flash Player の脆弱性が使用されていました。
上記のような改ざんが行われた Web サイトでは、WordPress を使用しているという共通点が見られました。WordPress のような CMS を使用している Web サイトは、CMS やそのプラグインのバージョンが古い場合、脆弱性をつかれて改ざんされてしまう恐れがあります。Web サイトの管理者は、CMS を常に最新のバージョンに維持し、不要なプラグインを削除するなどの対策を取ることが重要です。
自社サイトの改ざん被害のみならず、不正なマルウエアを感染させることになり
被害拡大の支援をすることになる
http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/manipulation/
同 インシデント報告対応レポート より
WordPressが攻撃されるケース
� ������� ������
���攻撃者 攻撃者
管理者ページへの不正ログイン
プラグインを中心とした 脆弱性を悪用した不正侵入
もし改ざんされると…
自社サイトが改ざんされる ↓
自社サイトへアクセスしたユーザーが不正なサイトへ転送される ↓
誘導されたサイトでマルウェアに感染 ↓
さらなる被害へ
一般社団法人JPCERTコーディネートセンター インシデント報告対応レポート 2015年4月1日~2015年6月30日 https://www.jpcert.or.jp/pr/2015/IR_Report20150714.pdf
改ざん検知からサイト再開まで
1. ウェブサイトが改ざんされる 2. ウェブサイト停止(閲覧者への被害拡大停止のため)
3. 原因・影響度の調査 4. ウェブサイト復旧
(最悪のケース、OS・アプリの再構築) 5. ウェブサイト再開
サイト停止から復旧までが長いとビジネス的なインパクトが多い
迅速な対応をするには…
改ざんされても、 いち早く復旧するために 自動復旧する仕掛けを!
Auto-Healing (自動修復)
改ざんから検知の流れ(初期アイディア)
Victim web
Real time log store
1.バックドアを操作
3.アラート送信
2.ファイル改ざん
4. 自動復旧シナリオ実行
攻撃者
改ざんから復旧までのメカニズム
Firewall
LOG
・・・・・・・・・・・・・・・・・・・・・・
ファイル改ざん
改ざん検知
ログに記録
自動リカバリー開始
削除命令
リカバリー命令
オリジナルファイルでリカバリー
Auto-Healingプログラム
Deep Security Agent
攻撃者
Webセキュリティを保護するセキュリティツール。 自動化を実行する為の、最初のトリガーを担当。
コンテンツ・アプリのソースコードなどの変更履歴を記録・追跡・保存するための分散型バージョン管理システム。 コンテンツのオリジナルデータ先として利用。git(ギット)
Deep Security Agent
Trend Micro Deep Security
☁ 総合サーバーセキュリティ対策 ソフトウェア • ウイルス対策(Webレピュテーション機能
付)
• Webアプリケーション保護
• 侵入検知・防止(ホスト型IDS/IPS)
• ファイアウォール
• ファイルやレジストリなどの変更監視
• セキュリティログ監視
セキュリティ対策事例
ハイレベルなセキュリティ基準☁ AWSで国内初のPCI-DSS Level1環境の構築の実績
• PCI-DSSとは • PCI DSS (Payment Card Industry Data Security Standard) は国際カードブランド5
社(Visa、MasterCard、JCB、American Express、Discover) が共同で設立したPCI SSC(Payment Card Industry Security Standard Council)によって策定されたグローバルセキュリティ基準。
• プレスリリース(http://www.cloudpack.jp/press/20130308.html)
世界のクレジットカード会社が求める セキュリティ実装のスタンダード
Coiney
既存サイトをPCI DSS Level1に準拠させる為、 cloudpackはインフラ構築・セキュリティ面でのコンサルティングを担当
実践的セキュリティ対策
アプリケーション
データ
ランタイム
ミドルウェア
OS
仮想化
サーバー
ストレージ
ネットワーク
☁ ユーザー責任範囲 • 権限設定、ネットワーク設定
• ソフトウェアのアップデート
• セキュリティログの収集・管理
• データの暗号化
• ウイルス対策 etc…
☁ AWS責任範囲
CUSTOMER SUCCESS STORY導入事例
こうしたクラウドの特徴は、コイニーを起業した佐俣氏にとっても魅力だった。「私たちのような、お金も時間もないスタートアップ企業にとってクラウドの活用が最善策。それ以外の選択肢は考えられませんでした」と、同氏は振り返る。 ただし、当時の日本では、クラウド(パブリッククラウド)上でカード決済サービスの開発・運用を行う前例はなかった。ゆえに、クレジットカード会社との交渉を重ねながら、手探りでプラットフォーム選定が進められた。その中で、特に重視されたのが、データセキュリティ標準規格「PCI DSS」への対応だ。同規格準拠の認定を得ることは、カード決済サービスを始める際の必須要件。クラウドインフラを使いながら、この要件をいかにすみやかに満たしていくかが、最大の懸案となったのである。
クラウドのインフラを用いながら、PCI DSSのセキュリティ要件を満たす̶̶その課題解決に向け、コイニーが採用したのが「アマソン ウェブ サービス( 以下、AWS)」だ。採用の決め手は、そのプラットフォームがPCI DSSに対応したからにほかならない。つまり、AWSは、PCI DSS
準拠認定の取得という必須要件をクリアーするのに最適なクラウドだったということだ。 とはいえ、AWSのセキュリティ機能だけでは、およそ「360項目」にも及ぶPCI DSSの要件は満たせない。そこで、佐俣氏はトレンドマイクロの「Trend Micro Deep SecurityTM(以下、Deep Security)」を採用し、セキュリティのさらなる強化に乗り出した。強化部分は、IDS(侵入探知システム)やファイアーウォールの設置、それによるログの収集・記録など。要するに、PCI
DSSのセキュリティ要件を満たすうえで、 AWSではカバーすることができない部分を、Deep
Securityで穴埋めしていったのだ。 「当初は、オープンソースのセキュリティ・ツールも候補として挙がりましたが、私たちにとっては、スピードと確実性が最重要。ですから、実績が高く、検証の手間がかからず、しかも、さまざまな機能やツールがワン・パッケージで提供されているDeep Securityを選んだのです」(佐俣氏)。
コイニーの選択は奏功した。AWSの導入設計から運用・保守までをトータル・サポートするcloudpackのサポートの下、同社ではDeep Securityを含めた本番環境でのサービス実装を約 1カ月間で完了させたのである。 これにより、コイニーの技術チームは、PCI DSS準拠認定の取得というコンプライアンス業務を約3カ月という短期間でやり遂げた。通常であれば、「 1年強は必要な大仕事」(佐俣氏)というから、このスピードは驚異的だ。また、サービスの立ち上げから今日に至るまで、「セキュリティ管理・運用に関するトラブル報告はゼロ」と佐俣氏は付け加え、Deep Securityの信頼性・運用性の高さを評価する。 近年、クラウド・インフラの進化・発展とともに、「クラウドにシステムを預けてしまえば、情報セキュリティも盤石」といった少し乱暴な考え方も散見されている。 だが、たとえクラウドを用いたとしても、利用者の自己責任の下でそれぞれの要件に合致したセキュリティ機能を追加していくのが基本となる。そう考えれば、クラウドへのIT移行でセキュリティ施策が不要になるのではなく、「自社のビジネスにとって、どの部分のセキュリティを重点的に強化すべきかがより鮮明になり、セキュリティ施策やツールの投資対効果が見定めやすくなる」と見なすべきだろう。そして、Deep Securityは、クラウド環境におけるセキュリティ上の重点課題を効率的に解決する、極めて投資対効果の高いソリューションと言える。コイニーの事例は、それを端的に物語っている。
「カード文化が定着している欧米とは異なり、日本では現金払いがまだまだ主流。小売りのレジでも、クレジットカードが使えるのは大規模チェーンや百貨店がほとんどで、個人商店では使えないことのほうが多い。私はそれを変えたかった」̶ ̶コイニー起業の経緯をこう語るのは、同社の創業社長、佐俣 奈緒子氏だ。 この変革に向けた、コイニーの考え方はシンプルだ。今日の生活者にとって最も身近で、使い慣れた情報ツール「スマートフォン」をクレジットカード決済の端末として用いることで、これまで「カード払い」に対応できていなかった、小規模/個人営業の小売店や飲食業、美容業などの「キャッシュレス化」を推進する̶̶それが、同社の基本戦略と言える。 従来、「カード払い」に店舗が対応しようとした場合、カード会社や銀行による与信審査に長い時間がかかったり、専用端末/専用線の導入/運用のコストがかさんだりと、さまざまなハードルがあった。対するコイニーのサービスでは、必須の機材はスマートフォンと、無償提供される小型カードリーダー「Coineyリーダー」の2つ。あとは、サービスに加入してユーザアカウントを取得し、専用のアプリをインストールすれば、スマートフォンによるカード決済が始められる。しかも、カード決済額に応じて利用者に課される手数料の料率も3.24%と割安(相場は5%~6%)。そんな手軽さから、コイニーのサービス利用者は急カーブを描いて増え続け、ビジネスは軌道に乗っている。 そんなコイニーが創設された当時(2012年3月当時)、すでにスタートアップ企業の間では、「 ITインフラはクラウドで」が当然の流れとなっていた。理由は、サービス成長に柔軟に対応できる拡張性や俊敏性、そして、サービス立ち上げ時の投資の少なさだ。
業種 決済サービス
設立 2012年3月
地域 東京都、日本
お客様の課題● カード決済サービスの早期立ち上げ● PCI DSS 認定の早期取得
導入製品・ソリューション● Trend Micro Deep SecurityTM
導入効果● 3ヶ月でのPCI DSS 認定の取得 (システムへのDeep Securityの実装は約1ヶ月で完了)
● クラウド(Amazon Web Services)インフラのセキュリティ強化
● セキュリティ投資対効果の最適化
利用環境● アマゾン ウェブ サービス (AWS)
コイニー株式会社
Page 1 of 2 • Customer Success Story コイニー株式会社
が適用されたコイニー・サービスのインフラ概念図
>>
【カード決済の変革で起業 インフラに求めたのはセキュアな俊敏性】
コイニー起業に際し、カード決済のセキュリティ要件を満たすサービス&ITシステムの早期立ち上げが不可避だった。
「アマゾンウェブサービス( )」と「 」で、セキュアな決済サービス・インフラを約 1カ月で実装。決済ビジネス始動の必須要件、「 」準拠認定を早期に取得。
セキュアなクラウドインフラがカード決済のイノベータを強力にバックアップ
CUSTOMER SUCCESS STORY導入事例
こうしたクラウドの特徴は、コイニーを起業した佐俣氏にとっても魅力だった。「私たちのような、お金も時間もないスタートアップ企業にとってクラウドの活用が最善策。それ以外の選択肢は考えられませんでした」と、同氏は振り返る。 ただし、当時の日本では、クラウド(パブリッククラウド)上でカード決済サービスの開発・運用を行う前例はなかった。ゆえに、クレジットカード会社との交渉を重ねながら、手探りでプラットフォーム選定が進められた。その中で、特に重視されたのが、データセキュリティ標準規格「PCI DSS」への対応だ。同規格準拠の認定を得ることは、カード決済サービスを始める際の必須要件。クラウドインフラを使いながら、この要件をいかにすみやかに満たしていくかが、最大の懸案となったのである。
クラウドのインフラを用いながら、PCI DSSのセキュリティ要件を満たす̶̶その課題解決に向け、コイニーが採用したのが「アマソン ウェブ サービス( 以下、AWS)」だ。採用の決め手は、そのプラットフォームがPCI DSSに対応したからにほかならない。つまり、AWSは、PCI DSS
準拠認定の取得という必須要件をクリアーするのに最適なクラウドだったということだ。 とはいえ、AWSのセキュリティ機能だけでは、およそ「360項目」にも及ぶPCI DSSの要件は満たせない。そこで、佐俣氏はトレンドマイクロの「Trend Micro Deep SecurityTM(以下、Deep Security)」を採用し、セキュリティのさらなる強化に乗り出した。強化部分は、IDS(侵入探知システム)やファイアーウォールの設置、それによるログの収集・記録など。要するに、PCI
DSSのセキュリティ要件を満たすうえで、 AWSではカバーすることができない部分を、Deep
Securityで穴埋めしていったのだ。 「当初は、オープンソースのセキュリティ・ツールも候補として挙がりましたが、私たちにとっては、スピードと確実性が最重要。ですから、実績が高く、検証の手間がかからず、しかも、さまざまな機能やツールがワン・パッケージで提供されているDeep Securityを選んだのです」(佐俣氏)。
コイニーの選択は奏功した。AWSの導入設計から運用・保守までをトータル・サポートするcloudpackのサポートの下、同社ではDeep Securityを含めた本番環境でのサービス実装を約 1カ月間で完了させたのである。 これにより、コイニーの技術チームは、PCI DSS準拠認定の取得というコンプライアンス業務を約3カ月という短期間でやり遂げた。通常であれば、「 1年強は必要な大仕事」(佐俣氏)というから、このスピードは驚異的だ。また、サービスの立ち上げから今日に至るまで、「セキュリティ管理・運用に関するトラブル報告はゼロ」と佐俣氏は付け加え、Deep Securityの信頼性・運用性の高さを評価する。 近年、クラウド・インフラの進化・発展とともに、「クラウドにシステムを預けてしまえば、情報セキュリティも盤石」といった少し乱暴な考え方も散見されている。 だが、たとえクラウドを用いたとしても、利用者の自己責任の下でそれぞれの要件に合致したセキュリティ機能を追加していくのが基本となる。そう考えれば、クラウドへのIT移行でセキュリティ施策が不要になるのではなく、「自社のビジネスにとって、どの部分のセキュリティを重点的に強化すべきかがより鮮明になり、セキュリティ施策やツールの投資対効果が見定めやすくなる」と見なすべきだろう。そして、Deep Securityは、クラウド環境におけるセキュリティ上の重点課題を効率的に解決する、極めて投資対効果の高いソリューションと言える。コイニーの事例は、それを端的に物語っている。
コイニー株式会社代表取締役社長
佐俣 奈緒子 氏
東 京 本 社 〒1 5 1 -0053 東京都渋谷区代々木2-1-1 新宿マインズタワー TEL.03-5334-3601(法人お問い合わせ窓口) FAX.03-5334-3639名古屋営業所 〒460-0002 愛知県名古屋市中区丸の内3-22-24 名古屋桜通ビル7階 TEL.052-955-1221 FAX.052-963-6332大阪営業 所 〒532-0003 大阪市淀川区宮原3-4-30 ニッセイ新大阪ビル13階 TEL.06-6350-0330(代表) FAX.06-6350-0591福岡営業 所 〒8 12-00 1 1 福岡県福岡市博多区博多駅前2-3-7 サンエフビル7階 TEL.092-471-0562 FAX.092-471-0563
「すべてをかんたんに」を基本理念とし、スマートフォンやタブレット端末と専用のカードリーダーを使った、クレジットカード決済(代行)サービスを提供する。2012年3月設立。URL: http://coiney.com/
導入先プロフィール
Page 2 of 2 • Customer Success Story コイニー株式会社
TREND MICRO、Trend Micro Deep Security、およびDeep Securityは、トレンドマイクロ株式会社の登録商標です。アマゾン ウェブ サービス、Amazon Web Services、 Amazon S3、Amazon EC2、Amazon RDS およびAmazon Web Services ロゴは、Amazon.com, Inc.またはその関連会社の商標です。本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。記載内容は2014年5月現在のものです。内容は予告なく変更になる場合がございます。Copyright © 2014 Trend Micro Incorporated. All rights reserved. [Item No. BR-CASE-032]
【セキュアなサービスを1カ月で実装 準拠認定を3カ月で取得】
「確実性とスピード重視で、Deep Securityを選択しました。選択は正解で、トラブルの報告はゼロです。」
【 対応で を選択 でセキュリティ要件を満たす】
http://www.trendmicro.co.jp/cloud-content/jp/pdfs/business/case-study/coiney/pdf-casestudy-coiney-20140613.pdf
セキュリティについての 取り組み
securitypack
☁ Deep Security導入から運用保守までをサポート
☁ 24時間365日、システム監視と運用・保守
☁ 脆弱性情報の提供ルール設定代行ログ分析など
安全なネットワーク
☁ AWS Direct Connect ☁ 専用接続プラン with 光
安全なデータアップロード
☁ ダイレクトインポート • 完全プライベート回線経
由でAWSへ • 機密レベルの高いデータ
のやりとり • マイグレーション時のダ
ウンタイム最小化
認証・セキュリティの取り組み
+セキュリティルーム
ICMS-PCI0162/PCI DSS
ICMS-PCI0162/PCI DSS
PCI DSSICMS-PCIxxxx
PCI DSS監査証明マーク PCI DSSロゴマーク
PCI DSSICMS-PCIxxxx
※写真はイメージです
• 米国公認会計士協会(AICPA)が定める、財務報告目的以外の受託サービスに関する内部統制の保証報告書
• 監査法人や公認会計士が独立した第三者の立場から、客観的に検証した結果を記載したもの
• AWS上でのSOC2受領は日本初!
SOC2レポート受領
• 国際・国内セキュリティ基準への取り組み
• ソフトウェア脆弱性情報に関する取り組み
• 業務ネットワークのセキュリティ
• 運用上のセキュリティ保持体制
セキュリティ ホワイトペーパー
まとめ
• 最近のセキュリティ被害ではサイト改ざんの伸びが目立つ
• サイト改ざんから、さらなる被害を拡散しないため、Proactiveな実装としてのAuto-Healing
• 日々進化する攻撃への対策は怠らないこと改ざんに限らず多層的な防御が必要ぜひDeep Security / securitypackの検討を!
まとめ