スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
3 likes1,946 views
ーーーーーーーーーーーーーーーーーーーーーーー schoo WEB-campusは「WEBに誕生した、学校の新しいカタチ」。 WEB生放送の授業を無料で配信しています。 ▼こちらから授業に参加すると、先生への質問や、ユーザーとのチャット、資料の拡大表示等が可能です。 https://schoo.jp/class/883/room ーーーーーーーーーーーーーーーーーーーーーーー
スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策 先生:
- 2. ⾃自⼰己紹介 • 名前:福井 順⼀一 1975年年⽣生まれ B型 • 出⾝身地:東京都 • 経歴 – 2003年年トレンドマイクロ⼊入社 コアチーム所属 – 2009年年マーケティング部へ移動、サーバー向けセキュリティ 対策製品の訴求、販促活動を担当 • 趣味:フットサル、ラグビー、スキー • 好きなAWSのサービス機能:Auto Scaling 6/23/2014 2Copyright © 2013 Trend Micro Incorporated. All rights reserved.
- 4. 自己紹介 • 名前 – 深⾕谷 拓拓也(ニックネーム:たくぱん) • ⾃自⼰己紹介 – プリセールスエンジニア – アマゾンデータサービスジャパン様とのアライアンス テクニカル担当 – 標的型攻撃対策製品Deep Discovery Family製品担当 – 料料理理、スポーツ、お酒、旅⾏行行が好き
- 8. 4⽉月に続発した4つのゼロデイ脆弱性 脆弱性 報告日 ゼロデイ脆弱性が確認 されたソフト これらのソフトは 元々何をするもの? この脆弱性が攻撃されると どうなる? 4月7日 Open SSL (Heart Bleed 脆弱 性) サーバの正当性の証明と共 に、端末とサーバ間の通信 を暗号化するためのソフト 暗号化通信時の重要情報 (暗号鍵やユーザが入力した クレジットカード情報など)が Webサーバ上で盗み取られ る 4月21日 Apache Struts Webアプリを作ってサーバ 上で動かすためのソフト Webアプリへの攻撃により、 Webサーバに不正プログラム が感染したり、最終的にWeb サイトが改ざんされる 4月26日 Internet Explorer(IE) パソコンでWebを閲覧する ためのソフト(=ブラウザ) Internet Explorerを使用して Webを閲覧しただけで端末が 不正プログラムに感染する 4月28日 Adobe Flash Player ブラウザでFlashと呼ばれる 動画などのファイルを再生 するためのソフト Web閲覧時などに不正な Flashコンテンツを表示した場 合、端末が不正プログラムに 感染する 4Copyright © 2014 Trend Micro Incorporated. All rights reserved.
- 9. セキュリティ事故の発生状況は? 6/25/2014 5Copyright © 2014 Trend Micro Incorporated. All rights reserved. 0 100 200 300 400 500 600 700 出版・放送・印刷 福祉・介護 卸小売・サービス 店舗系商業サービス 運輸・交通・インフラ 建設・不動産 教育 情報サービス・通信プロバイダー 医療 製造 金融 官公庁自治体 クライアント端末のウイルス感染 社内サーバのウイルス感染 公開サーバのウイルス感染 スマートフォン、タブレットのウイルス感染 不正サイトへのアクセス フィッシングサイトへのアクセス Webサイトの改ざん なりすましメールの受信 社内システムからの情報漏えい 公開システムからの情報漏えい サービス停止攻撃(DoS/DDoS攻撃) 社内システムへの不正ログイン 公開システムへの不正ログイン ノートブックの紛失・盗難 USBなどのリムーバブルメディアの紛失・盗難 スマートフォン・タブレットの紛失・盗難 その他 2014年3月トレンドマイクロ調べ 66.2%がセキュリティ事故を経験
- 10. セキュリティ事故による実害はあるのか? 6/25/2014 6Copyright © 2014 Trend Micro Incorporated. All rights reserved. 323 37 3 4 13 16 26 28 31 47 97 101 122 146 179 0 50 100 150 200 250 300 350 実害はない 把握できていない その他 訴訟 賠償・補填 株価への影響 金銭被害 盗まれた情報・データの悪用 顧客、取引先との関係悪化 システム破壊 顧客、取引先情報の漏えい 業務関連情報の漏えい システム・サービス停止 社員情報の漏えい データ破壊・損失 2014年3月トレンドマイクロ調べ 53.7%が実害に直結
- 12. 技術的な対策の導入状況は? 6/25/2014 8Copyright © 2014 Trend Micro Incorporated. All rights reserved. 67.8% 74.5% 51.6% 77.5% 公開サーバで総合セキュリティではなく ウイルス対策ソフトを使っている 社内サーバで総合セキュリティではなくウイ ルス対策ソフトを使っている 不正な通信や挙動を発見する 仕組みを利用している クライアントで総合セキュリティではなく ウイルス対策ソフトを使っている 社内・公開システムで不正な改変を 特定できる対策をしている 39.6% 2014年3月トレンドマイクロ調べ 昨今の脅威に対策が追い付いていない
- 13. 従来の事故との⼤大きな違い クレジットカード情報を保持していない=安全という認識識は危険 今回の事故 クレジットカード情報を保持していな いのに、漏漏えいする事故が発⽣生した。 消費者 戻る 購⼊入 番号 期限 クレジットカー ド 情報を⾮非保持 EC事業者様 従来の事故 DB 消費者 クレジットカード情報を保持している 場合に、脆弱性を悪⽤用され漏漏えいする 事故が発⽣生していた。 戻る 購⼊入 番号 期限 クレジットカー ド 情報を保持 EC事業者様 SQLインジェクショ ン等 9Copyright © 2014 Trend Micro Incorporated. All rights reserved
- 14. 昨年年の事故事例例から 〜~カード情報漏漏えい事故 このたび、当社が運営するオンラインショップ(以下、「本サイト」といいます。)の ウェブサーバに対して、外部からの不不正アクセスがあった事が判明いたしました。 〜~ (2)流流出の可能性がある個⼈人情報 対象 ・・・ 以下の期間に商品をクレジットカード決済でご購⼊入いただいたお客様 xxxxxx 件のクレジットカード情報が流流出した可能性がございます。 対象期間・・・平成25 年年xx⽉月xx⽇日〜~平成25 年年xx⽉月xx ⽇日 対象項⽬目・・・クレジットカード情報(①カード番号、②カード名義⼈人名、③セキュリ ティコード、④カード有効期限) 昨年年、某オンラインショッピングにて、不不正アクセスがあったことが報道され ました。 – Apache Struts 2の脆弱性を利利⽤用してシステムに不不正侵⼊入 – 当該システムに使⽤用されていたStrutsが、すでに過去に脆弱性が指摘されてい た古いバージョンのものであった – バックドアプログラムが設置され、第三者のサーバにクレジットカード情報が転送 されるようにプログラムが改ざんされていた。(発覚はおよそ1週間後) 構築・保守フェーズにおける脆弱性の管理理のルールが曖昧であった プログラムの改ざんを検知する仕組みがなかった 10Copyright © 2014 Trend Micro Incorporated. All rights reserved
- 15. Apache Strutsの脆弱性(CVE-2014-0094他) • 想定される攻撃シナリオと被害 – 正規Webサイト改ざん 攻撃者がこの脆弱性を攻撃する通信をWebアプリケーションに 対して送信することにより、Webサーバ内で任意のコードが実⾏行行 され、サーバが不不正プログラムに感染したり、Webコンテンツが 改ざんされる – Web利利⽤用者のセキュリティ被害 Webサイトの改ざんを発端とする脅威連鎖により、最終的に Web利利⽤用者が不不正プログラム感染、情報窃取などの被害に遭う 11Copyright © 2014Trend Micro Incorporated. All rights reserved 正規Webサイト ユーザ ②改ざんされた 正規サイトを閲覧 サイバー犯罪者 ① 正規サイトに侵⼊入 Webサイトを改ざん ③閲覧中不不正サイト に誘導 ③裏裏で不不正サイト接続 ⑤不不正プログラムを使って PC上の重要情報を盗み出す ④PC上で不不正 プログラム感染 不不正プログラム拡散サイト ①ウイルスを拡散する 不不正サイトを⽤用意 【Web改ざんからの脅威連鎖の流流れ】
- 18. AWSのセキュリティ Security in the AWS cloud Amazon Data Services Japan
- 19. コンテンツ配信 Amazon CloudFront メッセージ Amazon SNS Amazon SQS 分散処理理 Elastic MapReduce メール配信 Amazon SES キャッシング Amazon Elasticache ワークフロー管理理 Amazon SWF コンピュータ処理理 Amazon EC2 Auto Scale ストレージ Amazon S3 Amazon EBS データベース Amazon RDS Amazon DynamoDB AWS グローバルインフラ Geographical Regions, Availability Zones, Points of Presence AZRegion ネットワーク Amazon VPC / Amazon Elastic Load Balancer / Amazon Route 53 /AWS Direct Connect AWSのサービス 認証 AWS IAM モニタリング Amazon CloudWatch Web管理理画⾯面 Management Console デプロイと⾃自動化 AWS Elastic Beanstalk AWS CloudFromation IDEプラグイン Eclipse Visual Studio ライブラリ & SDKs Java, PHP, .NET, Python, Ruby お客様のアプリケーション Infrastructure Services Application Services Deployment Administration
- 20. AWSのセキュリティ⽅方針 セキュリティはAWSにおいて最優先されるべき事項 セキュリティへの⼤大規模な投資 セキュリティに対する継続的な投資 セキュリティ専⾨門部隊の設置 © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
- 24. お客様のデータ ユーザー権限管理理 アカウント管理理 アプリケーション セキュリティ構成 ネットワーク構成 ゲストOS お客様固有の コンプライアンス・ セキュリティ要件 Security “IN” the Cloud Security “OF” the Cloud http://aws.amazon.com/jp/compliance/ AWS 責任共有モデル AWSグローバル・インフラ 仮想化レイヤー コンピュート・インフラ ストレージ・インフラ ネットワーク・インフラ 施設・物理理セキュリティ 第三者機関による 評価・認定
- 25. データセンターの物理理的なセキュリティ Amazonは数年年間にわたり、⼤大規模なデータセンターを構築 • 複数拠点を利利⽤用することによる冗⻑⾧長性 • 洪⽔水などの環境的影響を考慮 重要な特性: • 場所の秘匿匿性 • 周囲の厳重なセキュリティ • 物理理アクセスの厳密なコントロール • 2要素認証を2回以上で管理理者がアクセス • 完全管理理された、必要性に基づくアクセス • 全てのアクセスは記録され、監査対象となる
- 26. Distributed Denial of Service (DDoS)対策: 中間者攻撃対策: IPなりすまし対策: 許可されていないポートスキャニング対策: パケットの盗聴対策: ネットワーク・セキュリティ
- 27. ハイパーバイザー(ホストOS) • AWS管理理者の拠点ホストからの個別のログイン • 全てのアクセスはロギングされ、監査されます ゲストOS(EC2インスタンス) • お客様による完全なコントロール • 顧客が⽣生成したいキーペアを使⽤用 Firewall機能の標準提供 • AWS標準機能としてInbound/Outboundに対するFirewall • AWSのお客様の権限、責任で設定 論論理理的なセキュリティ
- 28. 顧客データが 権限のない⼈人々に流流出しないようにするスト レージ 廃棄プロセスを保持 • DoD 5220.22-M(「National Industrial Security Program Operating Manual(国⽴立立産業セキュリティ プログラム作業マニュアル)」) • NIST 800-88(「Guidelines for Media Sanitization (メディア衛⽣生のための ガイドライン)」) 上記の⼿手順を⽤用い ハードウェアデバイスが廃棄できない場 合、 デバイスは業界標準の慣⾏行行に従って、消磁するか、物 理理的に破壊する データ・セキュリティ
- 29. AWS クラウドインフラストラクチャは以下の規制、標準、および ベストプラクティスに準拠するよう設計、管理理されています。 ISO27001 PCIDSS SOC2SOC1 FedRAMP FIPS140-2ITAR HIPAA http://aws.amazon.com/jp/compliance/ AWS コンプライアンスプログラム
- 31. お客様のデータ ユーザー権限管理理 アカウント管理理 アプリケーション セキュリティ構成 ネットワーク構成 ゲストOS 仮想化レイヤー コンピュート・インフ ラ ストレージ・インフラ ネットワーク・インフ ラ 施設・物理理セキュリ ティ AWSグローバル・イン フラ Security “IN” the Cloud Security “OF” the Cloud http://aws.amazon.com/jp/compliance/ お客様固有の要件 AWS 責任共有モデル
- 32. OSの選択とハードニング • インスタンスサイズ、OSの選択もお客様が柔軟に構成可能 • 標準的なOSのハードニングガイドとテクニックを活⽤用 • 最新のセキュリティパッチの適⽤用 ホストベースの防御策の適⽤用を考慮 • Firewall • IDS/IPS 管理理者権限やユーザー管理理 • 必要最⼩小限のアクセス • パスワードや認証の管理理 仮想OSの設定はお客様が実施 EC2 インスタンスの起動 お客様の独⾃自インスタンス ハードニングと構成 監査とログ取得 脆弱性管理理 マルウェア、IDS, IPS Whitelisting and integrity ユーザー管理理 OS 仮想OSイメージ
- 33. バケット単位、オブジェクト単位のアクセス・コントロール • アクセス権限を可能な限り厳格に制限し、定期的にログを検査 • 重要ファイルにはバージョニング機能を使⽤用 • 削除には多要素認証を使⽤用 S3暗号化機能を使⽤用 • データ保護のためにSSLを転送に使⽤用 • S3サーバー・サイド暗号化(AES256) • S3クライアント・サイド暗号化も可能 • オブジェクトの整合性はMD5チェックサムを使⽤用して検査 データの所有権はお客様のもの 〜~AWS S3のセキュリティ機能〜~
- 34. • 多要素認証 • H/Wトークン or スマートフォンのS/W • IAMポリシー・シュミレーター • 本番適⽤用前にツールでテスト可能 • ユーザー毎の権限とアクション • 誰が? • 何を? • 何処から? AWSサービスへのアクセスはお客様が統制 AWS IAM, Identity and Access Management AWSサービスとリソースへのアクセス・コントロールが可能
- 38. 3 クラウドサービス上でのセキュリティ対策 Copyright © 2013 Trend Micro Incorporated. All rights reserved.
- 40. 5 最新の脅威への対策「多層防御」について Copyright © 2013 Trend Micro Incorporated. All rights reserved.
- 41. どうすればセキュリティ事故を防げたのか? ファイル改ざんまでのプロセス例例 「⾮非保持=安全」ではない、という認識識に変えていく ③サーバのファイルを改ざんされる。結果 「結果」から 「原因」をたどり 「層」を強化! • ポリシーの⾒見見直し – 規格依存ではなく、リスクベースのアプローチが必要 – 脆弱性管理理プロセス(作業範囲、SLAなど)の⾒見見直し – 内部からの脅威の⾒見見直し(標的型攻撃への対応) • システム的な対策、運⽤用の⾒見見直し – 多層防御の「層」の⾒見見直し ②サーバの権限を取得される。 原因 ①サーバの脆弱性を攻撃される。
- 42. 多層防御の考え⽅方① ①サーバの脆弱性を攻撃される。 ②サーバの権限を取得される。 ③サーバのファイルを改ざんされる。 対策優先度度 ⾼高 低 【課題】 ・パッチの適⽤用が適切切に⾏行行えない。 【理理由】 ・適⽤用前にシステムの検証が必須。 ・適⽤用時にはシステムを⽌止める必要が ある場合もある。 仮想パッチで運⽤用を軽減 OSやアプリケーションの脆弱性を突いた 攻撃をネットワークレベルでブロック (本来のパッチ検証作業を⼗十分に⾏行行って からパッチの適⽤用が可能となる) • 仮想パッチとは、仮想的に脆弱性を修正するプログラム – サーバが⾃自動で脆弱性を検出し、⾃自動で保護することが可能(⼿手動保護も可能) – 脆弱性を狙った攻撃を受けた場合は、仮想パッチが攻撃をブロック – 仮想パッチを適⽤用するためにはサーバを停⽌止、再起動する必要がない ファイル改ざんまでのプロセス例例
- 43. 多層防御の考え⽅方② ファイル改ざんまでのプロセス例例 ①サーバの脆弱性を攻撃される。 ②サーバの権限を取得される。 ③サーバのファイルを改ざんされる。 対策優先度度 ⾼高 低 【課題】 ・不不正なログイン試⾏行行に気づかない。 セキュリティログ監視で対応 検知 ・ 管理理者へ通 知 認証エラー 認証エラー • 攻撃の兆候があった場合はすぐに管理理者へ通知する – 重要なデータや、ActiveDirectoryなどユーザ情報を保管しているサーバは常に監視し ておき、疑わしいふるまいを検知 – 検知した場合は⾃自働で速やかに通知
- 44. 多層防御の考え⽅方③ ①サーバの脆弱性を攻撃される。 ②サーバの権限を取得される。 ③サーバのファイルを改ざんされる。 【課題】 ・ファイルの改ざんに気づかない 対策優先度度 ⾼高 低 改ざん検知で対応 戻る 購⼊入 番号 期限 改ざん 検知 ・ 管理理者へ通知 • 改ざんを検知した場合はすぐに管理理者へ通知する – OSやアプリケーション(Webコンテンツ含む)のファイル・レジストリを監視して、 不不正なファイルやレジストリの変更更を監視 – 監視対象のディレクトリやファイルは柔軟に除外/追加可能 – 改ざんを検知した場合は⾃自働で速やかに通知 ファイル改ざんまでのプロセス例例
- 45. 10 Trend Micro Deep Securityご紹介 ⼤大切切なサーバ/クライアントに必要な「All in One」セキュリティ対策 Copyright © 2013 Trend Micro Incorporated. All rights reserved.
- 46. Trend Micro Deep Securityとは? ログ監視 ウイルス対策 変更更監視 IDS/IPSFirewall セキュリティ機能 内容 ①ファイアウォール 攻撃を受ける機会を軽減します。 ②仮想パッチ 脆弱性を突いた攻撃からサーバを保護します。 ③セキュリティログ監視 重要なセキュリティイベントを早期に発⾒見見します。 ④改ざん検知 ファイル等の改ざんを早期に発⾒見見します。 ⑤ウイルス対策 マルウェアの攻撃から保護します。 多 層 防 御 EC2 Deep Security
- 48. IPS/IDS補助機能:推奨スキャン サーバにインストールされたDeep Security Agentがサーバにインストールされて いるアプリケーションの情報を収集し、必要な仮想パッチを⾃自動選択します。推奨スキャンとは Deep Security Manager Webサーバ DBサーバ 推奨スキャン 推奨スキャン 仮想パッチ機能 ON! 仮想パッチ機能 ON! Time Line 正規パッチ 検証開始 推奨スキャンを利利⽤用したパッチマネジメント Deep Security 仮想パッチ リリース 脆弱性情報が 公的DBに 登録される Deep Security 仮想パッチ 適⽤用 正規パッチ リリース Deep Security 仮想パッチ 解除 正規パッチ インストール 脆弱性 発覚! 推奨スキャン で⾃自動化 推奨スキャン で⾃自動化 緊急度度が⾼高いも のは48時間以内 にリリース
- 51. GW型のセキュリティ対策をした場合 Data Volume S3 BucketEBS Snapshot Web Server APP Server DB Server Trend.AWS.com Security Group GW IDS/IPS 1. スケールアウトを考慮した設計が必要 2. 単⼀一障害ポイントとなりうる 3. “2”の対策⇒インスタンス増⇒費⽤用がかさむ Availability Zone Web Server GW IDS/IPS
- 52. Host型のセキュリティ対策をした場合 Data Volume S3 BucketEBS Snapshot Web Server APP Server DB Server Trend.AWS.com Security Group NIDS/ NIPS 1. インスタンスの増減に対して考慮が不不要 2. 障害時の影響もインスタンス単位である 3. 必要な時に必要なだけ = クラウド向き Availability Zone Web Server ホスト型の⽅方が AWS上のセキュリティ対策に向いてる!
- 53. ライセンス体系 ■主なポイント■ ① サーバ課⾦金金でよりシンプルに: Deep Securityマネージャの費⽤用は無料料となります。 ② 機能別ライセンス: “仮想パッチ”や“ファイル変更更監視”といった欲しい機能だけ購⼊入が可能。 ③ 数量量ラダーの適⽤用: ボリュームディスカウントが適⽤用されますが、TRSLではない別体系です。 製品名 Deep Securityエージェント Aランク(5~24ライセンス) 初年年度度標準価格 (1サーバあたり) 次年年度度更更新価格 IPS ウイルス 対策 F/W 変 更更 監視 ロ グ 監視 Deep Security PCI-DSS ¥107,400- ¥32,220- × × × ○ ○ Deep Security Virtual Patch ¥125,300- ¥37,590- ○ × ○ × × Deep Security Standard ¥179,000- ¥53,700- ○ × ○ ○ ○ Deep Security Advance ¥213,500- ¥64,050- ○ ○ ○ ○ ○ Deep Security Virtual Patch 購⼊入例例 Deep Security Virtual Patchを物理理サーバ5ライセン ス購⼊入の場合 【初年年度度費⽤用】 ¥125,300 x 5= ¥626,500- 【次年年度度費⽤用】 ¥37,590 x 5=¥187,950- ※Deep Securityエージェント製品の最低購⼊入数は5ライセンスからとなります ※Deep Security Advanceのウイルス対策はServer Protect Windows⼜又はLinuxを同梱します ※次年年度度更更新費⽤用は初年年度度価格の30%となります ※※上記価格に消費税は含まれておりません ※上記価格はTRSLに準拠しておりません
- 54. コイニー株式会社様 • 製品選定にあたっては、単機能の製品を個別に複数導⼊入するより導⼊入・運⽤用が容易易で ある点や製品サポート体制が⼗十分である点を評価。 • 本番環境での設計〜~実装を、2012年年11⽉月〜~12⽉月の約1ヶ⽉月間で完了了。 http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20130925064721.html AWS上の決済システムのPCIDSS準拠にTrend Micro Deep Securityを採⽤用
- 55. 21Copyright © 2013 Trend Micro Incorporated. All rights reserved. さっそく使ってみたい!?
- 56. 管理理サーバ不不要のSaaS型サービス Deep Security as a Service ① トレンドマイクロがDeep Securityマネージャを管理理 ② 5ライセンスまで無料料利利⽤用可能 ③ 簡単サインアップでトライアル DSM 管理理マネージャインフラの運⽤用管理理: トレンドマイクロ 運⽤用管理理:お客様 エージェントの死活監視、ログ の確認等の⽇日常運⽤用 クラウド上の仮想サーバー Deep Security エージェントを 仮想サーバに インストール http://www.trendmicro.com/us/business/saas/deep-security-as-a-service/