【スカイアーチ】Webサイトを脆弱性攻撃から守る
0 likes994 views
2011/9/16 「Webサイトを脆弱性攻撃から守る~情報漏えいとブランド失墜、それらのリスク要因を最小化するための一手」で行われた、株式会社スカイアーチネットワークスの講演資料です。ウェブサイトのセキュリティ対策について、説明しています。
【スカイアーチ】Webサイトを脆弱性攻撃から守る
- 1. 2011/9/16 Web サイトを脆弱性攻撃から守る 情報漏えいとブランド失墜、それらのリスク要因を最小化するための一手 フルマネージド・ホスティング事業者の セキュリティに対する取り組み 株式会社スカイアーチネットワークス 営業本部 マネージャー 松田昭穂
- 2. アジェンダ 自己紹介 レイヤー毎の対応 脆弱性と対応事例 プロアクティブな対策 サービス紹介
- 3. 自己紹介
- 4. 会社概要 社名 所在地 設立 代表 社員数 資格 株式会社スカイアーチネットワークス (英文社名: Skyarch Networks Inc. ) 港区南麻布4-11-21ラウンドクロス南麻布4F 2001年7月12日 代表取締役社長 江戸達博 56名 ISO/IEC 20000 ISO/IEC 27001 プライバシーマーク マイクロソフト認定パートナー NIFTY Cloud アライアンスパートナー
- 5. 運用実績 株式会社講談社 株式会社博報堂 株式会社スクウェア・エニックス 株式会社トーセ ECサイト、ゲーム、待ち受け画像、占い、メール配信システム、着メロ、着うた、デコメール、キャンペーンサイト、予約システム ECサイト、キャンペーンサイト、動画配信サイト、メール配信システム、ブログ、SNS、コーポレートサイト、グループウェア、オンラインゲーム、情報ポータルサイト、予約システム 【モバイルサイト】 【PCサイト】
- 6. サービス内容 クラウド マネージドサービス ( 人的リソース) レンタルサーバー (ホスティング) データセンター クラウド運用代行 自社:プライベートクラウド 他社:パブリッククラウド ( Nifty 、 IIJ など) 自社+他社:ハイブリッドクラウド レンタルサーバー運用代行 自社インフラ:マネージドホスティング 他社インフラ: Kagoya 、さくらインターネット、 GMO など データセンター運用代行 自社:都内3拠点 他社:全国約 100 ヶ所からご提案 サーバー 構築・運用
- 7. サポート範囲 事業者 スカイアーチ お客様 お客様 お客様 オンプレミス (社内設置サーバー) 専用サーバー / クラウド( IaaS ) マネージド・ホスティング コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス
- 9. ウェブサイトにかかわる登場人物 インフラ エンジニア コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス プログラマー ウェブ デザイナー
- 10. 情報セキュリティの取り組み ISO/Pマーク 技術的 セキュリティ 人的 セキュリティ 物理的 セキュリティ コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス
- 11. 脆弱性診断ツールの位置づけ McAfee SECURE 技術的 セキュリティ 人的 セキュリティ 物理的 セキュリティ コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス
- 12. セルフチェック プログラマー ウェブ デザイナー インフラ エンジニア コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス 作業 確認 作業 確認 作業 確認
- 13. 第三者チェック プログラマー ウェブ デザイナー インフラ エンジニア McAfee SECURE 確認 作業 作業 作業 コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス
- 14. チェック機能 チェック① 人 チェック② システム 質と量 コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス 制作会社 プログラマー ウェブ デザイナー インフラ エンジニア スカイアーチ McAfee SECURE マカフィー
- 15. これまで 攻撃による サーバーダウン 被害・損害 障害対応 アラート
- 16. セルフチェック(インフラ) 監視システムが、ポートの接続不可を検知(ダウンアラート) ログで、アクセス元のIPアドレスを確認 不正アクセス ファイアウォールで、特定IPを規制 ポートの直接アクセス? 海外?同一IP/同一ネットワーク? Dos攻撃
- 17. セルフチェック(サーバー) 要塞化手順 OSやアプリケーションのバージョン最新化 パッチ(修正プログラム)適用 不要サービスや機能の停止 不要なユーザアカウント削除 およびパスワード強化 ディレクトリやファイルのアクセス権設定 ログ設定
- 18. チェック機能の活用 安定稼動 セキュリティ 対応 アラート
- 19. 脆弱性と対応事例
- 20. 脆弱性と対応の事例 SQLインジェクション タグ・コマンドの無効化 XSS (クロス・サイト・スクリプティング) ディレクトリ・トラバーサル パスを記述しない Path検知 対応 脆弱性
- 21. クロス・サイト・スクリプティング 対 象:フォーム画面 脆弱性:入力文字で、HTMLタグが有効 対 応:HTMLタグの無効化 <script> … </script>
- 22. SQLインジェクション 対 象:CMSで作成したECサイト 脆弱性:カスタマイズ箇所 対 応:カスタマイズ箇所の修正
- 23. 脆弱性への対応 安定稼動 セキュリティ 対応 アラート
- 24. ちょっとした悩み 脆弱性が、いつ発生するかわからない 原因と対策を、調査する時間が十分にない 安全なウェブサイト? 対応が場当たり的 問題が繰り返される
- 26. プロアクティブ(先手)な対策 セキュリティ 対策 正常
- 27. プロアクティブ(先手)な対策 対応ノウハウの手順化 スケジューリングし、適切な時間を確保 慎重な作業と確認 ウェブサイトの安全性を底上げ 経験済みの対応 スケジュールの可視化
- 28. 安心の構成と継続運用 不正アクセスを防ぐ対策 ファイアウォール サーバーの要塞化 アクセス権管理 脆弱性管理 不正アクセスを前提とした対策 暗号化 ログ取得 バックアップ イメージ取得 ○ 社内 個人 情報 ○ × インターネット
- 29. 継続運用(例:情報の管理) CMDB(構成管理データベース) バージョン管理 ソフト ハード セキュリティ情報の収集 Jpcert Microsoft
- 30. セキュリティ情報の活用 セキュリティ 対策 正常
- 31. 対応 だけでなく 対策 セキュリティ 対策 正常 セキュリティ 対応 アラート
- 32. まとめ
- 33. サイトの安全性を保つポイント Wチェック 人とシステムで、漏れの無いWチェックの体制 人材の確保 各レイヤーにおける、人材(質・量)の確保 対応と対策 診断の対応だけでなく、事前の対策
- 34. サービス紹介
- 35. スカイアーチなら IPS WAF コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス 制作会社 プログラマー ウェブ デザイナー McAfee SECURE マカフィー インフラ エンジニア スカイアーチ
- 36. 無料Web診断 McAfee Secure 無償診断 + SEO 対策
- 37. ご清聴 ありがとうございました