Comments
Description
Transcript
Webサイトセキュリティ対策ソリューション 「TrustShelter」
ソリュー ション サービスを極める Webセキュリティ クラウド Webアプリケーション Webサイトセキュリティ対策ソリューション 「TrustShelter」 NTTソフトウェアが2014年11月 4 日から提供開始した,Webサイトをサ イバー攻撃の脅威から守るソリューション「TrustShelter」は,Webセキュ リティ対策に必要な機能をまとめてクラウド型で提供することで,Webセ キュリティ対策を低価格かつ短期で導入できます.また,当社のセキュリ ティに対するノウハウやスキルを活用したWebサイトに関するチェック, チェック結果や問題点の対策,運用サポートによりセキュリティの不安を お任せで解消することができます. ひ ろ の やすひこ 広野 靖彦 たかはし ゆうすけ /高橋 祐介 NTTソフトウェア つ だ けいすけ /津田 恵輔 題点に対する対策,担当者の負担を減 立上げの背景 特長と優位点 らす運用サポートによりセキュリティ の不安をお任せで解消できる点がもう 最近,ホームページの改ざんやウイ 本ソリューションは,企業としてサ 1 つの特長になります.特に,企業が ルスの埋込みなど,Webサイトに対す イバー攻撃への早急な対応が求められ 負担や不安に感じることの多い運用面 る 攻 撃 が 増 加 し て お り,JPCERT/ る中で,お客さまのセキュリティ対策 に対して,セキュリティ専門家による CCの報告書によると,2014年上半期 の要望に応じて必要なサービスを選択 サポートサービスを提供することによ でも2000件を超すWebサイト改ざん被 いただけるようラインアップを取りそ り,担当者が抱える運用の負担やリス 害の届出がなされています .攻撃を ろえています.また,これをまとめて クを軽減し,セキュリティへの不安を 受けた結果,改ざんだけでなく,顧客 クラウド型サービスとして提供するこ 解消します. 情報漏洩,他社サイト攻撃への利用, とにより,お客さまが必要なサービス 閲覧者へのウイルス感染など,より深 を短期間で利用開始できるとともに, 刻な被害を引き起こすケースもあり, 担当者の負担や維持管理コストを抑え その結果,企業の信用失墜につながる たセキュリティ対策を打てる点が特長 おそれがあります. の 1 つです. (1) TrustShelterで提供するサービス 本ソリューションではWebサイトの セキュリティ対策サービスとして「攻 Webサイトを攻撃から守るために 当社のセキュリティに対するノウハ 撃遮断サービス」 「改ざん検知サービ は,監視 ・ 防御 ・ 診断 ・ 運用などさま ウやスキルを活用した,Webサイトに ス」 「セキュリティ診断サービス」を ざまな視点からの対策が必要であり, かかわるチェック,チェック結果や問 提供します(図 1 ) . 複数視点 ・ 複数製品を検討するなどの IT担当者の負担が増加します.さら に,最近のサイバー攻撃は技術的に複 雑化 ・ 巧妙化が進み,次々と新しい攻 撃が出てきており,常にIT担当者が セキュリティスキルの向上に努める必 攻撃遮断サービス セキュリティ診断サービス 攻撃を防御する reactive 攻撃を予防する Webサイト proactive 要があるため大きな負担となります. このような背景をふまえ,NTTソフト ウェアは,Webサイトのセキュリティ対策 ソリューションとして「TrustShelter」 (2) を立ち上げました . 40 NTT技術ジャーナル 2014.12 改ざん検知サービス 改ざんを検知する detective 図 1 TrustShelterの提供するサービス ソ す.しかし,不正アクセスは日々複雑 ウォールの機能に加えて,CDN(Con 本サービスではWAF(Web Appli 化しており,不正パケットのパターン tents Delivery Network)機能により, cation Firewall)の導入によるセキュ も変化するため,それに応じてシグネ コンテンツキャッシュを用いてWebサ リティ対策をクラウド型サービス,ア チャも新しいものに更新していく必要 イトへのトラフィック量を削減,クラ プライアンス製品のラインアップで提 があります. イアントへのレスポンスを効率化しま 本サービスでは専門家たちが日々発 す(図 3 ) .その結果,お客さまのネッ Webアプリケーションをセキュリティ 生する攻撃や脆弱性を把握するために トワークやWebアプリケーションへの 脅威から保護するファイアウォールの 最新のセキュリティ脅威について世界 負荷を低減することが可能になりま 機能を実現し,脆弱性を突いた悪意の 規模で監視を行い,早期検出のために す.ほかにも,LB(ロードバランサ) あるアクセスを遮断して,正規アクセ 調査,情報収集を行います.さらに, 機能によりアプライアンス型のネット スのみを通過させます(図 2 ) .ファ 最新の脅威について解析を行い,攻撃 ワーク機器をお客さまの環境に導入す イ ア ウ ォ ー ル の 機 能 に よ り,SQL 対策として新しいシグネチャを生成し ることなく負荷分散を実現する機能を (Structured Query Language)インジェ ていき,Webサイトの安全を守ります. 持つなど,本サービスは攻撃遮断だけ クラウド型サービスではファイア でなく,企業の資源の効率化,コスト 供します.WAFはその名のとおり, クションやXSS(Cross Site Scripting) のようなWebアプリケーションへの不 正アクセスや情報漏洩を目的とした攻 撃から保護することができます.また, DDoS * 1 (Distributed Denial of Service:分散サービス妨害)対策も 備えており,DDoSのようなWebサイ トのサービス停止を目的とするような 攻撃からも保護することが可能です. 正規アクセス クライアント 悪意のあるアクセス このように,本サービスはWebサイト をねらったさまざまな攻撃を遮断する ことができます. 正規アクセス WAF 阻止! Webサイト 攻撃者 (1) サイバー攻撃からの保護 ・ 解析 WAFの基本機能はWebクライアン 図 2 攻撃遮断サービス ト(ブラウザ)とWebアプリケーショ ン間のアクセス(HTTP通信)の内容 を検査し,攻撃アクセスを発見して処 置(スルー,アラート,ブロック,同 一セッションからのアクセスをブロッ リクエスト リクエスト ク,同一IPからのアクセスをブロッ クなど)を実行することです.通常, クライアント WAFを利用する際には,攻撃アクセ リクエスト スを判断するために,不正パケットの パターンを指定したシグネチャ *2 を WAFに設定する運用が必要になりま *1 DDoS:複数のクライアントから通信許容量 を超えた大量の接続要求によりWebサイト の機能を停止させる攻撃. *2 シグネチャ:WAFに設定する通信内容を示 す値や規則のパターンを定義したルール. レスポンス WAF クライアント キャッシュからの レスポンス オリジナル サーバからの レスポンス Webサイト コンテンツキャッシュ 図 3 攻撃遮断サービス(CDN機能) NTT技術ジャーナル 2014.12 41 リューションサービスを極める ■攻撃遮断サービス して定義することも可能です.また, でなく社会的な信用を失うことにつな クライアント種別ごとのアクセス状況 がるため,早期発見と早期対応が必要 撃による情報漏洩や営業機会損失,企 (アクセス数,トラフィック量など) となります.改ざん検知サービスでは, 業イメージ失墜の予防,②攻撃をすで や攻撃検知数といった統計情報,レ 定期的にWebコンテンツを監視し,改 に受けている企業への対策,③企業資 ポートを提供します.攻撃検知ログや ざんを早期に検知して管理者に報告し 源の効率化やコスト削減など,さまざ Webサイトの監視状況,レポートなど ます.必要に応じて自動的に復旧する まな企業の目的に対して価値を提供し のサマリをメールでお届けすることも サービスも提供し,Webコンテンツの ます. 可能です. 改ざん対策を実現します(図 4 ) . 削減も実現します. 攻撃遮断サービスは,①サイバー攻 (2) クラウド型DDoS対策 (4) 専門家によるシグネチャ更新 (1) リモート監視による安全性の ネットワークファイアウォールや 本サービスでは専門家が監視を行 ルータ等のネットワーク機器に対する い,スキルと手間が必要なシグネチャ 詳細な設定,専用機器の購入など,対 対応作業などのWAF運用サービスを 監視対象となるWebサーバには監視 策の難易度が高いとされているDDoS 提供するため,企業に専門のセキュリ エージェントなどのアプリケーション 対策をサービス型で提供します.クラ ティ担当やITスタッフがいなくても は一切搭載させずにリモートにて監視 ウド型サービスのためDDoS攻撃を受 シグネチャの管理や攻撃傾向対策を打 を行います.Webサーバに監視エー けてもお客さまのネットワークへの負 つことができます. ジェントなどのアプリケーション類を 荷はかからず,複雑な設定も必要なし ■改ざん検知サービス 搭載させるような構成の場合に,サー にWebサイトを保護します. 確保 本サービスでは,安全性を考慮し, 本サービスではWebコンテンツのリ バ自体が乗っ取られてしまい監視機能 モート監視の導入によるセキュリティ が有効に動作できないという事例も確 対策を提供します.Webサイトのセ 認されています.リモート監視により, キュリティ対策として,より安価で手 監視不能に陥るリスクやWebコンテン 攻撃のアクセス元情報などを解析した 軽に始められるサービスメニューで ツの改ざんが検知されないという不安 ログを提供します.ログ情報からホワ す.企業はWebコンテンツの改ざんの を解消できます. イトリストやブラックリストを設定と 発見が遅れると,営業機会の損失だけ (3) 解析されたログとレポーティ ング 本サービスは攻撃を検知した件数, お客さま環境 データセンタ Web改ざんセキュリティ 監視サーバ 監視 Webサーバ 検知 自動復旧 自動通知 作業 Webコンテンツの 改ざん お客さま居室 通知案内 作業指示 運用オペレータ 管理者 図 4 改ざん検知サービス 42 NTT技術ジャーナル 2014.12 ソ を活用し,Webサイトに関するチェッ モートで実施することでセキュリティ ク,チェック結果や問題点に対する対 WebサーバのOSやWebアプリケー 診断を行い,問題点と対策案を報告し 策の提案,担当者の負担を減らす運用 ションには依存しないため汎用性が高 ます.診断内容はWebアプリケーショ サポートを提供していきます.そのた く,Webサーバでのインストール作業 ンに特化したもので,SQLインジェ めにWebセキュリティ対策に有効と考 といったわずらわしい初期構築作業も ク シ ョ ン やXSSな ど のWebア プ リ えられるサービスや企業が求めるセ 必要ないため,利便性が高く導入しや ケーションが取り込む入力値の検査 キュリティ対策サービスを積極的に追 すいサービスとなっています. や,セッション管理に問題(セッショ 加していきます.そして, 高度なセキュ (3) 要望に合わせたサービスメ ンハイジャック等の危険性)がないか リティ専門家による保守や運用サポー ニューと24時間365日の運用保守 のセッション管理検査,強制ブラウジ トサービスを強化し,トータルセキュ サポート ング検査,アクセス権回避検査,パラ リティ対策ソリューションとしての価 メータ改ざん検査,Webサイト構成の 値を創出していきます. 構築も不要 サービスメニューは 3 段階のプラン を用意しており,お客さまの要望に応 じて選択できます.オプションとして チェックインターバル(監視間隔)の 分析検査などを実施します. (2) ネットワークセキュリティ診断 ネットワークセキュリティ診断は, 変更も対応することができ,要望に合 お客さまが公開しているWebサーバを わせたサービスを提供します. 含めたサーバやネットワーク機器に対 また,運用保守サポートとしてオペ して,インターネット回線またはオン レータが24時間365日対応するため, サイトでTCP(Transmission Control Webサーバの再起動やシャットダウン Protocol)のフルポートスキャンを実 などの作業を電話やメール 1 本で,曜 施して,ネットワークサービスの稼働 日や時間を選ばずに依頼することがで 状況を検査し,OSの脆弱性検査,設 きます.ITスキルに自信がない場合 定不備,アカウント調査などを行い, でも安心してサービスを受けることが 問題点と対策案を報告します. できます. ■セキュリティ診断サービス (3) ソースコード診断 ソースコード診断は,お客さまが公 本サービスではお客さま環境を診断 開しているWebアプリケーションを対象 するセキュリティ対策を提供します. に,お客さまよりソースコードのご提 お客さまのWebサーバを含む外部公開 供を受け,CWE(Common Weakness サーバの脆弱性を診断し,対策案を提 Enumeration:共通脆弱性タイプ)* 3 案するサービスです.診断メニューは に基づき静的な脆弱性診断を実施しま 「Webセキュリティ診断」 「ネットワーク す.ソースコード診断では,検査する セキュリティ診断」 「ソースコード診 脆弱性対象は,お客さまの求めるセ 断」の 3 種類があり,企業のセキュリ キュリティ要件により柔軟にカスタマ ティ対策の要望,状況に応じて最適な イズを行います.また, Webアプリケー 組み合わせ,内容で診断を実施します. ション開発の納品物に対するチェック (1) Webセキュリティ診断 ■参考文献 (1) https://www.jpcert.or.jp/ir/report.html (2) http://www.ntts.co.jp/products/trustshelter/ などにも利用することができます. Webセキュリティ診断は,お客さま が公開しているWebアプリケーション 今後の展望 *3 CWE:MITRE Corporationが定義したソフ トウェアにおけるセキュリティ上の弱点(脆 弱性)の種類を識別するための分類基準. 本ソリューションでは,当社のセ キュリティに対するノウハウやスキル (左から)高橋 祐介/ 津田 恵輔/ 広野 靖彦 NTTソ フ ト ウ ェ ア が 提 供 す る ソ リ ュ ー ションの1つとして,サービスメニュー, 実績の拡大を目指して,より良いWebセキュ リティ対策ソリューションを提供していき ます. ◆問い合わせ先 NTTソフトウェア セキュリティ事業部 TEL 045-212-7412 FAX 045-212-9800 E-mail websecsol cs.ntts.co.jp NTT技術ジャーナル 2014.12 43 リューションサービスを極める を対象に,インターネット回線からリ (2) 既存環境への依存が低く,初期