Comments
Description
Transcript
Webサーバに対する攻撃と データ漏洩の実態および防御
Webサーバに対する攻撃と データ漏洩の実態および防御 日本エフ・セキュア株式会社 海藤秀人 F-Secure Corporation 会社概要 業務内容: デスクトップ・サーバ・GWへのセキュリティソリューションの提供 ・ウィルス、ワームからのコンピュータ保護 ・スパイウェア、ルートキット、フィッシングによる機密情報の漏洩防止 ・ボットネット、スパム等によるトラフィック輻輳、業務停止防止 本社: フィンランド・ヘルシンキ 拠点: 全世界で14のオフィス、100ヶ国以上に代理店 売上高: 約8000万ユーロ 従業員数: 約480 名 設立: 1988年 1999年に株式公開 (HEX:フィンランド) パートナー: HP、富士通シーメンス、ソネラ、ノキア、ドイツテレコム、他 F-Secure/日本エフ・セキュア沿革 1988年 リスト・シーラスマによりData Fellows設立 1990年 アンチウィルス製品に特化 1994年 日本でのアンチウィルス製品販売を開始 1999年 日本データ・フェローズ株式会社設立 社名をData FellowsからF-Secureに変更 ヘルシンキ株式市場に上場 2001年 日本エフ・セキュア、川崎に本社移転 F-Secureポリシーマネージャ出荷 2002年 F-SecureアンチウィルスLinuxゲートウェイ出荷 2004年 日本エフ・セキュア、横浜に本社移転 F-Secureアンチウィルス クライアントセキュリティ出荷 2006年 F-Secureサイトガード Linuxサーバ版出荷 F-Secureインターネットセキュリティ出荷 ネットワークの脅威の変遷 これはお金になる! 若者の単独犯 犯罪組織 個人的趣味 利益の追求 2006年におけるネットワーク上の脅威総括 1. ターゲットを絞った攻撃 2. フィッシング詐欺の横行 3. 携帯電話のウィルス ターゲットを絞った脅威が多発。組織的な犯罪として深刻化 日本での情報セキュリティ意識の現状 1. インターネット脅威に対して、言葉は知っているが 事象を正しく理解していない 2. PC/インターネットのスキルによって認知・理解 されている脅威が異なる 3. 情報収集元は利用者層により異なる 2006年 IPA調べ 利用者・提供者それぞれの対策 利用者側 適切なメディアを利用した理解力が必要 適切な対策を随時実行 提供者側 適切なメディアを利用し情報提供をコンスタントに Fool-Proofなサービスの提供 被害を拡散させない仕組みと運用の徹底 (補足) ユーザによる情報漏えいをどう防ぐ? (補足) パソコンユーザのためのウイルス対策 7 箇条 1. 最新のウイルス定義ファイルに更新しワクチンソフトを活用すること 2. メールの添付ファイルは、開く前にウイルス検査を行うこと 3. ダウンロードしたファイルは、使用する前にウイルス検査を行うこと 4. アプリケーションのセキュリティ機能を活用すること 5. セキュリティパッチをあてること 6. ウイルス感染の兆候を見逃さないこと 7. ウイルス感染被害からの復旧のためデータのバックアップを行うこと 出典:IPA資料より Webサービスの視点による 傾向と対策 Webアプリケーションに対する攻撃の実態 出典: 株式会社ラック「侵入傾向分析レポート Vol.7」 Webアプリケーションには脆弱性が存在する 脆弱性が存在する理由 1. Webアプリケーションの独自性・カスタマイズ 2. バージョンアップ 3. 設計要件 Webが攻撃されるもうひとつの理由 データベースに不正にアクセス HTTP通信を「正常」と みなしてしまい、FWでは 防ぐことができない SPAMメールの送信 Web Internet 「不正」なデータを送信 攻撃者 メール ・なりすまし ・管理者権限奪取 ・サービス不能攻撃 ・ウィルスファイル埋め込み Webが攻撃されるもうひとつの理由 攻撃手法例 ユーザ入力フィールド 「不正」な入力データ = “; /bin/cat /etc/passwd” サーバ側のエラー処理を悪用 不正なコマンド実行 何が「不正」なデータかはWebアプリケーションで 判断するしかない ファイアウォールやIDSではデータの判断はできない ウェブアプリケーションファイアウォール (WAF) 「不正」なデータはシャットアウト WAF Web Internet 攻撃者 利用者 メール 正常なHTTP通信は通過 TCP/IPとセキュリティ機器 HTTP ウェブサーバとWAFは 同じレイヤで動作する ウェブサーバ WAF TCP, UDP IP ルータ ファイアウォール IDS Ethernet, PPP リピータ・ハブ PCIデータセキュリティ基準 国際カード5社(VISA、MasterCard、ほか3社)が共同で策定した、クレジット カード情報保護に関する国際基準。推奨するセキュリティ技術や運用を12の 要件で定義。 クレジットカード決済の取り扱いを希望する企業は、PCI基準に従う契約書に サインし、適合承認を受けるための監査を受けなければならない。 Ensure Ensurethat thatall allweb-facing web-facingapplications applicationsare areprotected protectedagainst againstknown knownattacks attacksby byapplying applyingeither eitherofthe ofthe following followingmethods: methods: • •Having Havingall allcustom customapplication applicationcode codereviewed reviewedfor forcommon commonvulnerabilities vulnerabilitiesby byan anorganization organization that thatspecializes specializesininapplication applicationsecurity security • •Installing an application layer firewall in front of web-facing applications. Installing an application layer firewall in front of web-facing applications. Note: Note:This Thismethod methodisisconsidered consideredaabest bestpractice practiceuntil untilJune June30, 30,2008, 2008,after afterwhich whichititbecomes becomesarequirement. arequirement. 出典 https://www.pcisecuritystandards.org/pdfs/pci_dss_v1-1.pdf F-Secure サイトガード Linux版 1. 防御ポリシー(ホワイトリスト)の設定機能 • パラメータ定義・セッション管理・cookie暗号化など 2. WAF定義ファイル(シグネチャ)による防御機能 • セキュリティ検査・監視サービスで定評あるラック社製 3. 構成の柔軟性 4. 日本での開発 導入時における他社製品との違い サイトガード 他社製品 導入スタート! ネットワーク構成の決定 防御ポリシー設計 • 保護対象アプリケーションの選定 • パラメータ単位等でのポリシー策定 • 策定したポリシーの評価・検証、など ネットワーク情報等の基本設定 シグネチャON! 設計したポリシーの適用 運用スタート! シグネチャは自動更新 適宜ポリシーチューニング セキュアなWebサイトを構築するには OS・プラットフォームの脆弱性は確実にふさぐ 定期的にセキュリティ監査を実施する • 第三者機関によるセキュリティ診断サービスも有効 Webアプリケーションレベルの脆弱性への対応 • アプリケーションコード修正 or WAF? WAF導入時のポイント 導入時にネットワーク構成が柔軟に対応できるか? 防御ポリシーは必要十分な項目が設定できるか? シグネチャ方式による対応ができるか?