Embed Size (px)
Citation preview
*
サーバへの不正アクセスが年々増えています。
侵入されてしまったサイトの内96%は、ハッカーから見て侵入が「難しくなかったから」(2012年 Verizon社 調べ)
⇒脆弱性が放置されている(考えられたことがないケースが多くみられる)ため攻撃が頻発しています。
08年 9月 ゴルフ関連サイトが改さんされる。サイトの全画停止、ユーザヘのウィルス感染も判明
00年 7月 芸能関係のECサイトヘ不正アクセスがあり約14万件の個人情報(含むカード情報)が流出
10年 7月 ゲーム情報サイトヘ不正アクセスがあり、願客情報1831人分が流出
10年 8月 ネットスーバー運営会社に国内外から不正アクセスがあり、カード情報1万2191件が流出
11年 3月 釣り具の通販サイトに不正アクセス、最大3千件強のカード情報流出の可能性
11年 4月 大手ゲーム会社ネット配信サービスで、1億件強の順客情報漏えい
11年 5月 大手ゲーム会社英子会社が不正アクセスで情報流出2.5万件
11年 5月 老舗蒲鉾店ECサイトで3,194件クレジットカード情報情報漏えい
11年12月 大手ゲーム会社不正アクセスで、180万件の顧客情報漏えい
12年 3月 大手ソフトウエアダウンロードサイト26万件の顧客情報漏えい
12年 4月 お中元・お歳暮通販サイトに不正アクセス、1,117名の顧客情報が漏えいか
12年 6月 アノニマスが官公庁などを攻撃
12年 7月 妊娠・出産・市児情報サイトで不正アクセス
対策費用を140億円と発表
セキュリティ対策費用1億円強を引き当て計上
近年のウェブサイト(ウェブアプリケーション)への攻撃事件
最近のサイバー攻撃事例
企業ウェブサイトヘの攻撃による情報漏えい、改ざんなどの被害は年々増え続けています!!!
被害企業「サービス名」 発表日付 試行件数 不正ログイン件数
NTTレゾナント「goo」 2013年4月3日 不明 10万8716件
イーブックイニシアティブジャパン「イーブックジャパン」 2013年4月5日 2821件 779件
カルチュア・コンビニエンス・クラブ「Tサイト」 2013年4月5日 不明 299件
東日本電信電話「フレッツ光メンバーズクラブ」 2013年4月10日 約2万4000件 77件
東日本旅客鉄道「My JR-EAST」 2013年4月17日 約2万6000件 97件
ディノス「ディノスオンラインショップ」 2013年5月8日 約111万件 約1万5千件
資生堂「ワタシプラス」 2013年5月17日 約24万件 682件
イード「インサイド」 2013年5月21日 不明 2515件
三越伊勢丹ホールディングス「三越オンラインショッピング」 2013年5月25日 520万2002件 8289件
2013年4月以降に発生した国内の主な不正アクセス事件
これだけの攻撃が検出されています
リアルタイムにこれだけの攻撃が検知されています。
(情報通信研究機構サイトより)http://www.nicter.jp/nw_public/scripts/atlas.php
国内のS社のVPSサーバへの攻撃状況(約1分間の攻撃状況)
なぜついつい脆弱性を放置してしまうのでしょう??
約53%が脆弱性対策に1か月以上を要するIPA(独立行政法人 情報処理推進機構)の調査によると、脆弱性の修正に31日以上の日数を要した届出は全体の53%にのぼります。
ウェブアプリケーションの改修には、予算取得が難しい・開発者確保
が難しいなどの事情により、危険性の高い脆弱性でも放置されている
現状があります。
情報漏えいの影響
項目 想定被害額 出典
A 損害賠償額 7500万円JNSA(日本ネットワークセキュリティ協会)「情報セキュリティインシデントに関する調査報告書」
B調査費用、セキュリティ再構築費用
5000万円~1億円
IPA(独立行政法人 情報処理推進機構)「企業における情報セキュリティ事象被害額調査」
Cブランド穀損、風評被害、イメージ低下
売上の5%~40%
過去の事例より
情報漏えいが企業に及ぼす影響
平均1~2億の事後対策費用がかかる企業ブランド価値が低下
驚異の一例
次の攻撃手法は手軽だからこそ頻繁に用いられています
DDos攻撃お客さまではない人たちが店に殺到しお客さまの入店を妨害するような攻撃・サイトにアクセスできなくなる・サイトのレスポンスが著しく低下する
ブルートフォースアタックパスワードで保護された鍵を開ける為に文字の組み合わせを総当りで試みる攻撃・サイトの内容が改ざんされる・情報が盗まれる
SQLインジェクション攻撃者がサーバーのデータベース(DB)にアクセスし、内部の情報を不正に取得する攻撃手法のことです。
クロスサイトスクリプティング動的にウェブページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、サイト間を横断して悪意のあるスクリプトを混入させる攻撃のこと
OS、メールサーバ、FTPサーバ、Webへの脅威
主にWebアプリケーションへの脅威
上記攻撃は、すべてVanquishで守ることができます!
*
効果的な対策とは?
*
セキュリティ強化は難しい?
Vanquish クラウド型IPSのご紹介
Vanquishがご提供するIPSは、クラウド型でのご提供―お客様のウエブアブリケーションに変更を加えることなく、IPSの導入が可能です―短期間で導入が可能です―運用やシグネチャ更新は、全てクラウド側で対応します
お客様サーバ
利用者
攻撃者
情流出を防止
マルウェアによるウィルス拡散を防止
運用更新&シグネチャの更新を全てIPSセンターで実施します。
Webサイトの改ざん
個人情報搾取 ×
従来型IPSとクラウド型IPSの比較
比較ポイント
従来型IPS(アプライアンス型、ソフトウェア型)
Vanquishクラウド型IPS
導入費用 高価機器購入費用、保守費用、設計・構築費用など高額な初期費用が発生する。年ごとに機器の保守費用、設定変更時にメンテナンス費用が必要。初期費用 100万円~月額費用 20万円~
安価すぐに使用可能な状態をご用意。初期費用:10万円~(税抜)無料キャンペー
ン中月額費用: 7万円~(税抜)
導入・運用の手間
非常に手間がかかるサイトにあわせて細かいパラメータ設定が必要で、導入まで半年ほどかかる場合も。運用開始後もアプリケーションを変更するたびに、IPS設定を変更する必要がある。
とても手軽弊社側での遠隔設定・監視となるため、お客様為替の設置・設定等が不要になります。
セキュリティ技術者
必要導入時・運用時とも、お客様サイトのシステ
ム構成とIPSを理解したセキュリティの専門
技術者が必要。
不要運用は全て弊社で実施するためお客様側では
IPS用のセキュリティ技術者は不要。
従来同様のサーバー運営でOK。
導入の流れ・費用
お客様の負荷をほとんどかけない導入を実現します。お客様側で最低限必要な作業は、下図の3ステップ(赤文字部分)のみ!
お申し込み・
お振り込み事前準備 設定作業 監視開始 運用サポート
お申し込み頂きましたら、弊社から連絡する振込先に利用料金のお振込をお願い致します。
お申し込み後、弊社で事前準備を行うためヒアリングシートにサーバの情報をご記入願います。
ご提出いただいたヒアリングシートの情報を元に、弊社側で遠隔設定作業を行います。
IPSサービスでの防御を開始します。
製品サポート月~金(9:30~17:30)(祝日・年末年始の休業期間除く)
WAFとlPSの違い
ネットワークやサーバを外部から守る攻撃手段の代表的なものとして、ネットワークファイ
アーウォール、lPS(lDS)、Webアプリケーシヨンフアイアウォール(WAF)があります。
それぞれの得意分野がある中で守るべきものを明確にすることで効果的な対策ができます。
通信レイヤー プロトコル 防御する範囲
コンテンツレイヤーWebアプリ
ケーション
7 アプリケーション層
HTTP6 プレゼンテーション層
5 セッション層
4 トランスポート層 TCP
3 ネットワーク層 IP
2 データリンク層
1 物理層
Webアプリケーションファイヤーウォール
(WAF)
IPS
Webアプリケーションを守るために有効
<対象範囲>web(http,https)
プラットフォームを守るために有効
<対象範囲>OS,ミドルウェア,メール,Web等
ネットワークファイヤーウォール
*
仕様
サービス内容•24時間365日のセキュリティ監視•攻撃の検知•攻撃元IPのアクセス遮断•担当者さまへのエスカレーション•定期的なセキュリティレポート提供
検出可能な攻撃•DDos攻撃•ブルートフォースアタック•ルートキット攻撃(e.g.トロイの木馬)
サービス提供対象•Webサーバ•メールサーバ•FTPサーバ•ファイルサーバ•PCサーバ•その他、インターネットに繋がるサーバ全般
対応OS•Linux全てのディストリビューション(RHEL,Ubuntu,Slackware,Debianなど)•FreeBSD (all versions)
•OpenBSD (all versions)•NetBSD (all versions)
•Solaris 2.7, 2.8, 2.9 and 10
•AIX 5.3 and 6.1•HP-UX 10, 11, 11i
•Windows 7, XP, 2000 and Vista
•Windows Server 2003 and 2008
•Mac OS X 10
VMWareへの対応•VMWare ESX 3.0, 3.5 (CIS checks含む)
申込時に必要な情報•サーバのIPアドレス•VNC/SSHのログイン情報
