転職専門情報サイト「＠type」様でのセキュリティ …...•SQLインジェクションの流行により多数の攻撃を検知 →WAFでの防御に成功 •WAFのログから攻撃元IPを特定

転職専門情報サイト「＠type」様でのセキュリティ対策事例

２０１５年２月２７日ＮＥＣ

© NEC Corporation 2015 Page 2

お客様プロフィール

会社名株式会社キャリアデザインセンター

所在地〒107-0052

東京都港区赤坂3-21-20 赤坂ロングビーチビル

設立平成5年7月8日

資本金 5億5,866万円

従業員数 369名（平成26年9月30日時点）

概要「いい仕事・いい人生。」を企業理念に企業と求職者の最適なマッチングなど、転職に関するサポートサービスを多面的に展開している会社

URL http://cdc.type.jp/

http://cdc.type.jp/


転職情報サイト「＠type」

会員数(=求職者) ：約180万人月間ユニークユーザ数：約150万人


お客様の課題

2014年7月当時の状況

▌ 利用者向けの機能・サービスを向上させるために、「＠type」のリニューアルに着手

▌ リニューアルにあたっての、システムに対する３つの要件

安定化拡張性

セキュリティ対策

• 求職者の職務経歴書、顧客企業とのやりとりの履歴など、きわめて重要な個人情報を扱っていることから、Webシステムのセキュリティは、当社にとって大きなリスク要因です

キャリアデザインセンターメディアシステム部メディアシステム課波形孝氏


公開Webサーバに必要なセキュリティ

▌攻撃者は公開Webサーバに内在する様々な脆弱性を悪用して攻撃を行うため、各レイヤーでの多層防御が必要です。

ｺﾝﾃﾝﾂ

Web ｱﾌﾟﾘｹｰｼｮﾝ

ﾐﾄﾞﾙｳｪｱ OS

ﾈｯﾄﾜｰｸ

ﾌｧｼﾘﾃｨ

改ざん検知

公開Web サーバ

FTPアカウントハックなど不正なコンテンツの変更

WAF SQLｲﾝｼﾞｪｸｼｮﾝ等

Webｱﾌﾟﾘ脆弱性を攻撃

IPS OpenSSL、Strutsなど

ミドルウェア脆弱性を攻撃

Firewall 不要に開いたポートなどを

突いた不正アクセス

入退出管理マシン室への物理的な侵入


公開Webサーバに必要なセキュリティ

▌攻撃者は公開Webサーバに内在する様々な脆弱性を悪用して攻撃を行うため、各レイヤーでの多層防御が必要です。

ｺﾝﾃﾝﾂ

Web ｱﾌﾟﾘｹｰｼｮﾝ

ﾐﾄﾞﾙｳｪｱ OS

ﾈｯﾄﾜｰｸ

ﾌｧｼﾘﾃｨ

改ざん検知

公開Web サーバ

FTPアカウントハックなど不正なコンテンツの変更

WAF SQLｲﾝｼﾞｪｸｼｮﾝ等

Webｱﾌﾟﾘ脆弱性を攻撃

IPS OpenSSL、Strutsなど

ミドルウェア脆弱性を攻撃

Firewall 不要に開いたポートなどを

突いた不正アクセス

入退出管理マシン室への物理的な侵入

AWS

ユーザ

重点検討ポイント



Webアプリケーション脆弱性攻撃について

Page 9 © NEC Corporation 2015

脆弱性攻撃：SQLインジェクションの場合

どのサイトにもある様な入力フォーム。

脆弱性があると悪意あるユーザの標的！

' UNION SELECT name, concat(address, ' ', cardNo) FROM

' UNION SELECT name, concat(address, ' ', cardNo) FROM user_tbl where 'a%'='a

特殊な攻撃文字列を入力！検索ボタンを実行すると・・・

Page 9

© NEC Corporation 2015

通常表示されない個人情報が！

脆弱性攻撃：SQLインジェクションの場合

クレジットカード番号の漏洩に繋がる可能性も！

Page 10


Webアプリケーション脆弱性攻撃への対策(従来の対策)

■ SQLインジェクション ■ クロスサイトスクリプティング ■ セッションハイジャック ■ OSコマンドインジェクション ■ パストラバーサル ■ バッファオーバーフロー ■ クロスサイトリクエストフォージェリ ■ パラメータ改ざん ■ 強制的ブラウズ ■ エラーコード

Webアプリケーションの脆弱性を利用した攻撃

通常のFWやIDS/IPSでは防ぐことができない

セキュア開発・運用

アプリ開発時のセキュアコーディングリリース後の定期的な脆弱性診断→ソースコード修正

お客様および開発者が抱えるリスク

新しく発生した脆弱性を認識して、修正するまでの間に攻撃されるリスク頻繁なシステム更改、スピード重視のリリースによるセキュリティ対策漏れリスク


WAF(Webｱﾌﾟﾘｹｰｼｮﾝﾌｧｲｱｳｫｰﾙ)とは

▌Webアプリケーションの脆弱性を利用した不正アクセスを防御するセキュリティ対策ツール

▌定義ファイル(シグネチャ)の更新により、常に最新の攻撃に対応


Webアプリケーション脆弱性攻撃への対策

■ SQLインジェクション ■ クロスサイトスクリプティング ■ セッションハイジャック ■ OSコマンドインジェクション ■ パストラバーサル ■ バッファオーバーフロー ■ クロスサイトリクエストフォージェリ ■ パラメータ改ざん ■ 強制的ブラウズ ■ エラーコード

Webアプリケーションの脆弱性を利用した攻撃

通常のFWやIDS/IPSでは防ぐことができない

セキュア開発・運用

アプリ開発時のセキュアコーディングリリース後の定期的な脆弱性診断→ソースコード修正

Webｱﾌﾟﾘｹｰｼｮﾝﾌｧｲｱｳｫｰﾙ(WAF)を導入

アプリケーションレイヤ専門のファイアウォールを導入攻撃検知のための定義ファイルは最新のものを適用

リスクを最小限に抑えるセキュリティ対策

アプリケーションの作りに依存しない、一定のセキュリティレベルを確保新しく発生した脆弱性に対する迅速な対応が可能


脆弱性攻撃：WAFを導入した場合

WAFを導入したサイトに、先ほどと同じ SQLインジェクション攻撃を実施！

' UNION SELECT name, concat(address, ' ', cardNo) FROM

' UNION SELECT name, concat(address, ' ', cardNo) FROM user_tbl where 'a%'='a

検索ボタンを実行すると・・

Page 14


脆弱性攻撃：WAFを導入した場合

エラー画面を表示！

情報漏えいを防止！

Page 15


参考：NEC 経営システム本部セキュア開発・運用実施基準

条件

インターネット接続有無

秘密情報※１有

(レベル高) 有

(レベル低) 無

有 (レベル高)

有 (レベル低)

無

セキュリティ対策

脆弱性対策

脆弱性診断

ソースコード診断必須必須 (もう一方は推奨)

推奨必須 (もう一方は推奨)

推奨推奨

WebAP診断必須推奨推奨推奨

プラットフォーム診断必須必須必須推奨推奨推奨

脆弱性情報収集・対処 (パッチ適用など)

必須必須必須必須必須必須

セキュア開発・運用チェックリスト適用必須必須必須必須必須推奨

WAF(WebAPファイアウォール) 必須※２推奨推奨－－－

不正侵入検知・監視必須※２推奨推奨－－－

暗号化必須必須－必須必須－

※1 企業秘密管理規程や個人情報保護規程等を参考にPJで判断 ※2 システム・サービスにおいて提案が必須

【セキュア開発・運用対策レベル】


WAFの選定

ｲﾝﾀｰﾈｯﾄﾈｯﾄﾜｰｸ

ﾌｧｲｱｳｫｰﾙロードバランサ Webサーバ

NW-WAF



SW-WAF

SW-WAF

WAFの導入形態と特徴

ホスト型

ネットワーク型

SaaS型

ネットワーク上にWAFアプライアンスを設置。DMZ上でWAFによるチェックを実施する。



SaaS-WAF

ベンダが提供するWAFサービスを経由するようにネットワーク経路の設定を変更。

ネットワーク上で、Webアプリケーションに対するアクセスをチェック

特徴 • 導入時にNW再構築必要 • パフォーマンスはWAFアプライアンスの性能に依存 • WAFアプライアンスの冗長構成の考慮が必要 • １台のWAFアプライアンスで複数台のWebサーバを防

御可能

WebサーバにWAFソフトウェアをインストール。Webサーバ上でWAFのチェックを実施する。

特徴 • 導入時にNW再構築不要 • Webサーバへの導入影響の考慮が必要 • パフォーマンスはWebサーバの性能に依存 • WAF自体の冗長構成の考慮不要

特徴 • 導入時にWebサーバのDNS設定変更が必要 • パフォーマンスはWAFベンダサービスレベルに依存 • SSL通信の場合、通信に遅延が発生する可能性がある



WAFの選定ポイント

自社で運用できること

AWSとの親和性

障害時の影響範囲が小さいこと

キャリアデザインセンター様のWAF選定ポイント


WAFの導入イメージ

• サーバにインストールするソフトウェア型製品であり、すべての防御設定やログ管理を自社でハンドリングできる点に魅力を感じました。

キャリアデザインセンターメディアシステム部メディアシステム課波形孝氏

• SaaS型のWAFサービスも検討していたのですが、万が一WAFの設定不備で障害が起きてしまうと、柔軟に設定変更はできず、広範囲にサービス停止となってしまうことがネックでした。一方、『InfoCage SiteShell』は、サーバ単位にきめ細かく設定をすることができるため、もしWAFの設定不備で障害が発生しても、サービス停止のリスクを抑えられることが、ひとつの決め手になりました。

レプラホーン株式会社部長中村真氏(システム運用をご担当)


WAF導入効果

▌8/17 「@type」リニューアルオープン

▌8/21 • SQLインジェクションの流行により多数の攻撃を検知→WAFでの防御に成功

• WAFのログから攻撃元IPを特定

• ネットワークファイアウォールの設定変更により攻撃元IPからのアクセスを遮断

▌8/22以降 WAFで検知する攻撃数は減少


WAF導入効果

• 確実に攻撃をブロックできていますから、導入して本当によかったと思いますキャリアデザインセンターメディアシステム部メディアシステム課波形孝氏

• これだけの攻撃を実際に受けているのだという事実が明らかになったことで、運用メンバーの意識は高まっています

• Webアプリケーション開発に強みを持つSIベンダの立場から見ても、WAF製品は今後の情報セキュリティ対策において、きわめて重要なツールだということを強く認識しました

レプラホーン株式会社部長中村真氏(システム運用をご担当)


AWS対応WAF 「InfoCage SiteShell」

ショッピングサイト

Instance

Instance

AMI CloudWatch AutoScaling

AWS

InfoCage SiteShell 運用管理コンソール

自動追加

AWS環境ホスト型での運用例

▌ クラウド環境に柔軟に導入可能なソフトウェア型のWAF

直接Webサーバにインストールする方法(ホスト型)、プロキシとしてWebサーバの前段に配置する方法(ネットワーク型)を、システム構成によって選択可能

▌ オートスケールに対応した管理機能

稼働中のWAFを専用運用管理コンソールで一括管理、設定変更が可能

オートスケールでサーバが増えても自動追加

参考：AWS向け導入・運用ガイド、AMIを公開中

ダウンロードサイトURL (「siteshell」で検索でも可) http://jpn.nec.com/infocage/siteshell/download_aws.html

AWSクラウドにて簡単に導入、運用が可能


セキュリティ機能

Webアプリケーションのセキュリティに特化した製品

製品概要 OS・ミドルウェアのセキュリティに網羅的に対応する製品

Webアプリケーションファイアウォール(WAF) 製品カテゴリ統合セキュリティ製品

NEC 開発元 Trendmicro

InfoCage SiteShell 製品名 DeepSecurity

セキュリティログ監視

IDS / IPS （仮想パッチ）

ファイアウォール

改ざん検知

ウイルス対策

Webｱﾌﾟﾘｹｰｼｮﾝﾌｧｲｱｳｫｰﾙ(WAF) ※防御可能なｱﾌﾟﾘｹｰｼｮﾝ脆弱性攻撃 • SQLインジェクション • クロスサイトスクリプティング • バッファオーバフロー • クロスサイトリクエストフォージェリ • セッションハイジャック／リプレイ • パラメータ改ざん • 強制的ブラウズ • パストラバーサル • OSコマンドインジェクション • エラーコード ※一部のｱﾌﾟﾘｹｰｼｮﾝ脆弱性攻撃にも対応

▌ NECでは、AWSをご利用のお客様に対して、トレンドマイクロ Deep Securityと NEC InfoCage SiteShellを合わせてご提案中

クラウドセキュリティソリューション on AWS


© NEC Corporation 2015 Page 26 © NEC Corporation 2013 Page 26 © NEC Corporation 2013 Page 26 Page 26

Documents

転職専門情報サイト「＠type」様での セキュリティ …...•SQLインジェクションの流行により多数の攻撃を検知 →WAFでの防御に成功 •WAFのログから攻撃元IPを特定

転職専門情報サイト「＠type」様でのセキュリティ …...•SQLインジェクションの流行により多数の攻撃を検知 →WAFでの防御に成功 •WAFのログから攻撃元IPを特定