Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
転職専門情報サイト「@type」様での セキュリティ対策事例
2015年2月27日 NEC
© NEC Corporation 2015 Page 2
お客様プロフィール
会社名 株式会社キャリアデザインセンター
所在地 〒107-0052
東京都港区赤坂3-21-20 赤坂ロングビーチビル
設立 平成5年7月8日
資本金 5億5,866万円
従業員数 369名(平成26年9月30日時点)
概要 「いい仕事・いい人生。」を企業理念に企業と求職者の最適なマッチングなど、 転職に関するサポートサービスを多面的に展開している会社
URL http://cdc.type.jp/
© NEC Corporation 2015 Page 3
転職情報サイト 「@type」
会員数(=求職者) :約180万人 月間ユニークユーザ数 :約150万人
© NEC Corporation 2015 Page 4
お客様の課題
2014年7月 当時の状況
▌ 利用者向けの機能・サービスを向上させるために、 「@type」のリニューアルに着手
▌ リニューアルにあたっての、システムに対する3つの要件
安定化 拡張性
セキュリティ対策
• 求職者の職務経歴書、顧客企業とのやりとりの履歴など、きわめて重要な個人情報を扱っていることから、Webシステムのセキュリティは、当社にとって大きなリスク要因です
キャリアデザインセンター メディアシステム部 メディアシステム課 波形孝氏
© NEC Corporation 2015 Page 5
公開Webサーバに必要なセキュリティ
▌攻撃者は公開Webサーバに内在する様々な脆弱性を悪用して攻撃を行うため、 各レイヤーでの多層防御が必要です。
コンテンツ
Web アプリケーション
ミドルウェア OS
ネットワーク
ファシリティ
改ざん検知
公開Web サーバ
FTPアカウントハックなど 不正なコンテンツの変更
WAF SQLインジェクション等
Webアプリ脆弱性を攻撃
IPS OpenSSL、Strutsなど
ミドルウェア脆弱性を攻撃
Firewall 不要に開いたポートなどを
突いた不正アクセス
入退出管理 マシン室への物理的な侵入
© NEC Corporation 2015 Page 6
公開Webサーバに必要なセキュリティ
▌攻撃者は公開Webサーバに内在する様々な脆弱性を悪用して攻撃を行うため、 各レイヤーでの多層防御が必要です。
コンテンツ
Web アプリケーション
ミドルウェア OS
ネットワーク
ファシリティ
改ざん検知
公開Web サーバ
FTPアカウントハックなど 不正なコンテンツの変更
WAF SQLインジェクション等
Webアプリ脆弱性を攻撃
IPS OpenSSL、Strutsなど
ミドルウェア脆弱性を攻撃
Firewall 不要に開いたポートなどを
突いた不正アクセス
入退出管理 マシン室への物理的な侵入
AWS
ユーザ
重点検討 ポイント
© NEC Corporation 2015 Page 7
© NEC Corporation 2015 Page 8
Webアプリケーション脆弱性攻撃について
Page 9 © NEC Corporation 2015
脆弱性攻撃:SQLインジェクションの場合
どのサイトにもある様な入力フォーム。
脆弱性があると悪意あるユーザの標的!
' UNION SELECT name, concat(address, ' ', cardNo) FROM
' UNION SELECT name, concat(address, ' ', cardNo) FROM user_tbl where 'a%'='a
特殊な攻撃文字列を入力! 検索ボタンを実行すると・・・
Page 9
© NEC Corporation 2015
通常表示されない個人情報が!
脆弱性攻撃:SQLインジェクションの場合
クレジットカード番号の 漏洩に繋がる可能性も!
Page 10
© NEC Corporation 2015 Page 11
Webアプリケーション脆弱性攻撃への対策(従来の対策)
■ SQLインジェクション ■ クロスサイトスクリプティング ■ セッションハイジャック ■ OSコマンドインジェクション ■ パストラバーサル ■ バッファオーバーフロー ■ クロスサイトリクエストフォージェリ ■ パラメータ改ざん ■ 強制的ブラウズ ■ エラーコード
Webアプリケーションの脆弱性を利用した攻撃
通常のFWやIDS/IPSでは防ぐことができない
セキュア開発・運用
アプリ開発時のセキュアコーディング リリース後の定期的な脆弱性診断→ソースコード修正
お客様および開発者が抱えるリスク
新しく発生した脆弱性を認識して、修正するまでの間に攻撃されるリスク 頻繁なシステム更改、スピード重視のリリースによるセキュリティ対策漏れリスク
© NEC Corporation 2015 Page 12
WAF(Webアプリケーションファイアウォール)とは
▌Webアプリケーションの脆弱性を利用した不正アクセスを防御する セキュリティ対策ツール
▌定義ファイル(シグネチャ)の更新により、常に最新の攻撃に対応
© NEC Corporation 2015 Page 13
Webアプリケーション脆弱性攻撃への対策
■ SQLインジェクション ■ クロスサイトスクリプティング ■ セッションハイジャック ■ OSコマンドインジェクション ■ パストラバーサル ■ バッファオーバーフロー ■ クロスサイトリクエストフォージェリ ■ パラメータ改ざん ■ 強制的ブラウズ ■ エラーコード
Webアプリケーションの脆弱性を利用した攻撃
通常のFWやIDS/IPSでは防ぐことができない
セキュア開発・運用
アプリ開発時のセキュアコーディング リリース後の定期的な脆弱性診断→ソースコード修正
Webアプリケーションファイアウォール(WAF)を導入
アプリケーションレイヤ専門のファイアウォールを導入 攻撃検知のための定義ファイルは最新のものを適用
リスクを最小限に抑えるセキュリティ対策
アプリケーションの作りに依存しない、一定のセキュリティレベルを確保 新しく発生した脆弱性に対する迅速な対応が可能
Page 14 © NEC Corporation 2015
脆弱性攻撃:WAFを導入した場合
WAFを導入したサイトに、先ほどと同じ SQLインジェクション攻撃を実施!
' UNION SELECT name, concat(address, ' ', cardNo) FROM
' UNION SELECT name, concat(address, ' ', cardNo) FROM user_tbl where 'a%'='a
検索ボタンを実行すると・・
Page 14
Page 15 © NEC Corporation 2015
脆弱性攻撃:WAFを導入した場合
エラー画面を表示!
情 報 漏 え い を 防 止 !
Page 15
© NEC Corporation 2015 Page 16
参考:NEC 経営システム本部 セキュア開発・運用実施基準
条件
インターネット接続 有 無
秘密情報※1 有
(レベル高) 有
(レベル低) 無
有 (レベル高)
有 (レベル低)
無
セキュリティ対策
脆弱性対策
脆弱性診断
ソースコード診断 必須 必須 (もう一方は 推奨)
推奨 必須 (もう一方は 推奨)
推奨 推奨
WebAP診断 必須 推奨 推奨 推奨
プラットフォーム診断 必須 必須 必須 推奨 推奨 推奨
脆弱性情報収集・対処 (パッチ適用など)
必須 必須 必須 必須 必須 必須
セキュア開発・運用チェックリスト適用 必須 必須 必須 必須 必須 推奨
WAF(WebAPファイアウォール) 必須※2 推奨 推奨 - - -
不正侵入検知・監視 必須※2 推奨 推奨 - - -
暗号化 必須 必須 - 必須 必須 -
※1 企業秘密管理規程や個人情報保護規程等を参考にPJで判断 ※2 システム・サービスにおいて提案が必須
【セキュア開発・運用対策レベル】
© NEC Corporation 2015 Page 17
WAFの選定
インターネット ネットワーク
ファイアウォール ロードバランサ Webサーバ
NW-WAF
インターネット ネットワーク
ファイアウォール ロードバランサ Webサーバ
SW-WAF
SW-WAF
WAFの導入形態と特徴
ホスト型
ネットワーク型
SaaS型
ネットワーク上にWAFアプライアンスを設置。DMZ上でWAFによるチェックを実施する。
インターネット ネットワーク
ファイアウォール ロードバランサ Webサーバ
SaaS-WAF
ベンダが提供するWAFサービスを経由するようにネットワーク経路の設定を変更。
ネットワーク上で、Webアプリケーションに対するアクセスをチェック
特徴 • 導入時にNW再構築必要 • パフォーマンスはWAFアプライアンスの性能に依存 • WAFアプライアンスの冗長構成の考慮が必要 • 1台のWAFアプライアンスで複数台のWebサーバを防
御可能
WebサーバにWAFソフトウェアをインストール。Webサーバ上でWAFのチェックを実施する。
特徴 • 導入時にNW再構築不要 • Webサーバへの導入影響の考慮が必要 • パフォーマンスはWebサーバの性能に依存 • WAF自体の冗長構成の考慮不要
特徴 • 導入時にWebサーバのDNS設定変更が必要 • パフォーマンスはWAFベンダサービスレベルに依存 • SSL通信の場合、通信に遅延が発生する可能性がある
© NEC Corporation 2015 Page 18
© NEC Corporation 2015 Page 19
WAFの選定ポイント
自社で運用できること
AWSとの親和性
障害時の影響範囲が小さいこと
キャリアデザインセンター様のWAF選定ポイント
© NEC Corporation 2015 Page 20
WAFの導入イメージ
• サーバにインストールするソフトウェア型製品であり、すべての防御設定やログ管理を自社でハンドリングできる点に魅力を感じました。
キャリアデザインセンター メディアシステム部 メディアシステム課 波形孝氏
• SaaS型のWAFサービスも検討していたのですが、万が一WAFの設定不備で障害が起きてしまうと、柔軟に設定変更はできず、広範囲にサービス停止となってしまうことがネックでした。 一方、『InfoCage SiteShell』は、サーバ単位にきめ細かく設定をすることができるため、もしWAFの設定不備で障害が発生しても、サービス停止のリスクを抑えられることが、ひとつの決め手になりました。
レプラホーン株式会社 部長 中村真氏(システム運用をご担当)
© NEC Corporation 2015 Page 21
WAF導入効果
▌8/17 「@type」リニューアルオープン
▌8/21 • SQLインジェクションの流行により多数の攻撃を検知→WAFでの防御に成功
• WAFのログから攻撃元IPを特定
• ネットワークファイアウォールの設定変更により攻撃元IPからのアクセスを遮断
▌8/22以降 WAFで検知する攻撃数は減少
© NEC Corporation 2015 Page 22
WAF導入効果
• 確実に攻撃をブロックできていますから、導入して本当によかったと思います キャリアデザインセンター メディアシステム部 メディアシステム課 波形孝氏
• これだけの攻撃を実際に受けているのだという事実が明らかになったことで、運用メンバーの意識は高まっています
• Webアプリケーション開発に強みを持つSIベンダの立場から見ても、WAF製品は今後の情報セキュリティ対策において、きわめて重要なツールだということを強く認識しました
レプラホーン株式会社 部長 中村真氏(システム運用をご担当)
© NEC Corporation 2015 Page 23
AWS対応WAF 「InfoCage SiteShell」
ショッピングサイト
Instance
Instance
AMI CloudWatch AutoScaling
AWS
InfoCage SiteShell 運用管理コンソール
自動追加
AWS環境 ホスト型での運用例
▌ クラウド環境に柔軟に導入可能なソフトウェア型のWAF
直接Webサーバにインストールする方法(ホスト型)、プロキシとしてWebサーバの前段に配置する方法(ネットワーク型)を、システム構成によって選択可能
▌ オートスケールに対応した管理機能
稼働中のWAFを専用運用管理コンソールで一括管理、設定変更が可能
オートスケールでサーバが増えても自動追加
参考:AWS向け導入・運用ガイド、AMIを公開中
ダウンロードサイトURL (「siteshell」で検索でも可) http://jpn.nec.com/infocage/siteshell/download_aws.html
AWSクラウドにて簡単に導入、運用が可能
© NEC Corporation 2015 Page 24
セキュリティ機能
Webアプリケーションのセキュリティに 特化した製品
製品概要 OS・ミドルウェアのセキュリティに 網羅的に対応する製品
Webアプリケーションファイアウォール(WAF) 製品カテゴリ 統合セキュリティ製品
NEC 開発元 Trendmicro
InfoCage SiteShell 製品名 DeepSecurity
セキュリティログ監視
IDS / IPS (仮想パッチ)
ファイアウォール
改ざん検知
ウイルス対策
Webアプリケーションファイアウォール(WAF) ※防御可能なアプリケーション脆弱性攻撃 • SQLインジェクション • クロスサイトスクリプティング • バッファオーバフロー • クロスサイトリクエストフォージェリ • セッションハイジャック/リプレイ • パラメータ改ざん • 強制的ブラウズ • パストラバーサル • OSコマンドインジェクション • エラーコード ※一部のアプリケーション脆弱性攻撃にも対応
▌ NECでは、AWSをご利用のお客様に対して、トレンドマイクロ Deep Securityと NEC InfoCage SiteShellを合わせてご提案中
クラウドセキュリティソリューション on AWS
© NEC Corporation 2015 Page 25
© NEC Corporation 2015 Page 26 © NEC Corporation 2013 Page 26 © NEC Corporation 2013 Page 26 Page 26