Embed Size (px)
Citation preview
WH
ITE PA
PER
:
powered by Symantec
White Paper
より安全なWeb サイトの作り方
White Paper : ウェブサイトの脆弱性管理にかかるコストと手間を低減する方法
2
Copyright ©2014 Symantec Corporation. All rights reserved. Symantec と Symantec ロ ゴ は、Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製品名は各社の登録商標または商標です。
合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行っています。ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、(明示、黙示、または法律によるものを問わず)いかなる種類の保証も行いません。合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれる誤り、省略、または記述によって引き起こされたいかなる(直接または間接の)損失または損害についても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサイトセキュリティは、本書に記述されている製品またはサービスの適用または使用から生じたいかなる責任も負わず、特に本書に記述されている製品またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します。本書は、本書の読者に対し、本書の内容に従って作成された機器または製品の作成、使用、または販売を行うライセンスを与えるものではありません。最後に、本書に記述されているすべての知的所有権に関連するすべての権利と特権は、特許、商標、またはサービス ・ マークの所有者に属するものであり、それ以外の者は、特許、商標、またはサービス ・ マークの所有者による明示的な許可、承認、またはライセンスなしにはそのような権利を行使することができません。
合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利を持ちます。
White Paper : ウェブサイトの脆弱性管理にかかるコストと手間を低減する方法
3
CONTENTS
概要 4
シマンテックの取り組み 4
インターネット通信 4不完全なSSL通信 5
SSLによる通信の仕組み 5
WEBサイト全体をSSLで保護する仕組み 5
事前調査 6
システム構成の確認 6
ドキュメントルートの確認 6
リンク先の確認 6
携帯向けコンテンツの確認 7
URLリダイレクト方法 7HTTP301リダイレクト 7
APACHEのHTTP301リダイレクト設定 7
IISのHTTP301リダイレクト設定 8
対応後の注意点 8
まとめ 8
White Paper : ウェブサイトの脆弱性管理にかかるコストと手間を低減する方法
4
より安全な Web サイトの作り方
概要
このホワイトペーパーでは、Web サイト全体を SSL で保護する方法について技術的な側面を中心に説明します。このドキュメントは、セキュアな状態で配信するメリットや技術的に注意すべき実用的な内容を提供することを目的としています。
シマンテックの取り組み
2008 年 12 月に弊社が実施した調査によると、EV SSL 証明書の導入企業に対する印象として、「セキュリティ意識が高い」
(56.3%)、「信頼できる」(50.6%)が 5 割を超える結果となりました。次いで、「好感がもてる」(45.5%)、「安全を提供している」(44.4%)、「お客様を大切にしている」(40.6%)が続いています。セキュリティ意識が高いという認識は当然としても、信頼感・好感度が向上するという回答が 2 位・3 位に来ており、既存の SSL サーバ証明書と同様に、導入企業に対する信頼性向上の効果があることが確認できます。
図表 1 EV SSL 証明書導入企業に対する印象についての調査結果
セキュリティ意識が高い
信頼できる
好感が持てる
安全を提供している
お客様を大切にしている
0
10
20
30
40
50
60 56.3%
50.6%
45.5% 44.4%40.6%
(%)
自社調べ
また、従来の SSL サーバ証明書と比較して EV SSL 証明書の分かり易さについても調査したところ、各利用サイトにおいて非常に分かり易くなったという結果が得られました。これは、ブラウザのアドレスバーが緑色で表示されるなど EV SSL 証明書の特徴によるものであると考えられます。
SSL暗号化通信を表す鍵のアイコン
アドレスバーが緑色に変化 ウェブサイトを運営する組織を表示
※ 上記の表示は Internet Explorer 10 の場合です。
図表 2 EV SSL 証明書の分かり易さに関する調査
問い合わせ
資料請求
会員登録
予約
ネットショッピング /ネットオークションオンラインバンキング /オンライントレード
(187)
(293)
(530)
(403)
(666)
(548)
52.4 39.6 8.0
54.3 38.6 7.2
51.3 41.1 7.5
49.1 42.7 8.2
50.0 42.0 8.0
50.5 40.9 8.6
非常に分かり易くなったやや分かり易くなった変わらない
自社調べ
インターネット通信
不特定多数が接続しているインターネットの世界には、様々なデータが流れており、そのデータが途中で盗聴や改ざんされるリスクが高まっています。その理由のひとつに、HTTP 自体に暗号化などのセキュリティ機能が備わっておらず、ログイン ID やパスワード、カード情報などの個人情報が、そのままネットワークに流れていることが挙げられます。通信内容が盗聴され、そのデータを利用した不正侵入被害が発生しています。こうした盗聴を防止するためには幾つかの手段がありますが、その中でも以下の 2 つの重要なポイントによって通信経路のセキュリティを高めることが最初の一歩となります。
▪▪ 実在する企業により運営されたサイトであることが認証されていること
▪▪ 通信経路のセキュリティを高めること
サイト運営者の認証方法は、導入されている SSL サーバ証明書の種類によって判断されます。EV SSL 証明書は、米国の CA/ブラウザフォーラムによって策定されたガイドラインに基づき、申請する組織の実在性を厳密に確認されるため安心です。
White Paper : ウェブサイトの脆弱性管理にかかるコストと手間を低減する方法
5
通信経路のセキュリティについては、HTTP 通信の暗号化として一般的なものとして SSL(Secure Sockets Layer)技術があります。この技術は、パソコンのみならず、携帯やゲーム機など様々な機器で採用が進んでいます。
認証サーバ
ファイアウォールIPS/IDS
バックエンドシステム
SSL(Secure Sockets Layer)
サーバ証明書
厳格な審査
不正アクセスなりすまし対策ネットワーク上の
盗聴・改ざん対策
不正進入DDoSアタック対策
インターネット
アクセス端末
不完全な SSL 通信個人情報を入力するページには SSL を導入している企業がほとんどですが、組織ごとに各コンテンツが管理されている場合では、本来 SSL 通信が必要となるページで暗号化の妥当性について正しく確認されないケースも見受けられます。入力フォームだけがSSL 対応しており、HTML ソース内で定義した画像などのコンテンツの読み込みなどが SSL に対応していない場合があります。また、個人情報を取り扱う入力フォーム自体が SSL で保護されていない場合もあります。
その結果、ブラウザには警告が表示され、鍵マークやグリーンバー(EV SSL 証明書の場合)が表示されなくなり、エンドユーザに不信感を与え、機会損失や企業イメージが損なわれる結果となります。
SSL による通信の仕組みクライアントから SSL 通信のリクエストを受信すると、サーバからクライアントに対して、SSL サーバ証明書を送ります。クライアントが、この証明書が正しいことを確認すると、サーバとクライアント双方で「共通鍵」を生成し、データの暗号化および復号化を行います。
クライアント
①https://~で通信開始
サーバ
②証明書を送信
③共通鍵を生成
④暗号通信
Web サイト全体を SSL で保護する仕組み通常、Web サイトでは、SSL で保護されているコンテンツと保護されていないコンテンツが混在しています。常にエンドユーザに安心感を与えることを目的として、全てのコンテンツを SSL で保護するなら、その方法として、Web サーバ側で処理する URL リダイレクトという機能を利用できます。クライアントから HTTP 通信のリクエストがあると、サーバ内で SSL 通信への URLリダイレクト処理が行われ https に変換された URL をクライアントに返し、その後の処理は、前述の SSL による通信の仕組みと同じになります。
クライアント
③https://~で通信開始
サーバ
④証明書を送信
①http://~で通信開始
URLリダイレクト②https://~リダイレクト
⑤共通鍵を生成
⑥暗号通信
White Paper : ウェブサイトの脆弱性管理にかかるコストと手間を低減する方法
6
事前調査Web サーバ側で URLリダイレクトによる SSL 通信を使ったコンテンツ配信をする前に、現在稼働中のシステム構成やコンテンツ管理方法を事前に確認する必要があります。
システム構成の確認認証局から SSL サーバ証明書を購入したあと、証明書がどこにインストールされているかを確認してください。通常は Web サーバにインストールされていますが、上位のロードバランサーや SSLアクセラレータにインストールされている場合があります。URLリダイレクトによる SSL 通信をしたときに、どのようなデータフローに変化するかを確認しておくことは、運用上有効になります。
POUNDサーバ(SSLラッパー)
Webサーバ WebサーバWebサーバ
Webサーバ
証明書インストール
SSL通信 SSL通信 SSL通信
非SSL通信非SSL通信
証明書インストール 証明書
インストール
ロードバランサーSSLアクセラレータ
インターネット
ドキュメントルートの確認Web サーバで構成管理されているドキュメントルートを、非 SSLと SSL に分けて管理している場合、データの整合性を確認する必要があります。URLリダイレクトによる SSL 通信を使ったコンテンツ配信をするということは、全てのコンテンツが SSL 用のドキュメントルートを参照することになります。情報系コンテンツなど非 SSL として管理されているデータが SSL 用ドキュメントルートに存在しないと、ブラウザ側では 404 エラーが発生してしまいますので、必ずデータの整合性を確認してください。URLリダイレクト対応後のコンテンツ運用管理についても、常に SSL 用のドキュメントルートにデータを一元的に管理するようにしてください。
リンク先の確認HTML ソース内で A タグや IMG タグとして定義された URLリンク情報を全て抽出し、その中で、明示的に非 SSL の記述が絶対パス(http:// ~)として含まれていないかを確認してください。含まれている場合には、SSL 通信となるように変更する必要があります。Web サーバ内(ローカル環境)の場合には、相対パスに変更するだけで問題ありませんが、アクセス解析用の ASP ビーコンなどの外部リンクを指している内容については、外部リンク側で SSL 通信に対応しているかを確認する必要があります。
注意すべき HTML ソース
<html>
<body>
・・・
<a href="http://www.symantec.com">ホーム</a>
<img src="http://beacon-asp.com" alt="アクセスログ解析用">
・・・
</body>
</html>
Webサーバ
https通信用ドキュメント例:/public/www/docs/https
ASPビーコン(アクセス解析など)
プラグイン(Adobe社など)
SSL通信
非SSL通信
インターネット
HTML
HTMLソースで、Aタグなどで外部リンク先がhttpとなっている
<html><body><a href=”http://~” >・・・
SSLと非SSL通信が混在しているため、ブラウザでは警告メッセージやアドレスバーが赤色で表示される
Webサーバ内においてhttpによる絶対パスで記述しているので、httpsに変更が必要
外部Webサービスを読み込んでいる
White Paper : ウェブサイトの脆弱性管理にかかるコストと手間を低減する方法
7
携帯向けコンテンツの確認最近では携帯電話でも高性能 CPU を搭載するようになり、暗号化や復号化もストレス無く処理されるようになりました。しかし、少し前の携帯電話では、その処理に予想以上の時間が掛かります。そのため携帯向けコンテンツが存在する場合には、URLリダイレクトによる SSL 配信方法は、慎重に検討する必要があります。パソコン向けコンテンツと携帯向けコンテンツを分けて管理している場合には、ディレクトリ単位で SSL 通信をすることを推奨します。
その他にも、ドコモの i モードブラウザ 1.0 で SSL 通信をする場合、IMG タグの取り扱いに注意する必要があります。IMG タグで表示したい画像を「同一スキーマ、同一アドレス、同一ポート」から送信する必要があります。
作ろうi モードコンテンツ その他注意点|サービス・機能| NTTドコモhttp://www.nttdocomo.co.jp/service/imode/make/content/ssl/notice/#p03
外部コンテンツの取得先
SSL通信中アイコン
httpsスキーム
httpスキーム同一ホスト
かつ同一ポート
異なるホストまたは異なるポート
ページ種別
SSLページ ○ × × 表示
非SSLページ × × ○ 非表示
ブラウザで表示しているページが、https://www.symantec.com の場合、以下のような画像はブラウザに表示することが出来ません。
異なるホストの記述例
<img src=https://www.symantec.com/campany.gif>
異なるポートの記述例
<img src=https://www.symantec.com:8080/company.gif>
IMG タグを利用してアクセスログを取得するビーコンなどのシステムを使っている場合には、回避策として、システム内で mod_proxy 等を使って Web サーバ側で一旦コンテンツを取得してブラウザに送信するという方法が考えられます。
また、i モードでは契約者固有 ID の取得方法が 3 種類存在しますが、いずれも SSL 環境下では取得できないため注意が必要です。Web サイトにおいて、この情報を元にアクセス制限などを行っている場合にはご注意ください。
URLリダイレクト方法
HTTP 301リダイレクトhttp で来たリクエストに対して https にリダイレクトするには幾つかの方法がありますが、ここでは、その 1 つである HTTP301リダイレクトを紹介します。Yahoo や Google が推奨していることからも、HTTP 301リダイレクトが SEO 対策に有効であることが分かります。
Yahoo! サイト管理者向けヘルプ http://info.search.yahoo.co.jp/archives/002873.php
Google ウェブマスター向けヘルプ http://www.google.com/support/webmasters/bin/answer.py?hl=jp&answer=83105
以降では具体的な 301リダイレクト方法を説明しますが、例として http://www.symantec.com の全ページを https://www.symantec.com に URLリダイレクトする方法を記述します。
Apache の HTTP301リダイレクト設定Apache で HTTP301 リダイレクトを設定するには、2 種類の設定ファイルで対応することが出来ます。どちらか一方を有効にすればリダイレクトされますので、編集が許可されている方法を利用ください。
【.htaccess に RewriteRule を書く場合】
非 SSL 用ドキュメントルート直下に .htaccess を保存し、以下のように記述します。
RewriteEngine onRewriteCond %{HTTP_HOST} ^(www.symantec.com)(:80)? [NC]RewriteRule ^(.*) https://www.symantec.com/$1 [R=301,L]
【httpd.conf に Redirect を書く場合】
非 SSL 用に定義したディレクティブ内で、以下のように記述します。
Redirect permanent / https://www.symantec.com/
White Paper : ウェブサイトの脆弱性管理にかかるコストと手間を低減する方法
8
合同会社シマンテック・ウェブサイトセキュリティhttps://www.jp.websecurity.symantec.com/〒104-0028 東京都港区赤坂1-11-44赤坂インターシティTel:0120-707-637E-mail:[email protected]
Copyright ©2014 Symantec Corporation. All rights reserved.シマンテック(Symantec)、ノートン(Norton)、およびチェックマークロゴ(the Checkmark Logo)は米国シマンテック・コーポレーション(Symantec Corporation)またはその関連会社の米国またはその他の国における登録商標、または、商標です。その他の名称もそれぞれの所有者による商標である可能性があります。製品の仕様と価格は、都合により予告なしに変更することがあります。 本カタログの記載内容は、2014年4月現在のものです。
IIS の HTTP301リダイレクト設定IIS で URLリダイレクトを設定するには、管理者アカウントでログインしコントロールパネルから[管理ツール]-[インターネットインフォメーション サービス (IIS) マネージャ]を起動します。リダイレクト元となる Web サイト(http://www.symantec.com)のプロパティを開き、「ホームディレクトリ」タブを選択します。次に[URL へのリダイレクト]ラジオボタンをオンにすると、そのすぐ下に、リダイレクト先 URL(https://www.symantec.com)に関する 4 つの設定項目が表示されます。
設定項目 設定内容
リダイレクト先 www.symantec.com
上で入力したURL オフ
入力されたURLの下のディレクトリ オフ
このリソースへ永続的にリダイレクトする オン
リダイレクト先で指定する URL の末尾に「/」(スラッシュ)は付けないようにしてください。付けた場合には、「/」が二重になります。
対応後の注意点
全ページを SSL 対応させることで、思わぬところでシステムに負荷が発生する可能性があります。暗号化・復号化には、データ量にも依存しますが、CPU 資源をある程度消費します。特にシステム構成として Web サーバで暗号化・複合化を処理すると同時に、動的コンテンツや Servlet などの CPU 資源を消費するものを同一サーバ上で動かしている場合などは、レスポンスが極端に悪くなる可能性がありますので、定期的にサーバのリソース監視を確認する必要があります。
まとめ
URLリダイレクトと EV SSL 証明書ならびにノートン TM セキュアドシールを併用することで、エンドユーザに視覚的に安心感と信頼感を与えることができ、自社サイトに取り込む最後の一押しとなりえる投資対効果の高い施策と言えます。
Web サイト全体を SSL で保護するためには、技術的な課題以上に社内の部署間の調整なども重要になってきます。特に、このようなセキュリティ対策に関する費用対効果は見えにくいものですが、フィッシングサイトの氾濫や個人情報の漏洩などの対策に有効であることを社内関係者に周知していく必要があります。一方でエンドユーザは常に危険にさらされており、今後、益々このような事件が多発する中、どのサイトが安全であり信頼できるかを見極める必要があり、その手助けとなるべくWeb サイト運営者は、自社のコンテンツが如何に安全であるかを視覚的に訴えていく必要があります。
ノートン TM セキュアドシールは、インターネット上で最も信頼されているマーク※
です。
ノートンセキュアドシールは 165 カ国 100,000ドメインで使用されており、1 日 6.5 億回以上表示されています。※:米国シマンテック・コーポレーション調べ(2011 年 9 月)
powered by Symantec
WPSSLREDIRECT2009_1308
![かざり炭の作り方 全5ページ · 2011. 5. 19. · 全5ページ かざり炭の作り方 [ 1・2・3・4・5 ] 軍手(ぐんて) バケツ のり・せんべい・ビスケットなどの缶](https://img.pdfslide.net/doc/110x75/60a659fcf793ed3e38766686/coe-5ff-2011-5-19-5ff-coe.jpg)
