パリのテロ事件で遭遇した実際のサイバー攻撃から あなたのWebを守り抜くための 3つの実装ポイント

391 Views

March 10, 16

スライド概要

2016.3.10に行われた「Amazon CloudFront で今すぐ始める WAF/SSL 証明書セミナー」で話した講演資料です。パリのテロ直後にあったサイバー攻撃の実例を元にAWS WAFとDeep Securityと連携した対策について詳細とポイントについてまとめてます。

profile-image

アイレット株式会社 (cloudpack) エバンジェリスト / 公正取引委員会 デジタルアナリスト

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

2016.3.10 Amazon CloudFront で今すぐ始めるWAF/SSL 証明書セミナー パリのテロ事件で遭遇した実際のサイバー攻撃から あなたのWebを守り抜くための 3つの実装ポイント アイレット株式会社 後藤 和貴

2.

☁ cloudpack事業 執行役員 • エバンジェリスト • 営業、PR、ウェブ… ☁ バックグラウンド 執行役員 / エバンジェリスト 後藤 和貴 @kaz_goto • Oracle カスタマーサポート→開発@HQ • ウェブデザイン会社 • テクニカルディレクター(フリーランス)

3.

アイレット株式会社 設立 2003年10月15日 資本金 7,000万円 代表者 齋藤 将平 従業員数 117名(2016年3月現在) 事業内容 システム開発・保守 マネジドホスティング

4.

について

5.

AWSを活用しながらビジネスに集中できる コンシェルジュサービス

6.

cloudpackビジネス 設計支援 コンサル MSP 運用保守 システム 開発

7.

24時間365日 監視運用保守 企業 定額課金/ 請求書払い PCI DSS、ISMS、Pマーク取得済みの運用体制 AWS

8.

50,000時間 連続稼働 (※) (2,100日以上) ※ 2010年5月cloudpackサービススタート

9.

6年間AWSのみで運用保守 4社 6年間 600 1200 プロジェクト超 社超

10.

ワンストップでシステム開発から運用保守まで

11.

プレミアコンサルティングパートナー アジア地域5社 最上位パートナー 世界46社

12.

企業規模別 cloudpack利用比率 36 % 中小企業 27 % 中堅企業 37 % 大企業

14.

cloudpack セキュリティの取り組み

15.

securitypack ☁ Deep Security導入から 運用保守までをサポート ☁ 24時間365日、 システム監視と運用・保守 ☁ 脆弱性情報の提供 ルール設定代行 ログ分析など

16.

安全なネットワーク ☁ AWS Direct Connect ☁ 専用接続プラン with 光

17.

安全なデータアップロード ☁ ダイレクトインポート • 完全プライベート回線経 由でAWSへ • 機密レベルの高いデータ のやりとり • マイグレーション時のダ ウンタイム最小化

18.

認証・セキュリティの取り組み PCI DSS監査証明マーク ICMS-PCI0162/PCI DSS +セキュリティルーム ICMS-PCI0162/PCI DSS ※写真はイメージです PCI DS PC ICMS PC ICMS

19.

SOC2レポート受領 • 米国公認会計士協会(AICPA)が定 める、財務報告目的以外の受託サー ビスに関する内部統制の保証報告書 • 監査法人や公認会計士が独立した第 三者の立場から、客観的に検証した 結果を記載したもの • AWS上でのSOC2受領は日本初!

20.

セキュリティ ホワイトペーパー • 国際・国内セキュリティ基準への取 り組み • ソフトウェア脆弱性情報に関する取 り組み • 業務ネットワークのセキュリティ • 運用上のセキュリティ保持体制

21.

ドコモ・クラウド パッケージ • NTTドコモ社のクラウド導入・構 築・運用管理ノウハウやツールを パッケージ化 • セキュリティデザインパータンやテ ンプレートを提供 • 準拠したSIをcloudpackで実施可能

22.

昨今のセキュリティ攻撃状況

23.

一般社団法人JPCERTコーディネートセンター JPCERT/CC インシデント報告対応レポート[2015年10月1日~2015年12月31日] https://www.jpcert.or.jp/pr/2016/IR_Report20160114.pdf

24.

ウェブサイト改ざんの傾向 改ざんされた Web サイトを確認したところ、埋め込ま れる不正なコードには、body タグの直後に cookie を送 信する JavaScript と、攻撃サイトに誘導する iframe が埋め込まれているという特徴がありました。また、誘 導先の攻撃サイトでは、マルウエアに感染させるため に、Internet Explorer や Adobe Flash Player の脆弱性 が使用されていました。 上記のような改ざんが行われた Web サイトでは、 WordPress を使用しているという共通点が見られまし た。WordPress のような CMS を使用している Web サ イトは、CMS やそのプラグインのバージョンが古い場 合、脆弱性をつかれて改ざんされてしまう恐れがありま す。Web サイトの管理者は、CMS を常に最新のバー ジョンに維持し、不要なプラグインを削除するなどの対 策を取ることが重要です。 同 インシデント報告対応レポート より http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/manipulation/ 自社サイトの改ざん被害のみならず、 不正なマルウエアを感染させることになり 被害拡大の支援をすることになる

25.

WordPressが攻撃されるケース 管理者ページへの不正ログイン 攻撃者 攻撃者 プラグインを中心とした 脆弱性を悪用した不正侵入

26.

もし改ざんされると…

28.

自社サイトが改ざんされる ↓ 自社サイトへアクセスしたユーザーが不正なサイトへ転送される ↓ 誘導されたサイトでマルウェアに感染 ↓ さらなる被害へ

29.

一般社団法人JPCERTコーディネートセンター インシデント報告対応レポート 2015年4月1日~2015年6月30日 https://www.jpcert.or.jp/pr/2015/IR_Report20150714.pdf

30.

改ざん検知からサイト再開まで 1. ウェブサイトが改ざんされる 2. ウェブサイト停止(閲覧者への被害拡大停止のため) 3. 原因・影響度の調査 4. ウェブサイト復旧 (最悪のケース、OS・アプリの再構築) 5. ウェブサイト再開 サイト停止から復旧までが長いとビジネス的なインパクトが多い

31.

DDoS攻撃に関する統計 ☁ 2014年第4四半期との比較 • DDoS攻撃の総数が148.85%増加 • インフラストラクチャレイヤー(レ イヤー3および4)に対する攻撃が 168.82%増加 • 平均攻撃時間が49.03%減少: 14.95時間対29.33時間 • 100Gbpsを超える攻撃数が 44.44%減少:5件対9件 出典: Akamai https://www.akamai.com/us/en/about/news/press/2016-press/akamai-releases-fourth-quarter-2015-state-of-the-internet-security-report.jsp

32.

いつ誰が標的になるかわからない

33.

実際のサイバー攻撃事例

34.

2015.11.13

36.

https://ja.wikipedia.org/wiki/パリ同時多発テロ事件

37.

パリとの時差 日本 -8時間

38.

2015/11/12 23:26:29(JST)

40.

この時は “パリからの攻撃なんだ” ”珍しいな”と

41.

55,247 特定のお客さまの環境での総検知数

42.

Dynamic Protection 動的な対応

43.

☁ 未知の攻撃のを含む可能性を考慮して、 随時NACLに登録(運用負荷高い) ☁ IPコロコロ替わってイタチごっこ(40近 く) ☁ ”195.154.0.0/16”と登録したかったが、 数が微妙だった(最終的には登録した)

44.

別の環境にて NACLでの遮断後も検知継続

46.

受け身ではツライので DS → WAF 連携を思いついたが…

47.

☁ 直前の送信元IPアドレスがCloudFrontなので、 X-Forwarded-Forに記録されたIPをNACLに登録し ても遮断ができない。 ☁ 当時はAWS WAFが出たばかりで、 テスト無しでの本番投入はハードルが高かった。

48.

IP制御を速やかに CloudFrontまで持っていく 必要があった

49.

System Integration システム連携

50.

n a s Mark GJ!! https://github.com/deep-security/aws-waf

51.

静的情報 (IP List)を AWS WAFへ登録するもの だけど、使えるのでは?

52.

よろしい ならば実装だ

54.

Deep Security検知ログを作成 http://files.trendmicro.com/jp/ucmodule/tmds/96/sp1/Deep̲Security̲9.6̲SP1̲Admin̲Guide̲JP.pdf

55.

不正アクセスIPの集計

56.

Deep Security Managerへプッシュ

57.

Deep Security MangerからAWS WAFへ連携 http://qiita.com/fnifni/items/8ae2b49d5fe6af3d08fe

58.

1度設定しておしまいではない 新たな脅威、不要となった設定などを 最適化していく必要がある

59.

Tuning Rules 運用・ルール最適化

60.

チューニングのポイント ☁ 推奨設定の検索 ☁ 対応済みの脆弱性のルールは外す(検知ベー ス) ☁ 検知傾向を知る(どんな通信を検知するか) ☁ サービスで使用している通信か否か • URI, POST, XML, SQL, CSS, HTML, SSL…

61.

システムは生き物 攻撃も生き物 チューニングは運用の一部

62.

セキュリティ製品は 運用が命!

63.

でも なんでDeep Securityでできることを AWS WAFにやらせるの?

64.

異常に気づいてから 復旧まで1週間 もともとはOCN経由で自社 データセンター運用(推測) ↓ 攻撃負荷が高く調査も難航、 一旦停止せざるを得ない状態 http://d.hatena.ne.jp/Kango/20160116/1452985392

65.

CloudFront EC2 WAF Deep Security Manager WAFでサーバー負荷をオフロード 単なるDDoS攻撃ではびくともしないサイトへ

66.

セキュリティ対策事例

67.

ハイレベルなセキュリティ基準 ☁ AWSで国内初のPCI-DSS Level1環境の構築の実績 • PCI-DSSとは • PCI DSS (Payment Card Industry Data Security Standard) は国際カードブランド5 社(Visa、MasterCard、JCB、American Express、Discover) が共同で設立したPCI SSC(Payment Card Industry Security Standard Council)によって策定されたグロー バルセキュリティ基準。 • 世界のクレジットカード会社が求める プレスリリース(http://www.cloudpack.jp/press/20130308.html) セキュリティ実装のスタンダード

68.

Coiney 既存サイトをPCI DSS Level1に準拠させる為、 cloudpackはインフラ構築・セキュリティ面でのコンサルティングを担当

69.

実践的セキュリティ対策 アプリケーション ☁ ユーザー責任範囲 データ • 権限設定、ネットワーク設定 ランタイム • ソフトウェアのアップデート ミドルウェア OS 仮想化 サーバー ストレージ ネットワーク • セキュリティログの収集・管理 • データの暗号化 • ウイルス対策 etc… ☁ AWS責任範囲

71.

改ざんから検知の流れ(初期アイディア) 攻撃者 2.ファイル 改ざん 1.バックドアを操作 Victim web 3.アラート送信 4. 自動復旧シナリオ実行 Real time log store

72.

改ざんから復旧までのメカニズム 攻撃者 ファイル改ざん Firewall Deep Security Agent ・・・・・・・・・・・・・・・・・・・・・・ 改ざん検知 ログに記録 削除命令 LOG 自動リカバリー開始 リカバリー命令 Auto-Healingプログラム オリジナル ファイルで リカバリー

73.

Webセキュリティを保護するセキュリティツール。 自動化を実行する為の、最初のトリガーを担当。 Deep Security Agent git(ギット) コンテンツ・アプリのソースコードなどの変更履歴 を記録・追跡・保存するための分散型バージョン管 理システム。 コンテンツのオリジナルデータ先として利用。

74.

バッドロボットからの リクエストを自動的に対処 • • 人間ではアクセスしない リンクを仕込む API Gateway→Lambda→WAF という連携でブロック制御 http://blogs.aws.amazon.com/security/post/Tx1G747SE1R2ZWE/How-to-Reduce-Security-Threats-and-Operating-Costs-Using-AWS-WAF-and-Amazon-Clou

75.

クラウド 導入事例 100+ (※) http://cloudpack.jp/casestudy ※ 2015年11月時点

76.

Deep Security User Group 勉強会なども 開催中

77.

CloudFront / WAF ソリューション

79.

業界最安値 CDN専用プラン AWSは直接契約するよりもcloudpackの方が安く利用できます https://cloudpack.jp/lp/cdn/

80.

【初公開】CDN専用プラン WAFオプション ☁ 基本料金 1,500円/月 • Web ACL x1 + 最大5ルール ☁ 設定変更 1万円~ • 作業内容により応相談 ☁ ルール追加その他応相談 • Deep Security連携など AWS WAF

81.

まとめ

82.

まとめ • 複雑化・高度化するサイバー攻撃には、1)動的な対応、 2)システム連携、3)運用・ルール最適化 が求められる • ツール・サービスも高度な連携が可能な時代に DSとAWS WAFの連携でProactiveな対策を • 最適なルールの適用が最大の防御 =ツール任せではなく人による運用が大切