Amazon CloudFront で今すぐ始めるWAF/SSL 証明書セミナー

パリのテロ事件で遭遇した実際のサイバー攻撃から あなたのWebを守り抜くための

3つの実装ポイントアイレット株式会社

後藤 和貴

2016.3.10

後藤 和貴@kaz_goto

執行役員 / エバンジェリスト

☁ cloudpack事業 執行役員 • エバンジェリスト • 営業、PR、ウェブ…

☁ バックグラウンド • Oracle カスタマーサポート→開発@HQ • ウェブデザイン会社 • テクニカルディレクター（フリーランス）

アイレット株式会社

設立

資本金

代表者

従業員数

事業内容 システム開発・保守 マネジドホスティング

2003年10月15日

7,000万円

齋藤 将平

117名（2016年3月現在）

　　　　　　について

AWSを活用しながらビジネスに集中できるコンシェルジュサービス

cloudpackビジネス

設計支援 コンサル

MSP 運用保守

システム 開発

24時間365日

定額課金/ 請求書払い

PCI DSS、ISMS、Pマーク取得済みの運用体制

監視運用保守

企業 AWS

(2,100日以上)

※ 2010年5月cloudpackサービススタート

50,000時間 連続稼働(※)

4 社 社超

プロジェクト超

6001200

6年間

6年間AWSのみで運用保守

ワンストップでシステム開発から運用保守まで

アジア地域5社世界46社最上位パートナー

プレミアコンサルティングパートナー

企業規模別 cloudpack利用比率

36% 27 37% %

中小企業 中堅企業 大企業

cloudpack セキュリティの取り組み

securitypack

☁ Deep Security導入から運用保守までをサポート

☁ 24時間365日、システム監視と運用・保守

☁ 脆弱性情報の提供ルール設定代行ログ分析など

安全なネットワーク

☁ AWS Direct Connect ☁ 専用接続プラン with 光

安全なデータアップロード

☁ ダイレクトインポート • 完全プライベート回線経

由でAWSへ • 機密レベルの高いデータ

のやりとり • マイグレーション時のダ

ウンタイム最小化

認証・セキュリティの取り組み

＋セキュリティルーム

ICMS-PCI0162/PCI DSS

ICMS-PCI0162/PCI DSS

PCI DSSICMS-PCIxxxx

PCI DSS監査証明マーク PCI DSSロゴマーク

PCI DSSICMS-PCIxxxx

※写真はイメージです

• 米国公認会計士協会（AICPA）が定める、財務報告目的以外の受託サービスに関する内部統制の保証報告書

• 監査法人や公認会計士が独立した第三者の立場から、客観的に検証した結果を記載したもの

• AWS上でのSOC2受領は日本初！

SOC2レポート受領

• 国際・国内セキュリティ基準への取り組み

• ソフトウェア脆弱性情報に関する取り組み

• 業務ネットワークのセキュリティ

• 運用上のセキュリティ保持体制

セキュリティ ホワイトペーパー

• NTTドコモ社のクラウド導入・構築・運用管理ノウハウやツールをパッケージ化

• セキュリティデザインパータンやテンプレートを提供

• 準拠したSIをcloudpackで実施可能

ドコモ・クラウド パッケージ

昨今のセキュリティ攻撃状況

一般社団法人JPCERTコーディネートセンター JPCERT/CC インシデント報告対応レポート[2015年10月1日～2015年12月31日]

https://www.jpcert.or.jp/pr/2016/IR_Report20160114.pdf

ウェブサイト改ざんの傾向改ざんされた Web サイトを確認したところ、埋め込まれる不正なコードには、body タグの直後に cookie を送信する JavaScript と、攻撃サイトに誘導する iframe が埋め込まれているという特徴がありました。また、誘導先の攻撃サイトでは、マルウエアに感染させるために、Internet Explorer や Adobe Flash Player の脆弱性が使用されていました。

上記のような改ざんが行われた Web サイトでは、WordPress を使用しているという共通点が見られました。WordPress のような CMS を使用している Web サイトは、CMS やそのプラグインのバージョンが古い場合、脆弱性をつかれて改ざんされてしまう恐れがあります。Web サイトの管理者は、CMS を常に最新のバージョンに維持し、不要なプラグインを削除するなどの対策を取ることが重要です。

自社サイトの改ざん被害のみならず、不正なマルウエアを感染させることになり

被害拡大の支援をすることになる

http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/manipulation/

同 インシデント報告対応レポート より

WordPressが攻撃されるケース

� ������� ������

���攻撃者 攻撃者

管理者ページへの不正ログイン

プラグインを中心とした 脆弱性を悪用した不正侵入

もし改ざんされると…

自社サイトが改ざんされる ↓

自社サイトへアクセスしたユーザーが不正なサイトへ転送される ↓

誘導されたサイトでマルウェアに感染 ↓

さらなる被害へ

一般社団法人JPCERTコーディネートセンター インシデント報告対応レポート 2015年4月1日～2015年6月30日 https://www.jpcert.or.jp/pr/2015/IR_Report20150714.pdf

改ざん検知からサイト再開まで

1. ウェブサイトが改ざんされる 2. ウェブサイト停止（閲覧者への被害拡大停止のため）

3. 原因・影響度の調査 4. ウェブサイト復旧

（最悪のケース、OS・アプリの再構築） 5. ウェブサイト再開

サイト停止から復旧までが長いとビジネス的なインパクトが多い

DDoS攻撃に関する統計

☁ 2014年第4四半期との比較 • DDoS攻撃の総数が148.85%増加 • インフラストラクチャレイヤー(レ

イヤー3および4)に対する攻撃が168.82%増加

• 平均攻撃時間が49.03%減少：14.95時間対29.33時間

• 100Gbpsを超える攻撃数が44.44%減少：5件対9件

出典: Akamaihttps://www.akamai.com/us/en/about/news/press/2016-press/akamai-releases-fourth-quarter-2015-state-of-the-internet-security-report.jsp

いつ誰が標的になるかわからない

実際のサイバー攻撃事例

2015.11.13

https://ja.wikipedia.org/wiki/パリ同時多発テロ事件

パリとの時差 日本 -8時間

2015/11/12 23:26:29(JST)

この時は “パリからの攻撃なんだ”

”珍しいな”と

55,247特定のお客さまの環境での総検知数

Dynamic Protection 動的な対応

☁ 未知の攻撃のを含む可能性を考慮して、随時NACLに登録（運用負荷高い）

☁ IPコロコロ替わってイタチごっこ（40近く）

☁ ”195.154.0.0/16”と登録したかったが、数が微妙だった（最終的には登録した）

別の環境にて NACLでの遮断後も検知継続

受け身ではツライので DS → WAF 連携を思いついたが…

☁ 直前の送信元IPアドレスがCloudFrontなので、X-Forwarded-Forに記録されたIPをNACLに登録しても遮断ができない。

☁ 当時はAWS WAFが出たばかりで、テスト無しでの本番投入はハードルが高かった。

IP制御を速やかにCloudFrontまで持っていく

必要があった

System Integration システム連携

https://github.com/deep-security/aws-waf

Mark-san

GJ!!

静的情報 (IP List)を AWS WAFへ登録するもの だけど、使えるのでは？

よろしい ならば実装だ

http://files.trendmicro.com/jp/ucmodule/tmds/96/sp1/Deep_Security_9.6_SP1_Admin_Guide_JP.pdf

Deep Security検知ログを作成

不正アクセスIPの集計

Deep Security Managerへプッシュ

Deep Security MangerからAWS WAFへ連携

http://qiita.com/fnifni/items/8ae2b49d5fe6af3d08fe

1度設定しておしまいではない 新たな脅威、不要となった設定などを

最適化していく必要がある

Tuning Rules 運用・ルール最適化

チューニングのポイント

☁ 推奨設定の検索 ☁ 対応済みの脆弱性のルールは外す（検知ベー

ス） ☁ 検知傾向を知る（どんな通信を検知するか） ☁ サービスで使用している通信か否か

• URI, POST, XML, SQL, CSS, HTML, SSL…

システムは生き物 攻撃も生き物

チューニングは運用の一部

セキュリティ製品は

運用が命！

でも なんでDeep Securityでできることを

AWS WAFにやらせるの？

異常に気づいてから 復旧まで1週間

もともとはOCN経由で自社データセンター運用（推測）

↓ 攻撃負荷が高く調査も難航、一旦停止せざるを得ない状態

http://d.hatena.ne.jp/Kango/20160116/1452985392

CloudFront

WAF

WAFでサーバー負荷をオフロード

EC2Deep Security Manager

単なるDDoS攻撃ではびくともしないサイトへ

セキュリティ対策事例

ハイレベルなセキュリティ基準☁ AWSで国内初のPCI-DSS Level1環境の構築の実績

• PCI-DSSとは • PCI DSS (Payment Card Industry Data Security Standard) は国際カードブランド5

社(Visa、MasterCard、JCB、American Express、Discover) が共同で設立したPCI SSC(Payment Card Industry Security Standard Council)によって策定されたグローバルセキュリティ基準。

• プレスリリース（http://www.cloudpack.jp/press/20130308.html）

世界のクレジットカード会社が求める セキュリティ実装のスタンダード

Coiney

既存サイトをPCI DSS Level1に準拠させる為、 cloudpackはインフラ構築・セキュリティ面でのコンサルティングを担当

実践的セキュリティ対策

アプリケーション

データ

ランタイム

ミドルウェア

OS

仮想化

サーバー

ストレージ

ネットワーク

☁ ユーザー責任範囲 • 権限設定、ネットワーク設定

• ソフトウェアのアップデート

• セキュリティログの収集・管理

• データの暗号化

• ウイルス対策　etc…

☁ AWS責任範囲

改ざんから検知の流れ（初期アイディア）

Victim web

Real time log store

1.バックドアを操作

3.アラート送信

2.ファイル改ざん

4. 自動復旧シナリオ実行

攻撃者

改ざんから復旧までのメカニズム

Firewall

LOG

・・・・・・・・・・・・・・・・・・・・・・

ファイル改ざん

改ざん検知

ログに記録

自動リカバリー開始

削除命令

リカバリー命令

オリジナルファイルでリカバリー

Auto-Healingプログラム

Deep Security Agent

攻撃者

Webセキュリティを保護するセキュリティツール。 自動化を実行する為の、最初のトリガーを担当。

コンテンツ・アプリのソースコードなどの変更履歴を記録・追跡・保存するための分散型バージョン管理システム。 コンテンツのオリジナルデータ先として利用。git（ギット）

Deep Security Agent

バッドロボットからのリクエストを自動的に対処

• 人間ではアクセスしないリンクを仕込む

• API Gateway→Lambda→WAFという連携でブロック制御

http://blogs.aws.amazon.com/security/post/Tx1G747SE1R2ZWE/How-to-Reduce-Security-Threats-and-Operating-Costs-Using-AWS-WAF-and-Amazon-Clou

100+ (※)

クラウド 導入事例

※ 2015年11月時点

http://cloudpack.jp/casestudy

Deep Security User Group

勉強会なども 開催中

CloudFront / WAF ソリューション

業界最安値 CDN専用プラン

https://cloudpack.jp/lp/cdn/

AWSは直接契約するよりもcloudpackの方が安く利用できます

☁ 基本料金 1,500円/月 • Web ACL x1 + 最大5ルール

☁ 設定変更 1万円～ • 作業内容により応相談

☁ ルール追加その他応相談 • Deep Security連携など

【初公開】CDN専用プラン WAFオプション

AWS WAF

まとめ

• 複雑化・高度化するサイバー攻撃には、1)動的な対応、2)システム連携、3)運用・ルール最適化 が求められる

• ツール・サービスも高度な連携が可能な時代にDSとAWS WAFの連携でProactiveな対策を

• 最適なルールの適用が最大の防御＝ツール任せではなく人による運用が大切

まとめ