1から学ぶクラウドのセキュリティ勉強会
- 日時: 2014/08/23 13:00〜18:00
- 場所: fabbit (北九州市小倉)
- 参加者: 20名程度
所感
JAWS-UGの勉強会への初めての参加であり、どんな情報が得られるのか全くわからず参加しましたが、行ってみてよかったと思います。 サーバー証明書には3種類あるんですとか、MicrosoftのSHA1排除ポリシーとか、AWSの共有責任モデルという考え方とか、このWebシステム業界としては(特にインフラエンジニアとしては)知っていないといけないことを、今まで知らなかったことに気付かされました。
今回のはちょうど私の関心事に合致したテーマではありましたが、今後も同様の勉強会があれば参加したいと思います。
高まる「認証」の必要性~SSLサーバー証明書の基礎、最近の話題~
講師: サイバートラスト 坂本氏
サーバー証明書の用途:
- 昔は暗号化
- 最近はサイト証明
なぜ? → フィッシング詐欺などが多発
- 2013年上期: 4,500件
- 2013年下期: x,xxx件
- 2014年上期: 18,000件
コンシューマーが危惧すること
- 1位: フィッシング詐欺
- フィッシャーの技術が上がっており、一見しては真偽を見極められない。
- 昔はウチのサイトを真似ることはできないから大丈夫.. という意見もあった。
- 玄人ならカギマークをクリックして証明書を確認するかもしれんけど、エンドユーザーは..?
- フィッシャーの技術が上がっており、一見しては真偽を見極められない。
求められるのはEVサーバー証明書
- EVだけがわかりやすく「安全」をアピール
- EVは規格の名称
- DV: 安い。フィッシャーも簡単に取得できてしまう。
- 「『緑』でなければ警戒して」という活用例は既にはじまっている。
- 各ブラウザがURL入力欄を緑色で表示するように対応し始めている。
証明書3種類
- DV: Domain Validation
- 暗号化: OK, 企業認証: NG
- OV: Organization Validarion
- 暗号化: OK, 企業認証: OK
- 最初に出始めたサーバー証明書はこれ。
- EV: Extended Validation
- 暗号化: OK, 企業認証: OK(厳格な証明)
サイバートラストのメリット
- モバイルの対応が強い
- 発行スピードが速い
- メール、電話、チャット、リモートデスクトップでのサポート完備
- OVなら30分で発行。他社なら3時間とか1日。
- EVなら1日
Microsoft SHA1 Deprecation Policy
- https://www.cybertrust.ne.jp/ssl/sureserver/sha1ms.html
- 「売るな」「使うな」に関する規制
- MS製品上のみで実行される規制
- SSLとコード署名証明書に対してのみ適用
- 2010年問題
- 業界ルールとして1024bitの暗号化はNGに。
- 同じことがハッシュアルゴリズムにもこれから発生する。
- Microsoftの指針
- サイバートラストでは
- SHA1からSHA2へのアップグレードは無償
- 2017/1/1以降も有効な証明書も提供可能。
- 他社ではできないといわれることも。
- MSと関係ないサービスを提供している顧客のために。
- 予算組んでないよという顧客のために。
- ガラケーの多くがSHA-2証明書に非対応
利用者責任範囲におけるセキュリティ実装の方法について~ユースケースから考えてみる~
講師: トレンドマイクロ 南原氏
- 創業者は外国人だけど、日本で起業した国内のベンダー
クラウドのセキュリティ
- 情報漏洩などのセキュリティが心配...
- AWSのセキュリティの考え方 - 共有責任モデル
どうやって利用者責任範囲を守るか
- piyolog
- セキュリティインシデントを毎日まとめてくれているサイト
- http://d.hatena.ne.jp/Kango/archive
- 攻撃タイプ
- 正面から突破系(外部公開Webへのアタック)
- 中から攻め上がってくるタイプ(メールなどでクライアント感染。そこから...)
必要な対策は
- 防ぐというよりは、いかに早く気づくか
- 総合対策を。
トレンドマイクロの商品
- Trend Micro Deep Security
- http://www.trendmicro.co.jp/jp/business/products/tmds/
- インスタンスごとに対応が可能な「ホスト型」
- httpリクエストを監視
- ...
- 5%程度のスループット低下
- クックパッドさんで、500msecのリクエスト応答要求にも、調整次第で対応できた
- エージェント型のシステム要件は512MB以上。
- エージェント型の使用メモリはだいたい200MB。リクエスト数などには変動せずだいたい200MB前後で推移。
- AutoScaling対応。契約台数の2倍までは利用OKなライセンス/料金体系。
- 年間契約タイプ
クラウド環境で利用されるWebアプリケーションファイアウォール
講師: セキュアスカイ・テクノロジー 前平氏
なにを守るか?
- 個人情報。重要情報
- サイトの信頼性
- ユーザーが攻撃者になるかも
- サーバーが攻撃に利用されるかも
- → 情報も持っていなくても、リスクがある。
攻防
- [攻撃者] アカウントリストを元にIDアタック開始
- [管理者] 同一IPからの認証NGが多いため、そのIPを遮断
- [攻撃者] IP遮断されたことを関知して、プロキシを変えて攻撃続行
- [管理者] 認証NGが閾値(30件)を超えたら遮断
- [攻撃者] 閾値を超えないように調整(29件まで)して攻撃を続行
AWSが取得している第三社認証について
講師: サーバーワークス 小室氏
- HIPAA
- USの医療関係情報を扱ってもいいよという規定
- SOC 1/SSAE 16/ISAE 3402
- 委託会社の財務諸表に関するリスクに対して財務諸表監査
- SOC 2
- (委託会社の)可用性、気密性、セキュリティ、プライバシー、完全性をリスクとし、コンプライアンスまたはオペレーションに関する内部統制の報告
- SOC 3
- SOC2をより簡単に一般化・要約したもの
- PCI DSS レベル1
- クレジットカード情報を保管、処理、送信を行える認証
- レベル1: 30万件以上/年
- レベル2: 30万件未満/年
- クレジットカード情報を保管、処理、送信を行える認証
- ISO 270001
- 情報セキュリティに関する標準規格
- 情報の気密性、完全性、可用性の3つを管理、運用する
- FedRAMP (SM)
- 日本にはあんまり関係ない
- US政府がクラウドを使ってもOKと太鼓判おしたもの
- DIACAPおよびFISMA
- 連邦政府が外部委託先に対して決めた、セキュリティ規定
- ITAR
- 日本にはあんまり関係ない
- 武器国際取引に関する規則
- 武器や暗号化方式、飛行機の設計図などを輸出入してもOK
- FIPS 140-2
- 暗号化をどうやって保つか、セキュリティ要件の私用を規定するUSれんぽう標準規定
- CSA
- Cloud Security Alliance
- クラウドプロバイダ内でのセキュリティ業務の透明性を推進し、セキュリティ管理作業を文書化する
- MAPP
- US映画協会
- メティアやコンテンツを安全に保存、処理、配信するための一連のベストプラクティスに準拠しているよ。というもの
AWSに組み込まれてるセキュリティ機能の紹介
講師: ハウインターナショナル 安土氏
セキュリティグループ
- 論理的に分離した仮想ネットワークを構築
- よくある構成
IAM
- AWSサービスにアクセス可能なここのユーザーを作成
- ユーザー個別にセキュリティ認証情報(パスワード、アクセスキー、MFA)を設定
- 各AWSサービスへの権限設定
- ユーザーの集合に対して権限設定できるグループ
- IAM Role for EC2 Instance
- MFAデバイス
- ワンタイムパスワード生成デバイス
S3ストレージの暗号化
Trusted Advisor
- 最近無料化された!
- 特定のポートに対して無制限アクセスを許可していないか?
- ルートアカウントでMFAが無効でないか?
- EC2のEBSが80%を超えていないか?
- ...