• 日時: 2014/08/23 13:00〜18:00
• 場所: fabbit (北九州市小倉)
• 参加者: 20名程度

所感

JAWS-UGの勉強会への初めての参加であり、どんな情報が得られるのか全くわからず参加しましたが、行ってみてよかったと思います。 サーバー証明書には3種類あるんですとか、MicrosoftのSHA1排除ポリシーとか、AWSの共有責任モデルという考え方とか、このWebシステム業界としては(特にインフラエンジニアとしては)知っていないといけないことを、今まで知らなかったことに気付かされました。

今回のはちょうど私の関心事に合致したテーマではありましたが、今後も同様の勉強会があれば参加したいと思います。

高まる「認証」の必要性～SSLサーバー証明書の基礎、最近の話題～

講師: サイバートラスト 坂本氏

サーバー証明書の用途:

• 昔は暗号化
• 最近はサイト証明

なぜ? → フィッシング詐欺などが多発

• 2013年上期: 4,500件
• 2013年下期: x,xxx件
• 2014年上期: 18,000件

コンシューマーが危惧すること

• 1位: フィッシング詐欺
  • フィッシャーの技術が上がっており、一見しては真偽を見極められない。
    • 昔はウチのサイトを真似ることはできないから大丈夫.. という意見もあった。
  • 玄人ならカギマークをクリックして証明書を確認するかもしれんけど、エンドユーザーは..?

求められるのはEVサーバー証明書

• EVだけがわかりやすく「安全」をアピール
  • EVは規格の名称
  • DV: 安い。フィッシャーも簡単に取得できてしまう。
• 「『緑』でなければ警戒して」という活用例は既にはじまっている。
  • 各ブラウザがURL入力欄を緑色で表示するように対応し始めている。

証明書3種類

• DV: Domain Validation
  • 暗号化: OK, 企業認証: NG
• OV: Organization Validarion
  • 暗号化: OK, 企業認証: OK
  • 最初に出始めたサーバー証明書はこれ。
• EV: Extended Validation
  • 暗号化: OK, 企業認証: OK(厳格な証明)

サイバートラストのメリット

• モバイルの対応が強い
• 発行スピードが速い
  • メール、電話、チャット、リモートデスクトップでのサポート完備
  • OVなら30分で発行。他社なら3時間とか1日。
  • EVなら1日

Microsoft SHA1 Deprecation Policy

• https://www.cybertrust.ne.jp/ssl/sureserver/sha1ms.html
• 「売るな」「使うな」に関する規制
• MS製品上のみで実行される規制
• SSLとコード署名証明書に対してのみ適用
• 2010年問題
  • 業界ルールとして1024bitの暗号化はNGに。
  • 同じことがハッシュアルゴリズムにもこれから発生する。
• Microsoftの指針
  • SHA-1証明書の発行: 2016/1/1に発行停止。以降発行禁止
  • SHA-1証明書によるWindowsのSSL通信: 2017/1/1にSSL通信拒否。以降SSL通信不可。
    • MSがパッチを配布。パッチ適用後は通信不可。
• サイバートラストでは
  • SHA1からSHA2へのアップグレードは無償
  • 2017/1/1以降も有効な証明書も提供可能。
    • 他社ではできないといわれることも。
    • MSと関係ないサービスを提供している顧客のために。
    • 予算組んでないよという顧客のために。
• ガラケーの多くがSHA-2証明書に非対応
  • docomo 2009年冬春モデルより順次対応
  • au 2008年発売機種より順次対応
  • Softbank 2012年発売機種より順次対応
  • ガラケー用Gateを廃止するきっかけになるかも!!

利用者責任範囲におけるセキュリティ実装の方法について～ユースケースから考えてみる～

講師: トレンドマイクロ 南原氏

トレンドマイクロ社

• 創業者は外国人だけど、日本で起業した国内のベンダー

クラウドのセキュリティ

• 情報漏洩などのセキュリティが心配...
  • オンプレミスのセキュリティって?
    • ネットワーク、ストレージ、サーバー、仮想化、OS、ミドルウェア、ランタイム、データ、アプリ ←全部ユーザー管理
  • クラウドサービス IaaS
    • ネットワーク、ストレージ、サーバー、仮想化 ←クラウドベンダーが管理
  • クラウドサービス SaaS
    • ネットワーク、ストレージ、サーバー、仮想化、OS、ミドルウェア、ランタイム ←クラウドベンダーが管理
• AWSのセキュリティの考え方 - 共有責任モデル
  • ネットワーク、ストレージ、サーバー、仮想化
    • 第三者機関による審査レポートがAWSからでている
  • OS、ミドルウェア、ランタイム、データ、アプリ
    • AWSツール
      • Amazon VPC → プライベートクラウド
      • Security Group → セグメンテーションとファイアウォール
      • AWS IAM → AWSリソースへのアクセス管理
    • ユーザー
      • ソフトウェアのアップデート
      • ...

どうやって利用者責任範囲を守るか

• piyolog
  • セキュリティインシデントを毎日まとめてくれているサイト
  • http://d.hatena.ne.jp/Kango/archive
• 攻撃タイプ
  • 正面から突破系(外部公開Webへのアタック)
    • 脆弱性の悪用
      • Web系ミドルウェア、アプリ(php, rubyなど)を狙った攻撃。 WordpressやMovableTypeなどの利用者が多いCMSも多い。
    • 不正な権限の取得
    • 基本的に改ざんされても気づけない。
      • iframeでwidth=0 height=0にして気づけないようにしてウィルスを入れるとか。
    • アカウントリスト攻撃が増えている
      • どっかから漏れたアカウントとパスワードを入手して、別のサイトにトライする
        • ヒット率: 0.3%
        • iTunes Cardが一番換金率がいいので、大抵それを購入される。
  • 中から攻め上がってくるタイプ(メールなどでクライアント感染。そこから...)
    • なりすまし&脆弱性の悪用
      • 脆弱性はOffice, Adobe系がおおい
    • 不正な権限の取得
    • Code Spaces
      • いついつまでにこれをしろ。やらないと全部削除してやる。という脅迫を受けた。
      • ほかっといたら本当に消された。
      • 実はAWSのマネージメントコンソールのアカウントが抜かれていた。。。

必要な対策は

• 防ぐというよりは、いかに早く気づくか
• 総合対策を。
  • 従来型は予防的な対策が中心
  • 今後は発見的な対策も強化
    • 不正侵入、改ざんの検知。大量認証試行の検知など
  • 予防と発見で多層的な防御の仕組みを構築しよう。
    • Firewall
    • WAF IPS/IDS
    • ウィルス対策
    • セキュリティログ監視
    • 変更監視
  • ウィルスを出す方も、Mcafeeやトレンドマイクロなどのセキュリティソフトで見つからないことを確認してから出してきている。

トレンドマイクロの商品

• Trend Micro Deep Security
  • http://www.trendmicro.co.jp/jp/business/products/tmds/
  • インスタンスごとに対応が可能な「ホスト型」
  • httpリクエストを監視
  • ...
  • 5%程度のスループット低下
  • クックパッドさんで、500msecのリクエスト応答要求にも、調整次第で対応できた
  • エージェント型のシステム要件は512MB以上。
  • エージェント型の使用メモリはだいたい200MB。リクエスト数などには変動せずだいたい200MB前後で推移。
  • AutoScaling対応。契約台数の2倍までは利用OKなライセンス/料金体系。
  • 年間契約タイプ

クラウド環境で利用されるWebアプリケーションファイアウォール

講師: セキュアスカイ・テクノロジー 前平氏

なにを守るか?

• 個人情報。重要情報
• サイトの信頼性
• ユーザーが攻撃者になるかも
• サーバーが攻撃に利用されるかも
  • → 情報も持っていなくても、リスクがある。

攻防

• [攻撃者] アカウントリストを元にIDアタック開始
• [管理者] 同一IPからの認証NGが多いため、そのIPを遮断
• [攻撃者] IP遮断されたことを関知して、プロキシを変えて攻撃続行
• [管理者] 認証NGが閾値(30件)を超えたら遮断
• [攻撃者] 閾値を超えないように調整(29件まで)して攻撃を続行

AWSが取得している第三社認証について

講師: サーバーワークス 小室氏

• HIPAA
  • USの医療関係情報を扱ってもいいよという規定
• SOC 1/SSAE 16/ISAE 3402
  • 委託会社の財務諸表に関するリスクに対して財務諸表監査
• SOC 2
  • (委託会社の)可用性、気密性、セキュリティ、プライバシー、完全性をリスクとし、コンプライアンスまたはオペレーションに関する内部統制の報告
• SOC 3
  • SOC2をより簡単に一般化・要約したもの
• PCI DSS レベル1
  • クレジットカード情報を保管、処理、送信を行える認証
    • レベル1: 30万件以上/年
    • レベル2: 30万件未満/年
• ISO 270001
  • 情報セキュリティに関する標準規格
  • 情報の気密性、完全性、可用性の3つを管理、運用する
• FedRAMP (SM)
  • 日本にはあんまり関係ない
  • US政府がクラウドを使ってもOKと太鼓判おしたもの
• DIACAPおよびFISMA
  • 連邦政府が外部委託先に対して決めた、セキュリティ規定
• ITAR
  • 日本にはあんまり関係ない
  • 武器国際取引に関する規則
  • 武器や暗号化方式、飛行機の設計図などを輸出入してもOK
• FIPS 140-2
  • 暗号化をどうやって保つか、セキュリティ要件の私用を規定するUSれんぽう標準規定
• CSA
  • Cloud Security Alliance
  • クラウドプロバイダ内でのセキュリティ業務の透明性を推進し、セキュリティ管理作業を文書化する
• MAPP
  • US映画協会
  • メティアやコンテンツを安全に保存、処理、配信するための一連のベストプラクティスに準拠しているよ。というもの

AWSに組み込まれてるセキュリティ機能の紹介

講師: ハウインターナショナル 安土氏

セキュリティグループ

• EC2インスタンス用の仮想ファイアウォール

VPC

• 論理的に分離した仮想ネットワークを構築
• よくある構成
  • Publicサブネット
    • 外部からのアクセスを許可するサブネット
  • Privateサブネット
    • 内部ホストやVPN接続された自社からのアクセスを許可するサブネット
    • 専用線接続
      • データセンターやオフィスとAWS間をインターネットを介さずに専用線でアクセス
    • ハードウェアVPN
      • オフィスのルーターとAWSの仮想GWをIPsecVPNで接続
    • ソフトウェアVPN

VPCネットワークACL

• サブネット内のトラフィックを制御するファイアウォール
  • セキュリティグループ
    • インスタンス単位で設定
    • 許可するルールのみ
  • ネットワークACL
    • サブネット単位で設定
    • 許可ルールと拒否ルールを設定可能

IAM

• AWSサービスにアクセス可能なここのユーザーを作成
• ユーザー個別にセキュリティ認証情報(パスワード、アクセスキー、MFA)を設定
• 各AWSサービスへの権限設定
• ユーザーの集合に対して権限設定できるグループ
• IAM Role for EC2 Instance
  • EC2起動時にインスタンスに適用するRoleを指定すれば、Roleの権限によってそのインスタンスから他のAWSサービスへアクセス可能に。
  • 定期的にキーが更新されるため、キーが漏れても被害が一時的になる。
• MFAデバイス
  • ワンタイムパスワード生成デバイス

S3ストレージの暗号化

• サーバーサイド暗号化
  • AWS側で生成したキーで暗号化
  • 自前で用意したキーを使用することもできる
• クライアントサイド暗号化
  • SDK(Java/Ruby)を使って暗号化してS3へ転送

Trusted Advisor

• 最近無料化された!
• 特定のポートに対して無制限アクセスを許可していないか?
• ルートアカウントでMFAが無効でないか?
• EC2のEBSが80%を超えていないか?
• ...