>100 Views
November 24, 15
スライド概要
2015.11.20に行われたTrend Micro DIRECTION 2015にて講演した資料です。シャープさまにも登壇頂きRoBoHoNウェブサイトでのセキュリティ対策の取り組み(Auto-Healing)を紹介しました。
2015.11.20 Trend Micro DIRECTION 2015 RoBoHoN登場! アクセスが集中するサイトの障害回避に シンプルな解決策をシャープ様と取り組んでみた cloudpack 後藤 和貴
☁ cloudpack事業 執行役員 • エバンジェリスト • 営業、PR、ウェブ… ☁ バックグラウンド 執行役員 / エバンジェリスト 後藤 和貴 @kaz_goto • Oracle カスタマーサポート→開発 • ウェブデザイン会社 • テクニカルディレクター(フリーランス)
アイレット株式会社 設立 2003年10月15日 資本金 7,000万円 代表者 齋藤 将平 従業員数 100名(2015年9月現在) 事業内容 システム開発・保守 マネジドホスティング
について
AWSを活用しながらビジネスに集中できる コンシェルジュサービス
cloudpackビジネス 設計支援 コンサル MSP 運用保守 システム 開発
24時間365日 監視運用保守 企業 定額課金/ 請求書払い PCI DSS、ISMS、Pマーク取得済みの運用体制 AWS
5 年間AWSのみで運用保守 4社 5年間 500 800 プロジェクト超 社超
ワンストップでシステム開発から運用保守まで
プレミアコンサルティングパートナー アジア地域5社 最上位パートナー 世界46社
企業規模別 cloudpack利用比率 36 % 中小企業 27 % 中堅企業 37 % 大企業
cloudpackの主な利用状況 Web系 91 % うち33%が ソーシャルゲームや メディアサイト
シャープ株式会社 CEカンパニー クラウドサービス推進センター 第二サービス開発部 部長 音川 英之 さま
シャープにおけるcloudpack様の価値 ☁ 各種商品向けのAWS上のサーバの24時間365日の 運用・監視 • システムの異常事象に対するタイムリーな通知 • 実際のサービス提供に影響が生じた問題に対する迅速な復旧 ☁ プレミアコンサルティングパートナーとしての AWSの超エキスパート • AWS/クラウドをフル活用するための各種提案、情報提供 本日の事例もcloudpack様からのご提案によりスタート!
robohon.com RoBoHoNの発表に合わせて開設したプロモーション用の新規Webサイト
RoBoHoN 身長 体重 基本能力 通信能力 約19.5cm 約390g 通話、メール、 カメラ、プロジェクタ、 音声認識、顔認識、 歩行、起き上がり LTE/3G/WiFi
商品に関わるWebサイトにおける課題 ☁ 何はさておき、安定稼働が重要! ☁ セキュリティの確保 • サイト改ざんは、単なるサイトのトラブルだけでな く、商品/ブランドに波及するリスクが存在 SNS等での拡散 改ざん発生! 意図と異なるブランドイメージの形成 プロモーションへの投資が有効に活用できない事態に!
Auto-Healingシステム導入の背景 ☁ 開設後、相当数のアクセスが予想されることから、様々な対 応を検討 • 安定稼働に最適なインフラを選択 インフラの選定においてもcloudpack様からアドバイスを頂きました ☁ トレンドマイクロ様およびcloudpack様からのAuto-Healing システムのご提案 • 弊社のAWS上のEC2に標準で利用しているDeep Securityの活用で、Web サイトの安定性向上が可能とのご紹介 • 実現のために必要な対応工数が非常に小さいことが魅力
最近のウエブ改ざんについて
一般社団法人JPCERTコーディネートセンター インシデント報告対応レポート 2015年4月1日~2015年6月30日 https://www.jpcert.or.jp/pr/2015/IR_Report20150714.pdf
ウェブサイト改ざんの傾向 改ざんされた Web サイトを確認したところ、埋め込ま れる不正なコードには、body タグの直後に cookie を送 信する JavaScript と、攻撃サイトに誘導する iframe が埋め込まれているという特徴がありました。また、誘 導先の攻撃サイトでは、マルウエアに感染させるため に、Internet Explorer や Adobe Flash Player の脆弱性 が使用されていました。 上記のような改ざんが行われた Web サイトでは、 WordPress を使用しているという共通点が見られまし た。WordPress のような CMS を使用している Web サ イトは、CMS やそのプラグインのバージョンが古い場 合、脆弱性をつかれて改ざんされてしまう恐れがありま す。Web サイトの管理者は、CMS を常に最新のバー ジョンに維持し、不要なプラグインを削除するなどの対 策を取ることが重要です。 同 インシデント報告対応レポート より http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/manipulation/ 自社サイトの改ざん被害のみならず、 不正なマルウエアを感染させることになり 被害拡大の支援をすることになる
WordPressが攻撃されるケース 管理者ページへの不正ログイン 攻撃者 攻撃者 プラグインを中心とした 脆弱性を悪用した不正侵入
もし改ざんされると…
自社サイトが改ざんされる ↓ 自社サイトへアクセスしたユーザーが不正なサイトへ転送される ↓ 誘導されたサイトでマルウェアに感染 ↓ さらなる被害へ
一般社団法人JPCERTコーディネートセンター インシデント報告対応レポート 2015年4月1日~2015年6月30日 https://www.jpcert.or.jp/pr/2015/IR_Report20150714.pdf
改ざん検知からサイト再開まで 1. ウェブサイトが改ざんされる 2. ウェブサイト停止(閲覧者への被害拡大停止のため) 3. 原因・影響度の調査 4. ウェブサイト復旧 (最悪のケース、OS・アプリの再構築) 5. ウェブサイト再開 サイト停止から復旧までが長いとビジネス的なインパクトが多い
迅速な対応をするには…
改ざんされても、 いち早く復旧するために 自動復旧する仕掛けを!
Auto-Healing (自動修復)
改ざんから検知の流れ(初期アイディア) 攻撃者 2.ファイル 改ざん 1.バックドアを操作 Victim web 3.アラート送信 4. 自動復旧シナリオ実行 Real time log store
改ざんから復旧までのメカニズム 攻撃者 ファイル改ざん Firewall Deep Security Agent ・・・・・・・・・・・・・・・・・・・・・・ 改ざん検知 ログに記録 削除命令 LOG 自動リカバリー開始 リカバリー命令 Auto-Healingプログラム オリジナル ファイルで リカバリー
Webセキュリティを保護するセキュリティツール。 自動化を実行する為の、最初のトリガーを担当。 Deep Security Agent git(ギット) コンテンツ・アプリのソースコードなどの変更履歴 を記録・追跡・保存するための分散型バージョン管 理システム。 コンテンツのオリジナルデータ先として利用。
Trend Micro Deep Security ☁ 総合サーバーセキュリティ対策 ソフトウェア • ウイルス対策(Webレピュテーション機能 付) • Webアプリケーション保護 • 侵入検知・防止(ホスト型IDS/IPS) • ファイアウォール • ファイルやレジストリなどの変更監視 • セキュリティログ監視
セキュリティ対策事例
ハイレベルなセキュリティ基準 ☁ AWSで国内初のPCI-DSS Level1環境の構築の実績 • PCI-DSSとは • PCI DSS (Payment Card Industry Data Security Standard) は国際カードブランド5 社(Visa、MasterCard、JCB、American Express、Discover) が共同で設立したPCI SSC(Payment Card Industry Security Standard Council)によって策定されたグロー バルセキュリティ基準。 • 世界のクレジットカード会社が求める プレスリリース(http://www.cloudpack.jp/press/20130308.html) セキュリティ実装のスタンダード
Coiney 既存サイトをPCI DSS Level1に準拠させる為、 cloudpackはインフラ構築・セキュリティ面でのコンサルティングを担当
実践的セキュリティ対策 アプリケーション ☁ ユーザー責任範囲 データ • 権限設定、ネットワーク設定 ランタイム • ソフトウェアのアップデート ミドルウェア OS 仮想化 サーバー ストレージ ネットワーク • セキュリティログの収集・管理 • データの暗号化 • ウイルス対策 etc… ☁ AWS責任範囲
CUSTOMER SUCCESS STORY CUSTOMER SUCCESS STORY 導入事例 導入事例 セキュアなクラウドインフラが カード決済のイノベータを 強力にバックアップ 【カード決済の変革で起業インフラに求めたのはセキュアな俊敏性】 コイニー株式会社 代表取締役社長 東京都、日本 佐俣 奈緒子 氏 選択しました。 選択は正解で、 トラブルの報告 はゼロです。 」 いことのほうが多い。私はそれを変えたかった」 ̶̶コイニー起業の経緯をこう語るのは、同社 の創業社長、佐俣 奈緒子氏だ。 この変革に向けた、コイニーの考え方はシンプルだ。今日の生活者にとって最も身近で、使い ● ● カード決済サービスの早期立ち上げ PCI DSS 認定の早期取得 TM Trend Micro Deep Security 導入効果 3 ヶ月での PCI DSS 認定の取得 (システムへの Deep Security の実装は約 1 ヶ月で完了) ● クラウド (Amazon Web Services)イ ン フラのセキュリティ強化 ● セキュリティ投資対効果の最適化 ● 利用環境 ● 「すべてをかんたんに」を基本理念とし、ス マートフォンやタブレット端末と専用のカード トカード決済の端末として用いることで、これ 行) サービスを提供する。20 1 2 年 3 月設立。 URL: http://coiney.com/ アマゾン ウェブ サービス (AWS) 準拠認定の取得という必須要件をクリアーするのに最適なクラウドだったということだ。 準拠認定の取得という必須要件をクリアーするのに最適なクラウドだったということだ。 (侵入 ) 」 を採用し、 セキュリティのさらなる強化に乗り出した。 強化部分は、 Deep Security)」を採用し、セキュリティのさらなる強化に乗り出した。強化部分は、 DeepIDS Security IDS(侵入 探知システム)やファイアーウォールの設置、それによるログの収集・記録など。要するに、 探知システム) PCIやファイアーウォールの設置、それによるログの収集・記録など。要するに、PCI Deep AWS ではカバーすることができない部分を、Deep DSS のセキュリティ要件を満たすうえで、AWS ではカバーすることができない部分を、 DSS のセキュリティ要件を満たすうえで、 Security で穴埋めしていったのだ。 Security で穴埋めしていったのだ。 「当初は、 オープンソースのセキュリティ・ツールも候補として挙がりましたが、 私たちにとって 「当初は、 オープンソースのセキュリティ・ツールも候補として挙がりましたが、 私たちにとって は、 スピードと確実性が最重要。 ですから、 実績が高く、 検証の手間がかからず、 しかも、 さまざまな は、 スピードと確実性が最重要。 ですから、 実績が高く、 検証の手間がかからず、 しかも、 さまざまな (佐俣氏) 。 (佐俣氏) 。 機能やツールがワン・パッケージで提供されている Deep Security を選んだのです」 機能やツールがワン・パッケージで提供されている Deep Security を選んだのです」 小規模/個人営業の小売店や飲食業、美容業 などの「キャッシュレス化」を推 進 する̶̶ 導入製品・ソリューション ● 導入先プロフィール リーダーを使った、 クレジットカード決済(代 まで「カード払い」に対応できていなかった、 は、PCI DSS そのプラットフォームが PCI DSS に対応したからにほかならない。つまり、AWS そのプラットフォームが PCI DSS に対応したからにほかならない。つまり、AWS は、PCI DSS TM (以 下、 満たせ な い。そこで、佐 俣 氏はトレンドマイクロの「Trend Micro Deep Security 満たせ な い。そこで、 佐 俣 氏はトレンドマイクロの「Trend Micro Deep SecurityTM(以 下、 慣れた情報ツール「スマートフォン」をクレジッ Ki\e[D`Zif;\\gJ\Zli`kpKDが適用された コイニー・サービスのインフラ概念図 クラウドのインフラを用いながら、PCI DSS のセキュリティ要件を満たす̶̶ その課題解決に クラウドのインフラを用いながら、PCI DSS のセキュリティ要件を満たす̶̶ その課題解決に 」だ。採用の決め手は、 」だ。採用の決め手は、 向け、コイニーが採用したのが「アマソン ウェブ サービス( 以下、AWS) 向け、コイニーが採用したのが「アマソン ウェブ サービス( 以下、AWS) の要件は とはいえ、AWS のセキュリティ機能だけでは、およそ「360 項目」にも及ぶ PCI DSS とはいえ、 AWS のセキュリティ機能だけでは、およそ「360 項目」にも及ぶ PCI DSS の要件は でも、クレジットカードが使えるのは大規模チェーンや百貨店がほとんどで、個人商店では使えな お客様の課題 以外の選択肢は考えられませんでした」と、同氏は振り返る。 【G:@;JJ対応で8NJを選択;\\gJ\Zli`kpでセキュリティ要件を満たす】 「カード文化が定着している欧米とは異なり、日本では現金払いがまだまだ主流。小売りのレジ 地域 以外の選択肢は考えられませんでした」と、同氏は振り返る。 フラを使いながら、 この要件をいかにすみやかに満たしていくかが、 最大の懸案となったのである。 フラを使いながら、 この要件をいかにすみやかに満たしていくかが、 最大の懸案となったのである。 「確実性とスピード重視で、 Deep Securityを 20 1 2 年 3 月 スタートアップ企業にとってクラウドの活用が最善策。それ 選定が進められた。その中で、特に重視されたのが、 データセキュリティ標準規格「選定が進められた。 PCI DSS」への その中で、特に重視されたのが、データセキュリティ標準規格「PCI DSS」への 」と「Ki\e[D`Zif;\\gJ\Zli`kpKD」 「アマゾンウェブサ ービス(8NJ) で、セキュアな決済サービス・インフラを約 1 カ月で実装。 決済ビジネス始動の必須要件、 「G:@;JJ」準拠認定を早期に取得。 設立 とっても魅力だった。 「私たちのような、お金も時間もない スタートアップ企業にとってクラウドの活用が最善策。それ 対応だ。 同規格準拠の認定を得ることは、 カード決済サービスを始める際の必須要件。 対応だ。 クラウ 同規格準拠の認定を得ることは、 ドイン カード決済サービスを始める際の必須要件。 クラウドイン 8]k\i 決済サービス とっても魅力だった。 「私たちのような、お金も時間もない う前例はなかった。 ゆえに、 クレジットカード会社との交渉を重ねながら、手探りでプラッ う前例はなかった。 トフォーム ゆえに、 クレジットカード会社との交渉を重ねながら、手探りでプラットフォーム コイニー起業に際し、カード決済のセキュリティ要件を満たす サービス&IT システムの早期立ち上げが不可避だった。 業種 こうしたクラウドの特徴は、コイニーを起業した佐俣氏に ただし、 当時の日本では、 クラウド (パブリッククラウド) 上でカード決済サービスの開発 ただし、 ・運用を行 当時の日本では、 クラウド (パブリッククラウド) 上でカード決済サービスの開発・運用を行 9\]fi\ >> コイニー株式会社 こうしたクラウドの特徴は、コイニーを起業した佐俣氏に 【セキュアなサービスを1カ月で実装G:@;JJ準拠認定を3カ月で取得】 それが、同社の基本戦略と言える。 コイニーの選択は奏功した。AWS の導入設計から運用・保守までをトータル・サポートする コイニーの選択は奏功した。AWS の導入設計から運用・保守までをトータル・サポートする 従来、 「カード払い」 に店舗が対応しようとし た場合、 カード会社や銀行による与信審査に長 cloudpack のサポートの下、同社では Deep Security を含めた本番環境でのサービス実装を cloudpack のサポートの下、同社では Deep Security を含めた本番環境でのサービス実装を い時間がかかったり、 専用端末/専用線の導入 約 1 カ月間で完了させたのである。 約 1 カ月間で完了させたのである。 /運用のコストがかさんだりと、 さまざまな これにより、コイニーの技術チームは、PCI DSS 準拠認定の取得というコンプライアンス業務 これにより、コイニーの技術チームは、PCI DSS 準拠認定の取得というコンプライアンス業務 ハードルがあった。 対するコイニーのサービス 「 1 年強は必要な大仕事」 (佐俣氏) という 「 1 年強は必要な大仕事」 (佐俣氏)という を約 3 カ月という短期間でやり遂げた。通常であれば、 を約 3 カ月という短期間でやり遂げた。通常であれば、 では、 必須の機材はスマートフォンと、 無償提供 から、このスピードは驚異的だ。また、サービスの立ち上げから今日に至るまで、 から、 「セキュリティ このスピードは驚異的だ。また、サービスの立ち上げから今日に至るまで、 「セキュリティ される小型カードリーダー「Coiney リーダー」 管理・運用に関するトラブル報告はゼロ」と佐俣氏は付け加え、Deep Security の信頼性・運用 管理・運用に関するトラブル報告はゼロ」と佐俣氏は付け加え、Deep Security の信頼性・運用 の 2 つ。あとは、サービ スに加 入してユーザ 性の高さを評価する。 性の高さを評価する。 近年、クラウド・インフラの進化・発展とともに、 「クラウドにシステムを預けてしまえば、 近年、クラウド・インフラの進化・発展とともに、 情報 「クラウドにシステムを預けてしまえば、情報 アカウントを取得し、専用のアプリをインス セキュリティも盤石」といった少し乱暴な考え方も散見されている。 トールすれば、スマートフォンによるカード決済 セキュリティも盤石」といった少し乱暴な考え方も散見されている。 が始められる。しかも、カード決済額に応じて だが、たとえクラウドを用いたとしても、利用者の自己責任の下でそれぞれの要件に合致した だが、たとえクラウドを用いたとしても、利用者の自己責任の下でそれぞれの要件に合致した 利用者に課される手数料の料率も 3.24%と リティ セキュリティ機能を追加していくのが基本となる。そう考えれば、クラウドへの IT 移行でセキュ セキュリティ機能を追加していくのが基本となる。 そう考えれば、クラウドへの IT 移行でセキュリティ 。そんな手軽さから、 割安(相場は 5%〜6%) 施策が不要になるのではなく、 「自社のビジネスにとって、どの部分のセキュリティを重点的に 施策が不要になるのではなく、 「自社のビジネスにとって、どの部分のセキュリティを重点的に コイニーのサービス利用者は急カーブを描い 強化すべきかがより鮮明になり、セキュリティ施策やツールの投資対効果が見定めやすくなる」 強化すべきかがより鮮明になり、 と セキュリティ施策やツールの投資対効果が見定めやすくなる」と て増え続け、ビジネスは軌道に乗っている。 見なすべきだろう。そして、Deep Security は、クラウド環境におけるセキュリティ上の重点課題 見なすべきだろう。そして、Deep Security は、クラウド環境におけるセキュリティ上の重点課題 を効率的に解決する、 極めて投資対効果の高いソリューションと言える。 コイニーの事例は、 を効率的に解決する、 それ 極めて投資対効果の高いソリューションと言える。 コイニーの事例は、 それ そんなコイニーが創設された当時(20 12 年 を端的に物語っている。 3 月当時)、すでにスタートアップ企業の間で を端的に物語っている。 が当然の流れと は、 「 IT インフラはクラウドで」 なっていた。理由は、サービス成長に柔軟に 対応できる拡張性や俊敏性、 そして、 サービス 立ち上げ時の投資の少なさだ。 トレンドマイクロ株式会社の登録商標です。 アマゾン ウェブ サービス、 TREND MICRO、Trend Micro Deep Security、およびDeep Securityは、 Amazon Web Services、 Amazon S3、Amazon EC2、Amazon RDS およびAmazon Web Services ロゴは、Amazon.com, Inc.またはその関連会社の商標です。本ドキュメントに記載されている各社 の社名、 製品名およびサービス名は、各社の商標または登録商標です。記載内容は2014年5月現在のものです。内容は予告なく変更になる場合がございます。 Copyright © 2014 Trend Micro Incorporated. All rights reserved. [Item No. BR-CASE-032] 東 京 本 社 名古屋営業所 大阪営業所 福岡営業所 Page 1 of 2 • Customer Success Story コイニー株式会社 〒1 5 1 -0053 〒460-0002 〒532-0003 〒8 1 2 -00 1 1 東京都渋谷区代々木 2-1-1 新宿マインズタワー TEL.03-5334-3601 (法人お問い合わせ窓口) FAX.03-5334-3639 愛知県名古屋市中区丸の内 3-22-24 名古屋桜通ビル7階 TEL.052-955-1221 FAX.052-963-6332 大阪市淀川区宮原 3-4-30 ニッセイ新大阪ビル 13 階 TEL.06-6350-0330(代表) FAX.06-6350-0591 福岡県福岡市博多区博多駅前 2-3-7 サンエフビル7 階 TEL.092-471-0562 FAX.092-471-0563 Page 2 of 2 • Customer Success Story コイニー株式会社 http://www.trendmicro.co.jp/cloud-content/jp/pdfs/business/case-study/coiney/pdf-casestudy-coiney-20140613.pdf
クラウド 導入事例 100+ (※) http://cloudpack.jp/casestudy/ ※ 2015年11月時点
セキュリティについての 取り組み
securitypack ☁ Deep Security導入から 運用保守までをサポート ☁ 24時間365日、 システム監視と運用・保守 ☁ 脆弱性情報の提供 ルール設定代行 ログ分析など
安全なネットワーク ☁ AWS Direct Connect ☁ 専用接続プラン with 光
安全なデータアップロード ☁ ダイレクトインポート • 完全プライベート回線経 由でAWSへ • 機密レベルの高いデータ のやりとり • マイグレーション時のダ ウンタイム最小化
認証・セキュリティの取り組み PCI DSS監査証明マーク ICMS-PCI0162/PCI DSS +セキュリティルーム ICMS-PCI0162/PCI DSS ※写真はイメージです PCI DS PC ICMS PC ICMS
SOC2レポート受領 • 米国公認会計士協会(AICPA)が定 める、財務報告目的以外の受託サー ビスに関する内部統制の保証報告書 • 監査法人や公認会計士が独立した第 三者の立場から、客観的に検証した 結果を記載したもの • AWS上でのSOC2受領は日本初!
セキュリティ ホワイトペーパー • 国際・国内セキュリティ基準への取 り組み • ソフトウェア脆弱性情報に関する取 り組み • 業務ネットワークのセキュリティ • 運用上のセキュリティ保持体制
まとめ
まとめ • 最近のセキュリティ被害ではサイト改ざんの伸びが目立つ • サイト改ざんから、さらなる被害を拡散しないため、 Proactiveな実装としてのAuto-Healing • 日々進化する攻撃への対策は怠らないこと 改ざんに限らず多層的な防御が必要 ぜひDeep Security / securitypackの検討を!