More Related Content
Similar to [data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGuard」の効果と利用事例 by 株式会社ジェイピー・セキュア 矢次弘志 (20)
More from Insight Technology, Inc. (20)
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGuard」の効果と利用事例 by 株式会社ジェイピー・セキュア 矢次弘志
- 1. Copyright © JP-Secure Inc. All rights reserved.
ホームページ改ざんや情報流出からWEBを守る︕
2015年9月11日
株式会社ジェイピー・セキュア
矢次弘志
data security showcase
〜WAF「SiteGuard」の効果と利⽤事例
- 2. Copyright © JP-Secure Inc. All rights reserved.
会社概要
会社名 株式会社ジェイピー・セキュア
設⽴ 2008年7月(5月決算)
資本⾦ 1100万円
代表者 代表取締役 菅原修
所在地 神奈川県川崎市幸区堀川町66-2 興和川崎⻄⼝ビル2階
取引銀⾏ 三井住友銀⾏ 横浜銀⾏ 川崎信⽤⾦庫
業務内容 セキュリティ製品の開発、販売、サポート
事業分野
WAF製品「SiteGuardシリーズ」ベンダ事業
WordPressプラグイン「SiteGuard WP Plugin」作者
2
- 3. Copyright © JP-Secure Inc. All rights reserved.
本日のテーマ
1. ウェブサイトのセキュリティ動向
2. WAF動向
3. 国産ソフトウェアWAF「SiteGuard」
3
- 4. Copyright © JP-Secure Inc. All rights reserved.
1. ウェブサイトのセキュリティ動向
2. WAF動向
3. 国産ソフトウェアWAF「SiteGuard」
4
- 5. Copyright © JP-Secure Inc. All rights reserved.
ウェブサイトの脅威
「xx件の個⼈情報が流出した」
ウェブサイトのセキュリティ対策は急務
情報流出
「ページがxxな画像に書き換えられた」
コンテンツ改ざん
「利⽤者がマルウェアに感染した」
踏み台への悪用
サイト停止
信用失墜
機会損失
ブラックリスト化
損害賠償
風評被害
5
- 6. Copyright © JP-Secure Inc. All rights reserved.
不正アクセスの経路
不正アクセスに悪⽤される経路は、主に2つ
■管理者、ユーザのログイン経路
FTP/SSHによるログイン、CMS等の管理ページへの不正ログイン
■ウェブアプリケーションやミドルウェアの脆弱性
脆弱性が放置されているサイト、対策漏れのサイトへの攻撃
6
- 7. Copyright © JP-Secure Inc. All rights reserved.
ウェブサイトを標的とした攻撃のトピックス
■SQLインジェクション、クロスサイトスクリプティング
ウェブサイトの事故原因として今なお割合高い。
■Apache Strutsの脆弱性
対策ができず、サイト停止に陥る事態も多数発生。
■bashの脆弱性(通称︓ShellShock)
被害が多数発生し、現在も攻撃通信が確認されている。
■HTTP.sysの脆弱性
OSを強制停止させる実証コードが公開され、多くの関係機関が注意喚起。
7
- 8. Copyright © JP-Secure Inc. All rights reserved.
脆弱性による損害は誰の責任︖
• SQLインジェクションが原因で、オンラインショップから個⼈情報が⼤量に流出し
た事故で、ショップ側が開発会社を相手取り、損害賠償請求。
• 経産省やIPAが個⼈情報漏洩対策に注意喚起をし、「バインド機構の使⽤⼜はエス
ケープ処理」を推奨していた。開発会社がこれらの対策を怠ったとして、債務不履
⾏責任を認めた。
■SQLインジェクションの対策漏れの責任を開発会社に問う判決
8
- 9. Copyright © JP-Secure Inc. All rights reserved.
難しい脆弱性「ゼロ」
■ウェブサイトの修正に要した日数
※出典︓IPA
3割強が脆弱性の修正に90日以上を要する
9
- 11. Copyright © JP-Secure Inc. All rights reserved.
1. ウェブサイトのセキュリティ動向
2. WAF動向
3. 国産ソフトウェアWAF「SiteGuard」
11
- 12. Copyright © JP-Secure Inc. All rights reserved.
WAF(Web Application Firewall)の役割
WAF WEB
情報漏えい
踏み台
改ざん
IPS
WEBアプリ
WEBサーバー
OS
ネットワーク
WEBアプリケーションの脆弱性を悪用した攻撃から
WEBを保護するソリューション
ShellShock(bashの脆弱性)
Apache Strutsの脆弱性
HTTP.sysの脆弱性
Apache Killer(Apacheの脆弱性)
etc…
SQLインジェクション
クロスサイトスクリプティング
パスワードリスト攻撃
ディレクトリトラバーサル
etc…
12
- 13. Copyright © JP-Secure Inc. All rights reserved.
WAFは⼀部の⼤企業だけが使うもの︖
大企業
中堅Hクラス
中堅Mクラス
中堅Lクラス
中小企業
小規模・SOHO
個人
普及進む
42%
(MM総研、2013年調べ)
標準化の
流れ
13
- 15. Copyright © JP-Secure Inc. All rights reserved.
導入のきっかけ
• インシデント対応
• 危険性の高い(かつ対処できない)脆弱性
• 機器リプレース・システム更改
• オンプレからクラウドへの移⾏
• 他社事例
• 制度対応や独⾃ポリシーへの準拠
15
- 17. Copyright © JP-Secure Inc. All rights reserved.
1. ウェブサイトのセキュリティ動向
2. WAF動向
3. 国産ソフトウェアWAF「SiteGuard」
17
- 18. Copyright © JP-Secure Inc. All rights reserved.
国産ソフトウェアWAF「SiteGuard」シリーズ
ゲートウェイ型
ホスト型
• ネットワーク構成を変えたくない
• 管理するサーバを増やしたくない
• 小規模環境でコストを抑えたい
シンプル x 防御性能 x 国産
(プロキシ動作)
(ウェブサーバーのモジュール動作)
• ウェブサーバと独⽴させたい
• 複数のウェブを1台で守りたい
• 稼働中のウェブサーバへ導入できない
18
- 20. Copyright © JP-Secure Inc. All rights reserved.
特⻑① 〜シンプル
シグネチャベースの防御機能で
導⼊・運⽤が容易
WEB
javascript:
alert(document.cookie)
WAF
• 拒否
• 監視
• フィルタ
20
- 21. Copyright © JP-Secure Inc. All rights reserved.
導入ステップ
• RPM/TAR.GZパッケージ及びスクリプト実⾏による簡単インストール
• 設定管理はウェブ管理画⾯ベース
■ステップ① 管理画⾯へのログイン ■ステップ② ライセンス登録
■ステップ③ シグネチャ検査の有効化
• シグネチャ更新
• 監視URL登録
• 通知設定
• 検出メッセージ編集
(必要に応じて)
21
- 22. Copyright © JP-Secure Inc. All rights reserved.
特⻑② 〜防御性能
デフォルト設定で高い防御性能を実現
大項目 小項目 F社 C社 I社 B社 JPS
検知漏れの
有無
⽂字列、情報窃取 ○ ○ ○ ○ ○
⽂字列、改竄 ○ ○ △ ○ ○
数値、情報窃取 ○ △ ○ ○ ○
数値、改竄 ○ △ △ ○ ○
最新の⾼度な攻撃 ○ × △ × ○
過剰検知の有無 × × × ○ ○
攻撃ツールに
よる検証
HDSI ○ ○ ○ ○ ○
Pangolin ○ ○ △ ○ ○
年⽉ 概要 主な注意喚起 SiteGuard
2015/4 HTTP.sysの脆弱性 2015/4/15 2015/4/16
2014/9 bashの脆弱性(ShellShock) 2014/9/25 2014/9/25
2014/4 Apache Struts2の脆弱性 2014/4/17 2014/4/17
2013/7 Apache Struts2の脆弱性 2013/7/19 2013/7/19
2011/12 phpMyAdminの脆弱性 2011/12/16 2011/12/20
2011/8 Apacheの脆弱性(Apache Killer) 2011/8/31 2011/8/26
■第三者による防御性能の比較検証
■新しい脅威への対応スピード(対応事例)
迅速な
シグネチャ提供
デフォルト設定
で最高評価
※出典︓⽇経SYSTEMS
「検証ラボ WAFでWebアプリの脆弱性を守れるか」
※出典︓JPCERT/CCほかセキュリティベンダの公開情報より
22
- 23. Copyright © JP-Secure Inc. All rights reserved.
特⻑③ 〜国産
高品質で”ウェット”なテクニカルサポート
スピード 技術レベル 柔軟性
「導入からテストまでいろいろと対応していただきました。案外、そうい
うベンダってないんですよ。そのベンダがわかってることは、当然即答で
返ってくる。そうでない場合の対応は、ものすごく時間がかかったり、結
果わからなかったり。実際に作った人がそこにいれば別ですけど、普通い
ないじゃないですか。SiteGuardに関しては、非常にクイックな対応をして
いただけました。結果、我々としても非常に安心してお客様にシステムを
ご提供できている。」
23
- 24. Copyright © JP-Secure Inc. All rights reserved.
実績
メガバンクから個人まで保護対象は数十万サイト
サービス
25%
IT
20%公共
12%
製造
11%
⾦融・保険
9%
卸・小売
8%
通信・メディア 5%
教育 4%
• 業種・規模を問わず幅広い環境に対応する柔軟性
• 数十台、数百台規模で稼働する安定性
24
- 25. Copyright © JP-Secure Inc. All rights reserved.
ライセンス価格
区分 型番 商品名 標準価格(単価)
■ゲートウェイ型WAF 「SiteGuard」
新規 JSSGL11-001 SiteGuard 新規 1,780,000
更新 JSSGL91-001 SiteGuard 更新 534,000
■ホスト型WAF 「SiteGuard Lite」
新規
JSSLL11-001 SiteGuard Lite 新規(1) 252,000
JSSLL11-005 SiteGuard Lite 新規(2〜5) 216,000
JSSLL11-010 SiteGuard Lite 新規(6〜10) 192,000
更新
JSSLL91-001 SiteGuard Lite 更新(1) 126,000
JSSLL91-005 SiteGuard Lite 更新(2〜5) 108,000
JSSLL91-010 SiteGuard Lite 更新(6〜10) 96,000
※⾦額は1ライセンスあたりの単価(税別)です。
※「新規」価格には初回契約時1年間の製品使用権とサポートサービスが含まれます。
※「更新」価格には次年度以降における1年間の製品使用権とサポートサービスが含まれます。
※ライセンス数はインストールするOS(仮想環境OS含む)単位でカウントします。
※ボリュームディスカウントは同一契約内でのみ適用となります。
※「SiteGuard Lite」をプロキシ構成で利⽤することはライセンス対象外となります(個別対応)。
※サポートサービスの内容は下記となります。
1)テクニカルサポートのご提供 2)最新のトラステッド・シグネチャデータのご提供 3)最新のソフトウェアパッケージのご提供
※⼤規模ライセンスや、クラウド・ホスティング事業者様などでサービス利⽤を検討の際は別途ご相談ください。
25
※90日間の評価版あり
- 26. Copyright © JP-Secure Inc. All rights reserved.
ご検討のポイントと「SiteGuard」の対応
防御性能
既存システム
への影響
処理性能 導入・運用負荷
実績
サポート
コスト
実績が裏付ける
高い防御性能
SiteGuardは設定変更必要
SiteGuard Liteは不要
オンプレからクラウドまで
H/W次第でコントロール可
シンプル設計で軽快動作
拡張性の確保
デフォルト設定の充実
シグネチャ型で容易
自社運用多数
メガバンクから個人まで数十万サイト
契約更新率97%
国産で安心サポート
SiteGuard Lite 1L
25万2千円〜
26
- 28. Copyright © JP-Secure Inc. All rights reserved.
ご清聴ありがとうございました。
株式会社ジェイピー・セキュア
矢次弘志
yatsugi@jp-secure.com
044-201-4036
28