JAWS-UG和歌山第0回キックオフミーティング

(C)Copyright 1996-2014 SAKURA Internet Inc.
クラウドとセキュリティ
∼運用現場における実際∼
JAWS-UG和歌山第0回キックオフミーティング
さくらインターネット株式会社
田中邦裕 (@kunihirotanaka)
14年3月29日土曜日

2
JAWS-UG
WAKAYAMA

• 名前：田中邦裕（たなかくにひろ）
• 年齢：36歳
• 出身：大阪（今も一応、大阪在住）
• 好きなAWSサービス：Amazon S3
• 趣味
• プログラミング
– 計算機科学方面ではなく、何かを動かすのが好き
• 電子工作
– ラジオからAVR(マイコン)まで
• ＤＴＭ
– SC-55を皮切りにパソ通などにアップしていた
• 旅行＆鉄道
– 北海道から沖縄まで国内専門、あと乗り鉄
自己紹介
3
@kunihirotanaka
http://facebook.com/kunihirotanaka

日曜プログラミングしています
4
• さくらのクラウドも最初は個人で作ってました
• 昔はApacheドキュメント翻訳やってました
• いわゆるジェネレーター系サイトやってます

5
• さくらのクラウドも最初は個人で作ってました
• 昔はApacheドキュメント翻訳やってました
• いわゆるジェネレーター系サイトやってます
ちなみに2009年の開始当初はEC2上で動いていました

6

7

8

9
• さくらインターネットの紹介

さくらインターネットの紹介
10
1996年
京都府舞鶴市にて創業
1998年
大阪市中央区へ移転
1999年
株式会社化、東京支社開設

大阪・東京へIDCを新設
2005年
東証マザーズへ上場
2011年
石狩IDCを新設
06/3期 07/3期 08/3期 09/3期 10/3期 11/3期 12/3期 13/3期
8678731,194
723
34985
-162
207
9,4829,164
8,584
7,812
7,106
6,204
4,398
2,758
売上高
経常利益
商号さくらインターネット株式会社
本社所在地大阪市中央区南本町一丁目8番14号
設立年月日
1999年8月17日
（サービス開始は1996年12月23日）
取締役
代表取締役社長　田中邦裕
取締役副社長　　舘野正明
取締役　　　　　川田正貴
取締役　　　　　村上宗久
取締役（社外）　野村昌雄
上場年月日 2005年10月12日（東証マザーズ）
決算 3月末日
資本金 8億9,530万円
従業員数 225名
1996年からサービスを行う
データセンター・ホスティング事業者です

さくらインターネットの事業
11
10
0%
25%
50%
75%
100%
当社サービス別売上高構成比
（’13/3期）
その他
ホスティング
58.2％
ハウジング
32.8％
データセンターサービス
ホスティング
仮想ホスティング：
物理ホスティング：
・VPS・クラウドサービス
・専用サーバサービス
・レンタルサーバサービス
コロケーション
スペース貸し：
ラック貸し：・ハウジングサービス
既存サービス
新たなサービス
・大規模ハウジング案件
（石狩DC）
データセンターサービスを幅広く手掛けるが、
近年ではクラウド・ホスティング系が２／３以上に

数字で見るさくらインターネット（四半期決算）
12
（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）
科目名
‘13/3期‘13/3期‘13/3期‘13/3期 ’14/3期’14/3期’14/3期前四半期比前四半期比
科目名
Q1 Q2 Q3 Q4 Q1 Q2 Q3 増減額増減率
ハウジング 760 757 786 805 793 776 716 ▲59 ▲7.7%
　構成比 32.5% 32.5% 33.2% 33.0% 32.1% 31.3% 28.3%
専用サーバ 751 729 686 688 679 656 644 ▲12 ▲1.8%
　構成比 32.1% 31.3% 29.0% 28.2% 27.5% 26.5% 25.4%
レンタルサーバ 463 475 489 504 517 537 548 10 1.9%
　構成比 19.8% 20.4% 20.7% 20.7% 20.9% 21.7% 21.6%
VPS・クラウド 143 155 200 232 260 286 319 33 11.8%
　構成比 6.2% 6.7% 8.5% 9.5% 10.5% 11.5% 12.6%
その他 221 212 207 210 222 221 305 84 37.9%
　構成比 9.4% 9.1% 8.7% 8.6% 9.0% 8.9% 12.1%
中でも、VPS・クラウドは高い伸び

13
セキュリティとは何か

情報セキュリティの３要素
14
http://www.jts-japan.co.jp/element/
機密性
完全性
可用性
バックアップと復旧（性能と保管方法）
更新管理（履歴）
悪意のあるコードの侵入防止
強制アクセス制御
強制完全性制御
完全性（データやソフトウェアの完全性保護や否認防止）
構成管理（保管上の完全性に関する効率性を確保するポリシー）
識別と認証
アクセス制御
アカウント管理
監査（侵入検査を含む）
最少特権
セッションコントロール
リソースコントロール
機密ラベル（情報の重要度を格納するもので強制アクセス制御で使用）
電源冗長
モニタリング
Dos攻撃防御
コンテンジェンシープラン
期待される応答時間の維持
バックアップと復旧（手順、他のシステムに影響を与えない構造）

情報セキュリティの階層構造
15
データ
アプリケーション
OS
サーバー
ネットワーク
データセンター
アクセス制御、ユーザー管理
ソースコード管理、セキュアな開発
パッチ管理、マルウェア対策
故障検出、資産管理
侵入検知、DDoS対策、スプーフィング対策
物理アクセス管理、入退室管理、

クラウド利用における重要な事
16
クラウド利用における
セキュリティの確保は
事業者・利用者の両方によって
担保される

よくある誤解
17
クラウドって
自分でサーバーを管理するより
セキュリティが心配

よくある誤解
18
クラウドって
自分でサーバーを管理するより
セキュリティが心配×プロが管理した方が、信頼性が高い

よくある誤解
19
クラウドだったら
セキュリティを気にしなくても
いいんでしょ？

よくある誤解
20
クラウドだったら
セキュリティを気にしなくても
いいんでしょ？×結局、最低限の管理は必要。
「インストールして終わり」ではない

サービス毎の責任分界点
21
タイプ
サーバ
所有
OS管理
コンテンツ
管理
サーバ
設置場所
共有／
専有
自社所有お客様お客様お客様お客様専有
コロケーションお客様お客様お客様事業者専有
専用サーバ事業者お客様お客様事業者専有
IaaS 事業者お客様お客様事業者共有
共用サーバ
SaaS/PaaS
事業者事業者お客様事業者共有

22
「サイバー攻撃」について

サイバー攻撃について
23
防衛省・自衛隊のページによれば、サイバー攻撃につい
て、確立した定義は無いが、一般的には、情報通信ネット
ワークや情報システムを利用して行われる、以下のような
行為等を指すとされる。
• 不正侵入
• データの窃取・破壊
• 不正プログラムの実行
• DDoS攻撃（分散サービス不能攻撃）

被害を受けた場合、加害者になる場合も少なくない
24
攻撃を受ける [被害者]
例：パスワードクラック
攻撃を行う [加害者]
例：spam送信、DoS攻撃、フィッシングサイト
第三者、他のユーザへの影響
例：DNSBLへの登録

被害者側として受ける攻撃の種類（1）
25
１．パスワードをクラックする
パスワードの種類
・FTP
・SSH
・メール
・CMS等のWebアプリケーション
手法
・ブルートフォース
・漏えいしたリストを利用

被害者側として受ける攻撃の種類（2）
26
２．公開サービスの設定不備を利用する
踏み台にされるサービスの例
・DNS
・NTP
・メールサーバ
３．DoS攻撃(Denial of Service attack)
大量の通信を発生させることにより、サーバや通信を
麻痺させる
分散した多数のサーバから一斉に行われるケースが多い
（DDoS… Distributed DoS)

加害者側として発生させてしまう攻撃手法
27
１．spam送信
２．不正アクセス
３．サイト改竄
−フィッシングサイト
−マルウェア設置

その他、派生する問題
28
１．DNSBLへの登録
メール受信の拒否・遅延
２．周辺のお客様への影響
共用サーバにおける、負荷の上昇等
３．管理責任が問われる
警察からの問合せが寄せられる場合も

攻撃手法ごとの対応方法の分類（共用サーバ）
29
攻撃手法攻撃手法お客様での対応当社での対応
１．パスワード
クラック
ブルートフォース強度の高いパスワードを設
定する
・強度の低いパスワードが設定できないよう
にする（対応１）
・メールパスワード漏洩と見られるspam送
信の監視（対応２）
・Fail2banによる接続制限を実施
・メール送信通数制限
クラック
漏洩したリストを使用パスワードをサービスごと
に別にする。
・通報を受けた場合、警告等の対応を行う
２．公開サービス
の設定不備
DNS、NTP、メール
サーバ
対応不可
※Webコンテンツは除く
・サーバの設定、日々のメンテナンスを適切
に行う（対応３）
３．DoS攻撃対応不可・検知、対応システムによる、早期発見、早
期対処（対応５）
当社が管理者権限を有するサーバ(「さくらのレンタルサーバ」等)

攻撃手法ごとの対応方法の分類（専用サーバ/IaaS）
30
攻撃手法攻撃手法お客様での対応当社での対応
クラック
ブルートフォース強度の高いパスワードを設定
する
・Fail2banをOS初期イメージへ同梱、及び
自動検知・遮断システムの構築（対応４）
・サーバ停止状態でのサービス提供開始
(VPS)
クラック
漏洩したリストを
使用
パスワードをサービスごとに
別にする
２．公開サービスの
設定不備
DNS、NTP、メー
ルサーバ
サーバの設定、日々のメンテ
ナンスを適切に行う
３．DoS攻撃対応不可・検知、対応システムによる、早期発見、
早期対処（対応５）
お客様が管理者権限を有するサーバ(「さくらのVPS」等)

31
当社での取り組みの例

レンタルサーバにおけるSymlink Attacks対策
32
• Symlink Attacksとは
同サーバの別ユーザのファイルへシンボリックリンクを張り、自
分のURLから該当のファイルへのアクセスができるようにする手
法。
• 対策手法
ホスト側で、ユーザーを越えてシンボリックリンクをはれないよ
うに対策。(SymlinksIfOwnerMatch)

• 不正接続検知及び接続拒否を行うツール「Fail2ban」の
OS初期イメージへの同梱。
• 自動検知・遮断システムの構築
SSHブルートフォース攻撃への対応
33
OS初期イメージ
Fail2ban

DoS攻撃への対応
34
• DoS攻撃とは
– 直訳すると、“サービス不能攻撃”
– 攻撃対象ホストに、無関係なパケットを大量に送りつけることによって、
そのホストが提供するサービスが正常に提供できなくなるように外部から
攻撃を行うこと。
• 単純に帯域を食いつぶす
• 帯域は少なくとも、セッションを食いつぶす
• セキュリティホールをつくクラックもDoSといえばDoS
• DNSオープンリゾルバ、NTPを踏み台とした攻撃が増加してい
る。
• 大量トラフィックの検知及びパケット破棄の仕組み（RTBH）を
構築

スイッチ
RTBHとは？
35
• Remote Triggered Black Holeの略
– DoS攻撃の宛先IPアドレスを、内部BGPで特殊な宛先(事前に仕込む)宛に広報し、
ボーダルータで破棄する仕組み
ボーダルータ
DoS
サーバサーバ
DoS
DoS
DoS
ＲＴＢＨ有りの場合ＲＴＢＨ無しの場合
スイッチ
ボーダルータ DoS
サーバサーバ

DoS攻撃が発生した時の対応フロー
36
DoS攻撃発生！
数秒でアラート発砲
WebUIでクリックするだけでRTBH！
対応終了

DoS攻撃に対する今後の対策
37
DoS攻撃への対応について
[これまで]
・該当するアドレスの通信全てを除外
[新たな取り組み]
・該当するアドレスに関する通信のうち、
DoS攻撃の通信のみを除外し、それ以外の
通信は可能な状態にする

最後に
38
事業者に任せられるものは任せる方が良い
全部任せる事はできない事を理解する

あと
39
エンジニアを募集しています！

40
ご清聴ありがとうございました
• フィードバック、感想よろしくお願いします
• 他のイベントにも、ぜひ呼んでいただければ幸いです
– ハッシュタグ #sacloud
– 公式Twitter @sakuracloud

JAWS-UG和歌山第0回キックオフミーティング

Recommended

Recommended

More Related Content

More from Kunihiro TANAKA

More from Kunihiro TANAKA (7)

JAWS-UG和歌山第0回キックオフミーティング