O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

【スカイアーチ】Webサイトを脆弱性攻撃から守る

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio

Confira estes a seguir

1 de 37 Anúncio

【スカイアーチ】Webサイトを脆弱性攻撃から守る

2011/9/16 「Webサイトを脆弱性攻撃から守る~情報漏えいとブランド失墜、それらのリスク要因を最小化するための一手」で行われた、株式会社スカイアーチネットワークスの講演資料です。ウェブサイトのセキュリティ対策について、説明しています。

2011/9/16 「Webサイトを脆弱性攻撃から守る~情報漏えいとブランド失墜、それらのリスク要因を最小化するための一手」で行われた、株式会社スカイアーチネットワークスの講演資料です。ウェブサイトのセキュリティ対策について、説明しています。

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a 【スカイアーチ】Webサイトを脆弱性攻撃から守る (20)

Anúncio

Mais recentes (20)

【スカイアーチ】Webサイトを脆弱性攻撃から守る

  1. 1. 2011/9/16  Web サイトを脆弱性攻撃から守る 情報漏えいとブランド失墜、それらのリスク要因を最小化するための一手 フルマネージド・ホスティング事業者の セキュリティに対する取り組み 株式会社スカイアーチネットワークス 営業本部 マネージャー 松田昭穂
  2. 2. アジェンダ <ul><li>自己紹介 </li></ul><ul><li>レイヤー毎の対応 </li></ul><ul><li>脆弱性と対応事例 </li></ul><ul><li>プロアクティブな対策 </li></ul><ul><li>サービス紹介 </li></ul>
  3. 3. 自己紹介
  4. 4. 会社概要 社名 所在地 設立 代表 社員数 資格 株式会社スカイアーチネットワークス (英文社名: Skyarch Networks Inc. ) 港区南麻布4-11-21ラウンドクロス南麻布4F 2001年7月12日 代表取締役社長 江戸達博 56名 ISO/IEC 20000 ISO/IEC 27001 プライバシーマーク マイクロソフト認定パートナー NIFTY Cloud アライアンスパートナー
  5. 5. 運用実績 株式会社講談社 株式会社博報堂 株式会社スクウェア・エニックス 株式会社トーセ ECサイト、ゲーム、待ち受け画像、占い、メール配信システム、着メロ、着うた、デコメール、キャンペーンサイト、予約システム ECサイト、キャンペーンサイト、動画配信サイト、メール配信システム、ブログ、SNS、コーポレートサイト、グループウェア、オンラインゲーム、情報ポータルサイト、予約システム 【モバイルサイト】 【PCサイト】
  6. 6. サービス内容 クラウド マネージドサービス ( 人的リソース) レンタルサーバー (ホスティング) データセンター <ul><li>クラウド運用代行 </li></ul><ul><li>自社:プライベートクラウド </li></ul><ul><li>他社:パブリッククラウド    ( Nifty 、 IIJ など) </li></ul><ul><li>自社+他社:ハイブリッドクラウド </li></ul><ul><li>レンタルサーバー運用代行 </li></ul><ul><li>自社インフラ:マネージドホスティング </li></ul><ul><li>他社インフラ: Kagoya 、さくらインターネット、 GMO など </li></ul><ul><li>データセンター運用代行 </li></ul><ul><li>自社:都内3拠点 </li></ul><ul><li>他社:全国約 100 ヶ所からご提案 </li></ul>サーバー 構築・運用
  7. 7. サポート範囲 事業者 スカイアーチ お客様 お客様 お客様 オンプレミス (社内設置サーバー) 専用サーバー / クラウド( IaaS ) マネージド・ホスティング コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス
  8. 8. レイヤー毎のセキュリティ対応
  9. 9. ウェブサイトにかかわる登場人物 インフラ エンジニア コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス プログラマー ウェブ デザイナー
  10. 10. 情報セキュリティの取り組み ISO/Pマーク 技術的 セキュリティ 人的 セキュリティ 物理的 セキュリティ コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス
  11. 11. 脆弱性診断ツールの位置づけ McAfee SECURE 技術的 セキュリティ 人的 セキュリティ 物理的 セキュリティ コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス
  12. 12. セルフチェック プログラマー ウェブ デザイナー インフラ エンジニア コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス 作業 確認 作業 確認 作業 確認
  13. 13. 第三者チェック プログラマー ウェブ デザイナー インフラ エンジニア McAfee SECURE 確認 作業 作業 作業 コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス
  14. 14. チェック機能 チェック① 人 チェック② システム 質と量 コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス 制作会社 プログラマー ウェブ デザイナー インフラ エンジニア スカイアーチ McAfee SECURE マカフィー
  15. 15. これまで 攻撃による サーバーダウン 被害・損害 障害対応 アラート
  16. 16. セルフチェック(インフラ) <ul><li>監視システムが、ポートの接続不可を検知(ダウンアラート) </li></ul>ログで、アクセス元のIPアドレスを確認 不正アクセス ファイアウォールで、特定IPを規制 ポートの直接アクセス? 海外?同一IP/同一ネットワーク? Dos攻撃
  17. 17. セルフチェック(サーバー) <ul><li>要塞化手順 </li></ul><ul><li>OSやアプリケーションのバージョン最新化 </li></ul><ul><li>パッチ(修正プログラム)適用 </li></ul><ul><li>不要サービスや機能の停止 </li></ul><ul><li>不要なユーザアカウント削除        およびパスワード強化 </li></ul><ul><li>ディレクトリやファイルのアクセス権設定 </li></ul><ul><li>ログ設定 </li></ul>
  18. 18. チェック機能の活用 安定稼動 セキュリティ 対応 アラート
  19. 19. 脆弱性と対応事例
  20. 20. 脆弱性と対応の事例 SQLインジェクション タグ・コマンドの無効化 XSS (クロス・サイト・スクリプティング) ディレクトリ・トラバーサル パスを記述しない Path検知 対応 脆弱性
  21. 21. クロス・サイト・スクリプティング <ul><li>対 象:フォーム画面 </li></ul><ul><li>脆弱性:入力文字で、HTMLタグが有効 </li></ul><ul><li>対 応:HTMLタグの無効化 </li></ul><script> … </script>
  22. 22. SQLインジェクション <ul><li>対 象:CMSで作成したECサイト </li></ul><ul><li>脆弱性:カスタマイズ箇所 </li></ul><ul><li>対 応:カスタマイズ箇所の修正 </li></ul>
  23. 23. 脆弱性への対応 安定稼動 セキュリティ 対応 アラート
  24. 24. ちょっとした悩み <ul><li>脆弱性が、いつ発生するかわからない </li></ul><ul><li>原因と対策を、調査する時間が十分にない </li></ul>安全なウェブサイト? 対応が場当たり的 問題が繰り返される
  25. 25. プロアクティブ(先手)な セキュリティ対策
  26. 26. プロアクティブ(先手)な対策 セキュリティ 対策 正常
  27. 27. プロアクティブ(先手)な対策 <ul><li>対応ノウハウの手順化 </li></ul><ul><li>スケジューリングし、適切な時間を確保 </li></ul><ul><li>慎重な作業と確認 </li></ul>ウェブサイトの安全性を底上げ 経験済みの対応 スケジュールの可視化
  28. 28. 安心の構成と継続運用 <ul><li>不正アクセスを防ぐ対策 </li></ul><ul><ul><li>ファイアウォール </li></ul></ul><ul><ul><li>サーバーの要塞化 </li></ul></ul><ul><ul><ul><li>アクセス権管理 </li></ul></ul></ul><ul><ul><ul><li>脆弱性管理 </li></ul></ul></ul><ul><li>不正アクセスを前提とした対策 </li></ul><ul><ul><li>暗号化 </li></ul></ul><ul><ul><li>ログ取得 </li></ul></ul><ul><ul><li>バックアップ </li></ul></ul><ul><ul><ul><li>イメージ取得 </li></ul></ul></ul>○ 社内 個人 情報 ○ × インターネット
  29. 29. 継続運用(例:情報の管理) <ul><li>CMDB(構成管理データベース) </li></ul><ul><ul><li>バージョン管理 </li></ul></ul><ul><ul><ul><li>ソフト </li></ul></ul></ul><ul><ul><ul><li>ハード </li></ul></ul></ul><ul><li>セキュリティ情報の収集 </li></ul><ul><ul><li>Jpcert </li></ul></ul><ul><ul><li>Microsoft </li></ul></ul>
  30. 30. セキュリティ情報の活用 セキュリティ 対策 正常
  31. 31. 対応 だけでなく 対策 セキュリティ 対策 正常 セキュリティ 対応 アラート
  32. 32. まとめ
  33. 33. サイトの安全性を保つポイント <ul><li>Wチェック </li></ul><ul><ul><li>人とシステムで、漏れの無いWチェックの体制 </li></ul></ul><ul><li>人材の確保 </li></ul><ul><ul><li>各レイヤーにおける、人材(質・量)の確保 </li></ul></ul><ul><li>対応と対策 </li></ul><ul><ul><li>診断の対応だけでなく、事前の対策 </li></ul></ul>
  34. 34. サービス紹介
  35. 35. スカイアーチなら IPS WAF コアビジネス インフラ ロケーション ネットワーク ハードウェア OS ミドルウェア ウェブアプリケーション コンテンツ ビジネスプロセス 制作会社 プログラマー ウェブ デザイナー McAfee SECURE マカフィー インフラ エンジニア スカイアーチ
  36. 36. 無料Web診断 McAfee Secure 無償診断 + SEO 対策
  37. 37. ご清聴 ありがとうございました

×