2016年11月2日 ビジネスセミナーの資料です

1. CMSのセキュリティ対策と
Movable Type の安全な運用方法について
2016年11月2日
シックス・アパート株式会社
長内毅志

2. 自己紹介
–長内 毅志 (おさない たけし)
–2011年～ Movable Typeプロダクトマネージャー
–2014年～ ディベロッパーリレーションマネージャー
エバンジェリスト

3. アジェンダ
•CMSのセキュリティと攻撃の実際
•Movable Type の安全な構築
•クラウド環境構築のポイント
•Movable Type の最新情報とラインアップ
•コミュニティ

4. CMSのセキュリティと攻撃の実際

5. データ出典：JPCERT/CC インシデント報告対応レポート
グラフ：http://www.nca.gr.jp/2013/web201303/

6. ガンブラー
http://www.ipa.go.jp/security/txt/2013/07outline.html

7. ウェブサイトに改ざんでよく使われる手法
http://www.ipa.go.jp/security/txt/2013/07outline.html

8. •CMSの管理権限を奪取してウェブサイトを改ざん
•CMSの公開ディレクトリに任意のファイルをアップロ
ードしてウェブサイトを改ざん

9. CMSに関するハッキングの傾向
•20%はCMSのコア部分にある脆弱性への攻撃、80%
はプラグインなど周辺プログラムの脆弱性を狙った
攻撃
BSI「Content Management Syttem」より
https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.ht
ml
Via http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf

10. もっとも多いパターン
•使用されているCMSを識別して攻撃
http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf

11. コード内の識別情報

12. • オープンソースCMSが脆弱なわけではない
• 活発なプロジェクトは固く作らており、パッチの供給も早い
• MTも同様、セキュリティ対応は早い
• FingerPrint(指紋)が紛れ込むことが多いことが問題
• 管理画面のURL特定=>攻撃につながる

13. ブルートフォースアタック(総当り攻撃)
イラスト：「2014年版 情報セキュリティ10大脅威」より
http://www.ipa.go.jp/security/vuln/10threats2014.html

14. ブルートフォースの例
[30/Aug/2014:22:09:48 +0900] "POST /wp-login.php HTTP/1.0" 200 5529 "-" "-"
[30/Aug/2014:22:09:49 +0900] "POST /wp-login.php HTTP/1.0" 200 5529 "-" "-"
[30/Aug/2014:22:09:50 +0900] "POST /wp-login.php HTTP/1.0" 200 5529 "-" "-"
[30/Aug/2014:22:09:53 +0900] "POST /mt.cgi HTTP/1.0" 200 5529 "-" "-"
[30/Aug/2014:22:09:54 +0900] "POST /mt.cgi HTTP/1.0" 200 5529 "-" "-"
[30/Aug/2014:22:09:55 +0900] "POST /mt.cgi HTTP/1.0" 200 5529 "-" "-"
[30/Aug/2014:22:09:56 +0900] "POST /mt.cgi HTTP/1.0" 200 5529 "-" "-"
[30/Aug/2014:22:09:58 +0900] "POST /mt.cgi HTTP/1.0" 200 5529 "-" "-"

15. ファイルアップロード攻撃(バックドア)
イラスト：「2014年版 情報セキュリティ10大脅威」より
http://www.ipa.go.jp/security/vuln/10threats2014.html

16. その他
•SQLインジェクション
•CSRF
•XSS
–主にソフトウェアの脆弱性を付くもの

17. CMSをセキュアに保つために
•ジェネレーター情報はできる限り消去
•管理画面は特定させない
•ステージング構成はセキュリティ的に強い
–構築・運用の手間は考慮の必要あり
•パッケージやプラグインは常に最新の状態にアップ
デート

18. Movable Type の安全な運用

19. Movable Type の安全な運用のために
•Movable Type を安全に運用するためのポイント

20. 最新版を使う
•最新版を使う

21. 管理画面にBasic認証をかける
•管理画面にBasic認証をかける

22. CGIスクリプトの名称を変える
•環境変数の設定で変更可能
–AdminScript
•管理プログラムの CGI スクリプト名を設定します
–UpgradeScript
•アップグレードスクリプトを設定します

23. 使わないCGIスクリプトの権限を変える
•使わないCGIスクリプトの権限を変える
–MTのコメント機能を利用していない
•mt-comments.cgi の実行権限を無くす
–トラックバック機能を利用していない
•mt-tb.cgi の実行権限を無くす

24. 例
–Data API 機能を利用していない
•mt-data-api.cgi の実行権限を無くす
–ログフィード機能を利用していない
•mt-feed.cgi の実行権限を無くす
–公開サイトで MTの検索機能を利用していない
•mt-search.cgi, mt-ftsearch.cgi の実行権限を無くす

25. パスワードの強度を上げる
文字種の数 4桁 6桁 8桁
10種
(数字のみ)
1万 100万 1億
26種
(英小文字)
約46万 約3億 約2千億
62種
(英数字)
約1500万 約570億 約220兆
94種
(英数記号)
約7800万 約6900億 約6100兆
「Web担当者フォーラム」より
http://web-
tan.forum.impressrd.jp/e/2014/05/09/17197/page%3D0,6

26. ロックアウト設定をする

27. ジェネレーター情報の消去

28. アップロードファイルの制限設定
•AssetFileExtensions
–アップロードできるファイルの種類を制限
•DeniedAssetFileExtensions
–アップロードできないファイルを設定

29. CMSサーバーと公開サーバーの分離

30. •Movable Typeセキュリティ対策ガイド
• http://www.movabletype.jp/guide/movable-type-security-guide.html

31. ここまでのまとめ
•常に最新版へアップデートすることが改善防止につ
ながる
•Movable Type の設定を調整することで、さらに安全
性は高まる

32. クラウド上でCMSを構築・運用する際のポ
イント

33. この章について
•一般的なクラウドサービスについて言及
(Microsoft Azure、AWS)
(PowerCMS クラウド、Movable Type クラウド版など、クラウド基盤
を利用したCMSサービスは「クラウドCMSサービス」と称します)

34. クラウド上でのCMS構築
•クラウド+CMS
=> Virtual Machine、DB、データストレージが中心とな
る
•クラウドの特性を理解して利用が吉

35. クラウドにデータを預けるのは心配？
•10億円を保管するなら自宅？ 銀行？
•銀行なみのセキュリティ？

36. クラウド事業者のセキュリティレベルは高い
•Azureなら
–国際規格 (ISO 27001、HIPAA、FedRAMP、SOC 1/2)
–英国 (G-Cloud)
–オーストラリア (I-RAP)
–シンガポール (MTCS)
出典: https://azure.microsoft.com/ja-jp/support/trust-center/compliance/

37. Azure 仮想マシンのダウンタイム
•Azure 仮想マシンの稼働率 99.9996％
–40.07分のダウンタイム
画像及びデータはCloudSquare (https://cloudharmony.com/cloudsquare)
via “Publickey” (http://www.publickey1.jp/) より

38. AWSのダウンタイム
•AWS EC2の稼働率 99.9992％
–2回の障害 16.88分のダウンタイム
画像及びデータはCloudSquare (https://cloudharmony.com/cloudsquare)
via “Publickey” (http://www.publickey1.jp/) より

39. 肝は「構成」
•クラウドのメリットは「構成が柔軟」なこと
–冗長構成 (仮想マシンの複数構成)
–Geoレプリケーション (異なる地域へのデータ保全)
–ディザスタ・リカバリ
•データ保全、システムの可用性

40. クラウドのセキュリティ
•不必要なポートは開放しない
–(クラウドCMSサービスを利用する場合は特に意識する必要はな
い)
•仮想ネットワークサービスを活用して設定を
–Azure ならVirtual Network
–AWSならVPC

41. Microsoft Azureでのセキュリティ設定

42. AWSでのセキュリティ設定

43. セキュリティチェックは要注意
•各種セキュリティチェック
–ペネトレーションテスト
–ポートスキャン
•そのままでは攻撃とみなされる

44. クラウドのセキュリティチェックは申請が必要
•Microsoft Azure での侵入テスト申請
–http://blogs.msdn.com/b/dsazurejp/archive/2014/10/15/micro
soft-azure-penetration-test-request.aspx
•侵入テスト AWS セキュリティセンター
–https://aws.amazon.com/jp/security/penetration-testing/

45. セキュリティチェックポリシーは事前にすり合わせを
•事前に確認と手続きを
•サーバー管理担当者やシステム構築担当者との手
続きが必要
•クラウドCMSサービスの場合、サービス提供者へ問
い合わせを

46. インフラへの理解は運用・構築の工数を削減
•運用のトラブルを未然に防げる
–Azureなら
•Virtual Machine
•Web Apps
•Storage
–専門家になる必要はない
•サービス事業者へ聞けば良い

47. クラウドサービス型CMSの構築は仕様に準じて
•クラウドサービス型CMSの場合、サーバーのルート
権限は使えない
•仕様内の構築が望ましい
–プログラム的に負荷の高いカスタマイズは運用継続性の足かせ
になるケースがある
•サポートをうまく活用する

48. Movable Type を利用したクラウドCMSサービス
•PowerCMS クラウド
–Movable Type + PowerCMSのクラウドサービス
–高機能、エンタープライズ
•Movable Type クラウド版
–Movable Type のクラウドサービス
–ブログ、中小から大規模サイトまで

49. ここまでのまとめ
•クラウドの特性を理解したシステム構築が肝
•セキュリティチェックは事前のすり合わせを
•クラウド基盤の理解はスムーズな運用に繋がる
•クラウドCMSサービスを利用する際は無理なカスタマ
イズをしない

50. Movable Type ラインアップ

51. 最新バージョン
Movable Type 6.3.2

52. パフォーマンス改善

53. MT6 からの新機能「Data API」
•REST 形式のAPI
•Movable Type のデータを読み込み・書き込み・保存
可能
•JSON形式でデータ取得

54. Movable Type のラインアップ
•Movable Type
•Movable Type クラウド
•MovableType.net

55. Movable Type クラウド版
•クラウド環境でMTを提供
•サーバー保守、メンテナンスはシックス・アパートが
担当
•月額5000円～

56. サーバー配信機能
•外部サーバーへhtml送信
•ステージング構成が簡単

57. バックアップ機能
•1日に1度データをバックアップ
•いつでも復旧可能

58. MovableType.net
•Webサービス型CMS
•カスタムフィールドが利用可能
•GitHub上のテーマと連携可能
•低価格(2500円/月～)

59. 自由度低
(ウェブサービス型)
高
(ソフトウェア型)
手軽さ
複
雑
容
易

60. MT on AWS
•AWS marketplace で提供
•microインスタンスは無料(AWS使用料別)

61. MTコミュニティとイベント

62. 全国に広がるMTユーザーグループ
• MT蝦夷
• MT東北
• MT東京
• MTなごや
• MT愛媛
• MT鹿児島
• MT関西
• MT広島
• MT福岡
• MT長野
• MT ∗/ NIIGATA(新潟)
• MT SAGA
• MT熊本

64. MTDDC Meetup TOKYO 2015
200人以上が参加

65. MTDDC Meetup TOKTO 2016 開催
65
11月12日(土)お台場で開催！

66. ご清聴ありがとうございました