事例からみる、Webサイトの セキュリティリスクとその対策 2015年8月18日 Copyright © 2015 NCI Corporation. All Rights Reserved. $6~10/件 クレジットカード番号一件当たりの取引金額 (アジア・中東圏) 2 Copyright © 2015 NCI Corporation. All Rights Reserved. あなたの情報のお値段(2014/9時点) クレジットカード(アメリカ国内) $1~3/件 クレジットカード(中米、オーストラリア、ヨーロッパ) $3~8/件 クレジットカード(アジア、中東) $6~10/件 銀行口座 $25~35/件 氏名、住所、年齢、性別、生年月日、電話番号 $1~2/件 Facebookアカウント $15/1,000アカウント twitterアカウント $75/2,200アカウント Yahoo!メール、Hotmail $8/1,000アカウント Gmail $85/2,500アカウント Dr.Walletナビより転載 3 Copyright © 2015 NCI Corporation. All Rights Reserved. さらにこんなものまで売れるんです… 卒業アルバムと同窓会名簿のお値段 名簿の種類 条件 小学校卒業アルバム 中学校卒業アルバム 同窓会名簿 (2014年9月時点) 原本買取 レンタル 現在の中学生に限る 住所があるものに限る ¥5/名 ¥5/名 現在の高校生に限る 住所があるものに限る ¥10/名 ¥10/名 H25、24年度発行 ¥10,000/冊 ¥5,000/冊 H23、22年度発行 ¥5,000/冊 ¥2,500/冊 H22、21年度発行 ¥3,000/冊 ¥1,500/冊 Dr.Walletナビより転載 4 Copyright © 2015 NCI Corporation. All Rights Reserved. 「ビジネス」化する不正アクセス 情報化社会で戦うためには「情報」は不可欠。 つまり企業にとって「情報」は今や「価値のある商品」。 需要があるから市場が生まれる。 個人情報を売買するマーケットは、麻薬取引を凌ぐ ビッグビジネスへ成長。 もはや不正アクセスは、腕試しや主義主張 ではなく、お金儲けの手段 5 Copyright © 2015 NCI Corporation. All Rights Reserved. 広がる不正アクセスのターゲット 「ビジネス」としての不正アクセスには、チャレンジや腕試しの要素は必 要ない!? 弱きを攻める手法が当たり前に。 大企業 中小企業 ターゲット ターゲット 大企業は侵入できれば実入りは大きい データ データ 強固な社内体制 データ SOCによる監視 しかし、強固なセキュリティはリスクが大きい ウィルスチェック 侵入検知装置 ターゲット 中小企業は実入りはそこそこ × ファイアウォール 曖昧な社内体制 しかし、セキュリティが甘く、 侵入しやすい場合が多い ファイアウォール ウィルスチェック ○ 攻撃者の行動が、着実な成果を求めて、セキュリティの弱いターゲットを選ぶ 方向に変化。中小企業が新たなターゲットとしてクローズアップされる状況に。 6 Copyright © 2015 NCI Corporation. All Rights Reserved. もはや他人事ではありません ウチはそんなにメジャーじゃないし、小さいから大丈夫!? 近年、中小規模の企業での被害事例が増加の傾向 50% 50% 39% 従業員数 2501名~ 従業員数 19% 31% 32% 従業員数 31% 30% 2012 2013 18% 2011 251~2500名 1~250名 出典:Symantec ISTR Vol.18・19 7 Copyright © 2015 NCI Corporation. All Rights Reserved. 広がる不正アクセスのターゲット 自社の強化だけでは足りない!? 自社には情報が無いから関係ない!? 狙われるサプライチェインやオンライン連携… A社本社 攻撃者は最も弱いところから 侵入する 取引先C社 下請けB社工場 A社工場 8 Copyright © 2015 NCI Corporation. All Rights Reserved. もはや他人事ではありません 米ターゲットコーポレーションの事例(2013年12月) PCIDSS認定を取得し、強固なセキュリティを持った 米ターゲット社のシステムへ、サプライチェイン経由 で侵入、7,000万件ものクレジットカード情報を盗み 出す。 セキュリティ機器 米上院議会でも取りざたされる にてアラート検知 大問題に。 ターゲット社の アクティビティ 情報流出が発覚 マルウェアの駆除 を完了 12月12日 12月15日 11月30日 2013年 攻撃者の アクティビティ 9月 7,000万件の情報 流出を公表 1月14日 2014年 12月2日 11月12日 影響範囲拡大 ターゲット社サプライチェイン の一社(冷蔵機器業者)へ侵入 12月15日 データの持ち出し データの持ち出しを 開始 冷蔵機器業者を踏み台に、 ターゲット社へ侵入 ターゲット社内への アクセスをロスト 9 Copyright © 2015 NCI Corporation. All Rights Reserved. 「入り口」としてのWebサイト 不特定多数がアクセスし、複雑、高度化するWebサイトは危険がいっぱい!? Webサイトのリスク 攻撃者 openSSL インターネット PCなど WebコンテンツへのアクセスはFWを 通過できる。 java ajax mySQL tomcat セキュリティ機器 (FWなど) flash PHP Apache その1 Webサイトの機能は、様々なソフトウェアに より提供されており、それらの設定や脆弱性 などの問題は、攻撃者にとって格好の標的 Webサイトのリスク IDPがあれば不正アクセスはブロック できるが、未知の脆弱性には対処で きない(ゼロデイアタック) データサニタライジング その2 ユーザ権限 HTML構造 Webサーバ DBサーバ 脆弱性を利用してコントロールを取得。 その他 • Webサーバ内部の情報を不正に取得。 サーバ エラーハンドリング コードのバグ Webサイトの構成や構造そのものも攻撃者に とって、標的となったり、不正なデータの取 得に利用できる仕組みとなりうる • Webサーバを経由してさらに内部に侵入。 • マルウェアを埋め込み、アクセスしてき たPCから不正に情報を取得。 Copyright © 2015 NCI Corporation. All Rights Reserved. 10 やっぱり他人事ではありません Webアプリケーションベンダの皆様も、もうヒトゴトではいられない!? SQLインジェクション対策漏れの責任を開発会社に問う判決。 X社が運営するECサイトに対し、外部からの不正アクセスにより最大7316件のクレジットカード情報が漏洩した。X社は謝罪、対応、調査等の費用、売 上減少による損害等に対して、開発会社であるY社に対し、委託契約の債務不履行に基づき1億円あまりの損害賠償を請求、東京地裁に起訴。結果、原 告が勝訴し、東京地裁は約2,262万円の支払いを被告に命じた。 本件のポイント 東京地裁の判決 • X社(原告)はセキュリティ対策について特に指示はしていなかった • 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった • クレジットカード情報が漏洩した原因は複数考えられるが、脆弱性やアクセスログ、不 正利用の状況からSQLインジェクション攻撃によるものと断定 • 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった • セキュリティ対策についてX社からの指示はなかったが、Y社は必要なセキュリティ対 策を講じる義務(債務)があり、それを怠った債務不履行がある • X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情 報をいったんDBに保存する仕様となった(2010年1月29日) • Y社は、SQLインジェクションはカード情報とは無関係の箇所にあったので、この脆弱 性が原因ではないと主張したが、裁判所はこの主張を退けた • X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが 可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27 日)が、その後X社は改良の指示をしなかった • 損害賠償責任制限について • 損害賠償責任制限自体については認める 以下の脆弱性その他が認められた 契約書に明記はないが、故意あるいは重過失に起因する損害については責任 制限の範囲外とする システム管理機能のIDとパスワードが admin/password であった 仕様書に記載はないがSQLインジェクション対策を怠ったことは重過失であ る 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクト リリスティングと意図しないファイル公開) よって今回の事案は損害賠償責任制限には該当しない SQLインジェクション クロスサイトスクリプティング • 原告からの損害賠償請求のうち、おわびのQUOカード代や梱包発送費などの損害は全額 認められたが、売上減の機会損失は6041万4833円の要 求に対して、400万円のみが認 められ、システム委託契約費用約2074万円に対しては、他社システムに移行後の利用 料等(約27万円)のみが認められた • Y社がカード情報をDBに保存しない方式をX社に提案したにも関わらずX社がそれを採 用しなかった件をX社の過失と認め、過失相殺3割が認定された • 瑕疵担保期間(1年)を超えていたが、瑕疵担保期間はあくまで無償補修の期間を定めた もので、損害賠償請求権の期間制限を定めたものではないので、損害賠償請求は有効 (2015/1/22 22:30追記) • 結果、3131万9568円の損害を認定し、その3割を控除して、2262万3697円の損害賠 償をY社に命じた ログにカード情報が保存されていた DBに保存されたカード情報にはセキュリティコードも含まれていた Copyright © 2015 NCI Corporation. All Rights Reserved. 11 ではどうしたら良いのか? なにから始めるべきか?たくさんのセキュリティ技術、サービス、どれを 選べばよい? 効果的なセキュリティ対策の3つのポイント まずは平均点を上げる 定期的な健康診断 有事への備え 攻撃者は、必ず最も弱いポイントを 突いてきます。したがって、一部分 だけ最先端の対策を行っても意味は ありません。 構築時に最新であったものも、必ず 時間の経過とともに陳腐化します。 特にソフトウェアの脆弱性は日々新 たなものが発見され、状況は常に変 化します。 残念ながら、どれだけお金をかけて も、完璧なセキュリティ対策を実現 することは不可能です。 ある項目だけで100点を目指すより、 すべてに平均点を取るアプローチの ほうが効果的です。 新たに顕在化したリスクがないか、 定期的に把握することが重要です。 常に事故は起こりうることを念頭に、 緊急時の行動や判断基準などを定め、 訓練などを通じて有事に対して備え ることが重要です。 リスクを正しく認識 リスクを正しく認識 リスクを正しく認識 基本的な事項を確実に実施 早期発見・早期対応 定期的な訓練の実施 複数の手段を用意 モニタリング モニタリング 12 Copyright © 2015 NCI Corporation. All Rights Reserved. 最初の一歩としての脆弱性診断 インターネットで、不特定多数のアクセスにさらされるWebシステム。 このシステムのリスクを正しく認識することは、効果的なセキュリティ対 策の第一歩。 Webシステムの 開発・実装工程 テスト環境 修正及び 本番環境 修正及び サービスイン 修正及び 構築 設定変更作業 構築 設定変更作業 運用 設定変更作業 修正後 再検査 修正後 再検査 検査工程 新たな リスク の有無 を把握 修正後 再検査 Webアプリケーション NWインフラ Web、NW 脆弱性診断 脆弱性診断 脆弱性診断 不合格 判定結果 ランクE 不合格 判定結果 ランクE リスク有り 判定結果 ランクE 合格 判定結果 ランクA 合格 判定結果 ランクA リスクなし 判定結果 ランクA Webアプリケーション開 発工程にて脆弱性や構造 の問題などを認識、対策 本番環境のリリース前に、システム の脆弱性を確認 運用継続 サービスイン後は定期検査によって 新たなリスクの発生を確認 13 Copyright © 2015 NCI Corporation. All Rights Reserved. 診断精度のものさしとしてのPCI DSS 一口に脆弱性診断といってもいろいろなサービスがある。それぞれは何が 違うのか?どれを選べばよいのか? 脆弱性診断の2つのポイント 診断範囲 診断精度 システムを構成するOSやアプリケーションが漏れなく 診断対象とされなければなりません。 標準外の通信ポートを使用しているアプリケーション やカスタマイズされたOSなどに対しても、正しく種別 を認識し、脆弱性や設定上の問題の有無を検査できる 必要があります。 ロードバランサなどが用いられた複雑な構成のシステ ムや、PINGに応答しないシステムであっても、すべて のサーバ、機器が診断対象として認識される必要があ ります。 PCI DSSでは、要件11で定期的な脆弱性検査の実施を規定。 脆弱性検査についても、ASV(Approved Scanning Vendor) Program を設け、検査機関の診断範囲や診断制度に、一定以上の基準を定めている。 14 Copyright © 2015 NCI Corporation. All Rights Reserved. 当社および当社サービスの ご紹介 15 会社概要 社名 事業内容 設立 資本金 株主 エヌシーアイ株式会社【英文:NCI Corporation】 クラウドサービス事業/データセンター事業/システムマネジメント事業/ 情報セキュリティ事業 1997年1月9日 100,000千円 (2015年3月末日現在) 双日グループ 日商エレクトロニクス株式会社 100% 届出電気通信事業者 届出番号:A-24-12916 取得資格 特定労働者派遣事業 受理番号:特13-309769 JIS Q27001:2006/ISO IEC27001:2005 従業員数 161名(内エンジニア 117名、2015年3月末日現在) 所在地 〒102-0084 東京都千代田区二番町3-5麹町三葉ビル7F 代表者 代表取締役社長 橋本 晃秀(ハシモト テルヒデ) 16 Copyright © 2015 NCI Corporation. All Rights Reserved. 事業領域とサービス IaaS(Integration as a Service )のもと、ワンストップで5つのサービスを提供しています。 クラウドサービス 事業 ネットワーク サービス 事業 OTP/SSO データセンター 事業 Web脆弱性診断 システム マネジメント 事業 セキュリティ 事業 Managed CyberGate SSL証明書 Security Webサイト不正改ざん検知 メール誤送信防止 インフラ 設計/構築 IaaS Data Center プライベートクラウド システム移行 バックアップ MSL (システム マネジメン ト) 運用コンサル 運用構築 MSS・ MCG (マネージ ドセキュリ ティ) MSS プライベート SOC運用代行 ハウジング(石狩/横浜/大阪) 統合監視 マネージド Network インターネット イーサネット VPN 17 脆弱性診断サービスマップ 手動診断 OS、ネットワーク、ミドルウェア Webアプリケーション • 大量の個人情報を持っている。 • より詳細な診断を行いたい。 WebSiteScan Pro 【手動】脆弱性診断サービス スポットプラン・年間プラン • OSやミドルウェアのバージョン 管理が大変。 • ネットワークの脆弱性が心配。 WebSiteScan 【ツール】Webアプリケーション脆弱性診断サービス スポットプラン・月間プラン SiteScan 2.0 • サイト数、ページ数が多すぎて 診断コストがかかりすぎる。 • サイトが頻繁に更新されて診断 しきれない。 • まずは短期間でサイトの脆弱性 の有無だけでも診断したい。 【ツール】インフラ脆弱性診断サービス スポットプラン・月間プラン ツール診断 18 SiteScan 2.0 約20,000件 詳細なバージョンチェックが可能であり、 誤検知が少ないエンジン 業界標準規格 準拠状況 CVSS/CVE準拠 業界標準に対応 評価基準/段階 CVSSによる3段階評価 高中低の3段階評価 対策状況管理 前回のスキャン結果との比較が 可能な差分レポート機能 対策結果の反映が可能 検査項目数 脆弱性情報データベース レポート取得方法 エヌシーアイ監視センタ内 SiteScanエンジン 特長 セキュリティ業界標準であるCVSS/CVEに準拠した評価基準により、自社のシステムへ 施されたセキュリティ対策が一般的にどのレベルをクリアしているのか、また、セキュ リティ対策において必要な対策を明確にします。 特長 詳細な脆弱性レポート 2 特長 3 お客様ご担当者 脆弱性評価基準 CVSS/CVE 準拠の脆弱性診断 1 インターネット お客様システム お客様管理画面より ダウンロード アタック方法は日々変化していきます。本サービスでは約4,800件の診断項目を保有し、 検査対象ごとにセキュリティリスクを検証していきます。また個々に発見された脆弱性 に対しての評価を「高・中・低」と分類、影響を記載したレポートを提示するため、優 先順位を付けて対策を実施していくことが可能となります。 前回のスキャン結果と比較できる差分レポート 脆弱性への対策を実施した結果を前回の結果との差分をレポートにて提示いたします。 たとえば、前回の検査では発見されなかったが、最新の検査結果では発見されたケース ではその期間中に実施した設定変更による影響を把握・検証できるなど、自社へのセ キュリティ対策に関するノウハウを蓄積していくことが可能と なります。 19 WebSiteScan 脆弱性情報データベース 特長 トップURLよりクロール(巡回)可能なページ全て 診断回数 有効期限1年間のチケット制 コンテンツ更新時など、オンデマンド診断が可能 1 Webにて提供される管理ツールの利用により、診断日を任意で設定可能。利用したいタ イミングでタイムリーに診断できます。SaaS形式でのご提供の為、初期ハードウェア、 ソフトウェアの購入は不要です。 特長 充実したサポートメニュー 2 エヌシーアイ監視センタ内 WebSiteScanエンジン 診断範囲 特長 3 必要に応じてセキュリティコンサルタントによる報告会の実施など、充実したサポート 体制をご用意しています。 高性能なWebアプリケーション診断 従来のローエンドモデルでは提供が難しいID/パスワード認証後の診断も可能です。 ネットワーク・サーバ負荷低減機能により、システムに与える心配を軽減できます。 インターネット 診断項目: お客様システム お客様ご担当者 ・ クロスサイトスクリプティング ・ SQLインジェクション ・ 強制ブラウジング ・ ディレクトリトラバーサル ・ コマンドインジェクション ・ HTTPレスポンス分割 ・ Cookie管理の不備 ・ エラーメッセージの検出 ・ 製品情報の検出 ・ 内部情報の検出 ・ クロスサイトリクエストフォージェリ (CSRF) 20 WebSiteScan Pro 理想的なWebアプリケーション脆弱性検査は、実際にユーザがアクセスする場合と同じ環境で 検査をすることが重要ですが、運用中のECサイトなどでは商品購入や登録確認メールの配信な どが発生するため、すべての機能の検査が出来ず、脆弱性が潜在し続ける場合があります。 陣段実施前 ヒアリング 診断内容 事前確認 リスク分析 診断実施 リスク確認 信頼性の高い脆弱性診断 特長 1 特長 2 本サービスは、可能な限り実際に起こるアクセス に近い状態で検査を行うため、検査対象となる Webアプリケーションの情報収集を徹底して行い、 検査時におけるリスクを把握した上で診断を実施 いたします。システムリリース前の最終確認や、 現在運用中のWebアプリケーションにも安心して ご利用いただけます。 事前ヒアリングで得た情報を元に、検査時に発生しうるリスクを分析します。 検証結果を検査手順書に整理することで、実際の検査時の問題を未然に防ぎます。 21 WebSiteScan Pro ネットワーク診断 ・ホストのスキャン ・悪意あるソフトウェア ・ ネットワーク機器の脆弱性 ・Webサーバの脆弱性 ・ネットワークサービスの脆弱性 ・ 各種OSの脆弱性 ・その他ホスト全体の調査 Webアプリケーション手動診断 認証 ログイン、その他 セッション管理 Cookieの取り扱い、セッションID、クロスサイトリクエストフォージェリ 入出力処理 SQLインジェクション、クロスサイトスクリプティング、ディレクトリトラバーサル、OSコマンド インジェクション、改行インジェクション、リンクインジェクション、パラメータ推測、HTTPレス ポンス分割、SSIインジェクション、オープンリダイレクト、リクエスト改竄、その他 画面遷移 重度の更新、権限昇格 ユーザ 履歴、パスワード 暗号 通信の暗号化 ロジック流出 バックドアとデバッグオプション、エラー処理、情報公開、コメント メール スパムメール 画面設計 不適切な画面設計、ユーザへの説明 一般的な脆弱性 既知のソフトウェア脆弱性、強制ブラウジング、ディレクトリリスティング、ファイルダウンロー ド・アップロードの問題 Webサーバ設定 システム情報の開示、不要なメソッド、ディレクトリ存在の確認、サーバエラーメッセージ 22 サービス組み合わせご利用例 システム構築時、開発環境にてWebアプリケーション診断を行います。発見され た脆弱性を修正することでセキュリティの高いサービスの提供が可能になります。 本番環境構築後「SiteScan2.0」によるOS/ネットワーク診断を実施し、サーバ の設定ミスの有無を確認します。またサービスイン後も定期的にモニタリングを 行うことで、常に高いセキュリティを維持します。 Webシステムの 開発・実装工程 テスト環境 修正及び 本番環境 修正及び サービスイン 修正及び 構築 設定変更作業 構築 設定変更作業 運用 設定変更作業 修正後 再検査 修正後 再検査 検査工程 WebSiteScan Pro SiteScan 2.0 新たな リスク の有無 を把握 修正後 再検査 WebSiteScan SiteScan 2.0 不合格 判定結果 ランクE 不合格 判定結果 ランクE リスク有り 判定結果 ランクE 合格 判定結果 ランクA 合格 判定結果 ランクA リスクなし 判定結果 ランクA 運用継続 *詳細はお問い合わせください。 23 サービスメニュー 診断方法 レポート SiteScan2.0 WebSiteScan WebSiteScan Pro 手動診断 × × ○ ツール診断 ○ ○ ○ ログイン後の 脆弱性診断 × ○ ○ 脆弱性の説明 と発生箇所 ○ ○ ○ 脆弱性発見の 詳細手順 × △ ○ レポート作成 期間 即時 即時 速報版 3日以内 最終版 10日以内 × ○ (オプション) ○ (オプション) ポートスキャン OS・アプリケーショ ン (Apache/IISなど) クロスサイトスクリプティング SQLインジェクション ディレクトリトラバーサル コマンドインジェクション 強制ブラウジング クロスサイトスクリプティング SQLインジェクション バッファオーバーフロー セッション管理系診断 など 公開サーバ全般 自社サイト、 キャンペーンサイトなど ショッピングサイトなどの 個人情報を大量に扱うサイト 報告会の実施 診断項目 診断対象例 24 サービスに関するお問い合わせ、ご用命は Journey to the Integration as a Service URL:http://www.nisshoci.co.jp/ 電話:0120-796-140 お問合せフォーム:https://www.nisshoci.co.jp/contact/ 住所:東京都千代田区二番町3-5 麹町三葉ビル 7F 25 Copyright © 2015 NCI Corporation. All Rights Reserved.
© Copyright 2024 ExpyDoc
