自治体情報システム関連部署・教育委員会システム担当部署 地方自治体開設ホームページセキュリティシステムのご案内 地方自治体の行政サービス総合案内として、ホームページは、今後の行政サービス拡大によりその重要性 は確実に重要な位置付と意味を持ってきます。特に今後Myナンバー法による住民の利活用サービスの入り 口としても大切な役割を果たすものと考えられます。 この度は、地方自治体のホープページセキュリティに関してその役割を担う技術の紹介を致します。 1.地域ホームページの重要性と不正アクセス 自治体のWEBサイト(ホームページ)は、広報の一環として積極的にWEBサイトを活用して、行政手続等を 推進している自治体が散見されます。情報の更新や内容の一新が図られない状況に伴い地域の活性化状況が伝 わってこない状況にあることも危惧される点です。ホームページ上において行政手続を導入し積極的に活用しよ うとする動きは顕著である。このような状況の中で電子的行政事務の導入は加速度的に進展していることから、 ホームページのセキュリティは、今後重要となることは間違いありません。 平成25年に入り急激にWebサーバの改ざんを行う犯行が増加しており、5月24日には警視庁より「ウェブサイ ト改ざん事案の多発に係る注意喚起について」の呼びかけが出されました。その後6月4日に情報処理推進機構 より「ウェブサイトが改ざんされないように対策を! 」、引続き7月には「 止まらないウェブ改ざん! 」の呼 びかけが出ております。攻撃による被害は公共サービスの提供にとどまらず、不正ログインへと繋がり、個人情 報の漏洩や、利用者の端末をウイルスに感染させることで2次被害へと発展しております。 この度は、そのセキュリティーに関する対策システム情報提供と地方自治体に限り提供する料金体系のご提示を を頂きましたので、ご紹介申し上げ、是非導入のご検討いただきますようお願いいたします。。 自治体ドットコム事務局 基本スキーム 技術等に関する問い合わせは、登録情報を提供企業様に情報提供します。 自治体ドットコ ム事務局 製品・技術 提供企業様 自治体利用等に関する 協定(特別価格)締結 地方自治体 自治体認証・申込・ 入金等確認業務 地方自治体 自治体ドットコム 会員登録必須 1 2.今後の自治体ホームページの役割 政策情報の提供 行政サービスの拡充 公共企業等情報等の提供 プロモーション 利用の促進 双方向情報交換 :地域振興、農政や商工等各種情報の提供 :防災、福利厚生そして教育に関わる情報の提供 :水道や電力また各種委員会等の情報提供 :地域の持っている優れた特徴を幅広く伝え、誘致や観光等の促進 :従来の一歩通行的な情報提供から各種申込み等の使えるサービスへの成長 :民間との交流を促進する方法の一つとして、様々の意見と行政側からの説明により満足度の向上 • セキュリティ対策は日々刻々と進化して行く、攻撃に対応するために常に新しい防衛手法が必要となる。世界や日本の民間そして他自 治体などの情報に常にアンテナを立て、運用を変化させて行くのは非常に高度な専門性が必要となります。 • 保守性として、建物への出入りそして電源やネットワーク環境の整った環境に設置サービス拠点を設けることで、セキュリティだけで なく災害時の情報提供が可能となります。 ・可能ならばWebサーバとWAF同じ拠点に置くことがパフォーマンスの観点から重要と言えます 見積手順 オプションサービスの選定 (本紙5ページ目に記載) → 利用開始希望日の決定 → お申込み 2 3.相次ぐ犯行(具体的事例) • 平成25年4月〜6月の3ケ月間で1000件以上 企業・自治体のウェブサイトが改ざんされる被害が発生 • 国内の企業・自治体のウェブサイト改ざん事件が多発している。4月以降だけでも国内で約1000件の改ざ ん=ウェブサイトの書き換え・不正スクリプト埋め込みがみつかった。トヨタ自動車、科学技術振興機構、 横浜市の観光情報、札幌市、日本赤十字社など、企業・自治体のウェブサイトで被害が出ている。 • 札幌市観光情報 • 5/5より6/3まで、不正アクセスにより改ざんされ、新種のウイルスに感染していた観光情報ホームページ (HP)「ようこそさっぽろ」で、何者かが同HPのサーバーにパスワードを一つずつ試す攻撃を約3万5 千件実施。見破って侵入し、ファイルにウイルスを感染させた。 • 科学技術振興機構(JST) • 5/25から6/3まで、研究開発戦略センターの「デイリーウォッチャー」などのページが改ざん被害。閲覧 者がウイルス感染する恐れ。 • 情報ネットワーク法学会 • 5/29から5/30まで、すぺてのページが改ざんされ、不正なスクリプトが埋め込まれていた • 神奈川県保険医協会「いい医療.com」 • 5/26から5/27にかけて「いい医療.com」の一部のページが改ざん被害。 • 伊勢神宮への直行バス「パールシャトル」 • 三重交通の関連会社・観光販売システムズが運営する「パールシャトル」のウェブサイトが改ざん被害。 5/26から5/30にかけて • 仙台市農作物有害鳥獣対策協議会 • 6/1から6/3にかけて、仙台市農作物有害鳥獣対策協議会のサイトが改ざん被害 • 湘南鎌倉総合病院 • 湘南鎌倉総合病院のウェブサイトが6/11にサイト改ざん被害 etc 3 4.Webサーバ保護サービスの提案 • ペンタセキュリティシステムズ株式会社のWAPPLESと呼ばれるWebアプリケーション・ファイヤヲール (WAF)をパッケージサービスとして利用した、外部からの侵入・改ざん防止を提案を致します。 • SaaS型のサービスとして、自治体の環境に特化したサービスパッケージにより、最適化されたWebサーバへ の保護サービスを実現します。 • サービスとしての提供であるため、バージョン管理や設定等に煩わされる事無く、簡単に導入し直ちに効果を 発揮致します。 • 簡潔な手続きで、セキュリティの専門知識を必要とせずに導入可能です。 • 様々なオプションを追加導入し、高度なセキュリティ機能や性能そして可用性等を選択可能です。 申込登録 請求書発行 導入設定 サービス開始 4 5.提案の特徴 • 自治体向け選ばれた機能の設定を最適化し価格を押させたサービスを実現 • 特許※1を取得している、解析エンジンを搭載したペンタセキュリティシステムズ社の WAPPLES(ワップル)により改ざん防止機能を提供しています。 • • • • • シグネチャへの依存度が低いため、定常的なDBへの追加が少なく、運用への負担が低い パケット単位の比較検知ではなく、アプリケーション層での多角解析により、攻撃を検 出するため、低いスペックの装置で高い処理能力を実現 振舞解析や構造解析そして比較分析と多角的に検出することで、高い検出率を実現 シグネチャへの依存度が低く、新種攻撃への耐性が高い ネットワーク及びプラットフォームは、株式会社インターネットイニシアティブ(IIJ)社の仮 想化プラットフォーム VWシリーズを利用しており、高い信頼性を実現 ※1 特許: METHOD OF DETECTING A WEB APPLICATION ATTACK Japanese Patent Application No. 2010-178803 5 6.料金 (平成25年9月現在) 下記の料金体系は、地方自治体に限り、ご配慮を頂き設定した料金体系で、Saas型利用を前提とした安価な料金です。 項目 WEBサーバ保護サービス 年額 内容 • WEBサーバ改ざん対策 480,000円 • WEBサーバ侵入防御 • 20Mbpの処理速度(非保証) 固定/オプション 特記事項 問合せ等は専用Webページにて 基本サービス 対応。製品は常に最適な環境で 6ページ目に詳細記載 動作すようよう運用されてます。 保守運用サービス 360,000円 ・仮想サーバ+WAFソフトウェア オプション 遠隔監視 障害受付・対応 設定変更の受付及び実施 冗長化構成サービス 400,000円 ・WAFの冗長化構成 オプション 障害時の自動切り替え 月次レポートサービス 120,000円 オプション 侵入・改ざん履歴 各種統計上 ・性能レポート ・WAF上のセキュリティレポート ※1 基本サービスのみで支障はありません。通常の使い方の中で、サービス障害は基本サービスの中で対応致します。 ※2 問合せは専用ページにてご対応致します。 ※3 オプションサービスは設定変更やお問合せそして障害対応が提供されます。 補足説明 • • • 保守窓口は月〜金 9:30 〜 18:00の間です。 冗長化構成サービスの無い環境では、サーバ側に障害が発生した際には復旧までの間、Webサーバへのアクセス は出来なくなります。 処理速度及や運用保守サービスへのご要望は別途ご相談下さい。 6 7.基本保護機能 保護機能 備考 1 Webサーバに対しメモリ上Bufferをオーバーさせるような、制限値より大きなサイズのデータが含まれているリク エストを遮断 入口対策 2 クライアント側で実行可能な悪意あるスクリプトコードを挿入する攻撃を遮断 入口対策 3 悪意あるユーザにより利用される恐れのあるファイルの拡張子のリソースへのアクセスを遮断 入口対策 4 Webサーバ側にて実行可能なファイルのアップロードを遮断 入口対策 5 Webサーバにて実行可能なファイルの挿入を遮断します。 入口対策 6 RFC2616HTTP/1.1基準プロトコルに準じていないアクセスを遮断 7 RFC2616HTTP/1.1基準プロトコルに準じ定義されている形式ではないURIへのアクセスを遮断 入口・出口対 策 入口対策 8 掲示板やWebページのような公開ページ上個人情報(メールアドレス等)が漏洩される恐れのある場合、遮断およ び一部に対しマスキング処理 出口対策 9 正常なHTTPリクエストとは異なり、ヘッダの一部の情報が抜けているか、もしくは不正な場合(自動化された攻撃 ツール)遮断 入口対策 10 データベースに対し、不正なSQLクエリ文の試みを遮断 11 Webサーバ上特定のコマンドを実行するリクエストを遮断 入口対策 12 Webサーバのユニコード関連の脆弱性を利用するディレクトリおよびファイルへのアクセスを遮断 入口対策 13 安全ではないHTTPリクエストのメソッドを遮断 入口対策 入口対策 7 8.オプションサポート内容 • 専用ツールを使用しての運用監視 • バージョン管理サービス • 最適なバージョンに更新 • 毎月のシステムヘルスチェック • チェックシートの提出 • システム内データベースの管理 サービス 管理サービス セキュリティポリシー 適合性検査 ネットワーク管理 管理コンソール画面 レポート管理 設定管理 ログ管理 システムステータス 統計ステータス ログ管理 リモート管理 … 集中管理 管理DB 8 9.導入イメージ提案 導入前 端末とWebサーバ間の通信は直接やり取りされ、Webアプリケーションへの攻撃は直接サーバに到達する 公開Webサーバ インターネット ファイヤウオール装置 自治体LAN 導入後 端末とWebサーバ間の通信はWaaSを経由し、Webアプリケーションへの攻撃はWaaSが遮断する 公開Webサーバ インターネット ファイヤウオール装置 自治体LAN 遮 断 改ざん防止WaaS 9 10. 攻撃への対応 WEB環境のセキリティ問題の指針等を検討する世界的な団体であるOWASP (Open Web Application Security Project)の提唱している危険な攻撃Top10 と提供サービスの相関関係を示します。 OWASP Top10 2013 A1. インジェクション A2. 不完全な認証及びセッション管理 A3. クロスサイトスクリプティング(XSS) A4. 安全でないオブジェクトの直接参照 A5. 不適切なセキュリティ設定 A6. 機密データ露出 A7. 不完全な機能レベルのアクセス制御 A8. クロスサイト要求偽造 (CSRF) WEB改ざん防止サービスの機能 Parameter Tampering SQL Injection Stealth Commanding Include Injection Cookie Poisoning Suspicious Access Cross Site Scripting Parameter Tampering Invalid URI Unicode Directory Traversal Stealth Commanding File Upload Request Method Filtering Error Handling Invalid HTTP Directory Listing Privacy Input Filtering Privacy File Filtering Privacy Output Filtering Unicode Directory Traversal Extension Filtering URI Access Control Cross Site Scripting Stealth Commanding Parameter Tampering A9. 既知の脆弱なコンポ―ネットを使用 SQL Injection Cross site scripting URI Access Control他 A10. 未検証のリダイレクトとフォワード URI Access Control 10 11.自治体での契約手続き 説明 費用総額をSAAS型サービスにより、年額をサービス開始前にご入金して頂きます。(年度内月割対応) 利用者の手続き 以下の業務のみを利用者で実施してください。 1)サイト掲載の申込書に記入→自治体ドットコムへFAX送信→確認電話で認証します。 2)自治体ドットコムに入会(自動的に会員確認メール発送) 3)SaaS型サ-ビスの為、利用料金の振込・前金払い(事務局確認) 4)利用のためのID・パスワードの発行(指定の電子メールにて送信と紙媒体で通知) 5)ID・パスワードにてログイン(サイトアクセス、バナーのクリックを利用ソフトのダウンロード) (ダウンロードサイト準備中) 6)利用状況の確認をし、電話でフォロー(システム提供企業より) 利用に関する関係書式(職員専用) ・自治体ドットコム会員(自治体職員)は専用のID・パスワードにより関係資料の団ロード等を実施すること により、手続きを進めてください。 (自治体ドットコムサイトにより掲載) 11 12.導入事例 • ソフトバンクテレコム ホワイトクラウド Gateway Web アプリケーションファイヤウおールで採用 – 「ホワイトクラウド Webアプリケーションファイアウォール」は、SQLインジェクションやクロスサイトスクリプティ ングなどのサイバー攻撃から企業を守る、クラウド型のWAF(Webアプリケーションファイアウォール)サービスです。 WAFの利用により、サーバに送信されるデータを事前にチェックし、不正な攻撃をブロックすることができます。 • 株式会社 STNet – WAF(ウェブ アプリケーション ファイアウォール)導入サービスは、SQLインジェクションやクロスサイトスクリプ ティングなどに代表されるファイアウォールだけでは防止できないWebアプリケーションに対する攻撃について防御を 行い、お客さまのWebサイトを不正アクセスから守るサービスです。 • 109ショッピングモール – 都心型のヤングファッションビルから東京郊外の洗練されたショッピングセンターまた地方中核都市ではファッション をリードするショッピングモールなど多様な形態の施設をきめ細かく運営しております。これらのサービスを提供され ているWebサイトはWAPPLESにより護られております。 SHIBUYA109は、ヤングファッショントレンドを発信する店舗として高い評価を頂き、世界各地から注目を浴びてい ます。また「SHIBUYA109」ブランドの事業展開として「SHIBUYA109DREAMS」や「109MEN'S」を全国主要 都市の商業施設へ出店しています。 株式会社イオンモール – 「お客さま第一」の基本理念のもと、地域の生活に根ざし、ショッピング・コミュニケーション・エンターテインメン トを兼ね備えた、お客さまからご支持いただけるSCづくりを進めてまいります。 イオンモールで提供されているWeb サービスはWAPPLESにより護られております。 • – ※導入事例は多く存在いたしますが、セキュリティの関係で公開されていませんのであしからずご了承ください。 12 13.ペンタセキュリティシステムズ株式会社 会社名 :ペンタセキュリティシステムズ株式会社 Penta Security Systems Inc. (韓国ソウル本社)の100%資本 代表者 :桜田 仁隆 (さくらだ ひとたか) 本社 :東京都港区赤坂3-2-8 アセンド赤坂 電話番号 :(03)5573-8191(代表) 電子メール :[email protected] 業務内容 :情報セキュリティソリューションの販売支援及びサポート コモンクライテリア(Common Criteria:CC)のEAL4を取得 • 登録番号 NISS-2049-2010 PCI-DSS適合証明を取得 • 登録番号 AK 50170345 0001(V1.2 要件6.6オプショ ン) 特許(独自の検知エンジン及び仕組みについて) • 日本特許: METHOD OF DETECTING A WEB APPLICATION ATTACK Japanese Patent Application No. 2010-178803 Penta Security Systems Inc.はWebアプリケーションセキュリティやコアテクノロジーを 提供する韓国のリーディングカンパニーです。現在約1800社以上の顧客に導入されていま す。1997年に設立され、高い専門技術を保持し、情報セキュリティ分野における重要な分野で豊富な経験を有しています。2009 年には日本にペンタセキュリティシステムズ株式会社を設立し、日本及びグローバルな市場に対しアプリケーションレベルでのセ キュリティニーズを提供しています。 13
© Copyright 2024 ExpyDoc