まじめな技術者のためのWEBフィルタリング回避術

Transcript

1. まじめな技術者のための WEBフィルタリング 回避術 OWASP オワスプナイト カンサイ in 8th

2. 今日お話しすること ・特に難しい技術の話はしません 特殊なツールは不要な簡単な方法 ・あくまでもまじめな技術者のため 用法・容量を守って 悪用は厳禁

3. だれ？ 森田 智彦 某電機メーカの セキュリティ診断チームで 自社製品の診断業務に従事 組込み機器 サーバ／Ｗｅｂアプリ

4. ＷＥＢフィルタリング http://www.atmarkit.co.jp/ait/articles/1404/02/news002.html

5. 業務を阻害する場合も マニアックな機器を購入したい、スペックが知りたい ⇒クリックしたらオークションサイトであり ＵＲＬブラックリストで弾かれる セキュリティ診断の情報収集、ツール取得 ⇒怪しげな闇サイトとして カテゴリフィルタリングで弾かれる

6. どうにかして、回避したい

7. 簡単な方法で！ 外部プロキシの利用による フィルタリング回避 社内イントラ 端末 大手検索サービス によるページ翻訳 目的のサイトへ アクセス 社内プロキシ

   サーバ

8. どうすりゃいいの？ ・ベンダさん ⇒技術的な観点 ⇒設定的な観点 ・社内情シスさん ⇒業務効率的な観点 まじめな技術者のために

9. ベンダ対策：部分一致のチェック http://www.jra.go.jp/ https://translate.google.co.jp/translate? sl=bs&tl=ja&js=y&prev=_t&hl=ja&ie=UTF-8 &u=http%3A%2F%2Fwww.jra.go.jp%2F &edit-text=&act=url ⇒URLしか見ていない クエリパラメータも ちゃんとチェックしよう

10. ベンダ対策：優先度の検討 ホワイトリスト、 ブラックリストで 同じURLが設定された場合は、 ホワイトリストの設定が優先 ⇒ホワイトリストを信用し過ぎ 外部プロキシになりえ るURLはグレー判定

11. 情シス対策：従業員の生産性 業務効率や生産性とのバランスが取れ たセキュリティ対策を実施すべきだ セキュリティ偏重の判断は、業務の現 場に不便さをもたらし、柔軟な発想や 機敏性を損なわせ、イノベーションの 機会を潰してしまう http://ascii.jp/elem/000/001/260/1260611/ CODE BLUE

    2016基調講演 「How much security is too much? 」 カルステン・ノール氏

12. 情シス対策：従業員の生産性 業務上、急いで アクセスしなければ ならない場合も多いので・・・ こんなボタンを新設しては いかがでしょうか 上司に通知 上司通知に同意してアクセスする 上司に通知 http://www.owasp.hoge.org/

    × ‼ Warning ‼ このページは許可されていません‼ 悪質な場合は上司に報告します。 すべてのログは収拾されており 端末の特定も可能です。 云々、、、 上司に通知 してアクセス 上司の理解と信頼 があれば・・・

13. ディスカッション？ http://www.irasutoya.com/