Upgrade to Pro — share decks privately, control downloads, hide ads and more …

WordPressにおける情報セキュリティについて / 2020-10-31 Kansai W...

WordPressにおける情報セキュリティについて / 2020-10-31 Kansai WordPress Meetup #022

Kansai WordPress Meetup @Kobe #22「セキュリティ対策ってどういうこと?」にて使用したスライド資料です。

・そもそも、情報セキュリティとは?
・必要な技術的対策
・情報セキュリティ 初心者のための3原則
・パスワードの設定と管理のあり方
・レンタルサーバーにおいて確認された攻撃と脅威動向
・WAFって何なん?

HORIE, Keisuke

October 31, 2020
Tweet

More Decks by HORIE, Keisuke

Other Decks in Technology

Transcript

  1. 機密性 • 「情報が漏れないように管理しましょう」というもの • 不正アクセス対策が代表例 • 不正アクセスを受けないためには、ある一つの情報にアクセス できる人間を最小限にするという対策が必要。 • 最小限にするためには、IDやパスワードを個人個人に設定し、

    誰でもかれでもアクセスできないようにすることが重要です。 • そのため、例えばIDやパスワードが書かれたメモは机上に放置 しないなど、IDやパスワード管理を徹底しましょう。 Kansai WordPress Meetup @KOBE 5 LRM株式会社 ISMS徹底解説ブログ 情報の「機密性」「完全性」「可用性」って? https://www.lrm.jp/iso27001/blog/iso27001isms/5763/
  2. 可用性 • 情報を使いたいときに使える状態にしておくこと • 例えば、データのバックアップなど • 普段利用しているパソコンが壊れた際、 データのバックアップが全く取られていなければ、 途方に暮れるしかない。 •

    そんなことが起こらないよう、 データを別の媒体にバックアップしておくことが重要 Kansai WordPress Meetup @KOBE 7 LRM株式会社 ISMS徹底解説ブログ 情報の「機密性」「完全性」「可用性」って? https://www.lrm.jp/iso27001/blog/iso27001isms/5763/
  3. WordPressにおける情報セキュリティ Kansai WordPress Meetup @KOBE 8 • WordPressを最新版にアップデートする • wp-config.php

    のパーミッションを変える • セキュリティのプラグインを追加する ・ ・ ・ などのWordPressに講じる対策のみではない!
  4. パスワードを複数のサービスで 使い回さない(定期的な変更は不要) • パスワードはできる限り、複数のサービスで使いまわさない • 他のサービスで設定したパスワードが漏えいした場合、 第三者に重要情報にアクセスされてしまう可能性が生じる • 機器やサービスの間で使い回しのない、 固有のパスワードを設定する

    • 定期的にパスワードを変更することで、 パスワードの作り方がパターン化し簡単になることや、 使いまわしするようになることのほうが問題 • パスワードの変更は、流出時に速やかに変更する Kansai WordPress Meetup @KOBE 24
  5. Webサーバーを守る番人について Kansai WordPress Meetup @KOBE 28 ファイア ウォール 不正侵入検知 IPS/IDS

    Web Application Firewall (WAF) Webサーバ 通常利用 ポートスキャン DoS/DDoS Webサイト、サーバーの脆弱性を利用した攻撃
  6. WAFが防ぐ攻撃って?(1) XSS (クロスサイトスクリプティング) 対策内容 javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知します。 不正アクセス例 クッキーの値を不正に取得、設定しセッションハイジャックを行う CSRF(クロスサイトリクエストフォージェリ)の踏み台とする URL等を偽装し利用者をフィッシングサイトへ誘導する ターゲット

    掲示板 ブログシステム 他、第三者が入力した情報を表示するアプリケーション全般 Kansai WordPress Meetup @KOBE 29 SQL (SQLインジェクション) 対策内容 SQL構文に該当する文字列が挿入されたアクセスについて検知します。 不正アクセス例 SQL構文を利用した不正な文字列を付加し意図しないSQL文を発行する データベース情報の漏洩を試みる データベースの情報の書き換えや破壊を試みる ターゲット データベース登録を行う会員制サイト データベースを利用したアプリケーション全般 ※利用者の入力した内容からSQL文を生成するアプリケーションが 不正アクセスの対象となります。
  7. WAFが防ぐ攻撃って?(2) ファイル (ファイル不正アクセス) 対策内容 .htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検 知します。 不正アクセス例 パスワードの記述されたファイルを上書きし認証の掛かったページに不正アクセスを行う

    サーバーの設定ファイルを書き換えることで挙動の乗っ取りが行われる ターゲット 画像アップロード機能付き掲示板 ファイル操作が行われるアプリケーション Kansai WordPress Meetup @KOBE 30 メール (メールの不正送信) 対策内容 to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知します。 不正アクセス例 メールが送信されるフォームを利用した第三者への大量メール送信が行われる ターゲット メールを送信する機能を備えたアプリケーション エックスサーバー レンタルサーバー マニュアル WAF設定 https://www.xserver.ne.jp/manual/man_server_waf.php
  8. WAFが防ぐ攻撃って?(3) コマンド (コマンドアクセス/実行) 対策内容 kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知します。 不正アクセス例 コマンドを実行できるスクリプト言語(PHP,Perl等)を通してコマンドを不正実行させる サーバーに関する重要な情報の盗み見や、踏み台として利用する ターゲット

    PHPやPerl等で作成されコマンド実行を利用するアプリケーション Kansai WordPress Meetup @KOBE 31 PHP (PHP関数の脆弱性) 対策内容 session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれた アクセスを検知します。 不正アクセス例 セッションを書き換え、会員ページへのアクセスや管理者権限の乗っ取り 不正ファイルのアップロードを踏み台にサーバーの乗っ取り ターゲット PHPを用いたアプリケーション全般 エックスサーバー レンタルサーバー マニュアル WAF設定 https://www.xserver.ne.jp/manual/man_server_waf.php