webサイトのセキィリティまとめ

Transcript

1. WEBαΠτͷηΩϡϦςΟରࡦ ͸͡ΊͷҰา

2. ͜ͷεϥΠυͷ໨త - webαΠτͷηΩϡϦςΟରࡦʹ͍ͭͯ֓ཁΛ೺Ѳ͢Δɻ

3. ৘ใηΩϡϦςΟ10େڴҖ ग़లɿ৘ใॲཧਪਐػߏʮ৘ใηΩϡϦςΟ10େڴҖ 2016ʯ https://www.ipa.go.jp/security/vuln/10threats2016.html ηΩϡϦςΟΠϯγσϯτͷࣄྫ ඪతܕ߈ܸ ɾJTB(2016) ɾ೔ຊ೥ۚػߏ(2015) ಺෦ෆਖ਼ʹΑΔ৘ใ࿙͍͑ ɾϕωοηίʔϙϨʔγϣϯ(2014)

   ɾΤσΟΦϯ(2015) ΢ΣϒαʔϏε͔Βͷݸਓ৘ใͷ઄औ ɾApache Struts2ͷ੬ऑੑΛ͍ͭͨ߈ܸ(2017) ɹɹ- ࠃަলɺ૯຿লɺGMO-PGͳͲ

4. WEBΞϓϦέʔγϣϯͷηΩϡϦςΟରԠਤ ਤܗ࡞੒ɿdraw.io

5. IDS / IPSʹ͍ͭͯ IDS / IPS ͱ͸ IDSʹIntrusion Detection Systemʢ৵ೖݕ஌γεςϜʣɻݕग़ޙʹ๷ޚાஔΛͱΒͳ͍ɻ

   IPSʹIntrusion Prevention Systemʢ৵ೖ๷ޚγεςϜʣɻݕग़ޙʹ๷ޚાஔΛͱΔɻ IDS / IPS ͕ग़དྷΔ͜ͱ IDS͸৵ೖΛݕ஌͠ɺ؅ཧऀʹ௨஌͢Δ͜ͱ͕ओ໨తɻ௨஌Λड͚ͨ؅ཧऀ͕ରࡦΛߨ͡Δඞཁ͕͋ΔͷͰɺ͕͔͔࣌ؒΔɻ IPS͸IDSʹ๷ޚͷػೳΛ෇༩ɻ৵ೖͷݕ஌ͱಉ࣌ʹ௨৴Λःஅ͢ΔͳͲɻ ֎෦͔ΒͷDDos߈ܸͷ๷ޚ΍ɺ಺෦͔Β֎෦΁ͷෆਖ਼ͳ௨৴ͷϒϩοΫͳͲ͕Մೳɻ IDS / IPS ͷछྨ ઃஔ৔ॴʹΑͬͯԼهͷछྨ͕͋Δ ʲϗετܕʳ OS͝ͱͷରࡦͱͳΔͨΊɺର৅ίϯϐϡʔλʹݸผʹιϑτ΢ΣΞΛΠϯετʔϧ͢Δඞཁ͕͋Δɻ ʲωοτϫʔΫܕʳ ωοτϫʔΫ্ʹ഑ஔɻύέοτͷ಺༰Λ൑ผ͢ΔͨΊɺ৵ೖ΍߈ܸ΁ͷରԠ͕ૉૣ͘Ͱ͖Δɻ ͞Βʹઃஔ৔ॴ͕ʮϑΝΠΞ΢Υʔϧͷ֎ଆʯʮDMZ্ʯʮ಺෦ωοτϫʔΫʯͷ̏ύλʔϯ͕͋Δɻ ɹɹ- ϑΝΠΞ΢Υʔϧͷ֎ଆɿϩάऔಘʹΑΔ߈ܸͷ೺Ѳɺ෼ੳ͕ओ໨తɻ ɹɹ- DMZ্ɿϑΝΠΞ΢ΥʔϧͰϒϩοΫͰ͖ͳ͔ͬͨ߈ܸͷݕग़ɺ๷ޚ͕໨తɻ ɹɹ- ಺෦ωοτϫʔΫɿ಺෦͔Βͷෆਖ਼ͳ௨৴Λ؂ࢹ͢Δ͜ͱ͕໨తɻ

6. WAFʹ͍ͭͯ WAFʢWeb Application Firewallʣͱ͸ webΞϓϦέʔγϣϯͷ੬ऑੑΛར༻ͨ͠߈ܸ͔ΒwebαΠτΛอޢ͢ΔηΩϡϦςΟରࡦͷͨΊͷ๷ޚπʔϧɻ ΞϓϦέʔγϣϯϨϕϧͷηΩϡϦςΟରࡦɻ WAFͷछྨ Ϋϥ΢υܕ / ιϑτ΢ΣΞܕʢϗετܕʣ

   / ήʔτ΢ΣΠܕʢωοτϫʔΫܕʣ FirewallɺIDS / IPSͱͷҧ͍ FWɿωοτϫʔΫϨϕϧͷରࡦɻύέοτͷৼΓ෼͚ͷΈͰ௨৴ͷத਎͸ݟͳ͍ͨΊɺ80/443൪ϙʔτ΁ͷਖ਼ৗͳ௨৴Λ૷ͬͨ߈ܸʹ͸ରԠͰ͖ͳ͍ɻ IDS/IPSɿϓϥοτϑΥʔϜϨϕϧͷରࡦʢOS΍ϛυϧ΢ΣΞͷ੬ऑੑରԠͳͲʣɻSQLΠϯδΣΫγϣϯͳͲߴ౓Խͨ͠߈ܸͷݕ஌͸ऑ͍ɻ WAFͰ๷ޚՄೳͳ߈ܸʢ˞1ʣ SQLΠϯδΣΫγϣϯɺόοϑΝΦʔόʔϑϩʔɺηογϣϯϋΠδϟοΫɺڧ੍ϒϥ΢ζɺOSίϚϯυΠϯδΣΫγϣϯ ύεϫʔυϦετ߈ܸɺXXSɺCSRFɺύϥϝλվ͟ΜɺύετϥόʔαϧɺΤϥʔίʔυ ※1ɿNEC੡඼ʮ InfoCage SiteShell ʯͷ৔߹

7. ׬શHTTPSԽʹ͍ͭͯ ׬શHTTPSԽʢৗ࣌HTTPSԽʣͱ͸ WebαΠτͷ͢΂ͯͷϖʔδΛHTTPSԽʢSSL / TLS҉߸Խʣ͢Δ͜ͱɻ ׬શHTTPSԽͷϝϦοτɾσϝϦοτ ʲϝϦοτʳ ɾηΩϡϦςΟ໘ͷڧԽ ɾݕࡧॱҐͰͷ༏۰ʢgoogleʣ ɾ௨৴଎౓ͷ޲্ʢHTTP/2ར༻࣌ʹ͸HTTPS͕ඞਢʣ

   ɾΞΫηεϩάղੳͷਫ਼౓޲্ʢϦϑΝϥड౉ͷվળʣ ɾαΠτͷ৴པੑΛΞϐʔϧ ʲσϝϦοτʳ ɾطଘαΠτͷҠߦ࡞ۀͷίετ͕͔͔Δ ɾAdSenseऩӹݮগͷՄೳੑ͕͋Δ ɾSSLূ໌ॻͷൃߦඅ༻ͱӡ༻ίετ͕͔͔Δ ɾSNSͳͲͷιʔγϟϧϘλϯͷΧ΢ϯτϦηοτ

8. ϦόʔεϓϩΩγʹΑΔηΩϡϦςΟରࡦ ϦόʔεϓϩΩγߏ੒ʹ͢Δ͜ͱͰɺηΩϡϦςΟڧԽ͕ظ଴ग़དྷΔ 90ඵͷಈըͰֶͿITΩʔϫʔυɿϦόʔεϓϩΩγʢReverse Proxyʣ - ˏIT http://www.atmarkit.co.jp/ait/articles/1608/25/news034.html ͦͷଞϦόʔεϓϩΩγͷϝϦοτ - IPΞυϨεͷϑΟϧλϦϯάʢڐՄɺःஅʣ

   - URLͷ੔ܗ - ෛՙ෼ࢄɺϝϞϦ࢖༻཰ͷ޲্ʢ੩త / ಈతϦιʔεͷৼΓ෼͚ʣ - ෳ਺αʔϏεͷαʔό౷߹ - SSLͷूத؅ཧ

9. αʔό؂ࢹʢOSSπʔϧʣ Munin Ϧιʔε࢖༻ঢ়گͷϞχλϦϯάɻूத؅ཧαʔόͱΫϥΠΞϯτΤʔδΣϯτܕ Nagios ωοτϫʔΫαʔϏεͷ؂ࢹɺϗετͷϦιʔε؂ࢹ Zabbix ωοτϫʔΫ؂ࢹɺσʔλϕʔε؂ࢹɺԾ૝Ϛγϯ؂ࢹɺγφϦΦΛར༻ͨ͠΢Σϒ؂ࢹɺZabbixϓϩΩγʹΑΔ෼ࢄ؂ࢹɺো֐ݕ஌ͱΞ ϥʔτ௨஌ɺZabbixAPIͷఏڙ Pandora FMS

   αʔόɾωοτϫʔΫػثͷࢮ׆؂ࢹɺSNMP؂ࢹͳͲɻWindows ServerΛαϙʔτɻΦʔϓϯιʔε൛ͱEnterprise൛͕͋Δ sensu / uchiwa αʔόɺԾ૝ίϯςφɺσʔλϕʔεɺωοτϫʔΫػثɺϦϞʔτϦιʔε؂ࢹͳͲɻuchiwa͸μογϡϘʔυͷػೳΛఏڙ͢Δผϓϩ μΫτ͕ͩɺ௨ৗ͸sensuͱηοτͰ࢖༻͞ΕΔɻNagiosͷεέʔϧΞ΢τ໘Ͱͷ໰୊ղܾͷͨΊʹ࡞ΒΕͨɻ Xymon αʔόɺωοτϫʔΫͷ؂ࢹɻSNMPରԠ͕ͩΤʔδΣϯτϨε؂ࢹ΋ՄೳɻRRDToolͰ؂ࢹσʔλͷ؅ཧɺάϥϑදࣔɻ

10. ʲ͓·͚ʳCSIRTͱ͸ γʔαʔτʢCSIRTɿ Computer Security Incident Response Teamʣ ίϯϐϡʔληΩϡϦςΟʹ͔͔ΔΠϯγσϯτʹରॲ͢ΔͨΊͷ૊৫ͷ૯শɻ Πϯγσϯτؔ࿈৘ใɺ੬ऑੑ৘ใɺ߈ܸ༧ஹ৘ใΛऩूɺ෼ੳ͠ɺରԠํ਑΍खॱͷࡦఆͳͲͷ׆ಈΛ͓͜ͳ͏ɻ ೔ຊγʔαʔτڠٞձͱ͸ʛCSIRT

    - ೔ຊγʔαʔτڠٞձʢhttp://www.nca.gr.jp/outline/index.htmlʣ ถࠃCERT Coordination CenterʹΑΔ6෼ྨ ૊৫಺CSIRTɿ૊৫಺Ͱൃੜͨ͠ΠϯγσϯτʹରԠ ࠃࡍ࿈ܞCSIRTɿ೔ຊͰ͸JPCERT/CCͳͲ ίʔσΟωʔγϣϯηϯλʔɿڠྗؔ܎ʹ͋ΔଞͷCSIRTͱͷ࿈ܞɾௐ੔ ෼ੳηϯλʔɿΠϯγσϯτ܏޲ͷ෼ੳɺϚϧ΢ΣΞղੳɺࠟ੻෼ੳɺ஫ҙשىͳͲ ϕϯμνʔϜɿࣗࣾ੡඼ͷ੬ऑੑʹରԠ ΠϯγσϯτɾϨεϙϯεϓϩόΠμɿηΩϡϦςΟϕϯμɺSOCʢηΩϡϦςΟΦϖϨʔγϣϯηϯλʔʣࣄۀऀͳͲ େखಋೖࣄྫ େ੒ݐઃɺANAγεςϜζɺδϟύϯωοτۜߦɺδΣʔγʔϏʔɺ໌࣏҆ాੜ໋ɺ౦ژిྗϗʔϧσΟϯάεɺJFEϗʔϧσΟϯάε Έͣ΄ϑΟφϯγϟϧάϧʔϓɺSOMPOϗʔϧσΟϯάεɺΦϦϯύεɺϠϚϋൃಈػɺαΠϘ΢ζɺઍ༿େֶ etc… αΠόʔ߈ܸͷଟ༷ԽɺଟൃԽ͕ܦӦϦεΫͱͳΔࡢࠓʹ͓͍ͯɺ֤ࣾͱ΋CSIRTͷߏஙΛٸϐονͰਐΊ͍ͯΔ͕ɺηΩϡϦςΟਓࡐ΍ٕज़ͷෆ଍ɺࣾ಺֎ ͱͷ࿈ܞɺܦӦ૚΍ݱ৔ͷηΩϡϦςΟҙࣝվֵɺνʔϜͷܧଓൃలͳͲ͕՝୊ͱͳ͍ͬͯΔɻ

11. ʲ͓·͚ʳϝϧΧϦݸਓ৘ใ࿙͍͑ʹݟΔΩϟογϡͷ᠘ 2017೥6݄22೔ʹൃੜͨ͠ϑϦϚΞϓϦʮϝϧΧϦʯweb൛αΠτͰͷ৘ใ࿙͍͑ࣄ݅͸ɺCDNαʔόͷ੾Γସ͑ʹࡍͯ͠ɺHTTPϨεϙϯ ε಺ͷʮCache-ControlϔομʔʯͷઃఆʹΑΓຊདྷΩϟογϡ͞Εͯ͸͍͚ͳ͍ίϯςϯπ͕Ωϟογϡ͞Εͯ͠·ͬͨ͜ͱ͕ݪҼɻ ◆੾Γସ͑લͷΩϟογϡઃఆ - CDNଆͰΩϟογϡઃఆʢԼهͷΩϟογϡ͕ແޮʹͳΒͳ͍৔߹͕͋ΔϨεϙϯεϔομͷઃఆ͸ద༻͞Ε͍ͯͳ͔ͬͨʣ ◆੾Γସ͑ޙͷΩϟογϡઃఆ - ੾ସઌͷCDNϓϩόΠμ͕Cache-ControlϔομͰΩϟογϡΛແޮʹͰ͖ͨͨΊɺCDNଆͰ͸ͳ͘nginxʹΑΔઃఆʢԼهʣͷΈͱͨ͠ɻ -

    ͔ͦ͠͠ͷCDNϓϩόΠμͰΩϟογϡ͕ߦΘΕͳ͍ͷ͸ɺCache-Controllϔομ͕ʮprivateʯͷ৔߹͚ͩͩͬͨɻ - ੾ସ౰ॳɺϝϧΧϦͰ͸Cache-Controlʹʮno-cacheʯΛઃఆ͍ͯͨ͠ɻno-cache͸ʮΩϟογϡ͠ͳ͍ʯͰ͸ͳ͘ɺʮʢϓϩΩγαʔό΍ Ωϟογϡαʔόʹରͯ͠ʣΩϟογϡʹه࿥͞Εͨίϯςϯπ͕ݱࡏ΋༗ޮ͔൱͔ΛɺΦϦδϯͷWebαʔόʹ໰͍߹Θͤͯ֬ೝ͠ͳ͚Ε͹ ࠶ར༻ͯ͠͸ͳΒͳ͍ʢͱ͍͏ࢦࣔΛ͢Δʣʯͱ͍͏ҙຯͷHTTPϨεϙϯεɻWebαʔό͕ʮ304 Not Modifiedʢมߋͳ͠ʣʯͷεςʔλε ίʔυΛฦ͢ͱɺΩϟογϡ͕࢖ΘΕͯ͠·͏ɻ - ҰํɺCache-Controlʹmax-age·ͨ͸s-maxageͷ͍ͣΕ΋ࢦఆ͍ͯ͠ͳ͔ͬͨͨΊɺExpiresϔομ͕࠾༻͞Ε͍ͯͨɻ - Expiresϔομʹ͸ΞΫηεͷ1ඵલͱ͍͏ҙຯͰʮ -1 ʯΛࢦఆ͠ΩϟογϡΛແޮԽ͍͕ͯͨ͠ɺաڈ೔෇ͷ৔߹͸0ඵͱͯ͠ѻΘΕ͍ͯͨɻ - Expiresϔομ͕0ඵͷ৔߹ɺCDN͔ΒΦϦδϯ΁ͷϦΫΤετதʹಉ͡URL΁ͷϦΫΤετ͕ൃੜ͢Δͱɺ2ͭ໨Ҏ߱ͷಉ͡URL΁ͷϦΫΤε τʹ͸ಉ͡Ϩεϙϯε͕ฦΔ࢓༷ʹͳ͍ͬͯͨʢʹଞਓͷ৘ใؚ͕·ΕΔίϯςϯπ͕ӾཡͰ͖ͯ͠·ͬͨʣ - ΩϟογϡΛ͠ͳ͍Α͏ʹ͢Δʹ͸ʮno-storeʯΛࢦఆ͢Ε͹Α͍ʢϝϧΧϦ੾ସޙͷCDNͷ৔߹͸ʮprivateʯͷΈΩϟογϡແޮԽʁʣ - ·ͨ͸CDN΁ͷΩϟογϡ͸ݸਓ৘ใΛؚ·ͳ͍ը૾΍js / css ϑΝΠϧʹݶΔΑ͏ʹ͢ΔɺͳͲͷରࡦ͕ߟ͑ΒΕΔɻ

12. ࢀߟจݙɺαΠτ ͢΂ͯΘ͔ΔηΩϡϦςΟେશ2018 (೔ܦBPϜοΫ) ৘ใηΩϡϦςΟ10େڴҖ 2016ɿIPA ಠཱߦ੓๏ਓ ৘ใॲཧਪਐػߏ https://www.ipa.go.jp/security/vuln/10threats2016.html WebαΠτશମͷHTTPSԽʮৗ࣌SSLʯ͕ඞཁͳཧ༝ͱϝϦοτΛཧղ͠Α͏ :

    ϏδωεͱIT׆༻ʹ໾ཱͭ৘ใ http://www.asobou.co.jp/blog/web/ssl-2 WAFͱ͸ʁʛSiteGuardʛΩϠϊϯITιϦϡʔγϣϯζ https://www.canon-its.co.jp/products/siteguard/waf/ 5෼Ͱઈରʹ෼͔Δɿ5෼Ͱઈରʹ෼͔ΔIDSʗIPS (1/6) - ˏIT http://www.atmarkit.co.jp/ait/articles/0203/16/news001.html idsͱipsͷҧ͍ʛϑϦʔϏοτΫϥ΢υ | ϑϦʔϏοτΫϥ΢υ https://cloud.freebit.com/contents/security/161/ CDN੾Γସ͑࡞ۀʹ͓͚ΔɺWeb൛ϝϧΧϦͷݸਓ৘ใྲྀग़ͷݪҼʹ͖ͭ·ͯ͠ - Mercari Engineering Blog http://tech.mercari.com/entry/2017/06/22/204500 ηΩϡϦςΟରࡦͱͯ͠ͷ Cache-Conrol ϔομʹ͍ͭͯ - ཧܥֶੜ೔ه http://kiririmode.hatenablog.jp/entry/20170625/1498389317