昨今、WEBサービスを運用するにあたり、攻撃手法の高度化に伴いサーバの防御、脆弱性対応はもちろんのこと、有事を検知する監査の仕組みも注目されるようになってきました。
話し手が所属するGMOペパボでは、これまでのセキュリティ・インシデントの経験を糧にサーバ監査の仕組みやウィルス検知の仕組みの構築に力を注いでいます。 このセッションでは話し手が全社横断で取り組んできたサーバ監査の仕組みの構築、導入のノウハウや、実際の運用の勘所を踏まえて、知見を共有します。
ʙ৽य़ͷதւͰ͕͋ͬͨ1FSMΛఴ͑ͯʙ!QZBNB(.01FQBCP *OD:"1$5PLZP8B[VIΛར༻ͨ͠େ౷Ұαʔόࠪج൫
View Slide
γχΞɾϓϦϯγύϧΤϯδχΞࢁԼ!QZBNBϗεςΟϯάࣄۀ෦νʔϑςΫχΧϧϦʔυIUUQTUFOTOBQPODPN
ϗεςΟϯάࣄۀ &$ࢧԉࣄۀ ϋϯυϝΠυɾͦͷଞࣄۀ
ϩϦϙοϓʂϨϯλϧαʔόαʔϏεఏڙ։࢝ ϔςϜϧαʔϏεఏڙ։࢝1ࢁ͕ϖύϘʹೖࣾʂʂ݄̍ࣛࣇౡݝग़ਫࢢʹ͓͍ͯ1ࢁരʂʂ̍ ݱࡏɾۀϜʔϜʔυϝΠϯαʔϏεఏڙ։࢝
45/4-JOVY/444FSWFSTUOTKQ
45/4
ࠓ͢͜ͱw8B[VI֓ཁwϖύϘͷ8B[VIಋೖܦҢw8B[VIίϯϙʔωϯτհw8B[VIӡ༻ͷצॴw·ͱΊ
ࠓ͞ͳ͍͜ͱw$MBN"7ʹ͍ͭͯwUDQEQΛ༻͍ͨΫΤϦϩάอଘʹ͍ͭͯwͷੜͱ࠷ۙͷ࿀Ѫࣄʹ͍ͭͯ
8B[VI5IF0QFO4PVSDF4FDVSJUZ1MBUGPSNXB[VIDPN
8B[VIJTBTFDVSJUZEFUFDUJPO WJTJCJMJUZ BOEDPNQMJBODFPQFOTPVSDFQSPKFDU*UXBTCPSOBTBGPSLPG044&$)*%4 BOEMBUFSXBTJOUFHSBUFEXJUI&MBTUJD4UBDLBOE0QFO4$"1 FWPMWJOHJOUPBNPSFDPNQSFIFOTJWFTPMVUJPO%PDVNFOUBUJPO8B[VI(FUUJOHTUBSUFE GSPNIUUQTEPDVNFOUBUJPOXB[VIDPNDVSSFOUHFUUJOHTUBSUFEJOEFYIUNM
8B[VIͰԿ͕Ͱ͖Δ͔ʁϑΝΠϧ߹ੑࢹϩάࢹʹج͍ͮͨ৵ೖݕγεςϜઃఆϙϦγʔࠪγεςϜ੬ऑੑࢹ
ϖύϘͷ8B[VIಋೖܦҢ
ηΩϡϦςΟΠϯγσϯτͷൃੜ
ෆਖ਼ΞΫηεʹΑΔෆਖ਼ϓϩάϥϜͷ࣮ߦ
Πϯγσϯτ͕ى͖ͨͱ͖ʹௐࠪ͢Δ͜ͱԿ Λෆਖ਼ΞΫηε͞Ε͔ͨʁෆਖ਼ΞΫηε͞ΕͨใԿ͔ʁ͍ͭෆਖ਼ΞΫηε͕ߦΘΕͨͷ͔ʁͳͥෆਖ਼ΞΫηε͕ൃੜͨ͠ͷ͔ʁ˞*1"ใ࿙͍͑ൃੜ࣌ͷରԠϙΠϯτूΑΓҰ෦ൈਮ
ਖ਼֬ͳඃͷѲϏδωεͰॏཁෆਖ਼ΞΫηε͞ΕͨใԿ͔ʁ
ௐࠪखஈw֤छγεςϜϩάɾΞϓϦέʔγϣϯϩάw%#ͷΫΤϦʔϩάwΞΫηε͞ΕͨՄೳੑͷ͋ΔใΛཏతʹௐࠪ͢Δ
େͳ࣌ؒͱ࡞ۀྔ
࣍ඃͷࢭιʔγϟϧϦεΫૣٸʹਖ਼֬ͳใ։͕ࣔඞཁ
8B[VI͕ղܾ͢Δ͜ͱࠪ ཧηΩϡϦςΟࠪͷ౷߹ج൫wγεςϜίʔϧࢹwϑΝΠϧ߹ੑࢹwϙϦγʔࢹwύοέʔδ੬ऑੑࢹwࠪঢ়گͷऩूwμογϡϘʔυͳͲͷ(6*w4MBDLͳͲͷ௨࿈ܞw3&45GVM"1*
ϖύϘͷ8B[VIಋೖͷಈػwαʔόͷ৵ೖͷݕෆਖ਼ͳৼΔ͍Λ௨ΛࣗಈԽɺͰ͖ΕରԠ·ͰࣗಈԽ͍ͨ͠w$7&ొ࣌ͳͲͷӨڹௐࠪΛϫϯετοϓͰߦ͍͍ͨwҰͭͷ੬ऑੑΛશࣄۀ෦ԣ۲Ͱཧ͍ͨ͠
ϖύϘͷ8B[VIಋೖwαʔόͷߏங!UONUͱͰҰ൩Ͱ࡞ͬͨwΫϥΠΞϯτͷಋೖظશࣾ౷Ұɺ༏ઌΛ͚ͭͯಋೖΛਐΊ͍ͯͬͨwࣄۀ෦͝ͱʹཧ͢ΔΫϥΠΞϯτͷϩʔϧ͕ҟͳΔͨΊɺڞ௨෦$PPLCPPLϚχϑΣετΛ044ͱͯ͠։ൃ͠ɺͦͷଞ֤ࣄۀ෦Ͱνϡʔχϯά͠ɺͦͷϊϋΛਵ࣌ࣾల։
ϖύϘͷ8B[VIಋೖޙ৵ೖݕ֤αʔόʹಋೖͨ͠8B[VIΤʔδΣϯτ͕BVEJUMPHΛ࢝ΊɺγεςϜͷ;Δ·͍͔Βɺ৵ೖΛݕࣗ͠ಈͰ௨ॳಈରԠ֤ࣄۀ෦͝ͱʹ8B[VI௨ޙͷΞΫγϣϯΛऔΓܾΊɺηΩϡϦςΟରࡦνʔϜͱ ࿈ܞࣄޙରԠμογϡϘʔυ"1*͔ΒใΛऩू౷߹ཧύοέʔδͷใΛ࢝Ίɺ֤αʔόͷঢ়ଶΛऩूͰ͖ΔΑ͏ʹͳͬͨ͜ͱ͔Βɺશࣾԣ۲Ͱͷαʔόཧ͕Մೳʹͳͬͨ
8B[VIΞʔΩςΫνϟ
8B[VI
BHFOU4ZTDIFDL-PHDPMMFDUPS3PPUDIFDL.PEVMFT.BOBHFS
TFSWFS"OBMZTJT%BFNPO3FNPUF%BFNPO3&45GVM"1*
&MBTUJD4UBDL&MBTUJDTFBSDI,JCBOB
8B[VI$MVTUFSඪ४ػೳͰΫϥελϦϯά͕Ͱ͖Δߏ͔ͭෛՙࢄ͕ՄೳTFSWFSXPSLFSTFSWFSXPSLFSTFSWFSXPSLFS-#DMJFOUDMVTUFS
ϖύϘେ౷Ұ8B[VI0QFO4UBDLEPDLFSDPNQPTFXB[VI&MBTUJDTFBSDIEPDLFSDPNQPTFXB[VI&MBTUJDTFBSDIEPDLFSDPNQPTFXB[VI&MBTUJDTFBSDIEPDLFSDPNQPTFXB[VI&MBTUJDTFBSDI0QFO4UBDL্ͷ7.Ͱ࣮ߦೝূ(4VJUFʹ౷߹IUUQTHJUIVCDPNXB[VIXB[VIEPDLFSEPDLFSDPNQPTFͰΫϥελʔߏங
౷Ұج൫ͰࡉԽͯ͠ཧՄೳάϧʔϓɾϥϕϧʹΑΔάϧʔϐϯά$ /var/ossec/bin/agent-auth -m MANAGER_IP -G lolipoplolipopΫϥΠΞϯτొ࣌ʹάϧʔϓࢦఆΫϥΠΞϯτͷઃఆϑΝΠϧʹҙͷ߲ΛMBCFMͰఆٛՄೳ
ϥϕϧͷఆٛʹج͍ͮͯ௨εΫϦϓτ࣮ߦ
ӡ༻ͷצॴͱ࣮ྫ
ϊΠζΞϥʔτ
σϑΥϧτϧʔϧΛͦͷ··௨͢Δͱա௨ʹͳΔྫϗεςΟϯάʹ͓͚ΔϝʔϧೝূΤϥʔˠϊΠζ͕͋Δͱ͍ͣΕਓ͕ݟͳ͘ͳΔΞϥʔτʹଈରԠ͕ඞཁͱ͍͏ӡ༻Λࢦ͢
ϊΠζΛݮΒ͢ख๏ ௨ϧʔϧϨϕϧΛมߋ͢Δ σϑΥϧτϧʔϧΛ্ॻ͖͢Δᶃ ϧʔϧϨϕϧΛม͑Δᶄ ϗετɾϩʔϧΛߜΔ
8B[VIͷΞϥʔτॲཧ/PWGUQVTFSBEE<>OFXHSPVQOBNF1" (*%UJNFTUBNQ/PWIPTUOBNFGUQ[email protected]SVMFJEMFWFMIPTUOBNFGUQIPTUOBNF[email protected] BEEVTFS [email protected]EFTDSJQUJPO*HOPSFGPSDPMPSNFBEEPSEFMFUFVTFSHSPVQEFTDSJQUJPO[email protected]@ [email protected]@ [email protected]@ [email protected] [email protected]*[email protected] [email protected]*[email protected] HSPVQSVMF%FDPEF.BUDI
1VMMSFRVFTU3FWJFX.FSHF$*%FQMPZ֤ࣄۀ෦ͷϝϯόʔ͕ɺϩʔΧϧϧʔϧΛه͠ɺ133VCZͷNJOJUFTUͰ࣮͞ΕͨɺࣗಈςετΛ࣮ߦҙਤ͞ΕͨϧʔϧͷΈ͕ਖ਼͘͠มߋ͞Ε͍ͯΔ͔ɺՃ͞Ε͍ͯΔ͔ΛςετϨϏϡΞʔʹࢦ໊͞Εͨϝϯόʔ͕ϨϏϡʔ͠ɺϚʔδ.BTUFS$*࣮ߦޙɺࣗಈͰ8B[VIج൫ʹσϓϩΠϩʔΧϧϧʔϧӡ༻
σϓϩΠര
γϯϘϦοΫϦϯΫΛར༻ͨ͠σϓϩΠ'*.͔ΒݟΔͱશվ᜵[email protected] [email protected]ɹσϓϩΠՔಇதͷαʔϏεʹṖͷϑΝΠϧ͕ஔ͔Εͨͱೝࣝ͞ΕΔ
[email protected]
8B[VIͷֶशσʔλΛύʔδ͢Δඞཁ͕͋Δ[email protected] [email protected]ɹσϓϩΠ8B[VI%#νΣοΫαϜύεΛֶश ֶश͍ͯ͠ͳ͍ϑΝΠϧ͕Ճ͞ΕͨˠΞϥʔτ$ curl -X DELETE "https://api.url/syscheck/ \$(sudo sed -n 3p /var/ossec/queue/ossec/.agent_info)?pretty"
"1*Λ͍͢͜Ε͔Β
ύοέʔδͷΠϯετʔϧঢ়گ੬ऑੑͷ༗ແΛऔಘ
ͲΜͳϓϩηε͕ಈ͍͍ͯΔ͔ʁ
IUUQTHJUIVCDPNNSUDXB[VI
·ͱΊwηΩϡϦςΟɾΠϯγσϯτൃੜ͢ΔͱܦӦΛ༳Δ͕͢΄Ͳͷ ΠϯύΫτ͕ى͜ΓಘΔwى͖͔ͯΒͰ͍͠ɺى͖ͨ͋ͱ͕ඞཁwະવʹ͙͜ͱɺൃੜΛݕ͢Δ͜ͱɺૣٸͳࣄޙऩଋΛ ఏڙ͢Δ8B[VIಋೖ؆୯ͩ͠ɺӡ༻ָ
5IBOLZPV࠷৽ͷ࠾༻ใΛνΣοΫˠ [email protected]