Security-JAWS第4回レポート #secjaws #secjaws04

jawsug

森永です。

Security JAWS第4回が開催されましたのでレポート致します。

Security-JAWS 【第4回】2017年2月24日(金) - Security-JAWS | Doorkeeper

セッションレポート

Deep Dive on AWS Shield

AWSJ 桐山さん

  • AWS Shieldの話
  • 2016末登場
  • DDoS対策のサービス
  • 他のサービスと連携している
    • AWS WAF
    • CloudFront
    • Route53
    • ELB
  • エッジロケーションにShieldが入っている
    • CloudFrontやRoute53の前にいるイメージ
    • CloudFrontは必ずしも後ろはAWSである必要はない(オンプレでもいい)
    • CloudFrontの裏にオンプレあればShieldの恩恵を受けられる
  • セキュリティ保険の波が来てる
    • DDoS対策してないとはいれないです
  • DDoSの種類
    • たくさん送ってネットワーク層をパンクさせる
    • TCP層で管理しないといけない状態にさせる
    • アプリケーション層で一見問題ない通信
    • だいたいの攻撃はネットワーク層への攻撃
  • 緩和における課題
    • 複雑な前準備が必要
    • 事前の帯域確保(最悪落ちなきゃいい)
    • アプリケーションの見直し(インフラ側だけじゃダメ)
  • AWSにおけるゴール
    • 差別化要素にならないものはAWSが提供する
  • アプリケーション層はAWS WAFを使って防ぐ
    • 運用形態は以下
      • 自分で
      • DDoS専門チームに聞く
      • おまかせ
  • コストプロテクション
    • Shield Advancedでは
    • DDoS攻撃によるスケーリングコストは請求しない
    • 以下のサービスについて
      • CloudFront
      • ELB
      • ALB
      • Route53
  • Shieldのシステム
    • 何から守るか
      • 大規模攻撃
        • ネットワークのスケール
        • 悪いトラフィックはブロック
        • 通信を遅く受け取る
      • SYN Floodsなど
        • BlackWatchというファンクションがCloudFrontの前やELBの前に入ってる
      • HTTP Floodsなど
        • 沢山のAWS WAFがあって振り分けしている
    • DDoS Detection
      • DDoS Response Teamという24/365で対応するチームがいる
  • QA
    • Q. Route53ってSLA100%というのにShield入れる意味あるの?
    • A. サービスは生きていてもDDoSのせいで遅いということもありうるので必要
    • Q. DRTは日本にもいます?
    • A. 本国にしかいないので英語でしか対応できません。Enterpriseサポートに入って頂ければ日本のチームが間に入って対応します。
    • Q. DRTに全部任せるよとなった時に怪しい通信をすぐに遮断する、ようなことはあるのか
    • A. DRTとミーティングを行って遮断するか、モニタリングだけか決められます。

AWSにおけるWAF導入について

NECソリューションイノベータ 山水さん

  • IPA10大脅威が発表された
    • 個人の順位は大きく変わっていない
    • 組織の順位としてランサムウェア、IoT機器周りがランクイン
  • 公開Webサーバにおける必要なセキュリティ
    • 物理:入退出管理
    • ネットワーク:Firewall
    • ミドル/OS:IPS
    • Webアプリケーション:WAF
    • コンテンツ:改ざん検知
  • WAFとは
    • Webアプリケーションの脆弱性を利用した不正アクセスを防御するセキュリティ対策ツール
    • シグネチャの更新で常に最新の攻撃に対応
  • WAFを使わないで守るには
    • セキュアコーディング、リリース後の定期的な脆弱性対策が必要
    • 新しく対策した脆弱性を認識して、修正するまでの間に攻撃される
  • WAFを導入したら
    • セキュアコーディングはもちろん必要
    • 最新の定義ファイルを使用することで最新の脆弱性にも対応できる
    • アプリケーションの作りに依存しない一定セキュリティレベルを実現対応
  • WAFの形態
    • ネットワーク型
      • ネットワークに設置するWAF(AWS WAFはネットワーク型)
      • CDPではELBに挟んで使用することを推奨している(WAFが単一障害点にならないように)
      • 導入時にネットワーク構成の変更が必要
    • ホスト型
      • サーバにインストールする
      • 導入時ネットワーク構成変更が不要
    • SaaS型WAF
      • SaaSとして提供されている
      • DNSを変更するだけで導入可能
  • AWS WAF
    • ユーザでメンテナンスが必要
  • マーケットプレイスで購入できるWAF
    • Barracuda Web Application Firewall
    • Imperva SecureSphere Web Application Firewall
  • BYOLで導入できる
    • InfoCage SiteShell
    • Scutum

WordPress goes Serverless. - Shifterで始めるWordPressのセキュアな運用

デジタルキューブ 小賀さん

  • WordPressとは
    • 最もシェアの多い、伸びているCMS
    • セキュリティ、メンテナンスが問題視されるが使わざるを得ないという状況が多い
  • WordPressのセキュリティ
    • 改ざん被害は150万件超「最悪級の脆弱性」
    • WordPressは根本的に脆弱性があるのか
      • 継続的なメンテナンスを行っていれば致命的な問題は起きていない
    • よくある声
      • Coreのアップデートが多すぎる
        • これは本当。自動アップデートの機能もありますよ。
        • メジャーアップデートの自動アップデートは危ないかも
        • マイナーアップデートの自動アップデートはバグフィックス等なので自動推奨
        • Configファイルに記述することで設定可能
      • プラグインに脆弱性が
        • ありえるので選定が必要
          • 公式ディレクトリに掲載されている
          • 頻繁にメンテナンスされている
          • 利用前にコードレビュー
            • デバッグモードでWARNINGがでまくるやつは危ない
            • Plugin-Checkプラグインがある
      • テーマ複雑でメンテ不能
        • ありえます。
        • テーマ作成のガイドラインがあるのでそれに沿っているかを確認
      • PHPやMySQLなどのミドルに問題が…
        • ありえます。ホスティング環境のメンテが大事
        • WordPressのホスティングサービスがあります
    • アップデート時にこける原因あるある
      • CoreやPluginがそもそもハックされている
      • Pluginなどがガイドラインに準拠していない
  • Shifterを使おう
    • WordPressサイトを一連の静的なHTMLファイルに変換し、CDNを介して提供できる
    • Shifterを使うと使うときだけWordPressを使用するということができる
    • 今まで通りのワークフローでWordPressを使用できる
    • 記事の更新時に静的なファイルを生成する
  • Shifterのユースケース
    • どんな場合も使えるの?
      • 使えないケースも有る
      • コンテンツの更新が少なく、少人数で更新を行う場合は適する
        • イベント・キャンペーン・ランディングページ・コーポレートサイトなど
      • 会員サイトなどは動的になるので使えない
  • セキュリティ・運用について
    • サーバセットアップ不要
    • メンテナンス不要
    • ソフトウェア・アップデート不要
    • セキュリティ対応もらくになる
    • メンテやセキュリティ対策にかかる時間が相当削減できる!

LT1:Content Injection Vulnerability in WordPress

サイバーセキュリティクラウド 渡辺さん

  • REST APIの脆弱性
    • IPAで報告された後一気に増えた
    • 現在は減少傾向
  • AWS WAFで対応可能か
    • URLやBodyに含まれるid=[数字][文字]をブロックしたい
    • 正規表現使えない…無理そう…?

LT2:Security-JAWS in JAWS DAYS 2017

Security-JAWS 大喜多さん

LT3:OWASP JapanはJAWS DAYSのコミュニティスポンサーになりました

OWASP Japan PRチーム 吉江さん

  • OWASP JapanがJAWS DAYS2017のスポンサーに
    • http://jawsdays2017.jaws-ug.jp/supporter/1040/

最後に

WAFやWordPressなどWebアプリケーションのセキュリティ周りの話がメインでした。
Security JAWSはJAWS DAYS2017で2つ登壇します!!私も喋ります!