Security-JAWS第4回レポート #secjaws #secjaws04

森永大志

2017.02.24

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

森永です。

Security JAWS第4回が開催されましたのでレポート致します。

Security-JAWS 【第4回】2017年2月24日(金) - Security-JAWS | Doorkeeper

セッションレポート

Deep Dive on AWS Shield

AWSJ 桐山さん

AWS Shieldの話
2016末登場
DDoS対策のサービス
他のサービスと連携している
- AWS WAF
- CloudFront
- Route53
- ELB
エッジロケーションにShieldが入っている
- CloudFrontやRoute53の前にいるイメージ
- CloudFrontは必ずしも後ろはAWSである必要はない（オンプレでもいい）
- CloudFrontの裏にオンプレあればShieldの恩恵を受けられる
セキュリティ保険の波が来てる
- DDoS対策してないとはいれないです
DDoSの種類
- たくさん送ってネットワーク層をパンクさせる
- TCP層で管理しないといけない状態にさせる
- アプリケーション層で一見問題ない通信
- だいたいの攻撃はネットワーク層への攻撃
緩和における課題
- 複雑な前準備が必要
- 事前の帯域確保（最悪落ちなきゃいい）
- アプリケーションの見直し（インフラ側だけじゃダメ）
AWSにおけるゴール
- 差別化要素にならないものはAWSが提供する
アプリケーション層はAWS WAFを使って防ぐ
- 運用形態は以下
  - 自分で
  - DDoS専門チームに聞く
  - おまかせ
コストプロテクション
- Shield Advancedでは
- DDoS攻撃によるスケーリングコストは請求しない
- 以下のサービスについて
  - CloudFront
  - ELB
  - ALB
  - Route53
Shieldのシステム
- 何から守るか
  - 大規模攻撃
    - ネットワークのスケール
    - 悪いトラフィックはブロック
    - 通信を遅く受け取る
  - SYN Floodsなど
    - BlackWatchというファンクションがCloudFrontの前やELBの前に入ってる
  - HTTP Floodsなど
    - 沢山のAWS WAFがあって振り分けしている
- DDoS Detection
  - DDoS Response Teamという24/365で対応するチームがいる
QA
- Q. Route53ってSLA100%というのにShield入れる意味あるの？
- A. サービスは生きていてもDDoSのせいで遅いということもありうるので必要
- Q. DRTは日本にもいます？
- A. 本国にしかいないので英語でしか対応できません。Enterpriseサポートに入って頂ければ日本のチームが間に入って対応します。
- Q. DRTに全部任せるよとなった時に怪しい通信をすぐに遮断する、ようなことはあるのか
- A. DRTとミーティングを行って遮断するか、モニタリングだけか決められます。

AWSにおけるWAF導入について

NECソリューションイノベータ山水さん

IPA10大脅威が発表された
- 個人の順位は大きく変わっていない
- 組織の順位としてランサムウェア、IoT機器周りがランクイン
公開Webサーバにおける必要なセキュリティ
- 物理：入退出管理
- ネットワーク：Firewall
- ミドル/OS：IPS
- Webアプリケーション：WAF
- コンテンツ：改ざん検知
WAFとは
- Webアプリケーションの脆弱性を利用した不正アクセスを防御するセキュリティ対策ツール
- シグネチャの更新で常に最新の攻撃に対応
WAFを使わないで守るには
- セキュアコーディング、リリース後の定期的な脆弱性対策が必要
- 新しく対策した脆弱性を認識して、修正するまでの間に攻撃される
WAFを導入したら
- セキュアコーディングはもちろん必要
- 最新の定義ファイルを使用することで最新の脆弱性にも対応できる
- アプリケーションの作りに依存しない一定セキュリティレベルを実現対応
WAFの形態
- ネットワーク型
  - ネットワークに設置するWAF（AWS WAFはネットワーク型）
  - CDPではELBに挟んで使用することを推奨している（WAFが単一障害点にならないように）
  - 導入時にネットワーク構成の変更が必要
- ホスト型
  - サーバにインストールする
  - 導入時ネットワーク構成変更が不要
- SaaS型WAF
  - SaaSとして提供されている
  - DNSを変更するだけで導入可能
AWS WAF
- ユーザでメンテナンスが必要
マーケットプレイスで購入できるWAF
- Barracuda Web Application Firewall
- Imperva SecureSphere Web Application Firewall
BYOLで導入できる
- InfoCage SiteShell
- Scutum

WordPress goes Serverless. - Shifterで始めるWordPressのセキュアな運用

デジタルキューブ小賀さん

WordPressとは
- 最もシェアの多い、伸びているCMS
- セキュリティ、メンテナンスが問題視されるが使わざるを得ないという状況が多い
WordPressのセキュリティ
- 改ざん被害は150万件超「最悪級の脆弱性」
- WordPressは根本的に脆弱性があるのか
  - 継続的なメンテナンスを行っていれば致命的な問題は起きていない
- よくある声
  - Coreのアップデートが多すぎる
    - これは本当。自動アップデートの機能もありますよ。
    - メジャーアップデートの自動アップデートは危ないかも
    - マイナーアップデートの自動アップデートはバグフィックス等なので自動推奨
    - Configファイルに記述することで設定可能
  - プラグインに脆弱性が
    - ありえるので選定が必要
      - 公式ディレクトリに掲載されている
      - 頻繁にメンテナンスされている
      - 利用前にコードレビュー
        
        デバッグモードでWARNINGがでまくるやつは危ない
        
        Plugin-Checkプラグインがある
  - テーマ複雑でメンテ不能
    - ありえます。
    - テーマ作成のガイドラインがあるのでそれに沿っているかを確認
  - PHPやMySQLなどのミドルに問題が…
    - ありえます。ホスティング環境のメンテが大事
    - WordPressのホスティングサービスがあります
- アップデート時にこける原因あるある
  - CoreやPluginがそもそもハックされている
  - Pluginなどがガイドラインに準拠していない
Shifterを使おう
- WordPressサイトを一連の静的なHTMLファイルに変換し、CDNを介して提供できる
- Shifterを使うと使うときだけWordPressを使用するということができる
- 今まで通りのワークフローでWordPressを使用できる
- 記事の更新時に静的なファイルを生成する
Shifterのユースケース
- どんな場合も使えるの？
  - 使えないケースも有る
  - コンテンツの更新が少なく、少人数で更新を行う場合は適する
    - イベント・キャンペーン・ランディングページ・コーポレートサイトなど
  - 会員サイトなどは動的になるので使えない
セキュリティ・運用について
- サーバセットアップ不要
- メンテナンス不要
- ソフトウェア・アップデート不要
- セキュリティ対応もらくになる
- メンテやセキュリティ対策にかかる時間が相当削減できる！