(レポート) AWS導入ガイド 2017年版: AWS環境の脆弱性診断、最新動向～大切なセキュリティ、外部攻撃どう守る？

はじめに

本記事は10/4(水)にオンラインで開催された「AWS導入ガイド 2017年版 〜 オンプレからの移行、運用・監視、セキュリティ対策 〜」のセッション「AWS環境の脆弱性診断、最新動向～大切なセキュリティ、外部攻撃どう守る？」のレポートです。

セキュリティ対策と脆弱性診断にご興味のあるユーザ様へ、 AWS 環境で稼働するサーバに対して、脆弱性診断を実施する目的、と 脆弱性診断によって対策可能な外部攻撃の具体例をご説明致します。

講師はエフセキュア株式会社の河野 真一郎様。

レポート

F-Secureとは

・フィンランドの会社。
・アンチウイルス以外にも様々なセキュリティソリューションを提供。

AWS移行時によくある質問

・AWSに移行したい対象はどれですか？
・各種セキュリティパッチは適用していますか?

よくある回答

・危険なのはわかってるけどパッチは適用していない...
・脆弱性を放置した場合、攻撃にどの程度時間がかかるか？
　・F-Secureのレッドチーミングチームが試したところ5分30秒。
・脆弱性管理をしていないセキュリティリスクは？
　・昨今のアタッカーの攻撃のうち85%はソフトウェアアップデートで防止可能。
　・しかし、87%の企業がソフトウェアアップデートをしていない。
　・Webアプリケーションの86%は重大なセキュリティリスクを抱えている。
　・脆弱性攻撃対象のうち、OSは12%。85%はアプリケーション。
　・脆弱性攻撃は急増している。

脆弱性診断の必要性

・脆弱性診断の実態。
　・セキュリティパッチ、何を当てたら良いのかわからない。
　・管理しているサーバーが多すぎて、本当に当てなきゃいけないサーバーがわからない。
　・数年前に一度診断したまま放置してしまっている。
・移行時や稼働時にはセキュリティ診断をすべき。

F-Secure RADARとは

・システムの脆弱性、ネットワークの脆弱性、Webアプリケーションの脆弱性を診断するソフトウェア。
・クラスメソッドではフートスキャンの名前でサービス提供。
・手軽に素早く用途にあった形で脆弱性診断を実施。
・スキャン結果は可読性の高いレポートで提供。
　・サマリーの表示も含有。
　・重要性を高中低で表示、なんの対処を優先しなければいけないのかがすぐわかる。
　・必要な脆弱性を可視化。
・脆弱性診断の仕方。
　・クラウド型スキャン。クラウド上にホストが存在。
　・インターネット経由でスキャンを実行。
　・インターネットから遮断されている場合は、対象ネットワークにScan nodeを設置することでスキャン実施可能。
・移行時の脆弱性診断実行例。
　・移行時に実施。
　・移行後運用前に実施。
　・定期的に実施。
・稼働中の脆弱性診断実行例。
　・定期的に脆弱性診断を実施。
　・アプリケーションデプロイなどで環境が変わる場合は定期的に診断する必要がある。

さいごに

運用コストの中にセキュリティパッチ適用時の作業や適用後の検証などが考慮されていなく、結果的に未適用のまま数年放置される、というのは今でもよく聞く話です。セキュリティパッチをしっかりと適用できる運用体制を考慮することはもちろん、どのような脆弱性を内包しているのかをチェックし、セキュリティパッチが適用されるまでの間は他の対策方法を考える、ということも一つの方法かと思います。