1. セキュアスカイ テクノロジーについて 2. Webサイトを狙った攻撃の最新動向 3. セキュリティ対策の考え方 4. Scutumを利用した対策 5. Scutumのポイントと導入 2 Copyright 2013 SecureSkyTechnology Inc. All rights res

1. セキュアスカイ・テクノロジーについて

2. Webサイトを狙った攻撃の最新動向

3. セキュリティ対策の考え方

4. Scutumを利用した対策

5. Scutumのポイントと導入

会社概要

Webアプリケーションのセキュリティに特化した企業となります。

 設立

2006年3月15日

 社員数

25名

 資本金

4,800万円

 拠点

 本社

東京都千代田区

 福岡ラボ

福岡県福岡市中央区

 業界の著名な方に支えられています。

取締役（非常勤）

歌代 和正

技術顧問

三輪 信雄

総務省CIO補佐官

米ファイア・アイ日本法人CTO

提供サービス

Webアプリケーションのセキュリティに対して、

３つの切り口からお客様のビジネスをサポートいたします。

脆弱性診断

SaaS型WAFサービス

_「Scutum」

教育事業

年間300サイト以上の診断を実施

しております。

実績

450サイト以上のサイトで利用さ

れております。

約20社に対し、セキュアプログ

ラミング教育を実施し、約10社

に対しセキュア開発ガイドライン

策定の支援を行っております。

・リクルートグループ

・電通国際情報サービス

他

・インターネットイニシアティブ

・電通国際情報サービス

他

・リクルートグループ

・ポケモン

他

イード・アワード 法人向けセキュ

リティ 診断部門の費用対効果満

SaaS型WAFサービスのシェア

No.1（70%以上）

PHP、Javaのサンプルコードを含

むより具体的なセキュアプログラ

ミング教育。2013年Androidセ

顧客

事例

その他

脆弱性を見つける

脆弱性を無害化する

脆弱性を作らない

販売代理店／技術提携パートナー

多くのパートナー企業様の専門技術やノウハウを共有することで、

さらなるサービス向上に努めています。

セキュリティ10大脅威

1位 ：標的型攻撃を用いた組織へのスパイ・諜報活動

2位 ：不正ログイン・不正利用

3位 ：Webサイトの改ざん

4位 ：Webサービスからのユーザー情報の漏えい

5位 ：オンラインバンキングからの不正送金

6位 ：悪意あるスマートフォンアプリ

7位 ：SNSへの軽率な情報公開

8位 ：紛失や設定不備による情報漏えい

9位 ：ウイルスを使った詐欺・恐喝

10位 ：サービス妨害

後ほど詳しく

国内ECサイトを狙った標的型メール攻撃多発！

攻撃者側からすると、一般のサイトを改ざんするよりも効率よくIDやパスワードを入手できるので、

ECサイトは狙われやすいです。

ECサイトの管理者などを標的に、クレームを装った電子メールにマルウェア

を添付させています。マルウェアは、攻撃者が狙っているデータをほぼ何で

も盗み出すような、以下のような機能を備えている。

 スクリーンショットを取得する

 キーストロークを記録する

 クリップボードのデータを取得する

 複数のアプリケーションのアカウント情

報を盗み出す

 ある電子メールアカウント宛てに、取得

した情報を SMTP で送信する

クレームを装った件名

添付マルウェア

ガンブラーの手口に「Webサーバーの脆弱性」や「簡単なFTPパスワード」を“攻略”し

て侵入するという改ざん手口が加わることで、Web改ざんの

負の連鎖

が拡大しています

管理者パソコンの

ID・PASS漏えい

管理者パソコンの

ID・PASS漏えい

・ウイルス感染

・パスワード攻撃

侵入手口

・盗難パスワードの悪用

・ソフトウェアの脆弱性の悪用

・Webサイトの脆弱性の悪用など

Webサイトの改ざん ＆ウイルスの配置 簡単なFTPパスワー ドを破って侵入 Webサーバなどの脆 弱性を悪用して侵入 盗難パスワード を悪用して侵入 Webサイト管理用 のID/PASS盗難

１

一般利用者と Webサーバーも 狙う

多様化する攻撃手口、Webサイト改ざん

 Webサイトを攻撃から守るための対策

ひとつの対策では全てを守れない・・・

Webアプリケーション

（サイト毎に開発された部分）

ソフトウェア／OS

（利用されるソフトウェア）

インフラ／ネットワーク

（インターネット、サーバ）

守る部分

守るソリューション

a.

F/W

b.

IPS

／

IDS

c.

WAF

穴がないかを検査

d.

プラット

フォーム診断

／

ネットワーク

診断

e.

Webアプリ

ケーション

診断

 各ソリューションの解説

a. F/W（ファイアウォール）

 接続する通信を限定する。

 Webサイトであれば、httpとhttps以外は通さないようにする。

b. IDS（不正侵入検知システム）、IPS（不正侵入防御システム）

 通信の内容を監視し、不正と思われる通信を、検知／防御する

 ネットワーク、ソフトウェア部分に強い

c. WAF（ウェブアプリケーションファイアウォール）

 通信の内容を監視し、不正と思われる通信を、検知／防御する

 Webアプリケーション部分に強い

 各検査の解説

d. プラットフォーム／ネットワーク脆弱性診断

 設定に不備がないかを確認

 脆弱性のあるソフトウェアを利用していないかを確認

e. Webアプリケーション脆弱性診断

 実際にWebサイトの動きを確認し、疑似攻撃により脆弱性がないか

を確認

 安全なWebサイトとは

安全なWebサイトとは、何を守るのか？

 個人情報

 サイトの信頼性

 自分が攻撃者になるかも・・・

 攻撃に利用されるかも・・・

重要情報を持っていなくても、リスクがあります！

 安全なWebサイトとは

各フェーズに合わせて適切な対策が必要！

要件定義

設計

実装

テスト

運用

実施すべき

対策

セキュア

コーディング

脆弱性診断

F/W

IDS/IPS

WAF

セキュリティを考慮した設計

フェーズ

対策の目的

・セキュリティを考慮した設計を構築する

（パスワードの桁数、情報の管理方法等）

・管理者、開発

者のスキルアッ

プを目指す

・開発体制を強

化する

・ヒューマンエ

ラーによる脆弱

性などを検査す

る

・繰り返す追加開発

などの補完

・新たな脆弱性に対

する防御対策をする

 安全なWebサイトとは

各フェーズに対する対策のよくある問題点

要件定義

設計

実装

テスト

運用

実施すべき

対策

セキュア

コーディング

脆弱性診断

F/W

IDS/IPS

WAF

セキュリティを考慮した設計

フェーズ

よくある

問題点

セキュリティの専門知識をもった人間がい

ないケースが多く、セキュリティを考慮し

た設計が困難

外注する場合、

開発者のスキル

がばらつく

スケジュールや予算

に余裕がなく、実施

することが困難

完全な防御策では

ない

 よくあるご意見

セキュリティの

専門的知識をもった

社員がいない

細かいルールを強いる

役目は嫌われるから

誰もやりたがらない

これまでに一度も事故は起こして

ないから大丈夫だと思ってる

自社に適した

セキュリティ対策

レベルが分からない

セキュリティ対策など

考える予算や時間の

余裕はない

 現実的な対策とは？

 セキュリティを知っている人がいない！

 専門の担当者を立てられない！

 どうやって最新のセキュリティ情報を入手する？！

セキュリティをアウトソースする！

以下のような課題を踏まえて、現実的な対策はあるのか？

 アウトソースできる対策は？

F/Wは既に入れているけど・・・

IDS/IPSは高いし・・・

Webアプリケーションの対策としては、不十分だと聞くし・・・

今、WAFによる対策が注目されています！

要件定義

設計

実装

テスト

運用

実施すべき

対策

セキュア

コーディング

脆弱性診断

F/W

IDS/IPS

WAF

セキュリティを考慮した設計

フェーズ

 WAFの効果はどの程度なのか

セキュリティは、お金をいくらでもかけられるもの。

しかし、費用対効果を考え、リスクを許容するという考えが必要！

自社の★印のポイントを見つけることが

コスト抑制

と

効果の最大ポイント

斜線エリアの

リスクを許容する

 リスク対応を戦略的に

POINT

リスクを許容するという

ことを戦略的に！

完璧な対策ではなく、

合格点のセキュリティを

手にいれる

⇒各サイトに適した費用対効果、

バランスのとれたセキュリティ

レベルを確保する

コスト

セキュリティ対策

費の増大

スピード

セキュリティ対応

によるサイト

C/Oの遅延

利便性

使いやすさ、

使い勝手の低下

WAFの効果

•

Webサイトに対する脆弱性を悪用した攻撃を防御もしくは検知する

•

Webサーバ（ApacheやIIS）やWeb用のミドルウェア（Tomcat

等）、言語システム（PHP等）の脆弱性についても防御能力あり

WAFで防御できないものは？

•

Web （HTTP,HTTPS通信）以外のプロトコルには対応していない

•

なりすまし、権限超えなどといった認証や承認などのセッション周

りに関する攻撃は防御できない傾向にある

WAFの課題

 コスト

 100万~数千万

 安価な商品・サービスも増えてきた

 運用

 誤検知対応など、専門家の運用が必要

 運用会社、サービスに運用を付加する企業も出てきた

 クラウド対応

 アプライアンス製品（機器を設置する）の場合、クラウド環境に設置する

ことが困難

 ソフトウェア型、サービス型（SaaS型）であれば対応可能

従来型WAFの課題を克服するために、Scutumではそのサービス形態をSaaS型としました。

エンドユーザからお客様サイトへの通信を、DNS変更により、そのままScutumセンターで中継し、

その過程で不正な通信を監視・遮断します。

Scutum センター Scutumご利用の お客様のシステム SaaS型WAFサービス Webサイトの改ざん お客様のシステムは 何もかわりません 運用・更新＆シグネチャの更新など すべてSSTで実施します ブロック ブロック ブロック

POINT

POINT

Scutumとは？

 下図は、不正な文字列により認証を回避するSQLインジェクションの攻撃の例です。

 データベースのSQLクエリのパラメータとなる入力に、 【1】攻撃者は不正な文字列を入力して、

【2】【3】不正なSQLクエリを実行させます。

 不正アクセスによるWebサイトからの情報漏えい事件の原因は、その多くがSQLインジェクション

によるものとなります。

SQLインジェクション攻撃

発生頻度と被害の大きさを考えると、これこそがWebサイトのセキュリティにとって

最大の脅威といっても過言ではありません。

Webサイトへの不正アクセスや情報漏えい事件、Webサイト改ざんなどで大きく報道

されるもののうち、実に8～9割以上がこの攻撃によって引き起こされているという見

方もあります。実際に、Scutumが検知した攻撃のなかでもダントツ1位です。

したがって、Scutumでは

一度に大きな被害をもたらすことが多くさらに発生頻度も高い

SQLインジェクション攻撃については

SQLインジェクション攻撃へのScutumのポリシー

SQLインジェクション専用の検索エンジンを搭載することで

クラウド環境との親和性

 アプライアンス製品ではクラウド環境に導入できない

Scutumは、

SaaS型だから

環境を選ばない

・既定の仮想サーバー構成で

しか利用できなかったパブ

リッククラウド環境にも対応

・最低利用期間1か月のため、

サイトの成長に合わせた増速、

減速が可能。

クラウド本体のメリットを最大

限に引き出すことが可能なセ

キュリティサービス

WAFの運用

 WAFはどのように運用していくかが重要

必要な運用

 導入時の調整

 テスト運用

 シグネチャ更新

 検出状況の確認

 誤検知への対処

 WAF自体のアップデート

 障害対応・保守

 サポート体制の確保

POINT

自社で運用する場合、

セキュリティ専門のノウハウ

をもった技術者・体制が必要

アウトソースする場合

事業者毎サービス内容が異な

るので正しく確認する必要が

ある

Scutumには、すべての必要な

WAFの運用をお客様側にて

実施しなくていい！

というご意見が

一番多く寄せられてます。

Scutum導入後のお客様の声

WAFを導入したにも

かかわらず、

作業が増えなかった

あまり意識せずとも、

セキュリティ対策が

できた

WAFを導入している

ことを忘れます

・WAFがちゃんと機能しているか判断できていない

・シグネチャアップデートはしたが、ブロックON

にすることが不安でできない。気づいたら、間に

入っているだけの状態。

最近、注目された攻撃

パスワードリスト攻撃の流れ

① どこかでユーザIDとパスワードのリストを入手する

② 攻撃のターゲットとなるサイトで、入手したユーザIDとパスワード

のリストを試し、不正にログインする



ユーザが複数のサイトで同一のID、パスワードを利用している場合、成

功する



パスワードを複数回間違えた場合のアカウントロックなどは効果がない

③ 不正にログインできたアカウントを利用する



アカウントの情報を取得



アカウントのポイントなどを利用し現金化

パスワードリスト攻撃への対応

 Scutumのパスワードリスト攻撃に対する対応

標準機能

攻撃をブロックする

・同じIPアドレスからの同処理の通信回数が閾値を越えた場合にブロック

・上記、処理がログインの処理であった場合、その閾値を下げてブロック

これで、実際の攻撃を防げるか？

パスワードリスト攻撃のとある攻防例

攻撃者

同一のIPアドレスで、様々なパターンのID、パスワードでログインを試行

Webサイト側

ログインエラー件数の増加に気づき、該当のIPアドレスを拒否

攻撃者

IPアドレスが拒否されたことに気づき、複数のIPアドレスで試行してくる

Webサイト側

IPアドレスを変えてきたことに気づき、ログインのURLに対し、連続したアクセスに

閾値（30回）を設定し、閾値を上回ったIPアドレスからのアクセスを拒否する。

攻撃者

30回の閾値が設定されたことに気づき、1つのIPアドレスから29回を上限に大量の

IPアドレスから試行を繰り返す。

Webサイト側

アクセスの特徴（UserAgentや、Accept-Languageなど）を確認し、その特徴を

持っている通信を拒否する。

攻撃者

特徴により、ブロックされたことに気づき、その特徴を変え、再度試行を繰り返す。

とある攻防例から分かること

 狙われたサイトを、かなりしつこく攻撃する

 所有しているリストを全て試すまで？

 サイトの対策状況を確認している

 ログインの成功率を見ている？

 正規にログインできるID、パスワードを定期的に試している？

 付け焼刃の対策は突破される

 閾値での対策は閾値を下回ってくる

 ヘッダー情報などの特徴から対策をしてもすぐに突破される

そこで、Scutumでは

認証機能を強化

 Webサイト側の改修を行わず、ID、パスワードにプラスした認証機能を提供

します

※オプション機能はリリース前ですが、既に提供実績はありますので、お急ぎの

オプション機能

（リリース前）

SMS認証機能（2014年6月提供予定）

・ログインのリクエスト時、Scutumにより携帯のショートメッセージに、

トークンを送り、そのトークンを入力させ、マッチした場合にのみ、ログ

イン処理を通す形とする。

キャプチャ認証機能（2014年4月提供開始）

・ログインのリクエスト時、Scutumによりキャプチャ画像を出し、正し

く入力できた場合にのみ、ログイン処理を通す形とする。

scutum ●●●●● リクエストを保留 電話番号入力ページを 生成して表示 090-0000-0000 二要素認証で使う 一時トークンを生成 してSMS送信を要求 入力された 電話番号宛に 受け取ったトークン を送信 （SMS） トークン入力ページを 生成して表示 234129038 受信した トークンを入力 トークンを照合し、 問題がなければWeb アプリケーションに 受け取ったログイン情報 （ユーザーID/パスワード） でログイン認証 ※Webアプリ側の動作は 二要素認証導入前と同じ

SMS認証機能

◆SMS認証について

◆携帯電話のSMSを利用した個人認証の仕組み。ユーザーがWebサイトへのログイ

ン時に、携帯電話の番号を入力して送信し、WebアプリケーションがSMSを通じて

一時的なトークンを発行します。ログインには、発行されたトークンを使うため、

ユーザーはログイン時に実際に携帯電話を持っている必要があります。

◆本機能のSMS認証では、株式会社KDDIウェブコミュニケーションズの提供する

クラウド電話APIサービス「Twilio for KDDI Web Communications」を利用して

おります。（参照：http://twilio.kddi-web.com/ ）

◆対応キャリア ： au、Docomo、Softbank、EMOBILE

※キャリアによって、SMS送信料がことなります。

（参照：http://twilio.kddi-web.com/price/index.html ）

キャプチャ認証機能

リクエストを保留

※Webアプリ側の動作は 二要素認証導入前と同じ scutum ●●●●● ＞ 文字入力

送信

＞別の文字を 表示

再表示

入力された文字を照合し、

一致すれば

Webアプリケーションに

受け取ったログイン情報

（ユーザーID/パスワード）

でログイン認証

キャプチャ文字列を生成

し、難読化した画像を

お客様の負荷をかけずに

簡単導入

赤太枠の3ステップだけ！

SaaS型WAFサービスScutumの導入の流れ

点線より↑：無料で確認可

点線より↓：導入開始

Scutumの通常導入スケジュール

多くのお客様が1ヶ月程度で導入しております。

お急ぎの導入スケジュール （※有償サービス）

これまで、3日～1週間程度で導入したケースがございます。

ただし、お客様には以下2点を頑張っていただきます！！

① 証明書の早急なご準備

② Hostsファイルを変更し、全操作のテストを実施していただきます。

（誤検知調整のため）

お客様の作業：赤色

Scutumのサービスメニュー/料金表

小規模サイトから、100Mbps以上の高トラフィックサイト、クラウド環境まで、

柔軟に対応したセキュリティをご提供いたします。

基本料金

ピーク時トラフィックの目安 初期費用 月額費用 適用可能ホスト数(FQDN数) ～500kbps 500kbps～5Mbps 5Mbps～10Mbps 10Mbps～50Mbps 50Mbps～100Mbps 100Mbps 以上 ¥98,000 ¥198,000 ¥29,800 ¥59,800 ¥128,000 ¥148,000 ¥198,000 個別お見積り

1

10

(※) SSL利用1ホスト分を含みます 個別ご提案 算定基準はあくまでも目安となります。実際のご利用状況により異なる場合がございます。 金額は税別です。別途消費税が加算されますのでご了承ください。 お客様のご要望によりAmazon EC2上にScutum環境を構築してサービスをご提供する場合、

オプション

オプション内容 月額費用 月次報告書 ScutumCDNオプション 初期費用 無料 月額費用 無料(100GB/月まで利用可能) 1ホスト(1FQDN)につき ¥20,000 SSL利用ホスト追加 高トラフィックプラン(ピーク時10Mbps)用オプション (※)2FQDN以上でSSLをご利用になる場合にはオプション料金が必要です 1ホスト(1FQDN)追加につき ¥10,000 認証強化オプション キャプチャ認証追加機能 1サイトにつき初期費用 ¥500,000 月額費用 ¥50,000 （3ヶ所まで認証設置可能） 1サイトにつき初期費用 ¥1,000,000

最後に

SaaS型WAFサービス「Scutum（スキュータム）」は、

以下のコンセプトに基づいています。

 セキュリティを適正価格で提供する

 お客様に極力セキュリティを意識させない

 導入に伴うお客様側の負荷を極力少なくする