ウェブサイト構築における
発注と受入れの勘所
2014年5月15日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
主任研究員 渡辺貴仁
Copyright © 2014 独立行政法人情報処理推進機構 1~ セキュアな構築 はじめの一歩 ~
近年のセキュリティインシデント
インターネットにおける事件が多様化
ウェブサイトにおけるセキュリティ事件も多発
時期
報道内容
2013/3
環境省の二酸化炭素排出計算サイト改ざん 情報流出恐れ(朝日新聞)
2013/4
ドコモ、米の顧客情報流出か 在米邦人ら対象のサービス(朝日新聞)
2013/5
ヤフーに不正アクセス ID2200万人分、流出の恐れ(朝日新聞)
2013/5
大分空港HP、ウイルス感染させるよう改ざん(読売新聞)
2013/5
三越サイトで不正アクセス 8300人分の情報流出も(産経新聞)
2013/5
阪急阪神百貨店、通販サイトで会員情報流出か(読売新聞)
2013/6
ニッセン通販サイトに不正ログイン 個人情報漏洩の恐れ(読売新聞)
2013/6
札幌市の観光HP、不正アクセス受け閉鎖(読売新聞)
2013/7
企業の監視強化迫られる 任天堂不正アクセス、手口巧妙に(日経新聞)
2013/8
「ロリポップ!」でWordPressを利用しているサイトが改ざん被害 約4,800件が対象(朝日新聞)
2013/10
セブン通販サイトに不正アクセス 15万人の情報流出か(朝日新聞
ウェブサイトへの攻撃
ウェブサイトへの攻撃と被害
水飲み場攻撃:ウイルス感染サイト化
他攻撃への踏み台:フィッシングメール送信
情報漏えい:個人情報や機密情報
ウェブサイトの改ざん多数
JPCERT/CC が2013年に受け付けた、国内外で
発生したウェブサイトの改ざん件数は
7,409 件
1日平均:20件もの被害が発生していることになる
JPCERT/CC インシデント報告対応レポート(2013年1月1日~ 2013年12月31日集計)
Copyright © 2014 独立行政法人情報処理推進機構 3ウェブサイトのどこが狙われ、どう考えるか
特定の部分だけに注目
するのではなく、全体を
みて
バランスの良く
、そ
れぞれの
部分に適した
対策
が必要
ウェブサイトは様々な
機器やソフトウェアで
構成されており、
攻撃者は一番弱く利用
しやすい
脆弱な箇所
を
攻撃する
セキュアなウェブサイト構築基準
PCI DSS
(Payment Card Industry Data Security Standard)
クレジット業界におけるグローバルセキュリティ国際基準
カード会員データを保護するために、基本設計概念・設計・手続き・管理・
運用などの基準を12の「要件」として規定している
Copyright © 2014 独立行政法人情報処理推進機構 5PCI データセキュリティ基準 v3.0 – 概
要 安全なネットワークとシステムの 構築と維持 1. カード会員データを保護するために、ファイアウォールをインストールして維持する 2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない カード会員データの保護 3. 保存されるカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 脆弱性管理プログラムの維持 5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する 6. 安全性の高いシステムとアプリケーションを開発し、保守する 強力なアクセス制御手法の導入 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する 8. システムコンポーネントへのアクセスを識別・認証する 9. カード会員データへの物理アクセスを制限する ネットワークの定期的な監視お よびテスト 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 11. セキュリティシステムおよびプロセスを定期的にテストする 情報セキュリティポリシーの維持 12. すべての担当者の情報セキュリティに対応するポリシーを維持するウェブサイトのセキュリティ対策概要
ネットワークのセキュリティ対策
ファイアウォール利用により適切なフィルタリング
ルータやスイッチによる区分け
ソフトウェアのセキュリティ対策
サーバのセキュリティ対策
不要なサービスの停止
不要なアカウントの削除
パスワード強化
ファイルやディレクトリへのアクセス制御
ログの収集
ウェブサイトのソフトウェア構成とその対策
ソフトウェアのセキュリティ対策
脆弱性が解消された最新バージョンの利用
7•
ウェブアプリケーション
–
独自開発するケース
–
既製品を使用するケース
WordPress, EC-CUBE, …
•
ミドルウェア、プログラム実行環境
–
ウェブサーバ
Apache, IIS, nginx
–
アプリケーションサーバ・言語
Tomcat, PHP, Perl, ColdFusion, …
–
データベース
Oracle, PostgreSQL, MySQL, …
•
OS(オペレーティングシステム)
–
Windows, Linux(CentOS, Ubuntu, …),
Mac OS, BSD, …
Copyright © 2014 独立行政法人情報処理推進機構