AWS 環境の公開サーバに対する
セキュリティ検討ガイド
提供:
トレンドマイクロ株式会社
Version 1.0A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 2
目次
1 はじめに ... 3 2 AWS が提供するセキュリティモデル ... 3 2.1 責任共有モデルとセキュリティについて ... 4 2.2 検討すべきセキュリティ対策のポイント ... 6 3 ミドルウェアの脆弱性と公開サーバに対する脅威 ... 7 3.1 ミドルウェアで見つかる深刻な脆弱性 ... 8 3.2 公開サーバからの情報漏えい ... 10 4 AWS 上の公開サーバに対するセキュリティ強化 ... 104.1 AWS WAF と Trend Micro Deep Security の組合せ ... 11
4.2 Trend Micro Deep Security 単体でのセキュリティ強化 ... 12
A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 3
1
はじめに
近年ではクラウドを利用して公開サーバを構築するだけでなく、人事・会計等の業務システム用の サーバをクラウドで構築する企業も増えてきました。クラウドへの移行の大きな障壁となっていた“セ キュリティ”に対するユーザの不安に対して、 クラウドベンダが WAF(Web アプリケーションファイア ウォール)等のセキュリティサービスをオプションとして 提供するようになり、このような取り組みによっ てクラウド利用は今後も 進んでいくことが予測されています。 サーバをクラウドで構築するためのサービスである IaaS(Infrastructure as a Service )市 場においては、特にアマゾン ウェブ サービス(以下、AWS)が市場のシェアを大きく占めており、 企業でクラウドの利用を検討 する場合に採用される可能性が高い クラウドサービスの一つとなってい ます。ユーザは AWS を利用することで、高いスキルがなくともわずか数分で手軽にサーバを立ち上 げることが可能となりました 。しかし、その手軽さ故に、セキュリティに関して十分な検討・対策が施さ れないままサーバが公開されてしまうことがあります。 本ガイドは、AWS 上でサーバを構築済み、あるいは構築を予定・検討している ユーザが、AWS 上に公開サーバを構築する上で知っておくべきセキュリティ 対策のポイントとトレンドマイクロが推奨 する対策方法についてご紹介します。なお、本ガイド内の解説では、公開サーバ の構築に Amazon EC21を利用することを前提としています。2
AWS が提供するセキュリティモデル
AWS が提供するクラウドサービスは、AWS とユーザそれぞれの責任範囲を明確に分けた「責任共 有モデル2」が基になっています。まずは、この責任共有モデル と AWS 上に公開サーバを構築する 場合のセキュリティ対策ポイントについて解説します。 1 https://aws.amazon.com/jp/ec2/ 2https://aws.amazon.com/jp/compliance/shared-responsibility-model/A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 4
2.1 責任共有モデルとセキュリティについて
AWS 上の公開サーバをレイヤ毎に見ると、ネットワーク、仮想インフラ等の公開サーバが動くための基本的 なインフラレイヤに対しては AWS が責任を持ち、そうしたインフラ上で動くゲスト OS、ミドルウェア、Web ア プリケーションについては全てユーザが責任を持つことになります。 図1:AWS の責任共有モデル このようにレイヤごとに見ると、AWS の責任範囲、ユーザの責任範囲ははっきりと分かれています。しかし、 セキュリティの観点から気を付けなければいけないのは、AWS の責任範囲の中で提供されているセキュリテ ィ機能に関しても、その設定自体はユーザ自身が実施しなければならない点です。この点を考慮して、 AWS とユーザの責任範囲におけるセキュリティをそれぞれ見ていきましょう。 AWS の責任範囲におけるセキュリティ
レイヤで見ると AWS の責任範囲は、「ネットワークインフラ」、「セキュリティグループ」、「仮想インフラ」 です。この範囲に該当するネットワークセキュリティはとても重要であり、AWS はネットワークセキュリティ を実現する機能として AWS 上に仮想ネットワークを構築できる「Amazon VPC」、ファイアウォール 機能である「セキュリティグループ」等を提供しています。AWS が提供するネットワークセキュリティは、A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 5
上手く活用することで DDoS(Distributed Denial of Service)攻撃の緩和や許可されていな いポートスキャンを検知・ブロックすることができるため非常に効果的です。しかし、こうした機能はユー ザが設定しなければならず、ユーザが誤って設定した場合に本来 AWS が提供するセキュリティレベル が保てなくなってしまうため注意が必要です。
ユーザの責任範囲におけるセキュリティ
AWS 上で動くゲスト OS、その OS 上で動くミドルウェアや Web アプリケーションといった仮想マシンの セキュリティはユーザの責任です。ゲスト OS のファイアウォール設定、OS やミドルウェアのパッチ適用、 アクセス管理等全てを実施しなければなりません。また、それだけでなく、ウイルス対策、Web アプリケ ーションファイアウォール(WAF)、IPS(侵入防御)といった対策によるセキュリティ強化も必要とな るでしょう。こうしたセキュリティ強化に対して、AWS からは Web アプリケーションファイアウォール
「AWS WAF3」が提供されています。AWS 上で公開サーバを構築する場合は、「AWS WAF」の
導入を検討することをお勧めします。
図2:ユーザが対応しなければならないポイント
3
A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 6
2.2 検討すべきセキュリティ対策のポイント
AWS の責任共有モデル からも分かるとおり 、AWS が提供するセキュリティ 機能を導入したと しても、ユーザがセキュリ ティに対して負うべき責任がゼロになることはありません。 よりシンプルに 見ていくため、AWS 上の公開サーバを 4 つのレイヤ で考えてみましょう。 図3:AWS 上の公開サーバの4レイヤ この 4 レイヤでユーザがセキュリティ対策を検討すべきポイントは、「 Web アプリケーション」、 「ミドルウェア」、「 OS」の3レイヤです。この 3 レイヤのうち、「 Web アプリケーション」に対して AWS からは WAF のサービス「AWS WAF」が提供されており、このサービスを利用すること で SQL インジェクションやクロスサイトスクリプティングのような一般的な攻撃に対する 対策は 可能になります。しかし、それだけでは「ミドルウェア」、「OS」の 2 レイヤ に対するセキュリティ 対 策が不十分となるため、ユーザは別途セキュリティ対策の導入を検討する必要があります。公開サーバのレイヤ 各レイヤへのセキュリティ 対策
A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 7 表1:AWS 上の公開サーバに対するセキュリティ 対策 図4:検討すべきセキュリティ対策のポイント
3
ミドルウェアの脆弱性と公開サーバに対する脅威
「ミドルウェア」や「OS」の対策については、別途ユーザが実施する必要があるのは前述のとおり ですが、これらの レイヤにおいてはどのような脅威が存在するのでしょうか。 4 https://aws.amazon.com/jp/cloudfront/ る。また、Amazon CloudFront4を導入していない等、 構 築環境によっては AWS WAF を利用できない可能性があ る ミドルウェア 別途対策を導入する必要がある OS 別途対策を導入する必要がある ネットワーク セキュリティグループ、Amazon VPC によるアクセス制御A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 8 オンプレミス環境や AWS 環境を問わず、過去に公開サーバ上で動くミドルウェア等の脆弱性 がサイバー犯罪者に狙われ、攻撃を受ける被害事例が多数確認されています 。ここでは、過 去に見つかった深刻な脆弱性と公開サーバを攻撃されて発生した情報漏えいについて紹介し ます。
3.1 ミドルウェアで見つかる深刻な脆弱性
ミドルウェアでは、時に重大な脆弱性が発見されることがあります。 2014 年に「OpenSSL」 の脆弱性「Heartbleed」、「Bash」の脆弱性「Shellshock 」が見つかり、世界中の Web サーバに影響が及びました 。その他、Web アプリケーションフレームワークの Ap ache struts 、 WordPress 等の CMS(コンテンツマネジメントシステム)でも度々深刻な脆弱性が見つか っています。 時期 レイヤ 発見された深刻な脆弱性 2014 年 4 月 ミドルウェア オ ー プ ン ソ ー ス 暗 号 化 ラ イ ブ ラ リ 「 OpenSSL 」 の 脆 弱 性 で あ る 「Heartbleed5」が発表された。認証局から認定を受けた Web サー バの約 17%(約 50 万台)に影響があった。カナダ歳入庁では、こ の脆弱性を悪用されたことで納税者の社会保険番号約 900 件が削 除される被害発生6。 2014 年 8 月 ミドルウェア WordPress で悪意のある第三者に任意のコードを実行される脆弱 性(CVE-2014-5203)が発覚。 2014 年 9 月 OS UNIX のシェルの一つである「Bash」関連の一群の脆弱性が発見さ れ、「Shellshock7」として話題となった。Linux で動作している Web サーバに広く影響があっただけでなく、脆弱性の悪用が容易であったた め、この脆弱性による被害が世界中で報告された。2014 年 10 月 ミドルウェア SSL3.0 で見つかった深刻な脆弱性「POODLE
8」。暗号化通信の一
部(主にクッキー情報)が解読される可能性があった。
2014 年 11 月 OS Microsoft 社の Windows Server
5 http://blog.trendmicro.co.jp/archives/8927 6 http://internet.watch.impress.co.jp/docs/news/644351.html 7 http://blog.trendmicro.co.jp/archives/9957 8 http://blog.trendmicro.co.jp/archives/10112
A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 9
2014-6324)が発表された。Microsoft 社から「脆弱性を悪用しよ うとする限定的な標的型攻撃を確認していました。」と公表された。
2015 年 7 月 ミドルウェア DNS サーバの BIND に DoS
状態となる脆弱性(CVE-2015-5477)が見つかった。
2015 年 11 月 ミドルウェア WordPress で SQL イ ン ジ ェ ク シ ョ ン の 脆 弱 性 ( CVE-2015-2213)が発覚。
2016 年 4 月 ミドルウェア
Java の Web アプリケーションフレームワーク「Apache Struts 2」で 脆弱性「S2-032」が公表された。この脆弱性を悪用されると悪意のあ る第三者に遠隔からサーバ上で任意のコードを実行される可能性があ った。
2016 年 4 月 ミドルウェア
「ケータイキット for Movable Type9」の画像処理機能に OS コマン ドインジェクションの脆弱性が発見された。国内複数企業でこの脆弱性 を悪用した情報漏えいが発生。
2016 年 6 月 ミドルウェア
Java の Web アプリケーションフレームワーク「Apache Struts 2」で 脆弱性「S2-037」が公表された。この脆弱性を悪用されると悪意のあ る第三者に遠隔からサーバ上で任意のコードを実行される可能性があ った。 表2:2014 年から 2016 年 6 月までに見つかった主な脆弱性一覧 こうした脆弱性は常に発見されており、 脆弱性に対してベンダからリリースされる パッチを迅速に 適用することが重要です。しかし、他のアプリケーション等の互換性によって パッチが適用できな い場合や 使用中のミドルウェアのサポートが終了 し 、ソフトウェアベンダからパッチが公開さ れなく なった場合には、そうしたセキュリ ティリ スクを残したまま公開サーバを運用しなければなりません。 そうしたセキュリティリスクを残した場合、公開サーバを攻撃されて情報漏えい等の深刻なイン シデントにつながる可能性があるため、 IPS(侵入防御)等のセキュリティ対策を検討するこ とをお勧めします。 9 http://jvn.jp/vu/JVNVU92116866/
A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 10
3.2 公開サーバからの情報漏えい
公開サーバ を攻撃され た事例は数多く報告されています。 公開サーバを攻撃された結果、サイ トを改ざんされ 、自社サイトが脆弱性攻撃サイトへの誘導や不正プログラム の配布に意図せず 加担してしまうケースや、顧客情報やクレジットカード情報等の漏えい といった 大きな被害につ ながる可能性があります。 実際にサイバー犯罪者は企業の 重要な資産である 情報を狙ってお り、2016 年上半期だけでも公開サーバが攻撃を受けて情報が漏えいした事例が 17 件公 表され、合わせて 170 万件以上の情報が漏えいし ています。ここで注目すべきは 、2016 年 上半期において公開サーバを攻撃され情報が漏えいした事例のうち、 47%がサーバ上に存在 する脆弱性を利用されたことです。また、狙われた 脆弱性のうち、半数は国内でのみ提供され ているアプリケーションに存在する脆弱性でした。 図5:公開サーバからの情報漏えい原因別割合 (2016 年上半期トレンドマイクロ調べ)4
AWS 上の公開サーバに対するセキュリティ強化
ミドルウェアの深刻な脆弱性や公開サーバの脆弱性 を狙われた情報漏えい事例からも、公開サー バにおけるミドルウェアや OS のセキュリティ 対策が重要だということが分かります。 このような公開サ ーバにおけるセキュリ ティ対策の重要性は、オンプレミス 環境とクラウド環境で違いがあるわけではなA W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 11
く、AWS 上の公開サーバにも同様に対策の検討が必要です 。トレンドマイクロでは、こうしたセキュ リティリスクを解決するため に、統合型サーバセキュリ ティソリューション「 Trend Micro Deep Security™ (以下、「Deep Security」)」を活用したセキュリティ強化をお勧めします。 Deep Security は EC2 インスタンス上にインストールするソフトウェア型(ホスト型)のセキュリ ティ 対策 製 品です 。サ ーバ のセキュリ ティ 対 策に 必要 な 6つの 機 能 を1 つの 製 品に 実 装して います 。 具体的には、ウイルスの侵入を防ぐ「不正プログラム対策」、OS やアプリケーション、ミドルウェアの 脆弱性を突いた攻撃を OS のネットワーク層でブロックする 「IPS(侵入防御 )」、外部の不正な URL への通信をブロックする「Web レピュテーション 機能」、「ファイアウォール」、ファイルやレジスト リに改ざんが発生した際に管理者に通知する 「変更監視」、「セキュリティログ監視」 等の 6 つのセ
キュリティ機能 が実装されています10。こうした Deep Security の機能を活用することで、AWS
上の公開サーバのセキュリティ対策を強化することができます。
4.1 AWS WAF と Trend Micro Deep Security の組合せ
既に AWS WAF を導入しているユーザは、あらためて 「OS」、「ミドルウェア」のレイヤに残るセ キュリティリスクを見直し、対策を検討することをお勧めします。トレンドマイクロが提供する Deep Security の「IPS(侵入防御)」機能であれば、OS やミドルウェアを狙った攻撃を ブロックすることができるため、AWS WAF と組み合わせて導入することで、公開サーバの全 レ イヤのセキュリティリスクに対応することができます。
図6:AWS WAF+Deep Security の組み合わせによるセキュリティ強化
10
A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 12
4.2 Trend Micro Deep Security 単体でのセキュリティ強化
AWS WAF を導入していないユーザまたは、構築環境上 AWS WAF が導入できないユーザは、「Web アプリケーション」のレイヤを含めた Deep Security の活用をお勧めします。ミドルウェアの脆弱性に有効な Deep Security の「IPS(侵入防御)」機能は、SQL インジェクションやクロスサイトスクリプティング等の 一般的な Web アプリケーションに対する攻撃も検知・ブロックすることができます。そのため、Deep Security を導入することで、ユーザの責任範囲である「Web アプリケーション」、「ミドルウェア」、「OS」の 3レイヤに対するセキュリティを一括で強化できます。
図7:Deep Security 単体で実現するセキュリティ強化
4.3 Trend Micro Deep Security を活用したセキュリティ対策
Deep Security で強化できるのは、「 Web アプリケーション」、「ミドルウェア」、「 OS」の脆 弱性対策だけではありません。最後に公開サーバに Deep Security を導入することで実現 できるセキュリ ティ対策をまとめて解説します。
ウイルス対策
– 不正プログラム対策
A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 13
脆弱性対策
公 開サー バ上 に 存 在する 脆 弱性 の 対策 とし て、 Deep Security で は、 「 IPS ( 侵 入 防 御) の推奨設定」と「IPS (侵入防御)」の二つが有効です。 – IPS(侵入防御) 公開サーバの脆弱性を狙った攻撃を検知・ブロックすることができます。 – IPS(侵入防御)の推奨設定 公開サーバ内に存在する脆弱性をスキャンで見つけ、仮想パッチ が適用できます。
自社で攻撃に気付ける対策
万が一、公開サーバが攻撃されてサイト改ざん、情報漏えいといった被害が発生した場合に備 え、自社で早期に攻撃に気付ける仕組みづくりが重要です。ここでは、 Deep Security が 持つ以下の 機能が有効です。 – システム上の変更監視 公開サーバ上の Web サイト関連ファイルの改ざんを検知するこ とができます。 – セキュリティログ監視 公開サーバ上のセキュリ ティログを監視し、サーバの異常を検知することができます。 – IPS(侵入防御) 公開サーバの脆弱性を狙った攻撃を検知・ブロックすることができます。–
ホスト型ファイアウォール 公開サーバを狙った攻撃通信を検知・ブロックすることができます。 – Web レピュテーション機能 サーバに設置された遠隔操作ツールの検知、不正サーバへのアクセスをブロックすることができ ます。 セキュリティ対策 対策項目 Deep Security 対応機能 ウイルス対策 公開サーバ側のウイルス感染防止 不正プログラム対策 脆弱性対策 脆弱性への攻撃を検知・ブロック IPS(侵入防御) 脆弱性の把握と修正パッチ適用 IPS(侵入防御)の推奨設定A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 14 自社で攻撃に気付く対策 サーバやシステムのファイル改ざん検知 システム上の変更監視 セキュリティログによるサーバ異常の検知 セキュリティログ監視 不正プログラムの侵入を検知・ブロック 不正プログラム対策 サーバを狙った攻撃通信の検知 IPS(侵入防御) ホスト型ファイアウォール サーバに設置された遠隔操作ツールの検知 IPS(侵入防御) Web レピュテーション 2 0 1 6 年 9 月 1 4 日 現 在 の 情 報 を も と に 作 成 さ れ た も の で す 。 今 後 、 仕 様 の 変 更 、 バ ー ジ ョ ン ア ッ プ 等 に よ り 、 内 容 の 全 部 も し く は 一 部 に 変 更 が 生 じ る 可 能 性 が あ り ま す 。 表3:Deep Security を活用したセキュリ ティ対策 サイバー犯罪者に公開サーバが狙われた事例は後を絶ちません。こうした事例の多くは 、サイト改ざ ん、情報漏えい等、少なからず企業の資産やブランドイメージに影響を及ぼすようなものであり、公 開サーバに対するセキュリ ティ対策の実施は必要不可欠となっています。本ガイドでは、 AWS の責 任共有モデルとセキュリティ対策のポイントについて解説してきました。 AWS 上で公開サーバ を構 築するユーザは、AWS が提供するセキュリティ機能を上手く活用するだけでなく、こうした情報を基 に追加のセキュリティ対策を検討することをお勧めします。
A W S 環 境 の 公 開 サー バ に 対 す るセ キュ リ テ ィ検 討 ガ イ ド ペ ー ジ 15 TREND MICRO™ 本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。 トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段を問わず 本書またはその一部を複製することは禁じられています。本書の作成にあたっては細心の注意を払 っていますが、本書の記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わ ないものとします。本書およびその記述内容は予告なしに変更される場合があります。
TRENDMICRO、TREND MICRO、Trend Micro Deep Security は、トレンドマイクロ 株式会社の登録商標です。
アマゾン ウェブ サービス、AWS、 Amazon EC2 、Amazon VPC 、AWS WAF および AWS CloudFront は、Amaz on.com, Inc. またはその関連会社の商標です。
〒151-0053
東京都渋谷区代々木 2-1-1 新宿マインズタワー
大代表 TEL:03-5334-3600 FAX:03-5334-4008 http://www.trendmicro.co.jp