| 出題者 | カテゴリ | 作成日 |
|---|---|---|
 Mr.SEQ |
ITセキュリティ&リスクマネージメント担当 | 2016-03-31 13:07:45 |
| 問題 | ヒント | 回答数 |
|---|---|---|
| ■あなたのウェブサイト大丈夫?確認方法とポイントとは?
某海外ネットワークベンダの社長がこのように言っています。 「ネットワークに接続している全ての企業はインターネットから攻撃を受けているか、もしくは攻撃を受けていることを自覚していないかのどちらかだ」と・・・ 事実、私が1月より世話になっている会社のWebサイトは毎月数百の攻撃と判断できる通信を受けています。 この会社では、Webサーバを自社ではなく外部にホスティングし、運用してもらっています。 また防御にはFirewallのみを導入しており、Firewallのログは過去課題でも述べている通り、ルール通りの遮断をするだけなので、攻撃者にとっては障壁とは言えません。 では、攻撃者がWebサイトに攻撃をしてきたことを判断するために有効なログはWebのアクセスログとなります。 今回みなさんが、日々のWebアクセスログをどのように見て運用されているのかをお答えください。 また、攻撃と判断した場合の現状対策ややりたい対策などもあれば回答をお願いいたします。 Q1.現状の攻撃に対するWeb防御としてどのようなことを行っていますか? たとえば、 ・Firewall ・IPS ・WAF ・その他(SOCサービスなど) Q2.Webアクセスログのどのような内容が攻撃なのか分かりますか?どのように判断していますか? WebログやWAF/IPSのアラート、ツールによる分析など、自由に記述ください。 できれば、xxxログで****というログが出ていれば攻撃と判断している、など詳細が書ける範囲で記述してください。 Q3.攻撃が見つかった場合にウェブ担当者としてどのように対応していますか?ご自由に記述してください。 |
1日数万、数十万のアクセスログ解析は手ではできません。有償/無償でのツールを有効活用していれば、数分で解析できちゃいます。 | 6 |
メンバーの回答一覧 お疲れ様でした!
※講師コメント詳細は冊子に掲載されています。
| なるほど 票数 |
回答 | 講師コメント |
|---|---|---|
| 1 | ツチノコQ1
Firewall等のネットワーク構成についてはレンタルサーバ標準のままで特に対策はできていません。 今後、サイト全体SSL化とWAFの導入を検討します。 その他に、Webサイト改ざん検知サービスの利用と、Google Search Consoleのセキュリティの項目を確認しています。 また、CMS等の管理画面(ログイン画面)は推測されにくいURLにする、サーバサイドプログラムが読み書きするデータファイルはブラウザからアクセスできないようにする、個人情報を含むデータ(問い合わせのログなど)をWebサーバ上に置きっぱなしにしない(Web上のDBにも入れない。ダウンロードして基幹システムへ取り込む)などの予防策を実施しています。 Q2 ログの確認方法 http://www.vector.co.jp/soft/win95/net/se252609.html こちらのフリーソフトでアクセスログを集計し、httpのステータスコードの400番台と500番台のログについて注意して見るようにしています。 また、管理画面等のログインについては、該当URLにアクセスがあった訪問者を抽出し、自社ネットワークの IPアドレス履歴と照合し、自社以外からのアクセスが無いかを確認します。 ただし、頻繁に確認しているわけではなく、月に1回、ざっと目を通す程度です。 Q3 攻撃未遂についてはキリがないこともあり、あまり気にしないようにしています。 定期的な攻撃(未遂)や実害が発生した攻撃についてはアクセスブロックしています。 後は、サーバ会社に連絡して調査、その後の対処方法などの指示を仰ぎます。 |
銀 (Mr.SEQ) 素晴らしい対応です。 Q1 に関してはFirwallをサービス利用しているところも少なくありませんし、FirewallのログやアラートはDoS攻撃を受けた時以外は見ていてもあまり意味がありません。 Web改ざん検知とWAFを混同している方も多いのですが、特性と自分の守るサイトへのアクセスの傾向から適切な対応を検討されると良いでしょう。 その他書かれている対策も申し分ありません。 Q2 ですが400、500番台だけでは少しもったいないです、IPAがiLogScannerというツールを無償提供しており、これを利用すると、攻撃と思われるログをレポートしてくれます。頻度は月1回でも全然問題はありません。 Q3 の対応も素晴らしいです、無駄に攻撃におびえる必要はありません、定期的に来るものは攻撃者のリストに入っている可能性がありますのでブロックや調査を行っておけばよいでしょう。 |
| 0 | 丸田サーバ会社におまかせで、何もしていません。
クライアントによっては、WAFを導入されていますが、私の関わる仕事はコンテンツがメインなので、日常的には関わっていません。 |
なし (Mr.SEQ) システム運用の担当に以下を確認してみてください。 ・サーバ会社からセキュリティに関する定期報告を受けているか? ・Web経由での攻撃にさらされた場合の連絡手順や対応が明確になっているか? ・WAFに関して検知した攻撃内容への対応手順が確立されているか? WAFは様々なWebへの攻撃を検知・防御してくれるので有効に活用できているかを確認されてはいかがでしょうか? |
| 0 | yamatacoQ1.レンタルサーバーで提供されている標準サービス以外とくに対応していません。
静的なサイトでWebではユーザー情報などを持っていないため、対策はいらないと判断しています。 改ざんされると対応が面倒なのでバックアップは取得してすぐに戻せるようにしています。 Q2.アクセスログを見てみましたがどれが攻撃なのか?よく分かりませんでした。 Q3.すみません。。。勉強します。 |
なし (Mr.SEQ) Q1 レンタルサーバの標準サービスが何で、どのような運用になっているのか確認を実施しましょう。 ・OS、アプリケーションの脆弱性対応はどのような基準で対応されているのか? 静的サイトはSQLインジェクションなどを受ける心配はありませんが、脆弱性を悪用して改ざんされてしまい、マルウェア(ウイルス)配信サイトにされてしまう可能性があります。 Q2 生ログをみてもなかなか判りにくいと思います、IPAが提供しているiLogScannerなどのツールで分析してもらえると、現状のWebへの攻撃と判断できるアクセスをレポートしてくれます。 Q3 この辺りは、回答編で解説させていただきます。 |
| 0 | kaminoQ1.~Q3.
サーバー管理会社とSEが連携して攻撃に対応しています。 攻撃を検知すると、サーバー会社からメールが届き、対応しています、的なやり取りが始まります。 双方から対応状況が確認できる管理画面あり。 (正直なところ詳しいことは把握できていません!) 以前は障害が起こると「 【攻撃を検知しました】ログ解析レポート 」みたいなメールでとんできていましたが、 こちらもすべてSEとサーバー管理会社間でメールや電話でやり取りし、障害に対応してくれていました。 なお、やり取りされているメールでは、CPU使用率が高い、遮断IPリスト、負荷対策、レスポンス低下、ロードアベレージ、SQLインジェクション攻撃、DoS攻撃などというワードが飛び交っております。 |
銅 (Mr.SEQ) 素晴らしい対応です。 サーバ管理会社。SEのどちらかがいい加減だと、「連絡が来ない」「連絡しても反応がない」などの悪いスパイラルが展開されます。 サーバ管理会社とSEが連携していれば、発見、予防、防御の観点で対応できていると思いますので、こちらの確認をお勧めいたします。 |
| 0 | YNQ1.現状の攻撃に対するWeb防御としてどのようなことを行っていますか?
・セキュリティ対策としては、SSLを装備しているだけで、あとはサーバ管理会社に頼っている状況です。 Q2.Webアクセスログのどのような内容が攻撃なのか分かりますか?どのように判断していますか? ・同じネットワークドメインや特定地域からの頻繁なアクセス。誤ったパスワードで執拗にログインを試みている形跡があったら、疑うべきかと思います。 Q3.攻撃が見つかった場合にウェブ担当者としてどのように対応していますか?ご自由に記述してください。 ・不審な現象が見つかった場合は、サーバ管理会社に報告をし、深刻さの度合いの調査を依頼し、対策の必要の有無を確認します。 ・実際に攻撃されたとしたら、専門機械に相談し、速やかにサイトを閉鎖してサーバを外部ネットワークから孤立させ、ログを解析します。原因を究明して、サーバ内の状態を攻撃前の状態に戻し、一刻も早くサイトが復旧するよう対応します。 ・自治体の警察本部のサイバー犯罪相談窓口に報告します。 |
なし (Mr.SEQ) Q1 サーバ管理会社を頼る事は悪いことではありません、管理として発見、対応、予防の観点ができているか、サーバ管理会社に相談してみてはいかがでしょうか? Q2 あとは、既知の脆弱性を悪用した通信というのも多々あります、これらを運用の一つとして定期確認しておけばより強固なシステムになります。 Q3 対応として完璧です、相談先としてJPCIRTやIPAも候補としておけば、色々とアドバイスがもらえます。 |
| 0 | yukkoQ1.現状の攻撃に対するWeb防御としてどのようなことを行っていますか?
攻撃に対する防御については正直なところ具体的には理解していません。が社内にSEが常駐しており、サーバーに強いSEが攻撃検知ツールを稼働させています。また、自社のサーバー自体はサーバー管理をする会社にまかせていて、監視ツールをから自動アラートメールが飛んで来るので状況把握は自分のほうでも行っています。 Q2.Webアクセスログのどのような内容が攻撃なのか分かりますか?どのように判断していますか? WebログやWAF/IPSのアラート、ツールによる分析など、自由に記述ください。 この辺り勉強不足です。これを機会に勉強をしてみます。 Q3.攻撃が見つかった場合にウェブ担当者としてどのように対応していますか?ご自由に記述してください。 正直技術的なことはよくわかりません。攻撃を受けた際は基本的にSEと情報・状況共有をしています。サーバーを3つ持っているので、どのサーバーにどんな攻撃を受けたかによって、別のサーバーで本サイトの運用を切り替え、自社のお客様にご迷惑のかからない方法を再優先に考えています。また自分が運営しているのはECサイトですので、攻撃を受けてサイト復旧はもちろん優先的には考えますが、それよりもご迷惑がかかってしまっているお客様の対応や発送の代替え案などを考え、お客様への負担を最小限に抑える方法を考えます。 |
なし (Mr.SEQ) yukkoさんはECサイトのWeb担当者と認識していますが、現状の対応で十分です。 細かいところは、専任であるSEに任せて問題ないとおもいます、アラートメールをご自身も受けておられるとのことですが、今までで対応が必要になったことや、気になるアラートなどが出たことがあったでしょうか? Q3 についてはよく「サービスを停止させない」「復旧優先」といったケースを見るのですが、顧客への被害を出さないことを、迷惑をかけないことを優先されており、素晴らしいと思います。 |