Embed Size (px)
Citation preview
Walti.io を使って◯◯のセキュリティ診断やったったー!セキュリティの夕べ
株式会社ウォルティ 藤崎正範株式会社ハートビーツ日本 MSP 協会
05/03/2023 © Walti, Inc.
自己紹介• 藤崎 正範 ( Fujisaki Masanori )
株式会社ハートビーツ 代表取締役株式会社ウォルティ 代表取締役日本 MSP 協会 理事• 2005 年に株式会社ハートビーツを設立• 2014 年 7 月に株式会社ウォルティを設立• 2014 年 11 月に日本 MSP 協会の設立に参画インフラエンジニアとして活動する傍ら、日本のサーバーのセキュリティ水準を上げていこうと「サーバーサイドのセキュリティスキャンを身近にする活動」をウォルティで実施中。業界団体では MSP の認知度向上に努める。
05/03/2023 © Walti, Inc.
さて
05/03/2023 © Walti, Inc.
いきなりですが クイズです。
05/03/2023 © Walti, Inc.
今回スキャンしたのはどれでしょう?
05/03/2023 © Walti, Inc.
今回スキャンしたのはどれでしょう?1. さくらの東京オフィス
05/03/2023 © Walti, Inc.
今回スキャンしたのはどれでしょう?1. さくらの東京オフィス2. さくらのナレッジ
05/03/2023 © Walti, Inc.
今回スキャンしたのはどれでしょう?1. さくらの東京オフィス2. さくらのナレッジ3. 田中さんの個人サーバ
05/03/2023 © Walti, Inc.
今回スキャンしたのはどれでしょう?1. さくらの東京オフィス2. さくらのナレッジ3. 田中さんの個人サーバ
正解★
セキュリティの夕べ
株式会社ウォルティ 藤崎正範株式会社ハートビーツ日本 MSP 協会
改めてWalti.io を使ってさくらのナレッジのセキュリティ診断やったったー!
05/03/2023 © Walti, Inc.
はじめに
はじめにセキュリティ対策、バッチリしていますか?
05/03/2023 © Walti, Inc.
はじめにセキュリティ対策、バッチリしていますか?➜ バッチリしています 一部しています していません
05/03/2023 © Walti, Inc.
はじめにセキュリティ対策、バッチリしていますか?➜ バッチリしています 一部しています していません
05/03/2023 © Walti, Inc.
自信をもって回答するには状況を把握していることが大切
はじめにセキュリティ対策、バッチリしていますか?➜ バッチリしています 一部しています していません
05/03/2023 © Walti, Inc.
自信をもって回答するには状況を把握していることが大切(でも予算ないこと多い…)
損害賠償の判例も…SQL インジェクション対策していないと、損害賠償につながることも。
05/03/2023 © Walti, Inc.
出典 : SOFTIC 判例ゼミ 2014-5 2014.11.13 損害賠償請求事件
東京地方裁判所判決 / 平成 23 年 ( ワ ) 第 32060 号http://www.softic.or.jp/semi/2014/5_141113/op.pdf
¥22,523,697 !合計受注額 (¥9,788,100) の
2 倍以上…
損害賠償の判例も…SQL インジェクション対策していないと、損害賠償につながることも。
05/03/2023 © Walti, Inc.
出典 : SOFTIC 判例ゼミ 2014-5 2014.11.13 損害賠償請求事件
東京地方裁判所判決 / 平成 23 年 ( ワ ) 第 32060 号http://www.softic.or.jp/semi/2014/5_141113/op.pdf
¥109,135,528!合計受注額 (¥9,788,100) の
10 倍以上…
「情報セキュリティ 10 大脅威 2016 」
05/03/2023 © Walti, Inc.出典 : 情報処理推進機構
情報セキュリティ 10 大脅威 https://www.ipa.go.jp/security/vuln/10threats2016.html
事業を継続にはサーバー重要。
05/03/2023 © Walti, Inc.
さて今回の本題です
05/03/2023 © Walti, Inc.
みんな大好きさくらのナレッジ!
ご協力ありがとうございます!
05/03/2023 © Walti, Inc.
さくらインターネット 鯨井さまさくらのナレッジの管理人http://knowledge.sakura.ad.jp/
unimal 永田さまさくらのナレッジのシステムサポートWeb 制作チームのためのクリエイティブ・プラットフォーム「 universions (ユニバージョンズ)」http://universions.com
簡単な構成
05/03/2023 © Walti, Inc.
Internet
さくらのマネージドサーバ
さくらのマネージドサーバ
05/03/2023 © Walti, Inc.出展 : http://www.sakura.ne.jp/managedserver/
さくらのマネージドサーバ
05/03/2023 © Walti, Inc.出展 : http://www.sakura.ne.jp/managedserver/
さくらのマネージドサーバ
05/03/2023 © Walti, Inc.出展 : http://www.sakura.ne.jp/managedserver/
さくらインターネットさんがマネージドしてくれるサービス。• Iptables/process 管理はさくらさんのサービスポリシーで決まる• CMS等のセキュリティ管理はユーザーで対応
さくらのマネージドサーバ
05/03/2023 © Walti, Inc.出展 : http://www.sakura.ne.jp/managedserver/
さくらインターネットさんがマネージドしてくれるサービス。• Iptables/process 管理はさくらさんのサービスポリシーで決まる• CMS等のセキュリティ管理はユーザーで対応
こちらはさくらさんにおまかせ
さくらのマネージドサーバ
05/03/2023 © Walti, Inc.出展 : http://www.sakura.ne.jp/managedserver/
さくらインターネットさんがマネージドしてくれるサービス。• Iptables/process 管理はさくらさんのサービスポリシーで決まる• CMS等のセキュリティ管理はユーザーで対応
ここを頑張る!
05/03/2023 © Walti, Inc.
Walti.io でできること
ファイアウォール• nmap
https://nmap.org
Web サーバ設定• nikto
https://cirt.net/Nikto2
SSL 証明書• sslyze
https://github.com/iSECPartners/sslyze
Web アプリケーション• skipfish
https://code.google.com/p/skipfish/
➡ 今後も対応 OSS スキャナを追加予定です。05/03/2023 © Walti, Inc.
10 円 / 回 10 円 / 回
5 円 / 回 100 円 / 回
Walti.io でできることWalti.io の Web サイトからユーザー登録して利用するプランです。スキャンをするためには登録した Web サイトをアクティベートする必要があります。
以下の各スキャン対象に対応している OSS スキャンツールを1回毎の料金で使えます。
ファイアウォール• nmap
https://nmap.org
Web サーバ設定• nikto
https://cirt.net/Nikto2
SSL 証明書• sslyze
https://github.com/iSECPartners/sslyze
Web アプリケーション• skipfish
https://code.google.com/p/skipfish/
➡ 今後も対応 OSS スキャナを追加予定です。05/03/2023 © Walti, Inc.
10 円 / 回 10 円 / 回
5 円 / 回 100 円 / 回
Walti.io でできることWalti.io の Web サイトからユーザー登録して利用するプランです。スキャンをするためには登録した Web サイトをアクティベートする必要があります。
以下の各スキャン対象に対応している OSS スキャンツールを1回毎の料金で使えます。
WordPress・・ wpscan https://wpscan.org/ 無料!
2016/7/19 リリース
05/03/2023 © Walti, Inc.
まずはスキャンします
アカウント登録
05/03/2023 © Walti, Inc.
Facebook/GitHub が楽
組織をつくって
05/03/2023 © Walti, Inc.
関係者を登録します。
05/03/2023 © Walti, Inc.
関係者を登録します。
05/03/2023 © Walti, Inc.
みんなで状況把握することが対応の優先度を決める上で大切
次に Walti.io にターゲット登録します。
05/03/2023 © Walti, Inc.
Walti.io にターゲット登録します。
05/03/2023 © Walti, Inc.
knowledge.sakura.ad.jpを登録
ターゲットの所有者確認を行います。
05/03/2023 © Walti, Inc.
所有者確認完了しました。
05/03/2023 © Walti, Inc.
所有者確認完了しました。
05/03/2023 © Walti, Inc.
初回は Free スキャン完全無料です!
05/03/2023 © Walti, Inc.
スキャン中…
スキャンした結果
05/03/2023 © Walti, Inc.
スキャンした結果
05/03/2023 © Walti, Inc.
いっぱい出てるように見えるけど、誤検知・対応不要もあるので悲観は不要
対応しなければならないもの
05/03/2023 © Walti, Inc.
種別 項目 対応要否 対応例nikto x-powered-by ヘッダに
PHP バージョンが記載されている
推奨 php.ini でexpose_php を Offにする
nikto クリックジャッキング防止のための x-frame-optionsヘッダを返していない
推奨 WordPress 側で出力するようにするか、 .htaccess でヘッダをセットする
対応しなければならないもの
05/03/2023 © Walti, Inc.
種別 項目 対応要否 対応例wpscan wp-content/upload ディレ
クトリのファイル一覧が公開されている
推奨 ファイル一覧を表示しないように webサーバの設定を変更する
wpscan wp-incudes ディレクトリのファイル一覧が公開されている
推奨 ファイル一覧を表示しないように webサーバの設定を変更する
wpscan WordPress のバージョンが記載された readmeファイルがサーバに存在する
推奨 readme ファイルを削除する
wpscan 脆弱性のあるWordPress(4.4.4) を使用している
必須 脆弱性が修正されたバージョンにアップデート
05/03/2023 © Walti, Inc.
対応中… by
05/03/2023 © Walti, Inc.
ちーん( レンジ音的 )
05/03/2023 © Walti, Inc.
対応内容
05/03/2023 © Walti, Inc.
対応内容
05/03/2023 © Walti, Inc.
再スキャン中…
再スキャンした結果
05/03/2023 © Walti, Inc.
Walti.io の中の人
対応時間
05/03/2023 © Walti, Inc.
対応時間
05/03/2023 © Walti, Inc.
脆弱性対応の調査: 1.5h対応の作業: 0.5h対応の動作チェック : 1.0h
作業前バックアップ、ステージング環境作業などもいれるとすべてで 1day(8h)
対応後の感想など
05/03/2023 © Walti, Inc.
対応後の感想など
05/03/2023 © Walti, Inc.
• 脆弱性の対応等はググればすぐ• 発見、特定というのが普段からめんどくさい作業• 項目さえ出てくればほぼ時間はかからない• 自分の環境だったら
30分もかからない!
対応後の感想など
05/03/2023 © Walti, Inc.
• 脆弱性の検査・特定は Walti.io で、対策はサクッとググってやってしまう• ステージング環境を常に Sync しておいて、対応後スムーズにリリースできることがこれからの課題
さらに
05/03/2023 © Walti, Inc.
!
05/03/2023 © Walti, Inc.
将来に向けた準備
スキャンの定期実行を設定しよう!
05/03/2023 © Walti, Inc.
スキャンの定期実行を設定しよう!
05/03/2023 © Walti, Inc.
WordPress は無料なので、週1のチェックを登録しても無料!
05/03/2023 © Walti, Inc.
Walti.ioさくらクーポン毎月 500 円分を無料でさくらさんの一部のサービスにスキャンをかけることができます。
まとめ・ https://walti.io を活用して脆弱性を把握し対応しよう!・さくらのナレッジ、 セキュリティ、バッチリってよ!【重要】・ https://snapup.jp もよろしく!・定期的にスキャンすることで、 脆弱性が発生したらすぐ認識できるようにして 継続的にセキュリティ管理を行っていこう!・「 Walti.io さくらクーポン」を活用すると 毎月 500 円分 Walti.io が使えるよ!
05/03/2023 © Walti, Inc.
改めてご協力ありがとうございました!
05/03/2023 © Walti, Inc.
さくらインターネット 鯨井さまさくらのナレッジの管理人http://knowledge.sakura.ad.jp/
unimal 永田さまさくらのナレッジのシステムサポートWeb 制作チームのためのクリエイティブ・プラットフォーム「 universions (ユニバージョンズ)」http://universions.com
改めてご協力ありがとうございました!
05/03/2023 © Walti, Inc.
さくらインターネット 鯨井さまさくらのナレッジの管理人http://knowledge.sakura.ad.jp/
unimal 永田さまさくらのナレッジのシステムサポートWeb 制作チームのためのクリエイティブ・プラットフォーム「 universions (ユニバージョンズ)」http://universions.com
特に、今回の企画を自らご提案頂いた鯨井さんの勇気と英断に感謝します!
ありがとうございました。
05/03/2023 © Walti, Inc.
