セキュリティ対策、最初の一歩は?

  • テクノロジー

EGセキュアソリューションズ 徳丸 浩氏
特別インタビュー 第3回(全4回)

セキュリティ対策の第一歩として現状把握のためにスタンダードプランを行うのがよいとのことでした。しかし、スタンダードプランの費用をすぐには捻出できない場合もあります。そういった場合はどうすればよいのでしょうか。EGセキュアソリューションズ代表 徳丸 浩氏、セキュリティエンジニア 岡本 早和子氏に伺いました(聞き手:トライベック・ストラテジー 工藤 友美)。

20180514_01.jpg

Web健康診断

  • 今回、新たにメニューに追加されたWeb健康診断は安価で短納期と、今までなにもしてこなかったところがとっかかりとするのによいと思いますがどうでしょうか。
  • そうですね、健康診断というくらいですから状況把握に使われる診断メニューですし、低予算でやりたい、というところにはお勧めです。
  • Web健康診断の基準はEGセキュアソリューションズで作ったものなんですか?
  • 元々はLASDEC(現J-LIS)の依頼で私が作ったものです。そこで地方公共団体のセキュリティ対策を大規模にやったことがあるのですが、サイト数が多いので1サイトあたりの費用は低額でなければなりませんでした。また、入札でベンダを選ぶことになりますので、均質な診断のための基準として作りました。その後、LASDECだと長期的な維持が難しいため、IPAに移管されました。『安全なウェブサイトの作り方』と整合するように作られています。
  • LASDEC 地方自治情報センター。自治体の行政情報化などを推進する団体。2014年にJ-LISに組織変更された
  • J-LIS 地方公共団体情報システム機構。個人番号(マイナンバー)カードの作成などを行っている
  • LASDEC時代からカウントするとどれくらいの診断実績がありますか。
  • 正確な数字はわかりませんが、数千のオーダーになりますね。もちろん、診断を行ったのは弊社だけではありませんが。
  • 現在もWeb健康診断を申し込まれる方は多いのでしょうか。
  • 今はお客様からWeb健康診断を指定されることはそれほど多くありませんが、お問い合わせに対してこちらからお勧めする場合もあります。例えば、我々の繁忙期で大規模の診断は難しいが、ユーザとしては手が空くまで待てない、なるべく早く手を打ちたい、という場合などです。そういうときにはいったん状況を把握し、次の一手を検討するための最初のとっかかりとして、短納期で安価なWeb健康診断をお勧めしています。もっとも、Web健康診断をやって終わりというケースはあまりありませんが。

20180514_02.jpg

  • まずWeb健康診断を行って素早く状況を把握、その結果を見て必要な診断・対策を判断するわけですね。
  • はい。Web健康診断の結果が良ければ緊急度は低くなります。逆に、その時点でボロボロであれば早急に手当てが必要です。スタンダードプランだと結果が出るまでに時間がかかりますので、「すぐに対応が必要かどうか」を素早く見極めるにはWeb健康診断は有用です。
  • では、今年のWeb健康診断で問題が指摘されなかった場合、来年もWeb健康診断をやる意味はありますか。
  • あまり意味はないですね。もっとも、Web健康診断は抜き取り診断なので、違うページを診断すれば多少の意味はあります。続けて依頼されたときにはそこは考慮しますが、次年以降は基本診断以上がよいですね。
  • 予算的に全ページを一気に診断することは難しいということもあるかと思います。Web健康診断で大きな問題は出なかった場合、数年かけて全ページにスタンダード診断をかける、というようなやり方でもよいのでしょうか。
  • はい。しかし、できれば早めに全部やった方がいいです。あるページに脆弱性があった場合、そのページにある情報ではなく、サーバに保存されている情報が洩れることが多いという怖さがあるからです。それでも、やらないよりはやった方がはるかにいいですね。
  • 0か100ではなく、できるなら10でも20でもやったほうがよい、ということですね。
  • そうです。
  • どれをやればいいか悩んでいるときにはまず、トライベックにご相談いただければと思います。予算の中で最適なプランをご提示します。また、Web健康診断を通してサイトの規模もわかるので、それを踏まえて適切なプランを提示することもできます。

選んではいけないWAFもある!?

  • なにも対策をしてないのであればまず、WAFを入れる、という手もありますね。
  • WAF Web Application Firewall。Webサイトとの通信の中に攻撃コードが含まれていないかをチェックし、自動的に遮断するセキュリティソフト/機器
  • しかしWAFにもいろいろな種類があって、中には「これはどうなんだろうか」というのもあります。徳丸さんとしてはアレはどうですか?
  • ああ、表向きには言ってませんがアレはどうかと思いますねえ。徳丸のお墨付き、という営業をしていると漏れ聞こえてくるんですが「そんなことは言ってません」とリリースを打つわけにもいかず(笑)。
  • 「どうなんだろう」という理由はなんでしょうか。
  • まずはアーキテクチャですね。仕組み上、一度は攻撃を許してしまうわけなので。原理的にIPアドレスを毎回変えて攻撃すれば止められません。
  • 攻撃……されたら……遮断、という仕組みですね。

20180514_03.jpg

  • それと体制的に弱いですね。WAFをやっているところは素早く対応できるようにそれぞれの専門家がいるものなんですが、そこがどうにも弱くて。Struts2の有名な脆弱性も対応するのに1週間くらいかかっていました。ただ営業力はすごいのでいろんなところに入っています。
  • UDPで送ったログをサーバ側で判定する、という仕組みなので、極論するとサーバが止まっていても利用者からは判断しようがないんですよね。
  • UDP ネットワーク通信方式のひとつ。軽量である反面、データが届かなくてもエラーにならない
  • そうですね。サーバが止まっていたらなにもしないですね。
  • WAFによって脆弱性に対する対応の速度、そもそも対応するかどうかの判断など結構違いますが、お勧めはどこでしょうか。SiteGuardでしょうか。
  • (笑)弊社のお勧めとしてはそうですね。
  • EGセキュアソリューションズはSiteGuardの代理店を行っている
  • SiteGuard ジェイピー・セキュアが開発・販売する国産WAF。通信経路上に設置するSiteGuardとWebサーバに設置するSiteGuard Liteがある
  • あとはアレですね。SiteGuardのライバルになるので表立っては言えませんが、アレはすごいです。さすがKNTKさん、です。
  • アレ トライベック・ストラテジーでも導入実績のある国産のSaaS型WAF
  • 日本を代表するWAF技術者の方ですよね。
  • そう言っていいと思います。
  • そのほかにもホスティング事業者がオプションで用意しているWAFもあります。チューニングできないという制約があったりはしますが、無料だったり、設定も簡単だったりするのでなにもしていない、予算も少ない、というところではWAFを入れ、時間稼ぎをしたうえで診断をしてもらうのが現実的かもしれません。

【今回のポイント】

  • 予算が少ない場合は「Web健康診断」を
  • とりあえずWAFを導入するという手もあり
  • WAFの選定は慎重に

最終回の次回は、どちらがいいのか判断に迷ういろんなものをズバリ、徳丸氏にお聞きします。

  • 本稿は2018年3月14日に行われたインタビューを元にしたものです。そのため、現在では状況が異なっている場合があります。

関連コラム

第1回:気づかぬうちに暗号通貨を掘り出す攻撃者たち

第2回:セキュリティ対策はどこまでやる?

第4回:どっちを選ぶ? 誰も教えてくれなかった意外な答え

関連リンク

トライベック・セキュリティソリューション

この記事の執筆者

中島 秀明

インフラ・セキュリティ部 部長

この記事に関するご相談やご質問など、お気軽にお問い合わせください。

お問い合わせ

タグ一覧