EGセキュアソリューションズ　徳丸 浩氏
特別インタビュー　第4回（全4回）

セキュリティを高めようとすると利便性が低下したり、コストがかかったりすることが多々あります。やった方がいいのはわかるけれども、問題なければ楽な方、安い方を選びたい、そう考えるのは当然だといえます。判断に迷ういろんなものをEGセキュアソリューションズ代表　徳丸 浩氏、セキュリティエンジニア　岡本 早和子氏に聞いてみました（聞き手：トライベック・ストラテジー　工藤 友美）。

レンタルサーバって意外と良い！？

• Web健康診断を受ける費用もない、でもこれからサイトを立てなければならない、という場合はどうすればよいのでしょうか
• クラウドだと「自分で導入しない・作らない」ということが重要です。SaaS型のものを利用し、プログラムは入れない、コンテンツを入れるだけ、という割り切りですね。レンタルサーバや一部のVPSにはWAFが入っているものもあります。レンタルサーバとVPSの比較は難しいですが、お金がない前提であればレンタルサーバの方がお勧めです。ソフトウェアの導入もたいていやってくれますし、アップデートまではやらないものの注意喚起などもしてくれます。そういうこまやかな対応をしてくれるところを使うといいですね。世間的にはレンタルサーバはダメ、という印象があるようですが、しっかりしているところを選べば意外によいと思いますよ。レンタルサーバはPaaS相当なので、IaaS相当のVPSに比べるとセキュリティ作業は少なくて済みますから。
• SaaS　Software as a Service。必要な機能をサービスとして利用できるようにしたソフトウェアまたはその提供形態。ソフトウェアを動作させるためのサーバを用意する必要がない
• VPS　Virtual Private Server。一台の物理サーバ上で動作する複数の仮想マシンを専用サーバとして個別に提供するサービス。自由度が高い割に安価
• レンタルサーバ　事業者によって管理される物理サーバを複数顧客で共有するサービス。顧客間の影響・不正利用を防ぐためユーザの権限は限定される
• PaaS　Platform as a Service。アプリケーションソフトが動作するためのプラットフォーム（ハードウェアやOS）をサービスとして提供するもの
• IaaS　Infrastructure as a Service。ハードウェアやネットワークなどのインフラを仮想化してサービスとして提供するもの。ユーザはその仮想マシン上にOSをインストールして利用する
• お勧めのレンタルサーバはどこですか？
• さくら……と言いたいところですが、レンタルサーバではWAFが今イチですね。せっかくいいWAFを使っているのに、チューニングが一切できないんですよ。どこですかね。過去やらかしているところはちょっとお勧めしづらいですし……KDDIウェブコミュニケーションズとか？
• CMSを使いたいというように、はっきりとした目的があったときは最初からCMSが使えるようになっているもの、目的に沿ってApacheの設定がなされているようなところがいいのでしょうか。設定はレンタルサーバ事業者側にお任せ、という形になるわけですが。
• CMS　Contents Management System。Webのコンテンツを管理するシステムで、一般的なブログツールに比べバージョン管理、承認フローなど企業利用に求められる機能が豊富
• Apache　代表的なWebサーバプログラムのひとつ
• そちらの方がいいですね。ただプラグインの確認は必要です。自動アップデートにしておくべきです。
• 動作確認の前にアップデート、という運用でしょうか？
• 乱暴だという意見もありますが、そうするしかないと私は思いますね。クラウドだとイメージ全体のスナップショットを取ることができますから、最悪切り戻しが可能です。今の攻撃のスピードを考えると普段は確認なんかせずにアップデートしろ、というのが私の意見です。
• 動作確認に時間をかけるより、素早く切り戻しできる運用体制を構築すべき、ということですね。
• そうです。
• SaaSよりももっと自由度が必要な場合はIaaSになると思いますが、気を付けるところはどこでしょうか。
• IaaSの場合はOS、ミドルウェアのパッチ適用を自分でしなければいけませんが、それができないエンドユーザはそこをやってくれるベンダにお願いする必要があります。このあたりは曖昧になりがちなので契約の際に明確にしておくべきです。「ソフトウェアのアップデートは運用に入るんですか」というようなことですね。
• トライベックでは緊急度の高いパッチの適用を2人日/月を上限として実施、定期的なパッチの一斉適用を別途見積、というように明確に出しています。
• ベンダの方から適用が必要なパッチを知らせてくれるところがいいですね。言われたらやる、というベンダだとエンドユーザ側に知識と情報収集を強いることになります。
• そこをはっきりさせておくことはエンドユーザのためだけでなく、ベンダ側の免責にもなることです。パッチ適用がオプションとしてメニューにあった場合、それを買わなかったらエンドユーザの責任になるので明確化しておくことはいいことなんですけど、なぜかなあなあにしちゃうんですよね。コンペに勝ちたい一心なんでしょうけど。

「RedHat」v.s.「CentOS」v.s.「Windows Server」

• IaaSだとOSの選択肢がありますが、CentOSとRedHatにセキュリティ面の違いはありますか。
• RedHat　RedHat社が販売・開発・サポートする有償のLinuxディストリビューション、RedHat Enterprise Linuxのこと
• CentOS　RedHat Enterprise Linuxとの完全互換を目指したフリーのLinuxディストリビューション
• 現実的にはないんじゃないかと思ってますが、RedHatがほんのちょっとアップデートが早いかな。
• RedHatの場合はELSがあるのに対し、CentOSは標準サポートで終了します。ただ、ELSはパッチが少ないですよね。それくらいなら標準サポートが切れる前にメジャーバージョンアップしてしまうのがいいんでしょうか。
• ELS　RedHat Enterprise Linux Extended Life Cyle Support（延長ライフサイクルサポート）。標準サポート期間終了後に追加料金を支払うことで受けられる延長サポート
• そう思います。CentOSもRedHatもサポートは10年ですが、10年の後半はそもそも脆弱性があってもよっぽどクリティカルなものでない限り、あまりパッチが出てきません。なのでパッチが頻繁に出ている間に移行した方がいいと思います。ただ、それ言うとRedHatもCentOSもバージョン7が出てからかなり経ってますが、なんで8が出ないんだか（笑）。
• WindowsとLinuxだとどうですか。

• 長期的に利用するのであればWindowsはいい選択だと思います。マイクロソフトはパッチに対して非常に真面目ですので、サポート終了まできっちりパッチが出てきます。が、日本ではWindowsでサイト運用しているベンダが少なく、経験もあまりないのでそこは気を付ける必要があります。
• うちもWindowsは基本お断りしてますね。
• 海外ではStack Overflowなど大手でも採用実績があるんですけどね。
• Stack Overflow　プログラミング技術などに関する技術系ナレッジコミュニティサイト

もう企業認証証明書なんていらない！？

• 今は常時HTTPS化が必須となっていますが、その際に導入するサーバ証明書にもドメイン認証、企業認証、EV証明書と複数のグレードがあります、そこの選び方はプレミアムプラン・スタンダードプランを選ぶときのように「どこまでを求めるか」というところになってくるのでしょうか？
• サーバ証明書　ブラウザ・Webサーバ間の通信を暗号化するHTTPS通信において、サーバが正しいものであることを保証する証明書。正規の認証局によって発行される
• ドメイン認証　サーバ証明書の一種。当該ドメインの管理者によって申請されていることを保証する。簡易的な認証なので安価なものが多い
• 企業認証　サーバ証明書の一種。当該ドメインを所有している企業が存在し、そこに在籍する担当者によって申請されたことを保証する
• EV認証　サーバ証明書の一種で実在認証ともいう。企業認証に加え、所在地の認証などより厳格な認証を行う。ブラウザのアドレスバーが緑色になり、運営組織が表示される
• 私は割り切った考えをしています。つまり、EVかドメイン認証の二択。ユーザはいちいち証明書なんか見ないですよね。
• EVはブラウザのアドレスバーに表示されるので目につきますけどね。
• そう、だからEVは意味がある。でも、EVでなければ企業認証なのかドメイン認証なのかなんて、ユーザにはわかりません。例のシマンテック騒動がありましたけど、シマンテックって旧ベリサインですよ。そこがダメって言われるんだったら、もうなにを信用すればいいのやら。だからドメイン認証で十分だと思いますね。
• シマンテック騒動　サーバ証明書発行最大手だったシマンテックの証明書発行プロセスに問題があるとして、Googleはシマンテックの発行した証明書を無効化すると発表した。その後、シマンテックはサーバ証明書事業をデジサートに譲渡している
• ベリサイン　かつてサーバ証明書の最高級ブランドのひとつだったが、2010年にシマンテックに売却された
• うちもこの騒動には泣かされていて。シマンテックからデジサートへの移行がうまくいっていなかったのか、シマンテック傘下のRapidSSLが3か月ほど購入できずに困りました。
• RapidSSL　現デジサートが販売する、安価なドメイン認証型証明書のひとつ
• もうLet's Encryptでいいと思いますよ。私も個人用サイトはすべてLet's Encryptです。
• Let's Encrypt　電子フロンティア財団、Mozilla Foundationなどによって創立された認証局。発行プロセスが完全自動化されており、ドメイン認証型証明書を無償で利用できる

徳丸本改訂版の内容は……？

• さて、『体系的に学ぶ　安全なWebアプリケーションの作り方』、いわゆる徳丸本の改訂版を上梓されるとのこと、おめでとうございます。改訂版のポイントはどこでしょうか。
• 徳丸本　『体系的に学ぶ　安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践（SBクリエイティブ）』のこと。Webアプリケーション開発者必読の書とされている
• 元々はHTML5対応と謳うつもりだったんですが断念しました（笑）。WebAPIに対応したこと、それからJavaScript側の脆弱性も取り上げています。こちらはHTML５といってもいい内容です。そのほかXXE、デシリアライゼーションなどOWASP TOP10 2017への対応、それから脆弱性診断体験ができるものを用意しています。
• OWASP TOP 10　OWASPが3～4年ごとに発表しているWebアプリケーションの脆弱性トップ10。カード決済業者向けの規格PCI DSSなどが参照しており、大きな影響力がある。OWASP TOP 10 2017はその2017年版
• OWASP　The Open Web Application Security Project。Webアプリケーションのセキュアな開発の促進などを目的とした国際的なオープンソース・ソフトウェアコミュニティ
• XXE/デシリアライゼーション　OWASP TOP 10 2017で新たに追加された、脆弱性が懸念される仕組み
• 脆弱性診断体験とはどういったものでしょうか。
• 脆弱な診断対応アプリをおまけでつけます。それに対してOWASP ZAPの自動診断を体験してもらいます。それとOpenVASというフリーの脆弱性診断ツールをVMで用意しようとしていたんですけど、思ったほどの性能ではなくて、どうしたものかな、と。
• OWASP ZAP　OWASPの開発した脆弱性検査ツール
• OpenVAS　オープンソースで開発されている脆弱性スキャナ
• 発売はいつですか？
• 6月です。
• お聞きしているとまだかなり作業が残っているように聞こえますが……。
• 大体はできているんですよ。でも、どうして今日になって排他制御の話が出てくるかなあ（笑）。書きたい（笑）。
• IPAのITパスポート試験における個人情報漏洩ですね。
• 排他制御は2、3年に1回話題になるんですよ。日経の記事によると日立製作所だそうで、そのレベルの企業でもやってしまう、というのは驚きですね。ただ、基幹業務系をやっている人が排他制御をおろそかにすることは考えにくいですが、逆にWeb系の技術者だとありそうです。
• この話が盛り込まれるのかどうか含め、6月の発売を楽しみにしています。本日はどうもありがとうございました。

• 本稿は2018年3月14日に行われたインタビューを元にしたものです。そのため、現在では状況が異なっている場合があります。

---

関連コラム

第1回：気づかぬうちに暗号通貨を掘り出す攻撃者たち

第2回：セキュリティ対策はどこまでやる？

第3回：セキュリティ対策、最初の一歩は？

関連リンク

トライベック・セキュリティソリューション