クラウド型 CMS のセキュリティと運用・構築のポイント

2016 年 2 月 8 日シックス・アパート株式会社

長内毅志

自己紹介

–長内 毅志 ( おさない たけし )–2011 年～ Movable Type プロダクトマネージャー

–2014 年～ ディベロッパーリレーションマネージャーエバンジェリスト

–趣味　 ダンス ( ストリート、ジャズ )　 ジョギング ( サブフォー )

英語の勉強 (TOEIC 875, 英検準 1 級 )家族と過ごすこと

アジェンダ

•CMS のセキュリティと攻撃の実際

•クラウド環境構築のポイント

•Movable Type の最新情報

CMS のセキュリティと攻撃の実際

データ出典： JPCERT/CC インシデント報告対応レポートグラフ： http://www.nca.gr.jp/2013/web201303/

ウェブサイトに改ざんでよく使われる手法

http://www.ipa.go.jp/security/txt/2013/07outline.html

•CMS の管理権限を奪取してウェブサイトを改ざん

•CMS の公開ディレクトリに任意のファイルをアップロードしてウェブサイトを改ざん

CMS に関するハッキングの傾向

•20% は CMS のコア部分にある脆弱性への攻撃、 80% はプラグインなど周辺プログラムの脆弱性を狙った攻撃

BSI「 Content Management Syttem」よりhttps://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.htmlVia　 http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf

もっとも多いパターン

•使用されている CMS を識別して攻撃

http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf

•オープンソース CMS が脆弱なわけではない

•活発なプロジェクトは固く作らており、パッチの供給も早い

•MT も同様、セキュリティ対応は早い

• FingerPrint( 指紋 ) が紛れ込むことが多いことが問題

•管理画面の URL 特定 => 攻撃につながる

ブルートフォースアタック ( 総当り攻撃 )

イラスト：「 2014 年版 情報セキュリティ 10 大脅威」よりhttp://www.ipa.go.jp/security/vuln/10threats2014.html

ファイルアップロード攻撃 ( バックドア )イラスト：「 2014 年版 情報セキュリティ 10 大脅威」より

http://www.ipa.go.jp/security/vuln/10threats2014.html

その他

•SQL インジェクション

•CSRF•XSS–主にソフトウェアの脆弱性を付くもの

CMS をセキュアに保つために

•ジェネレーター情報はできる限り消去

•管理画面は特定させない

•ステージング構成はセキュリティ的に強い–構築・運用の手間は考慮の必要あり

•パッケージやプラグインは常に最新の状態にアップデート

•Movable Type セキュリティ対策ガイド• http://www.movabletype.jp/guide/movable-type-security-

guide.html

ここまでのまとめ

•CMS が特定できると、攻撃しやすい

•総当たり攻撃やファイルアップロード攻撃など、攻撃者は CMS とプラグインの脆弱性を狙って攻撃をおこなう

クラウド上で CMS を構築・運用する際のポイント

この章について

•一般的なクラウドサービスについて言及(Microsoft Azure 、 AWS)

(PowerCMS クラウド、 Movable Type クラウド版など、クラウド基盤を利用した CMS サービスは「クラウド CMSサービス」と称します )

クラウド上での CMS 構築

•クラウド +CMS=> Virtual Machine 、 DB 、データストレージが中心となる

•クラウドの特性を理解して利用が吉

クラウドにデータを預けるのは心配？

•10 億円を保管するなら自宅？ 銀行？

•銀行なみのセキュリティ？

クラウド事業者のセキュリティレベルは高い

•Azure なら–国際規格 (ISO 27001 、 HIPAA 、 FedRAMP 、 SOC 1/2)–英国 (G-Cloud)–オーストラリア (I-RAP)–シンガポール (MTCS)

出典 : https://azure.microsoft.com/ja-jp/support/trust-center/compliance/

Azure 仮想マシンのダウンタイム

•Azure 仮想マシンの稼働率 99.9996 ％–40.07 分のダウンタイム画像及びデータは CloudSquare (https://cloudharmony.com/cloudsquare)via “Publickey” (http://www.publickey1.jp/) より

AWS のダウンタイム

•AWS EC2 の稼働率 99.9992 ％–2 回の障害 16.88 分のダウンタイム

画像及びデータは CloudSquare (https://cloudharmony.com/cloudsquare)via “Publickey” (http://www.publickey1.jp/) より

肝は「構成」

•クラウドのメリットは「構成が柔軟」なこと–冗長構成 ( 仮想マシンの複数構成 )–Geo レプリケーション (異なる地域へのデータ保全 )–ディザスタ・リカバリ

•データ保全、システムの可用性

クラウドのセキュリティ

•不必要なポートは開放しない–( クラウド CMS サービスを利用する場合は特に意識する必要はない )

•仮想ネットワークサービスを活用して設定を–Azure なら Virtual Network–AWS なら VPC

Microsoft Azure でのセキュリティ設定

AWS でのセキュリティ設定

セキュリティチェックは要注意

•各種セキュリティチェック–ペネトレーションテスト

–ポートスキャン

•そのままでは攻撃とみなされる

クラウドのセキュリティチェックは申請が必要

•Microsoft Azure での侵入テスト申請–http://blogs.msdn.com/b/dsazurejp/archive/2014/10/15/microsoft-azure-penetration-test-request.aspx

•侵入テスト AWS セキュリティセンター –https://aws.amazon.com/jp/security/penetration-testing/

セキュリティチェックポリシーは事前にすり合わせを

•事前に確認と手続きを

•サーバー管理担当者やシステム構築担当者との手続きが必要

•クラウド CMS サービスの場合、サービス提供者へ問い合わせを

インフラへの理解は運用・構築の工数を削減

•運用のトラブルを未然に防げる–Azure なら•Virtual Machine•Web Apps•Storage

–専門家になる必要はない•サービス事業者へ聞けば良い

クラウドサービス型 CMS の構築は仕様に準じて

•クラウドサービス型 CMS の場合、サーバーのルート権限は使えない

•仕様内の構築が望ましい–プログラム的に負荷の高いカスタマイズは運用継続性の足かせになるケースがある

•サポートをうまく活用する

Movable Type を利用したクラウド CMS サービス

•PowerCMS クラウド–Movable Type + PowerCMS のクラウドサービス

–高機能、エンタープライズ

•Movable Type クラウド版–Movable Type のクラウドサービス

–ブログ、中小から大規模サイトまで

ここまでのまとめ

•クラウドの特性を理解したシステム構築が肝

•セキュリティチェックは事前のすり合わせを

•クラウド基盤の理解はスムーズな運用に繋がる

•クラウド CMS サービスを利用する際は無理なカスタマイズをしない

Movable Type 最新情報

最新バージョン

Movable Type 6.2.2

パフォーマンス改善

MT6 からの新機能「 Data API 」

•REST 形式の API•Movable Type のデータを読み込み・書き込み・保存可能

• JSON形式でデータ取得

API の活用例

マルチデバイス対応

API の活用例

スマホアプリとの連動

Data API の活用事例

http://www.sixapart.jp/movabletype/data-api/

iOS 用アプリ「 Movable Type for iOS 」

Google Analytics の連携

• Google Analytics と連携してアクセスデータをダッシュボード上に表示

JSON データで取得可能

•JSON形式でデータを取得可能•PHP 、 JavaScript などで任意の形で加工、利用

Movable Type のラインアップ

•Movable Type•Movable Type クラウド

•MovableType.net

Movable Type クラウド版

•クラウド環境で MT を提供

•サーバー保守、メンテナンスはシックス・アパートが担当

•月額 5000 円～

サーバー配信機能

•外部サーバーへ html送信•ステージング構成が簡単

バックアップ機能

•1 日に 1度データをバックアップ

•いつでも復旧可能

MovableType.net

•Web サービス型 CMS•カスタムフィールドが利用可能

•GitHub 上のテーマと連携可能

•低価格 (2500 円 / 月～ )

自由度低( ウェブサービス型 )

高( ソフトウェア型 )

手軽さ複雑

容易

MT on AWS

•AWS marketplace で提供

•micro インスタンスは無料 (AWS 使用料別 )

MT コミュニティとイベント

•MT蝦夷•MT東北•MT東京•MT なごや

•MT愛媛•MT鹿児島

•MT 関西

•MT広島•MT福岡•MT 長野

•MT SAGA•MT ∗/ NIIGATA( 新潟 )

MTDDC Meetup TOKYO 2015

•本日 18時より MT Live 開催！

•Movin‘on にて

セミナー・勉強会も随時実施中

•http://www.sixapart.jp/seminar/

ご清聴ありがとうございました