情報漏えい対策セミナー · にブラウザでアクセスし、...
Post on 20-Jun-2020
1 Views
Preview:
TRANSCRIPT
1
情報漏えい対策セミナー ~サイバー攻撃、サイトの脆弱性に担当者はどのような防御策をとるべきか?~ 【抜粋版】
日本ベリサイン株式会社
SSL製品本部
2013年6月
目次
SSLサーバ証明書とその機能
– 脆弱性アセスメント
– マルウェアスキャン
– シールインサーチ
トラストシール
クラウド型WAF
SSLサーバ証明書の新たな使い方
2
3
SSLサーバ証明書とその機能
ベリサイン Webサイト診断・防御ソリューション
Webへの攻撃が多様化
SSLサーバ証明書への新たな機能として、「マルウェアスキャン」、「脆弱性アセスメント」をご提供し、診断とアラート通知を行います。また、エンドユーザへ安全なサイトを示す方法として「シールインサーチ」も提供しています。
発見されたウェブサイトの脆弱性
外部の攻撃から防ぐ「ベリサイン クラウド型 WAF」を提供したり、詳細な脆弱性診断を行う「ベリサイン セキュリティ診断サービス」を提供しています。
SSLサーバ証明書
に新たな機能
4
ベリサイン SSLサーバ証明書製品ラインアップ
VeriSign 製品ラインアップ
グローバル・ サーバID EV
セキュア・ サーバID EV
グローバル・ サーバID
セキュア・ サーバID
セキュリティの可視性
(見えるセキュリティ) ★★★ ★★★ ★ ★
認証レベル
(証明書発行基準の厳格さ) ★★★ ★★★ ★★ ★★
暗号レベル
(暗号の強度) ★★★ ★★ ★★★ ★★
ベリサインシール/シールインサーチ
(無償)
マルウェアスキャン
(無償)
脆弱性アセスメント
(無償) ×
サーバ監視サービス
(無償)
価格(税込み) ¥229,950~ ¥170,100~ ¥144,900~ ¥85,050~
5
6
脆弱性アセスメント
SSLサーバ証明書とその機能
脆弱性アセスメント - 概要
• 概要
– お客様ウェブサイトに潜在するセキュリティの問題点(脆弱性)の有無を診断いたします
– 診断結果を詳細レポート(PDF)で確認いただけます
• バンドル(無償提供)対象 SSLサーバ証明書製品
– EV SSL証明書
– グローバル・サーバID
• 診断方法
– お客様のウェブサイトに対して、ハッカーの攻撃対象になる 脆弱性が存在していないか、 ベリサインが外部から診断・ レポートいたします。
7
https://www.verisign.co.jp/ssl/vulnerability_assessment/index.html
• 脆弱性アセスメントの結果を、2段階のリスクレベルと9種類の影響範囲で示します。
2段階の
リスクレベル
9種類の
影響範囲
脆弱性数
検知した
脆弱性数を表示
脆弱性アセスメント - レポート (1/2)
8
影響範囲 (Impact Area)
内容 (Definition)
ウェブ関連(Web) ウェブサーバ、ウェブサーバのプラグイン、アプリケーションサーバなど
ウェブアプリケーションに関する脆弱性(Application)
ウェブアプリケーション、ウェブ開発フレームワーク、CMSなど
データベースに関する脆弱性(Database)
データベースアプリケーション
メールに関する脆弱性(Mail)
ウェブメール、SMTP、lMAP、POP3など
ネットワークに関する脆弱性(Networking)
DNS、LDAPなどのネットワークサービス、ルーターやファイアウォールの設定、SNMPなど
リモートアクセスに関する脆弱性 (Remote Access)
VPN、Telnet、FTP、SSHrlogin/RSH、desktop、x11 のようなリモートアクセスサービス
通信に関する脆弱性(Communication)
IRC、SSL、XMPPなどの通信やメッセージングサービス
OSに関する脆弱性(Local) OSレベルや、外部からは利用できないシステム内部に存在する
その他の脆弱性(Other) 上記の分類に入らないその他脆弱性
• 9種類の影響範囲について
脆弱性アセスメント - レポート (2/2)
9
診断対象のWebサーバ
診断対象のWebサーバに対して、設定変更や、Agentソフトウェアなどのインストールは一切不要です。
インターネット
診断は、診断サーバを介して実施します。不正防止対策として、診断サーバで全ての通信記録を取得し、監査を行っています。
お客様サイト
診断はインターネット経由で実施します。
お客様のご希望に応じて、オンサイト診断も実施します(別途費用)
診断の際に利用するIPアドレスは事前に通知します。
テストサーバへの診断の際にはFWの設定を追加していただくことがあります。
診断サーバ
診断時のトラフック量は、数十Kbps程度です 万が一の障害
に備え、事前にバックアップの取得をお願いしています。
VeriSign
【参考】 ベリサイン セキュリティ診断サービス (有料サービス)
10
11
マルウェアスキャン
SSLサーバ証明書とその機能
• 「マルウェア」とは?
「マルウェア」とは?
12
Norton.comより
「Malicious」 + 「Software」 = 「Malware」 (造語) 悪意のある
ベリサインのマルウェアスキャン
13
消費者(ウェブサイトへの訪問者)のベネフィット
訪問したウェブサイトがマルウェアに感染していないことが確認でき、安心感を得られる
ウェブサイト運営者のベネフィット
ウェブサイトが検索エンジンやブラウザのブラックリストに載ることを防ぐ
即座に駆除対応してください!
https://www.verisign.co.jp/ssl/bundle.html#bundle_03
マルウェアスキャンの構成
14
1. クローラーが200ページ
にブラウザでアクセスし、ページを分析サーバにダウンロードします
2. ダウンロードされたWeb
ページが分析サーバ内で分析されます
3. サイトがマルウェアに感染していた場合は、管理者にメールで通知します
※クローラーはブラウザ経由でアクセスし、コードだけをダウンロードするので、一般ユーザのアクセスと負荷は同じです
※分析はリモートで行われるので、お客様サイトには負荷を与えません
クローラー 分析サーバ
③
①
②
マルウェア検知はGoogleも行っており、マルウェアを検出したサイトは、Google検索画面上で表示されません。(Google仕様)
15
シールインサーチ
SSLサーバ証明書とその機能
シールインサーチとは?
16
ベリサインSSLサーバ証明書またはベリサイントラストシールを購入されたお客様のサイトにベリサインシールが表示されます。
マルウェア感染していないサイト
審査・認証されたサイト
フィッシングではないサイト
このマークは、ネットユーザの約8割が知っている目印
https://www.verisign.co.jp/ssl/bundle.html#bundle_02
シールインサーチは、検索エンジン(SEO)対策に貢献
17
※ シールインサーチを表示するには、goo/BIGLOBE/OCNでのウェブ検索、もしくはノートンインターネットセキュリティ、ノートン360、ソースネクストがインストールされていて、IE、Firefox上でGoogle/Yahoo!/Bingで検索される必要があります。
検索エンジン対策に貢献
検索結果に
ベリサインシールを
表示
検索結果での信頼性向上 より多くのクリック(トランザクション) より多くのビジネスチャンス!!
ベリサインシールとリンクに
視線が集中
ノートンの場合の表示例
ソースネクストの場合の表示例
アイトラッキング調査結果
(マーケティング効果) シールインサーチ効果 - 流入数が6.3%向上
18
• シールインサーチを利用している99サイトの利用前1か月と利用後1か月を比較しました(2011年12月実施。ニールセン・ネットレイティングス NetViewのデータを元に特別集計)
• シーインサーチの導入でGoogle・YAHOO!・bing検索からベリサインシールが表示されているサイトへの流入数が平均で6.3%向上することがわかりました(例: 毎月検索から10万アクセスのウェブサイトで6,300件の流入数向上効果) 。
検索からの流入6.3%向上!
100,000 106,300
19
ベリサイントラストシール
ベリサイントラストシールの3つの特徴
20
ベリサインによる認証とウェブサイトでシール表示
マルウェア(悪意のあるソフトウェア)検出&レポート
サーチエンジン上で
ベリサインシールを表示
トランザクションの暗号化を必要としないお客様にも
ウェブサイトの信頼をご提供
最も高い認知度を誇る*オンラインセキュリティマークを活用して、 幅広い領域にオンライン ビジネスへの信頼を提供
シールは消費者の74%に認知されています。またシールが掲載されたページでは約70%が次の画面に進みたいと答えています(日本ベリサイン 消費者意識調査2010年12 月 (マクロミル調査協力))
SSLサーバ証明書との比較
Presentation Identifier Goes Here 21
ベリサインSSLサーバ証明書 ベリサイントラストシール
こんなサイトに便利 クレジットカード、住所、パスワード他
重要情報を直接取得する場合 訪問者から重要情報を取得しない場合
シール、表示
使用用途 SSLによる暗号化 顧客の信頼性向上
SSLによる暗号化 -
認証
マルウェア検知
シールインサーチ
脆弱性アセスメント (グローバルサーバID、
EV SSL証明書で提供) -
価格(日本) ¥85,050 (税込)
(セキュアサーバID1年) ¥41,580(1年、税込)
ベリサイントラストシールは、WebサーバによるCSR作成/SSLサーバ証明書のインストールは不要です。WebページのHTML編集だけで利用可能です。
ベリサイントラストシール購入に関して
22
• 有効期間1年、2年、3年
• 1ドメイン1契約(FQDN、サーバ台数は関係なし)
• 日本ベリサインによる企業認証後、購入ドメインに外部からマルウェアスキャンが実行されます。閉じた環境ではスキャンが実行できないため、シールを表示できません
• ストアフロントからお買い求めください
– www.verisign.co.jpにリンクがあります
ベリサイントラストシール無料体験版
23
• 上記3機能をすべて2か月間無料でお使い頂けます
• 利用する際にはベリサインから認証が必要になります
• トラストシールをお買い上げ前の検討に是非ご利用ください
詳細: http://www.verisign.co.jp/net/31561/
ベリサインによる認証とウェブサイトでシール表示
マルウェア(悪意のあるソフトウェア)検出&レポート
サーチエンジン上でベリサインシールを表示
24
ベリサイン クラウド型WAF
ベリサイン クラウド型 WAFのご紹介 日本ベリサインがご提供するWAFは、クラウド型でのご提供
– お客様のウェブアプリケーションに変更を加えることなく、WAFの導入が可能です
– 短期間で導入が可能です
– 運用やシグネチャ更新は、全てクラウド側で対応します
本サービスは、セキュアスカイ・テクノロジー社のScutumを利用しております。
25
https://www.verisign.co.jp/waf/
利用料金体系 料金メニュー
初期費用(税込)
¥102,900
年額費用(税込)
¥356,706
¥715,806
¥1,532,160
料金確定の目安
ピーク時で500kbps未満のトラフィック
ピーク時で500kbps以上~5Mbps未満のトラフィック
ピーク時で5Mbps以上~10Mbps未満のトラフィック
HTTPSサイトでの利用の場合、SSLサーバ証明書が別途必要になります。
トラフィックが大幅に増えた場合、別途費用が掛かることがございます。
ドメイン毎のトラフィックが小さい場合は複数ドメインをまとめて計算することも可能です。ご相談ください。
¥1,771,560
¥2,370,060
ピーク時で10Mbps以上~50Mbps未満のトラフィック
ピーク時で50Mbps以上~100Mbps未満のトラフィック
¥207,900
26
WAFサービス1ヶ月お試しサービス
導入パターン 詳細内容 条件
hosts型
お客様のPCのhosts設定を変更することで、自社サイトにWAFサービス経由でアクセスが可能になります。また、管理画面へのアクセス権を付与します。
hosts設定変更したPCだけが、WAFサービスを経由するため、簡易なテストになりますが、すぐにご利用できます。 ※hostsファイルの設定は、PCの管理者権限が必要となります。
※インターネットを利用する際に、プロキシーサーバを経由されている場合、hostsファイルの設定が反映されませんので、プロキシを利用しない環境でテストをしてください。
1ヶ月間のみ
FQDN数は1まで
DNS型
お客様の自社ドメイン管理のDNS設定を変更(CNAME追加)することで、自社サイトにWAF
サービス経由でアクセスが可能になります。また、管理画面へのアクセス権を付与します。
一般のエンドユーザからのアクセスが、WAFサービスを経由するため、詳細なテストが可能です。不正アクセスを防御しないモニターモードがご利用できますので、正常通信を妨げることはありません。
なお、WAFサービス側にSSLサーバ証明書(2ライセンス)が必要です。
1ヶ月間のみ
帯域は5Mpbsを上限
FQDN数は1まで
お客様 お客様Webサーバ
WAF
200.0.0.1
www.abc.com 100.0.0.1 DNS
Windowsのhostsファイル
100.0.0.1 www.abc.com
100.0.0.1です※
www.abc.com
のIPアドレスは?
WAF
200.0.0.1にリダイレクト
200.0.0.1にリダイレクト
hosts型
DNS型
ベリサイン クラウド型 WAFの1ヶ月トライアル提供開始
※実際は、DNSのCNAME設定が必要です。
27
導入事例
• ディップ株式会社
– 業界最大級の総合求人情報サイトを扱うサービス会社
– 「はたらこねっと」、「バイトルドットコム」、「ナースではたらこ」、「ジョブエンジン」等を運営
– 専門家による運用アウトソースと価格優位性が決め手となった。
• 自由民主党
– ネット選挙運動解禁を鑑み、Webページの改ざんや個人情報漏えいなどからホームページを保護し、安全な情報提供を促進
28
【参考】 SSLサーバ証明書の新たな使い方
29
常時SSL (Always-On SSL)とは
30
• 通常サイト
– お問合せフォームやログイン入口ページのみSSL暗号化
トップ トップ ログイン後
ログイン後
常時SSL化サイト
– 全てのページをSSLで暗号化
?
ログインや決済など、従来から暗号化が必要と言われるページの他全てのページにSSL暗号化を導入し、個人情報を保護する手法です。常時SSLを導入することで以下のメリットがあります。
• Cookie(セッションID)の保護
• Wi-Fi(スマホなど)対応
• 信頼性のアピール
【参考】 Google、Twitterによる常時SSL化の取り組み
31
Google+は常時SSL化済み
Twitterも2012年2月に常時SSL化済み
HTTPSを利用するユーザが22%に達した
ログイン後は検索も常時SSL化
TwitterにはEV SSL証明書が採用されている
日本ベリサイン株式会社
無断転載を禁ず
本資料は、ベリサイングループの機密情報を含んでおります。第三者への無断での転載に関しては、秘密 保持契約に抵触する場合がございます。
この文書は作成時点における情報を基準として作成した案であり、日本ベリサインおよびベリサイン・インクによるいかなるコミットメントを含む内容ではありません。
32
top related