1

情報漏えい対策セミナー ～サイバー攻撃、サイトの脆弱性に担当者はどのような防御策をとるべきか？～ 【抜粋版】

日本ベリサイン株式会社

SSL製品本部

2013年6月

目次

SSLサーバ証明書とその機能

– 脆弱性アセスメント

– マルウェアスキャン

– シールインサーチ

トラストシール

クラウド型WAF

SSLサーバ証明書の新たな使い方

2

3

SSLサーバ証明書とその機能

ベリサイン Webサイト診断・防御ソリューション

Webへの攻撃が多様化

SSLサーバ証明書への新たな機能として、「マルウェアスキャン」、「脆弱性アセスメント」をご提供し、診断とアラート通知を行います。また、エンドユーザへ安全なサイトを示す方法として「シールインサーチ」も提供しています。

発見されたウェブサイトの脆弱性

外部の攻撃から防ぐ「ベリサイン クラウド型 WAF」を提供したり、詳細な脆弱性診断を行う「ベリサイン セキュリティ診断サービス」を提供しています。

SSLサーバ証明書

に新たな機能

4

ベリサイン SSLサーバ証明書製品ラインアップ

VeriSign 製品ラインアップ

グローバル・ サーバID EV

セキュア・ サーバID EV

グローバル・ サーバID

セキュア・ サーバID

セキュリティの可視性

（見えるセキュリティ） ★★★ ★★★ ★ ★

認証レベル

（証明書発行基準の厳格さ） ★★★ ★★★ ★★ ★★

暗号レベル

（暗号の強度） ★★★ ★★ ★★★ ★★

ベリサインシール／シールインサーチ

（無償）

マルウェアスキャン

（無償）

脆弱性アセスメント

（無償） ×

サーバ監視サービス

（無償）

価格（税込み） ¥229,950～ ¥170,100～ ¥144,900～ ¥85,050～

5

6

脆弱性アセスメント

SSLサーバ証明書とその機能

脆弱性アセスメント － 概要

• 概要

– お客様ウェブサイトに潜在するセキュリティの問題点(脆弱性)の有無を診断いたします

– 診断結果を詳細レポート(PDF)で確認いただけます

• バンドル(無償提供)対象 SSLサーバ証明書製品

– EV SSL証明書

– グローバル・サーバID

• 診断方法

– お客様のウェブサイトに対して、ハッカーの攻撃対象になる 脆弱性が存在していないか、 ベリサインが外部から診断・ レポートいたします。

7

https://www.verisign.co.jp/ssl/vulnerability_assessment/index.html

• 脆弱性アセスメントの結果を、2段階のリスクレベルと9種類の影響範囲で示します。

2段階の

リスクレベル

9種類の

影響範囲

脆弱性数

検知した

脆弱性数を表示

脆弱性アセスメント － レポート (1/2)

8

影響範囲 (Impact Area)

内容 (Definition)

ウェブ関連(Web) ウェブサーバ、ウェブサーバのプラグイン、アプリケーションサーバなど

ウェブアプリケーションに関する脆弱性(Application)

ウェブアプリケーション、ウェブ開発フレームワーク、CMSなど

データベースに関する脆弱性(Database)

データベースアプリケーション

メールに関する脆弱性(Mail)

ウェブメール、SMTP、lMAP、POP3など

ネットワークに関する脆弱性(Networking)

DNS、LDAPなどのネットワークサービス、ルーターやファイアウォールの設定、SNMPなど

リモートアクセスに関する脆弱性 (Remote Access)

VPN、Telnet、FTP、SSHrlogin/RSH、desktop、x11 のようなリモートアクセスサービス

通信に関する脆弱性(Communication)

IRC、SSL、XMPPなどの通信やメッセージングサービス

OSに関する脆弱性(Local) OSレベルや、外部からは利用できないシステム内部に存在する

その他の脆弱性(Other) 上記の分類に入らないその他脆弱性

• 9種類の影響範囲について

脆弱性アセスメント － レポート (2/2)

9

診断対象のＷｅｂサーバ

診断対象のＷｅｂサーバに対して、設定変更や、Ａｇｅｎｔソフトウェアなどのインストールは一切不要です。

インターネット

診断は、診断サーバを介して実施します。不正防止対策として、診断サーバで全ての通信記録を取得し、監査を行っています。

お客様サイト

診断はインターネット経由で実施します。

お客様のご希望に応じて、オンサイト診断も実施します（別途費用）

診断の際に利用するＩＰアドレスは事前に通知します。

テストサーバへの診断の際にはＦＷの設定を追加していただくことがあります。

診断サーバ

診断時のトラフック量は、数十Ｋｂｐｓ程度です 万が一の障害

に備え、事前にバックアップの取得をお願いしています。

VeriSign

【参考】 ベリサイン セキュリティ診断サービス （有料サービス）

10

11

マルウェアスキャン

SSLサーバ証明書とその機能

• 「マルウェア」とは？

「マルウェア」とは？

12

Norton.comより

「Malicious」 + 「Software」 = 「Malware」 （造語） 悪意のある

ベリサインのマルウェアスキャン

13

消費者（ウェブサイトへの訪問者）のベネフィット

訪問したウェブサイトがマルウェアに感染していないことが確認でき、安心感を得られる

ウェブサイト運営者のベネフィット

ウェブサイトが検索エンジンやブラウザのブラックリストに載ることを防ぐ

即座に駆除対応してください！

https://www.verisign.co.jp/ssl/bundle.html#bundle_03

マルウェアスキャンの構成

14

1. クローラーが200ページ

にブラウザでアクセスし、ページを分析サーバにダウンロードします

2. ダウンロードされたWeb

ページが分析サーバ内で分析されます

3. サイトがマルウェアに感染していた場合は、管理者にメールで通知します

※クローラーはブラウザ経由でアクセスし、コードだけをダウンロードするので、一般ユーザのアクセスと負荷は同じです

※分析はリモートで行われるので、お客様サイトには負荷を与えません

クローラー 分析サーバ

③

①

②

マルウェア検知はGoogleも行っており、マルウェアを検出したサイトは、Google検索画面上で表示されません。（Google仕様）

15

シールインサーチ

SSLサーバ証明書とその機能

シールインサーチとは？

16

ベリサインSSLサーバ証明書またはベリサイントラストシールを購入されたお客様のサイトにベリサインシールが表示されます。

マルウェア感染していないサイト

審査・認証されたサイト

フィッシングではないサイト

このマークは、ネットユーザの約8割が知っている目印

https://www.verisign.co.jp/ssl/bundle.html#bundle_02

シールインサーチは、検索エンジン(SEO)対策に貢献

17

※ シールインサーチを表示するには、goo/BIGLOBE/OCNでのウェブ検索、もしくはノートンインターネットセキュリティ、ノートン360、ソースネクストがインストールされていて、IE、Firefox上でGoogle/Yahoo!/Bingで検索される必要があります。

検索エンジン対策に貢献

検索結果に

ベリサインシールを

表示

検索結果での信頼性向上 より多くのクリック（トランザクション） より多くのビジネスチャンス！！

ベリサインシールとリンクに

視線が集中

ノートンの場合の表示例

ソースネクストの場合の表示例

アイトラッキング調査結果

（マーケティング効果） シールインサーチ効果 － 流入数が6.3%向上

18

• シールインサーチを利用している99サイトの利用前1か月と利用後1か月を比較しました（2011年12月実施。ニールセン・ネットレイティングス NetViewのデータを元に特別集計）

• シーインサーチの導入でGoogle・YAHOO!・bing検索からベリサインシールが表示されているサイトへの流入数が平均で6.3%向上することがわかりました（例： 毎月検索から10万アクセスのウェブサイトで6,300件の流入数向上効果） 。

検索からの流入6.3%向上！

100,000 106,300

19

ベリサイントラストシール

ベリサイントラストシールの３つの特徴

20

ベリサインによる認証とウェブサイトでシール表示

マルウェア（悪意のあるソフトウェア）検出＆レポート

サーチエンジン上で

ベリサインシールを表示

トランザクションの暗号化を必要としないお客様にも

ウェブサイトの信頼をご提供

最も高い認知度を誇る*オンラインセキュリティマークを活用して、 幅広い領域にオンライン ビジネスへの信頼を提供

シールは消費者の74%に認知されています。またシールが掲載されたページでは約70%が次の画面に進みたいと答えています（日本ベリサイン 消費者意識調査2010年12 月 （マクロミル調査協力））

SSLサーバ証明書との比較

Presentation Identifier Goes Here 21

ベリサインSSLサーバ証明書 ベリサイントラストシール

こんなサイトに便利 クレジットカード、住所、パスワード他

重要情報を直接取得する場合 訪問者から重要情報を取得しない場合

シール、表示

使用用途 SSLによる暗号化 顧客の信頼性向上

SSLによる暗号化 －

認証

マルウェア検知

シールインサーチ

脆弱性アセスメント （グローバルサーバID、

EV SSL証明書で提供） －

価格（日本） ￥85,050 （税込）

（セキュアサーバID1年） ¥41,580（1年、税込）

ベリサイントラストシールは、WebサーバによるCSR作成／SSLサーバ証明書のインストールは不要です。WebページのHTML編集だけで利用可能です。

ベリサイントラストシール購入に関して

22

• 有効期間1年、2年、3年

• 1ドメイン1契約（FQDN、サーバ台数は関係なし）

• 日本ベリサインによる企業認証後、購入ドメインに外部からマルウェアスキャンが実行されます。閉じた環境ではスキャンが実行できないため、シールを表示できません

• ストアフロントからお買い求めください

– www.verisign.co.jpにリンクがあります

ベリサイントラストシール無料体験版

23

• 上記3機能をすべて2か月間無料でお使い頂けます

• 利用する際にはベリサインから認証が必要になります

• トラストシールをお買い上げ前の検討に是非ご利用ください

詳細： http://www.verisign.co.jp/net/31561/

ベリサインによる認証とウェブサイトでシール表示

マルウェア（悪意のあるソフトウェア）検出＆レポート

サーチエンジン上でベリサインシールを表示

24

ベリサイン クラウド型WAF

ベリサイン クラウド型 WAFのご紹介 日本ベリサインがご提供するWAFは、クラウド型でのご提供

– お客様のウェブアプリケーションに変更を加えることなく、WAFの導入が可能です

– 短期間で導入が可能です

– 運用やシグネチャ更新は、全てクラウド側で対応します

本サービスは、セキュアスカイ・テクノロジー社のScutumを利用しております。

25

https://www.verisign.co.jp/waf/

利用料金体系 料金メニュー

初期費用(税込)

￥102,900

年額費用(税込)

￥356,706

￥715,806

￥1,532,160

料金確定の目安

ピーク時で500kbps未満のトラフィック

ピーク時で500kbps以上～5Mbps未満のトラフィック

ピーク時で5Mbps以上～10Mbps未満のトラフィック

HTTPSサイトでの利用の場合、SSLサーバ証明書が別途必要になります。

トラフィックが大幅に増えた場合、別途費用が掛かることがございます。

ドメイン毎のトラフィックが小さい場合は複数ドメインをまとめて計算することも可能です。ご相談ください。

￥1,771,560

￥2,370,060

ピーク時で10Mbps以上～50Mbps未満のトラフィック

ピーク時で50Mbps以上～100Mbps未満のトラフィック

￥207,900

26

WAFサービス1ヶ月お試しサービス

導入パターン 詳細内容 条件

hosts型

お客様のPCのhosts設定を変更することで、自社サイトにWAFサービス経由でアクセスが可能になります。また、管理画面へのアクセス権を付与します。

hosts設定変更したPCだけが、WAFサービスを経由するため、簡易なテストになりますが、すぐにご利用できます。 ※hostsファイルの設定は、PCの管理者権限が必要となります。

※インターネットを利用する際に、プロキシーサーバを経由されている場合、hostsファイルの設定が反映されませんので、プロキシを利用しない環境でテストをしてください。

1ヶ月間のみ

FQDN数は1まで

DNS型

お客様の自社ドメイン管理のDNS設定を変更(CNAME追加)することで、自社サイトにWAF

サービス経由でアクセスが可能になります。また、管理画面へのアクセス権を付与します。

一般のエンドユーザからのアクセスが、WAFサービスを経由するため、詳細なテストが可能です。不正アクセスを防御しないモニターモードがご利用できますので、正常通信を妨げることはありません。

なお、WAFサービス側にSSLサーバ証明書(2ライセンス)が必要です。

1ヶ月間のみ

帯域は5Mpbsを上限

FQDN数は1まで

お客様 お客様Webサーバ

WAF

200.0.0.1

www.abc.com 100.0.0.1 DNS

Windowsのhostsファイル

100.0.0.1 www.abc.com

100.0.0.1です※

www.abc.com

のIPアドレスは？

WAF

200.0.0.1にリダイレクト

200.0.0.1にリダイレクト

hosts型

DNS型

ベリサイン クラウド型 WAFの1ヶ月トライアル提供開始

※実際は、DNSのCNAME設定が必要です。

27

導入事例

• ディップ株式会社

– 業界最大級の総合求人情報サイトを扱うサービス会社

– 「はたらこねっと」、「バイトルドットコム」、「ナースではたらこ」、「ジョブエンジン」等を運営

– 専門家による運用アウトソースと価格優位性が決め手となった。

• 自由民主党

– ネット選挙運動解禁を鑑み、Webページの改ざんや個人情報漏えいなどからホームページを保護し、安全な情報提供を促進

28

【参考】 SSLサーバ証明書の新たな使い方

29

常時SSL （Always-On SSL）とは

30

• 通常サイト

– お問合せフォームやログイン入口ページのみSSL暗号化

トップ トップ ログイン後

ログイン後

常時SSL化サイト

– 全てのページをSSLで暗号化

？

ログインや決済など、従来から暗号化が必要と言われるページの他全てのページにSSL暗号化を導入し、個人情報を保護する手法です。常時SSLを導入することで以下のメリットがあります。

• Cookie（セッションID）の保護

• Wi-Fi（スマホなど）対応

• 信頼性のアピール

【参考】 Google、Twitterによる常時SSL化の取り組み

31

Google+は常時SSL化済み

Twitterも2012年2月に常時SSL化済み

HTTPSを利用するユーザが22%に達した

ログイン後は検索も常時SSL化

TwitterにはEV SSL証明書が採用されている

日本ベリサイン株式会社

無断転載を禁ず

本資料は、ベリサイングループの機密情報を含んでおります。第三者への無断での転載に関しては、秘密 保持契約に抵触する場合がございます。

この文書は作成時点における情報を基準として作成した案であり、日本ベリサインおよびベリサイン・インクによるいかなるコミットメントを含む内容ではありません。

32