昨今さまざまなサイバー攻撃とその被害に関するニュースを目にする機会が増えてきました。
AWSをはじめとしたパブリッククラウド環境上でも、オンプレミス環境同様インスタンス内のデータやOS、ミドルウェアは勿論の事、通信そのものも含めインフラストラクチャを除き、責任共有モデルに基づき利用者側が何かしらの情報セキュリティ対策と実装をしていかなければなりません。
そんななか、今回はWebサービスの脆弱性にフォーカスし、現状やどのようなセキュリティ対策を考えていけば良いのかをお伝えします。
Webサービスの脆弱性とサイバー攻撃
まず最近のWebサービスの脆弱性に関するセキュリティニュースを2つ紹介します。
ゲーム情報発信Webメディアを運営する企業においてWebサイトの改ざんが判明しました。
これは、特定ファイルの脆弱性を突かれたことを起因とし、同サイトにてreCAPTCHA認証を模した意図しないポップアップが表示され、この偽のreCAPTCHA認証ポップアップから意図しない外部サイトへと誘導される問題が発生しました。
なお、reCAPTCHA認証とは、9枚程の画像が表示され例えば「自動車の画像」のみを選択してくださいといった認証方式のことです。
次にSEOを軸にWeb広告やWebサイト制作を展開する企業で、同社のWebサイトへアクセスができない状態となり、一部デバイスから閲覧した場合に別サイトへ誘導される状態に陥ってしまったというニュースです。
これは、企業側の調査によりWordPressの最新修正プログラム等の対応が滞っていたことで脆弱性を生じさせてしまっていたことが起因となり、WordPressを経由してWebサイト用サーバに第三者から不正アクセスされ、サイト改ざんおよび、意図しない別サイトへ誘導を促す不正なコードが埋め込まれていることが確認されました。
出典元:https://ssl4.eir-parts.net/doc/7357/tdnet/1964869/00.pdf
これら2件に留まらず脆弱性を起因とした脅威情報やサイバー攻撃被害が毎日のように多数の環境で報告されており、Webサービスの脆弱性に対し何かしらの対策が必要といえます。
日々増加し続ける脆弱性と対策の課題
もう少しWebサービスの脆弱性に対するサイバー攻撃の現状を見ていきながら、それらのセキュリティ対策の実装を難しくしてしまっている要因についても考えてみます。
情報処理推進機構(IPA)が、2021年第1四半期に情報セキュリティ早期警戒パートナーシップガイドラインを通じて届け出があった脆弱性は、ウェブサイトに関連するものが180件、ソフトウェアの脆弱性に関連するものが72件の計252件に上ったと発表しました。
内訳としてソフトウェアの脆弱性を製品別で見ると、Webアプリケーション関連が最も多く、次いでグループウェアに関連するものとなっています。
また、脆弱性の原因別ではWebアプリケーションの脆弱性が最も多く、次いで実装上の不備に関するものの順に続いています。
出典元:ソフトウェア等の脆弱性関連情報に関する届出状況[2021年第1四半期(1月~3月)]
このように日々発見されるOSやCMSを含むソフトウェアやアプリケーションに関する脆弱性、そしてそれら脆弱性に対する脅威を回避するためには、常日頃から新たな脆弱性情報を確認し、適切なアップデート等の対応を都度迅速に行う必要性があります。
そのため、アップデート後もWebサービスが安定稼働するかどうかといった事前検証に割く時間や工数を考えなければなりません。
また、利用中のソフトウェアがサポート期限外となっている場合、アップデート対応ができず脆弱性に対する修正対策ができなくなるケースもあります。
加えてゼロデイ攻撃といわれる、何かしらの脆弱性が確認されソフトウェアの提供元メーカーが修正アップデートファイルを提供するまでの時間(ゼロデイ)を考慮しなければならず、サイバー攻撃を仕掛ける側はアップデートファイルが組みあがる前に攻撃手法を確立させて攻撃を成功させることも少なくありません。
Webサービスの脆弱性を保護するセキュリティ対策とは?
では、毎日のように発見される脆弱性に対して、発見される度にパッチの検証をし、パッチを適用するという高負荷な難題に、どのように立ち向かえばよいのでしょうか。
今回は、AWSのEC2やGCPのCompute Engineに対し、最適な脆弱性保護ソリューションとなるトレンドマイクロ社が提供するCloud One Workload Security(以下、Workload Security)を紹介します。
このWorkload Securityでは、IPS(Intrusion Prevension System)の機能として仮想パッチという機能を提供しています。
仮想パッチとは、脆弱性を狙う攻撃コードをネットワークレベルでブロックすることで、仮想的に修正パッチが当たっている状態を提供するものとなります。
この仮想パッチを導入しておくことにより、製品ベンダーの正規パッチリリースが遅れた場合でも未然に脆弱性保護が実現できます。
また、正規パッチの適用までに実施する検証作業等の時間を稼ぐことができ、アップデートスケジュールを柔軟にコントロールすることが可能となります。
では、なぜトレンドマイクロ社は時に製品ベンダーより素早く仮想パッチをリリースできるのでしょうか。
それはZDI(Zero Day Initiative)という世界中で10,000名以上のセキュリティ研究者が連携するコミュニティをトレンドマイクロ社が運営しており、そこから脆弱性情報をいち早く取得し対策用の仮想パッチを早期に生成しているからなのです。
なお、マイクロソフト社の公開脆弱性の1/4、Adobe社の公開脆弱性の1/3をそれぞれZDIが発見しており、これはメーカー外部としては一番脆弱性を報告している組織となります。
出典元:止まらない「ゼロデイ脆弱性を突いた攻撃」、気付けない「標的型攻撃による潜入」。その解決策とは
このZDIの中でも、トレンドマイクロ社は圧倒的な脆弱性の発見、報告をしており、2018年では1年間全体で52.3%となる半数以上の脆弱性を発見した実績もあります。
更にWorkload SecurityのIPSには推奨設定機能というものがあり、これは自動でサーバインスタンス内のシステム情報の脆弱性をスキャンし、脆弱性を発見するとそこに必要な仮想パッチを自動で適用してくれるという非常に便利な機能です。
仮想パッチとその自動適用という流れにより、必要となる保護だけを自動で迅速に適用してくれるため、最適な脆弱性保護を実現することにつながります。
IPS/IDS(侵入防御)機能の優位性
出典元:Deep Secuirty/Cloud One Workload Securityの機能紹介 ~侵入防御~
トレンドマイクロ社のCloud IntegrationパートナーであるNHN テコラスでは、このWorkload Securityを通して状況を可視化するTIR(Thread Intelligent Report)というレポーティングサービスも提供しております。
Workload Securityの推奨設定機能により既知の脆弱性が存在しているのか否か、サイバー攻撃が発生しているのかどうか等、セキュリティ対策の第一歩として必要となる可視化を専任のセキュリティアナリストが分析し、アドバイスと共に提供することでセキュリティ対策の評価につなげ、必要に応じて次のセキュリティ対策や実装を検討する材料として活かせます。
NHN テコラスが提供するThread Intelligent Reportのサンプル
脆弱性を見据えたWebサービスへの最適なセキュリティ対策
AWSやGCPといったパブリッククラウド環境をさまざまな脅威リスクから保護しセキュアに利用するには、情報セキュリティに関する専門的な知識と最適な運用が求められます。
そこで検討したいのが、AWS環境に関する情報セキュリティの知識とノウハウが豊富なシステムインテグレーターによる導入・運用支援サービスです。
NHN テコラスのAWSセキュリティ対策サービス「マネージドセキュリティ」では、AWSのセキュリティ対策をサポートさせていただくべく、最適なソリューションの各種導入・運用支援を行っています。
今回ご紹介しました、OSやミドルウェアの脆弱性に対し迅速な仮想パッチ適用をはじめ、マルウェア等の不正プログラム対策、クロスサイトスクリプティング対策といったさまざまな機能により、オールインワンで脅威を低減させる「Workload Security 多層防御・脆弱性対策」を利用すれば、動的かつ多層的にサーバインスタンスのセキュリティ対策を実現させることができます。
また、導入や各種設定変更、運用状況のレポーティングをNHN テコラスの専門セキュリティアナリストがお手伝いさせていただくことも可能なため、安心感を高めてパブリッククラウド上でのWebサービス運用に専念ができます。
有効なセキュリティ対策の実装には、現状の可視化が必用となることからも、AWSのセキュリティ対策の強化に向けご利用を検討ください。
AWSのセキュリティ対策にオススメ!
コストパフォーマンスよく実現する方法
・with コロナ期における企業システムの直近の脅威について
・NHNテコラスで推奨しているセキュリティ対策
・中小企業のお客様におすすめできるサービス