Más contenido relacionado
Similar a スカイアーチセミナー:【Web制作・SI企業様向け】サーバー管理が怖くなくなる方法 (20)
Más de 株式会社スカイアーチネットワークス (14)
スカイアーチセミナー:【Web制作・SI企業様向け】サーバー管理が怖くなくなる方法
- 3. プロフィール
岡田 行司 / Koji Okada
株式会社スカイアーチネットワークス株式会社スカイアーチネットワークス
営業本部 リーダー
• 2008年 スカイアーチネットワークス入社
• データセンター担当営業を行い、全国60社150か所のデータセンターを提案• データセンター担当営業を行い、全国60社150か所のデータセンターを提案
• 2009年より内部監査も担当し、現在5年目。情報セキュリティ、個人情報保
護、ITサービスマネジメントの視点からシステム提案を実施。護、ITサービスマネジメントの視点からシステム提案を実施。
• 2012年営業本部 リーダーに就任。担当顧客数No.1/売上No.1
• 信念:顧客のなんとなくを、しっかり形にして提案する事。• 信念:顧客のなんとなくを、しっかり形にして提案する事。
• 趣味:散歩
3
- 6. リスク 損失 / 費用例 対策
サーバー管理がなぜ必要か
障害発生時の機会損失 売上1,000万円/月のサイトが、
障害で為す術がなく、1日止まったら…?
原因の切り分け、迅速に復旧!
障害の早期復旧(+予防)
リスク 損失 / 費用例 対策
情報漏洩
・1000万円/30日=33.3万円
・信用失墜
原因の切り分け、迅速に復旧!
1件、発生してしまったら? 機密性の高いシステム構築情報漏洩 1件、発生してしまったら?
平均7505万7636円
*2012年5月 シマンテック調査
セキュリティに配慮した設定。
万が一の際は迅速に対応!
機密性の高いシステム構築
技術者の教育コスト 構築セミナー*に参加したら?
・受講料 8.4万円
・人件費 3,000×20時間=6万円
約3,000台の構築ノウハウで、
最適化した構成でご提供!
専門事業者のノウハウ活用
・人件費 3,000×20時間=6万円
*KENスクール「LAMP構築セミナー」料金
最適化した構成でご提供!
レスポンス低下による機会損失
ページの反応が0.1秒
0.3秒で表示されていたサイト、
最適化されずに、0.6秒になっていたら? 増強・増設、チューニング!
最適化した構成の必要性
ページの反応が0.1秒
遅くなると、売上が1%落ちる
*amazon.com調べ
最適化されずに、0.6秒になっていたら?
・1,000万円/月×3%=30万円/月
増強・増設、チューニング!
6
- 10. 1.監視
• 監視の問題点
– なにをどこまで監視すればいいか?
• 監視ポイントを増やす
– 多角的にサーバー状況を監視でき、異常に気付きやすい。– 多角的にサーバー状況を監視でき、異常に気付きやすい。
– サービスに影響が無くてもアラートが出る為、緊急対応が必要
なアラートを見落とすなアラートを見落とす
• 監視ポイントを減らす• 監視ポイントを減らす
– アラートが少ないので緊急時のアラートが埋もれない
– アラート受信後、どこに異常が出ているのか切り分けが必要– アラート受信後、どこに異常が出ているのか切り分けが必要
10
- 13. 1.監視
• ほとんどやらない監視
• メモリ閾値• メモリ閾値
• CPU閾値
• トラフィック監視 等
⇒アラートが上がってもそれ自体どうしようもない⇒アラートが上がってもそれ自体どうしようもない
(サーバーの増強が必要)
⇒cactiによるグラフ取得で代用する⇒cactiによるグラフ取得で代用する
13
- 17. 2.バックアップ
• 監視バックアップの問題点• 監視バックアップの問題点
– どこの領域をどの間隔で何世代、どこに保存すればいいか?
• 領域• 領域
– データ:コンテンツ / データベース / ログ
– イメージ:OSから丸ごと全て取得
• 頻度と世代
– イメージ:OSから丸ごと全て取得
– 1日1回 / 1ヶ月に1回
• 保存先
– 1日1回 / 1ヶ月に1回
– 7世代 / 31世代
• 保存先
– サーバー内 / バックアップサーバー
– ファイルサーバー– ファイルサーバー
– オフィスのPC
17
- 18. 2.バックアップ
• 領域• 領域
イメージデータ イメージ
1回のデータが大きい
データ
1回のデータが少ない
不要なデータも取得
ファイル単位でのリカバ
必要なデータのみ取得可
ファイル単位でのリカバ ファイル単位でのリカバ
リができない
リストアに時間がかかる
ファイル単位でのリカバ
リができる
リストアが早い リストアに時間がかかる
初期化からも直ぐに復旧
可
リストアが早い
初期化からのリカバリ時
はサーバー構築が必要 可はサーバー構築が必要
18
- 20. 2.バックアップ
• 保存先• 保存先
⇒保存先により、メリットデメリットがあります。
メリット デメリット
サーバー内 ・すぐにデータ復旧ができる ・イメージでの取得ができないサーバー内 ・すぐにデータ復旧ができる ・イメージでの取得ができない
・全データ消失リスク有
専用バックアップサーバー ・別筺体に保存
・スムーズな復旧
・予め大容量HDD確保の必要性
・容量不足時、サーバー追加orリプ
レースレース
・バックアップサーバー故障時、デー
タ消失の可能性あり
クラウドファイルサーバー(S3/nifty ・自動で2重、3重の複製を作成する ・青天井で高コストの可能性クラウドファイルサーバー(S3/nifty
クラウドストレージ 等)
※クラウドサーバー利用想定
・自動で2重、3重の複製を作成する
・利用した容量のみ費用を支払う
・イメージ取得が簡単
・青天井で高コストの可能性
・コンパネ操作やAPI連携など知識が
必要
・転送速度がやや遅い
ローカルPC ・遠隔地保管ができる ・紛失、盗難のリスクローカルPC ・遠隔地保管ができる ・紛失、盗難のリスク
20
- 23. • 不正アクセスを防ぐ対策
3.セキュリティ
• 不正アクセスを防ぐ対策
– ファイアウォール
– アクセス権管理
インターネット
– アクセス権管理
– 脆弱性管理
○
×
– 教育
• 不正アクセスを前提とした対策
○
• 不正アクセスを前提とした対策
– 暗号化
– ログ取得 社内– ログ取得
– バックアップ
• イメージ取得
○
社内
個人
情報
• イメージ取得
○
23
- 24. 3.セキュリティ ハッキング攻撃の傾向と変化
2000年~ 2004年~ 現在~
対象
不特定多数
(ユーザーやサービス、組織)
不特定多数
(ユーザーやサービス、組織)
特定ユーザー、サービス、組織
(企業や制御システム、政府・公的機関)(ユーザーやサービス、組織) (ユーザーやサービス、組織) (企業や制御システム、政府・公的機関)
•スクリプトやツール
•マルウェア・スパイウェア
•スパムメール
•フィッシングサイト
•標的型攻撃(APT攻撃)
•ゼロデイ攻撃やソーシャル・エンジニアリ
•ブルート・フォース攻撃
•バッファオーバーフロー
•DoS攻撃/DDoS攻撃
•ルートキット
•ボットネット
•SQLインジェクション
ングなどを複合的に利用した非常に高度で
複雑な攻撃
•外部攻撃型
方法
•DoS攻撃/DDoS攻撃 •SQLインジェクション
•XSS (クロスサイト・スクリ
プティング)
•フェイク・アラート
–DoS攻撃/DDoS攻撃
–脆弱性を悪用した攻撃・侵入
•内部侵入型•フェイク・アラート •内部侵入型
–ゼロデイ攻撃を利用した不正プログ
ラムを、メールやUSB経由で内部端
末に送り込み、内部から情報搾取や末に送り込み、内部から情報搾取や
攻撃を試行
24
- 26. 3.セキュリティ なぜ事故は起こるのか?
時期、 対象サービス 消失 機密 概要時期、 対象サービス 消失 機密 概要
2009年
3月 Google Docs ○ 意図しない相手とドキュメント共有、脆弱性
4月 Core IP Networks LLC ○ サーバーー押収
6月 Vaserv.com ○ ウェブサイト消失、脆弱性6月 Vaserv.com ○ ウェブサイト消失、脆弱性
10月 Sidekick ○ データ消失、SANのアップグレードに失敗
2010年 5月 Amazon Web Service ○ システムダウン、データ消失
2月 Gmail ○ メール消失
2011年
2月 Gmail ○ メール消失
5月 NTT WebARENA ○ サーバーー接続不可
6月 Dropbox ○ パスワード不要でアクセス可能
7月 Distribute ○ 顧客データ消去7月 Distribute ○ 顧客データ消去
9月 InMotion Hosting ○ インデックスファイル改ざん
2012年
1月 さくらのクラウド ○ データ消失
6月 ファーストサーバーー ○ ○ 手¥順ミスにより、5676件、99.6%の顧客データ消失6月 ファーストサーバーー ○ ○ 手¥順ミスにより、5676件、99.6%の顧客データ消失
2013年
3月 Evernote ○ パスワードハッキング
5月 Yahoo!JAPAN ○ 外部アクセスにより、最大2200万件のYahooIDが抽出
26
2014年 6月 ベネッセコーポレーション ○ 内部アクセスにより、最大2260万件の顧客個人情報が流出
2009~2014年 報道より抜粋
- 29. 3.セキュリティ
• 脆弱性への対応• 脆弱性への対応
– 脆弱性診断– 脆弱性診断
• 第三者により、脆弱性がないか評価する
– 不要なサービスの停止– 不要なサービスの停止
– JPCERTの情報を的確に取得– JPCERTの情報を的確に取得
脆弱性は突然発見されます。日々確認が必要。脆弱性は突然発見されます。日々確認が必要。
29
- 54. 5.クラウド活用セキュリティは?
• セキュリティは?• セキュリティは?
– クラウドそれ自体は安全です– クラウドそれ自体は安全です
例: 取得認証
AWS
・HIPAA(米国医療基準)
AWS
・HIPAA(米国医療基準)
・SOC1/SSAE16/ISAE1402 /SOC2 /SOC3
(内部統制)
・PCI DSS(カード会社基準)
・ISO27001(情報セキュリティ) 等・ISO27001(情報セキュリティ) 等
ニフティクラウド
・ISO27001
・SOC2
・PCI DSS 等・PCI DSS 等
利用サーバーのセキュリティ対策が重要利用サーバーのセキュリティ対策が重要
54