SlideShare una empresa de Scribd logo

サーバーにWafを導入してみた結果@t dash

Descargar como PPTX, PDF
t Dash
t Dash

Web Application Firewallを導入 検討と結果

Internet
1 de 11
サーバーにWAFを導入してみた結果 2017/05/31 tDash
tDash自己紹介 PHP歴10年以上 JAVA歴10年以上 主にPHPやJavaでWebサービスの開発と サーバー運用をしている 今はフリーランサー https://twitter.com/tDash0
WAFとは Web Application Firewall Webサーバーの手前で攻撃パターンを認識して 遮断
WAFの選択肢  mod_security  http://www.modsecurity.org  オープンソース/無料  Apacheのモジュール CloudFlare  DDoS攻撃にも対応したクラウドのサービス  WAFは月額$20プランで使える SiteGuard  日本の会社が提供している商用WAF  SiteGuard版は  SiteGuard Lite版だと1ライセンス252,000円+1年126,000円 AWSにもWAFがあるようだ  諸般の事情により 今回は AWSを検討していない  料金計算が複雑だが 月$30くらいで使えそう
WAF選択肢検討結果 mod_security  設定が大変そう CloudFlare  中国資本が入っててコワイ SiteGuard  さくらのクラウドだとSiteGuard Liteを無料で使えた  SiteGuardを導入
ハッカーの攻撃ログ再現してみた ハッカーの攻撃ログを保存していたので 実際にSiteGuardLiteに行ってみた。 約1000パターン中970パターンを遮断
実際に導入してみて 自動適用状況  最近話題のPHP系のセキュリティーホール  WordPress 4.7.0/4.7.1 Unauthenticated Content Injection  IPA掲載日に対応  WordPressの脆弱性 サイトを改ざんできる  IPA 2017-02-06掲載  SiteGuradは 2017-02-06自動適用  Potential PHPMailer Remote Code Execution (CVE-2016-10033,CVE-2016- 10045) Attack  IPA掲載後 約2週間後に対応  ウェブサーバの権限で任意のコードを実行  IPA 2016-12-28掲載  SiteGuradは 2017-01-12自動適用
S2-045  PHPじゃないけれど 最近問題になった Java Struts2のセキュリティーホール  2017年4月25日 ぴあ運営のB.LEAGUEサイトから流出したカード番号で被害  約3万2000件のクレジットカード情報 セキュリティーコードもサーバー保存してい て 取られる  2017年3月24日メガネ販売店「JINS(ジンズ)」を展開するジェイアイエヌ  個人情報は、メールアドレス、氏名、住所、電話番号、生年月日、性別のセットが 74万9745人分、メールアドレスのみが43万8610人分  2017年3月 13日にはGMOペイメントゲートウェイ運営の都税支払いサイトおよび住宅金 融支援機構カード支払いサイト カード情報が流出  不正アクセスされた可能性のある情報  ユーザーのクレジットカード情報 総件数:676,290件
S2-045は適用状況 2017年3月2日開発者のサイトに S2-045 が掲示される https://cwiki.apache.org/confluence/pages/viewpage.action?pageId=68717735  対応方法 Upgrade to Struts 2.5.10.1 2017年3月7日 WAF SiteGuardLite S2-045モジュール自 動適用 2017年3月8日 IPA 勧告 掲載
S2-045攻撃状況 NTTセキュリティ・ジャパン(株) によれば 3月7日17時には検知 tDash の サイトは3月27日に初検知
結論 WAF は 入れた方がよい ご清聴ありがとうございました。

Recomendados

Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
 
WordPressのCDN化
WordPressのCDN化WordPressのCDN化
WordPressのCDN化
J-Stream Inc.
 
世界標準ブログツール WordPressの最新版3.0と豊富なプラグイン
世界標準ブログツール WordPressの最新版3.0と豊富なプラグイン世界標準ブログツール WordPressの最新版3.0と豊富なプラグイン
世界標準ブログツール WordPressの最新版3.0と豊富なプラグイン
tamotsu toyoda
 
20140524 hands on_upload
20140524 hands on_upload20140524 hands on_upload
20140524 hands on_upload
Six Apart
 
「WordPress初心者講座」(2018.3.25) 講義資料02
「WordPress初心者講座」(2018.3.25) 講義資料02「WordPress初心者講座」(2018.3.25) 講義資料02
「WordPress初心者講座」(2018.3.25) 講義資料02
Akihiro Moriyama
 
情報セキュリティCAS 第二十三回放送用スライド
情報セキュリティCAS 第二十三回放送用スライド情報セキュリティCAS 第二十三回放送用スライド
情報セキュリティCAS 第二十三回放送用スライド
Kumasan, LLC.
 
[網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI [網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI
Hiromichi Koga
 
イノベーションエッグLt資料
イノベーションエッグLt資料イノベーションエッグLt資料
イノベーションエッグLt資料
Yuki Yoshida
 

Recomendados

Signature & Model Hybrid Platform
Signature & Model Hybrid PlatformSignature & Model Hybrid Platform
Signature & Model Hybrid Platform
YOJI WATANABE
 
WordPressのCDN化
WordPressのCDN化WordPressのCDN化
WordPressのCDN化
J-Stream Inc.
 
世界標準ブログツール WordPressの最新版3.0と豊富なプラグイン
世界標準ブログツール WordPressの最新版3.0と豊富なプラグイン世界標準ブログツール WordPressの最新版3.0と豊富なプラグイン
世界標準ブログツール WordPressの最新版3.0と豊富なプラグイン
tamotsu toyoda
 
20140524 hands on_upload
20140524 hands on_upload20140524 hands on_upload
20140524 hands on_upload
Six Apart
 
「WordPress初心者講座」(2018.3.25) 講義資料02
「WordPress初心者講座」(2018.3.25) 講義資料02「WordPress初心者講座」(2018.3.25) 講義資料02
「WordPress初心者講座」(2018.3.25) 講義資料02
Akihiro Moriyama
 
情報セキュリティCAS 第二十三回放送用スライド
情報セキュリティCAS 第二十三回放送用スライド情報セキュリティCAS 第二十三回放送用スライド
情報セキュリティCAS 第二十三回放送用スライド
Kumasan, LLC.
 
[網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI [網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI
Hiromichi Koga
 
イノベーションエッグLt資料
イノベーションエッグLt資料イノベーションエッグLt資料
イノベーションエッグLt資料
Yuki Yoshida
 
クライムどこでもセミナー「Veeam新機能 徹底解説 Part 3:Veeam + AWS連携セミナー」
クライムどこでもセミナー「Veeam新機能 徹底解説 Part 3:Veeam + AWS連携セミナー」クライムどこでもセミナー「Veeam新機能 徹底解説 Part 3:Veeam + AWS連携セミナー」
クライムどこでもセミナー「Veeam新機能 徹底解説 Part 3:Veeam + AWS連携セミナー」
株式会社クライム
 
初心者からのWordPressセキュリティ対策
初心者からのWordPressセキュリティ対策初心者からのWordPressセキュリティ対策
初心者からのWordPressセキュリティ対策
Endoh Shingo
 
【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン
【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン
【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン
Fumio Hirano
 
Webサーバの公共化
Webサーバの公共化Webサーバの公共化
Webサーバの公共化
Tomohiro Matsuo
 
約束なんていらないPromiseよりもasync/awaitだ!
約束なんていらないPromiseよりもasync/awaitだ!約束なんていらないPromiseよりもasync/awaitだ!
約束なんていらないPromiseよりもasync/awaitだ!
kaz3391
 
Word press セキュリティ show!!
Word press セキュリティ show!!Word press セキュリティ show!!
Word press セキュリティ show!!
yoshinori matsumoto
 
網元で起きた不思議な話
網元で起きた不思議な話網元で起きた不思議な話
網元で起きた不思議な話
Takuya Tachibana
 
次世代CDNのトレンド
次世代CDNのトレンド次世代CDNのトレンド
次世代CDNのトレンド
J-Stream Inc.
 
[Jaws re:Mote2015]田舎ならt2インスタンスを使いこなせ!
[Jaws re:Mote2015]田舎ならt2インスタンスを使いこなせ![Jaws re:Mote2015]田舎ならt2インスタンスを使いこなせ!
[Jaws re:Mote2015]田舎ならt2インスタンスを使いこなせ!
Takuya Tachibana
 
Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?
J-Stream Inc.
 
JAWS DAYS 2016 The Next Cloud
JAWS DAYS 2016 The Next CloudJAWS DAYS 2016 The Next Cloud
JAWS DAYS 2016 The Next Cloud
晋也 古渡
 
情報セキュリティCAS 第七十一回放送用スライド
情報セキュリティCAS 第七十一回放送用スライド情報セキュリティCAS 第七十一回放送用スライド
情報セキュリティCAS 第七十一回放送用スライド
Kumasan, LLC.
 
JAWSUG Osaka S3 CloudSearch
JAWSUG Osaka S3 CloudSearchJAWSUG Osaka S3 CloudSearch
JAWSUG Osaka S3 CloudSearch
Takuro Sasaki
 
20120803 Amazon VPCを極める
20120803 Amazon VPCを極める20120803 Amazon VPCを極める
20120803 Amazon VPCを極める
Serverworks Co.,Ltd.
 
XSS再入門
XSS再入門XSS再入門
XSS再入門
Hiroshi Tokumaru
 
今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)
cocoa_dahlia
 
20170126 広報LT大会 やったもん勝ち PR2017
20170126 広報LT大会 やったもん勝ち PR201720170126 広報LT大会 やったもん勝ち PR2017
20170126 広報LT大会 やったもん勝ち PR2017
Gyori Nagafuchi
 
Scraping withawsAWSを利用してスクレイピングの悩みを解決するチップス
Scraping withawsAWSを利用してスクレイピングの悩みを解決するチップスScraping withawsAWSを利用してスクレイピングの悩みを解決するチップス
Scraping withawsAWSを利用してスクレイピングの悩みを解決するチップス
Takuro Sasaki
 
SSLの最新トレンド
SSLの最新トレンドSSLの最新トレンド
SSLの最新トレンド
J-Stream Inc.
 
情報セキュリティCAS 第六十四回放送用スライド
情報セキュリティCAS 第六十四回放送用スライド情報セキュリティCAS 第六十四回放送用スライド
情報セキュリティCAS 第六十四回放送用スライド
Kumasan, LLC.
 
20190124 waf
20190124 waf20190124 waf
20190124 waf
Serverworks Co.,Ltd.
 
クラウドで始めるActive Directory
クラウドで始めるActive Directoryクラウドで始めるActive Directory
クラウドで始めるActive Directory
Suguru Kunii
 

Más contenido relacionado

La actualidad más candente

クライムどこでもセミナー「Veeam新機能 徹底解説 Part 3:Veeam + AWS連携セミナー」
クライムどこでもセミナー「Veeam新機能 徹底解説 Part 3:Veeam + AWS連携セミナー」クライムどこでもセミナー「Veeam新機能 徹底解説 Part 3:Veeam + AWS連携セミナー」
クライムどこでもセミナー「Veeam新機能 徹底解説 Part 3:Veeam + AWS連携セミナー」
株式会社クライム
 
Word press セキュリティ show!!
Word press セキュリティ show!!Word press セキュリティ show!!
Word press セキュリティ show!!
yoshinori matsumoto
 
Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?
J-Stream Inc.
 

La actualidad más candente (20)

クライムどこでもセミナー「Veeam新機能 徹底解説 Part 3:Veeam + AWS連携セミナー」
クライムどこでもセミナー「Veeam新機能 徹底解説 Part 3:Veeam + AWS連携セミナー」クライムどこでもセミナー「Veeam新機能 徹底解説 Part 3:Veeam + AWS連携セミナー」
クライムどこでもセミナー「Veeam新機能 徹底解説 Part 3:Veeam + AWS連携セミナー」
 
初心者からのWordPressセキュリティ対策
初心者からのWordPressセキュリティ対策初心者からのWordPressセキュリティ対策
初心者からのWordPressセキュリティ対策
 
【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン
【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン
【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン
 
Webサーバの公共化
Webサーバの公共化Webサーバの公共化
Webサーバの公共化
 
約束なんていらないPromiseよりもasync/awaitだ!
約束なんていらないPromiseよりもasync/awaitだ!約束なんていらないPromiseよりもasync/awaitだ!
約束なんていらないPromiseよりもasync/awaitだ!
 
Word press セキュリティ show!!
Word press セキュリティ show!!Word press セキュリティ show!!
Word press セキュリティ show!!
 
網元で起きた不思議な話
網元で起きた不思議な話網元で起きた不思議な話
網元で起きた不思議な話
 
次世代CDNのトレンド
次世代CDNのトレンド次世代CDNのトレンド
次世代CDNのトレンド
 
[Jaws re:Mote2015]田舎ならt2インスタンスを使いこなせ!
[Jaws re:Mote2015]田舎ならt2インスタンスを使いこなせ![Jaws re:Mote2015]田舎ならt2インスタンスを使いこなせ!
[Jaws re:Mote2015]田舎ならt2インスタンスを使いこなせ!
 
Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?Web制作・運用会社に必要なCDNサービスとは?
Web制作・運用会社に必要なCDNサービスとは?
 
JAWS DAYS 2016 The Next Cloud
JAWS DAYS 2016 The Next CloudJAWS DAYS 2016 The Next Cloud
JAWS DAYS 2016 The Next Cloud
 
情報セキュリティCAS 第七十一回放送用スライド
情報セキュリティCAS 第七十一回放送用スライド情報セキュリティCAS 第七十一回放送用スライド
情報セキュリティCAS 第七十一回放送用スライド
 
JAWSUG Osaka S3 CloudSearch
JAWSUG Osaka S3 CloudSearchJAWSUG Osaka S3 CloudSearch
JAWSUG Osaka S3 CloudSearch
 
20120803 Amazon VPCを極める
20120803 Amazon VPCを極める20120803 Amazon VPCを極める
20120803 Amazon VPCを極める
 
XSS再入門
XSS再入門XSS再入門
XSS再入門
 
今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)
 
20170126 広報LT大会 やったもん勝ち PR2017
20170126 広報LT大会 やったもん勝ち PR201720170126 広報LT大会 やったもん勝ち PR2017
20170126 広報LT大会 やったもん勝ち PR2017
 
Scraping withawsAWSを利用してスクレイピングの悩みを解決するチップス
Scraping withawsAWSを利用してスクレイピングの悩みを解決するチップスScraping withawsAWSを利用してスクレイピングの悩みを解決するチップス
Scraping withawsAWSを利用してスクレイピングの悩みを解決するチップス
 
SSLの最新トレンド
SSLの最新トレンドSSLの最新トレンド
SSLの最新トレンド
 
情報セキュリティCAS 第六十四回放送用スライド
情報セキュリティCAS 第六十四回放送用スライド情報セキュリティCAS 第六十四回放送用スライド
情報セキュリティCAS 第六十四回放送用スライド
 

Similar a サーバーにWafを導入してみた結果@t dash

【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_print【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_print
VMwareKK
 
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方
Hirokazu Ouchi
 
クラウドと障害と私 2011年6月
クラウドと障害と私 2011年6月クラウドと障害と私 2011年6月
クラウドと障害と私 2011年6月
Serverworks Co.,Ltd.
 

Similar a サーバーにWafを導入してみた結果@t dash (20)

20190124 waf
20190124 waf20190124 waf
20190124 waf
 
クラウドで始めるActive Directory
クラウドで始めるActive Directoryクラウドで始めるActive Directory
クラウドで始めるActive Directory
 
new AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないことnew AWS WAF update 概要と AMRの選び方でも足りないこと
new AWS WAF update 概要と AMRの選び方でも足りないこと
 
Web appsとcleardbで作る簡単webサイト
Web appsとcleardbで作る簡単webサイトWeb appsとcleardbで作る簡単webサイト
Web appsとcleardbで作る簡単webサイト
 
VMware Cloud on AWS のご紹介 -セキュリティ風味-
VMware Cloud on AWS のご紹介 -セキュリティ風味- VMware Cloud on AWS のご紹介 -セキュリティ風味-
VMware Cloud on AWS のご紹介 -セキュリティ風味-
 
【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_print【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_print
 
AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?AWS WAF のマネージドルールって結局どれを選べばいいの?
AWS WAF のマネージドルールって結局どれを選べばいいの?
 
Service workerとwebプッシュ通知
Service workerとwebプッシュ通知Service workerとwebプッシュ通知
Service workerとwebプッシュ通知
 
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-uploadIss seminar 2010709#1-upload
Iss seminar 2010709#1-upload
 
Springon cloudfoundry
Springon cloudfoundrySpringon cloudfoundry
Springon cloudfoundry
 
『RIA開発におけるサービス開発のイロハ』
『RIA開発におけるサービス開発のイロハ』 『RIA開発におけるサービス開発のイロハ』
『RIA開発におけるサービス開発のイロハ』
 
RIA開発におけるサービス開発のイロハ
RIA開発におけるサービス開発のイロハRIA開発におけるサービス開発のイロハ
RIA開発におけるサービス開発のイロハ
 
Jazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawaJazug_202102_csc_ichikawa
Jazug_202102_csc_ichikawa
 
MODX on Windows Azure
MODX on Windows AzureMODX on Windows Azure
MODX on Windows Azure
 
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
 
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方
 
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAFAWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
 
クラウドと障害と私 2011年6月
クラウドと障害と私 2011年6月クラウドと障害と私 2011年6月
クラウドと障害と私 2011年6月
 
レンタルサーバー/Vps/クラウド
レンタルサーバー/Vps/クラウドレンタルサーバー/Vps/クラウド
レンタルサーバー/Vps/クラウド
 
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
 

サーバーにWafを導入してみた結果@t dash