JAWS-UG和歌山第0回キックオフミーティング

(C)Copyright 1996-2014 SAKURA Internet Inc.

クラウドとセキュリティ～運用現場における実際～

JAWS-UG和歌山第0回キックオフミーティングさくらインターネット株式会社田中邦裕　(@kunihirotanaka)

14年3月29日土曜日

2

JAWS-UGWAKAYAMA


• 名前　　：田中邦裕（たなかくにひろ）• 年齢　　：36歳• 出身　　：大阪（今も一応、大阪在住）• 好きなAWSサービス：Amazon S3• 趣味

• プログラミング–計算機科学方面ではなく、何かを動かすのが好き

• 電子工作–ラジオからAVR(マイコン)まで

• ＤＴＭ– SC-55を皮切りにパソ通などにアップしていた

• 旅行＆鉄道–北海道から沖縄まで国内専門、あと乗り鉄

自己紹介

3

@kunihirotanakahttp://facebook.com/kunihirotanaka


http://facebook.com

http://facebook.com

日曜プログラミングしています

4

• さくらのクラウドも最初は個人で作ってました• 昔はApacheドキュメント翻訳やってました• いわゆるジェネレーター系サイトやってます



5

• さくらのクラウドも最初は個人で作ってました• 昔はApacheドキュメント翻訳やってました• いわゆるジェネレーター系サイトやってます

ちなみに2009年の開始当初はEC2上で動いていました14年3月29日土曜日

9

• さくらインターネットの紹介


さくらインターネットの紹介

10

1996年京都府舞鶴市にて創業1998年大阪市中央区へ移転1999年株式会社化、東京支社開設大阪・東京へIDCを新設2005年東証マザーズへ上場2011年石狩IDCを新設

06/3期 07/3期 08/3期 09/3期 10/3期 11/3期 12/3期 13/3期

867 873 1,194 723 349 85

-162

207

9,4829,1648,584

7,8127,106

6,204

4,398

2,758

売上高経常利益

商号さくらインターネット株式会社

本社所在地大阪市中央区南本町一丁目8番14号

設立年月日 1999年8月17日（サービス開始は1996年12月23日）

取締役

代表取締役社長　田中邦裕取締役副社長　　舘野正明取締役　　　　　川田正貴取締役　　　　　村上宗久取締役（社外）　野村昌雄

上場年月日 2005年10月12日（東証マザーズ）

決算 3月末日

資本金 8億9,530万円

従業員数 225名

1996年からサービスを行うデータセンター・ホスティング事業者です


さくらインターネットの事業

11 100%

25%

50%

75%

100%

当社サービス別売上高構成比

（’13/3期）

その他

ホスティング58.2％

ハウジング

32.8％

データセンターサービス

ホスティング

仮想ホスティング：

物理ホスティング：

・VPS・クラウドサービス

・専用サーバサービス・レンタルサーバサービス

コロケーションスペース貸し　　：

ラック貸し　　　：・ハウジングサービス

既存サービス

新たなサービス

・大規模ハウジング案件（石狩DC）

データセンターサービスを幅広く手掛けるが、近年ではクラウド・ホスティング系が２／３以上に


数字で見るさくらインターネット（四半期決算）

12

（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）（金額：百万円）

科目名 ‘13/3期‘13/3期‘13/3期‘13/3期 ’14/3期’14/3期’14/3期前四半期比前四半期比科目名 Q1 Q2 Q3 Q4 Q1 Q2 Q3 増減額増減率ハウジング 760 757 786 805 793 776 716 ▲59 ▲7.7%

　構成比 32.5% 32.5% 33.2% 33.0% 32.1% 31.3% 28.3%

専用サーバ 751 729 686 688 679 656 644 ▲12 ▲1.8%

　構成比 32.1% 31.3% 29.0% 28.2% 27.5% 26.5% 25.4%

レンタルサーバ 463 475 489 504 517 537 548 10 1.9%

　構成比 19.8% 20.4% 20.7% 20.7% 20.9% 21.7% 21.6%

VPS・クラウド 143 155 200 232 260 286 319 33 11.8%

　構成比 6.2% 6.7% 8.5% 9.5% 10.5% 11.5% 12.6%

その他 221 212 207 210 222 221 305 84 37.9%

　構成比 9.4% 9.1% 8.7% 8.6% 9.0% 8.9% 12.1%

中でも、VPS・クラウドは高い伸び


13

セキュリティとは何か


情報セキュリティの３要素

14http://www.jts-japan.co.jp/element/

機密性

完全性

可用性

バックアップと復旧（性能と保管方法）更新管理（履歴）悪意のあるコードの侵入防止強制アクセス制御強制完全性制御完全性（データやソフトウェアの完全性保護や否認防止）構成管理（保管上の完全性に関する効率性を確保するポリシー）

識別と認証アクセス制御アカウント管理監査（侵入検査を含む）最少特権セッションコントロールリソースコントロール機密ラベル（情報の重要度を格納するもので強制アクセス制御で使用）

電源冗長モニタリングDos攻撃防御コンテンジェンシープラン期待される応答時間の維持バックアップと復旧（手順、他のシステムに影響を与えない構造）


http://www.jts-japan.co.jp/element/

http://www.jts-japan.co.jp/element/

情報セキュリティの階層構造

15

データ

アプリケーション

OS

サーバー

ネットワーク

データセンター

アクセス制御、ユーザー管理

ソースコード管理、セキュアな開発

パッチ管理、マルウェア対策

故障検出、資産管理

侵入検知、DDoS対策、スプーフィング対策

物理アクセス管理、入退室管理、


クラウド利用における重要な事

16

クラウド利用におけるセキュリティの確保は

事業者・利用者の両方によって担保される


よくある誤解

17

クラウドって自分でサーバーを管理するより

セキュリティが心配


よくある誤解

18

クラウドって自分でサーバーを管理するより

セキュリティが心配×プロが管理した方が、信頼性が高い


よくある誤解

19

クラウドだったらセキュリティを気にしなくても

いいんでしょ？


よくある誤解

20

クラウドだったらセキュリティを気にしなくても

いいんでしょ？×結局、最低限の管理は必要。

「インストールして終わり」ではない


サービス毎の責任分界点

21

タイプサーバ所有 OS管理コンテンツ

管理サーバ設置場所

共有／専有

自社所有お客様お客様お客様お客様専有

コロケーションお客様お客様お客様事業者専有

専用サーバ事業者お客様お客様事業者専有

IaaS 事業者お客様お客様事業者共有共用サーバSaaS/PaaS 事業者事業者お客様事業者共有


22

「サイバー攻撃」について


サイバー攻撃について

23

防衛省・自衛隊のページによれば、サイバー攻撃について、確立した定義は無いが、一般的には、情報通信ネットワークや情報システムを利用して行われる、以下のような行為等を指すとされる。

• 不正侵入• データの窃取・破壊• 不正プログラムの実行• DDoS攻撃（分散サービス不能攻撃）


被害を受けた場合、加害者になる場合も少なくない

24

攻撃を受ける [被害者]例：パスワードクラック

攻撃を行う [加害者]例：spam送信、DoS攻撃、フィッシングサイト

第三者、他のユーザへの影響例：DNSBLへの登録


被害者側として受ける攻撃の種類（1）

25

１．パスワードをクラックする　パスワードの種類　・FTP　・SSH　・メール　・CMS等のWebアプリケーション　手法　・ブルートフォース　・漏えいしたリストを利用


被害者側として受ける攻撃の種類（2）

26

２．公開サービスの設定不備を利用する　踏み台にされるサービスの例　・DNS　・NTP　・メールサーバ

３．DoS攻撃(Denial of Service attack)　大量の通信を発生させることにより、サーバや通信を　麻痺させる　分散した多数のサーバから一斉に行われるケースが多い（DDoS… Distributed DoS)


加害者側として発生させてしまう攻撃手法

27

１．spam送信

２．不正アクセス

３．サイト改竄　－フィッシングサイト

　－マルウェア設置


その他、派生する問題

28

１．DNSBLへの登録　メール受信の拒否・遅延

２．周辺のお客様への影響　共用サーバにおける、負荷の上昇等

３．管理責任が問われる　警察からの問合せが寄せられる場合も


攻撃手法ごとの対応方法の分類（共用サーバ）

29

攻撃手法攻撃手法お客様での対応当社での対応

１．パスワードクラック

ブルートフォース強度の高いパスワードを設定する

・強度の低いパスワードが設定できないようにする（対応１）・メールパスワード漏洩と見られるspam送信の監視（対応２）・Fail2banによる接続制限を実施・メール送信通数制限


漏洩したリストを使用パスワードをサービスごとに別にする。

・通報を受けた場合、警告等の対応を行う

２．公開サービスの設定不備

DNS、NTP、メールサーバ

対応不可※Webコンテンツは除く

・サーバの設定、日々のメンテナンスを適切に行う（対応３）

３．DoS攻撃対応不可・検知、対応システムによる、早期発見、早期対処（対応５）

当社が管理者権限を有するサーバ(「さくらのレンタルサーバ」等)


攻撃手法ごとの対応方法の分類（専用サーバ/IaaS）

30

攻撃手法攻撃手法お客様での対応当社での対応


ブルートフォース強度の高いパスワードを設定する

・Fail2banをOS初期イメージへ同梱、及び自動検知・遮断システムの構築（対応４）・サーバ停止状態でのサービス提供開始(VPS)


漏洩したリストを使用

パスワードをサービスごとに別にする


２．公開サービスの設定不備

DNS、NTP、メールサーバ

サーバの設定、日々のメンテナンスを適切に行う


３．DoS攻撃対応不可・検知、対応システムによる、早期発見、早期対処（対応５）

お客様が管理者権限を有するサーバ(「さくらのVPS」等)


31

当社での取り組みの例


レンタルサーバにおけるSymlink Attacks対策

32

• Symlink Attacksとは同サーバの別ユーザのファイルへシンボリックリンクを張り、自分のURLから該当のファイルへのアクセスができるようにする手法。

• 対策手法ホスト側で、ユーザーを越えてシンボリックリンクをはれないように対策。(SymlinksIfOwnerMatch)


• 不正接続検知及び接続拒否を行うツール「Fail2ban」のOS初期イメージへの同梱。

• 自動検知・遮断システムの構築

SSHブルートフォース攻撃への対応

33

OS初期イメージFail2ban


DoS攻撃への対応

34

• DoS攻撃とは– 直訳すると、“サービス不能攻撃”– 攻撃対象ホストに、無関係なパケットを大量に送りつけることによって、そのホストが提供するサービスが正常に提供できなくなるように外部から攻撃を行うこと。• 単純に帯域を食いつぶす• 帯域は少なくとも、セッションを食いつぶす• セキュリティホールをつくクラックもDoSといえばDoS

• DNSオープンリゾルバ、NTPを踏み台とした攻撃が増加している。

• 大量トラフィックの検知及びパケット破棄の仕組み（RTBH）を構築


スイッチ

RTBHとは？

35

• Remote Triggered Black Holeの略– DoS攻撃の宛先IPアドレスを、内部BGPで特殊な宛先(事前に仕込む)宛に広報し、ボーダルータで破棄する仕組み

ボーダルータ

DoS

サーバサーバ

DoS

DoS

DoS

ＲＴＢＨ有りの場合ＲＴＢＨ無しの場合

スイッチ

ボーダルータ DoS

サーバサーバ


DoS攻撃が発生した時の対応フロー

36

DoS攻撃発生！

数秒でアラート発砲

WebUIでクリックするだけでRTBH！

対応終了


DoS攻撃に対する今後の対策

37

DoS攻撃への対応について

　[これまで]

　・該当するアドレスの通信全てを除外

　[新たな取り組み]

　・該当するアドレスに関する通信のうち、　　DoS攻撃の通信のみを除外し、それ以外の　　通信は可能な状態にする


最後に

38

事業者に任せられるものは任せる方が良い

全部任せる事はできない事を理解する


あと

39

エンジニアを募集しています！


40

ご清聴ありがとうございました

• フィードバック、感想よろしくお願いします• 他のイベントにも、ぜひ呼んでいただければ幸いです

–ハッシュタグ　#sacloud

–公式Twitter　 @sakuracloud


http://twitter.com/search?q=

http://twitter.com/search?q=

JAWS-UG和歌山第0回キックオフミーティング

Documents

Transcript of JAWS-UG和歌山第0回キックオフミーティング