Suche senden
Hochladen
20170922 cms security_public
•
0 gefällt mir
•
986 views
Six Apart
Folgen
2017年9月22日 ビジネスセミナーの登壇資料です
Weniger lesen
Mehr lesen
Software
Melden
Teilen
Melden
Teilen
1 von 61
Empfohlen
20170926 aws handson_public
20170926 aws handson_public
Six Apart
20180709 aws handson_public
20180709 aws handson_public
Six Apart
20170425 aws handson
20170425 aws handson
Six Apart
20180228 aws handson_public
20180228 aws handson_public
Six Apart
20171023 mt azure_handson
20171023 mt azure_handson
Six Apart
20161219 aws handson._publicpptx
20161219 aws handson._publicpptx
Six Apart
20170221 aws handson
20170221 aws handson
Six Apart
20180628 sappor alibaba_event
20180628 sappor alibaba_event
Six Apart
Empfohlen
20170926 aws handson_public
20170926 aws handson_public
Six Apart
20180709 aws handson_public
20180709 aws handson_public
Six Apart
20170425 aws handson
20170425 aws handson
Six Apart
20180228 aws handson_public
20180228 aws handson_public
Six Apart
20171023 mt azure_handson
20171023 mt azure_handson
Six Apart
20161219 aws handson._publicpptx
20161219 aws handson._publicpptx
Six Apart
20170221 aws handson
20170221 aws handson
Six Apart
20180628 sappor alibaba_event
20180628 sappor alibaba_event
Six Apart
20161022 mt azure_handson
20161022 mt azure_handson
Six Apart
20160611 mtsaga mtaws_public
20160611 mtsaga mtaws_public
Six Apart
AWSでWordPressを使って富を得た時の話 (JAWS FESTA 東海道 2016 セッション)
AWSでWordPressを使って富を得た時の話 (JAWS FESTA 東海道 2016 セッション)
Kiminori Yokoi
Nginx+WordPress+AWS - NginxでWordPressを構築してみよう!
Nginx+WordPress+AWS - NginxでWordPressを構築してみよう!
Kiminori Yokoi
20170602 aws lt_public
20170602 aws lt_public
Six Apart
【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン
【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン
Fumio Hirano
くものフレンズ 第1話「あまぞんちほー」 (Amazon Lightsail × WordPress - AWSでWordPressを簡単に運営しよう)
くものフレンズ 第1話「あまぞんちほー」 (Amazon Lightsail × WordPress - AWSでWordPressを簡単に運営しよう)
Kiminori Yokoi
5分で伝えるAWS
5分で伝えるAWS
Tomoe Sawai
WordPressとwebサイトの常時ssl化
WordPressとwebサイトの常時ssl化
Endoh Shingo
AWS+WordPressでつくるFirefoxアプリ
AWS+WordPressでつくるFirefoxアプリ
Takayuki Miyauchi
20170519 cms security_public
20170519 cms security_public
Six Apart
20160209 power cms_cloud_public
20160209 power cms_cloud_public
Six Apart
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
20160125 power cms_cloud_public
20160125 power cms_cloud_public
Six Apart
20161102 cms security
20161102 cms security
Six Apart
20150202 Movable Type Seminar
20150202 Movable Type Seminar
Six Apart
20140606 Movable Type Seminar
20140606 Movable Type Seminar
Six Apart
Clould Service for Enterprise Market
Clould Service for Enterprise Market
インフォリスクマネージ株式会社 (InfoRiskManage, Inc.)
20140613 Movable Type Seminar
20140613 Movable Type Seminar
Six Apart
Mtddc meetup kyushu_2013_mt_usage
Mtddc meetup kyushu_2013_mt_usage
Six Apart
20200717 kanazawauniv takasu キャリア、コミュニティとアカデミア、そして事業開発
20200717 kanazawauniv takasu キャリア、コミュニティとアカデミア、そして事業開発
Nico-Tech Shenzhen/ニコ技深圳コミュニティ
20170609 dev rel_meetup
20170609 dev rel_meetup
Six Apart
Weitere ähnliche Inhalte
Was ist angesagt?
20161022 mt azure_handson
20161022 mt azure_handson
Six Apart
20160611 mtsaga mtaws_public
20160611 mtsaga mtaws_public
Six Apart
AWSでWordPressを使って富を得た時の話 (JAWS FESTA 東海道 2016 セッション)
AWSでWordPressを使って富を得た時の話 (JAWS FESTA 東海道 2016 セッション)
Kiminori Yokoi
Nginx+WordPress+AWS - NginxでWordPressを構築してみよう!
Nginx+WordPress+AWS - NginxでWordPressを構築してみよう!
Kiminori Yokoi
20170602 aws lt_public
20170602 aws lt_public
Six Apart
【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン
【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン
Fumio Hirano
くものフレンズ 第1話「あまぞんちほー」 (Amazon Lightsail × WordPress - AWSでWordPressを簡単に運営しよう)
くものフレンズ 第1話「あまぞんちほー」 (Amazon Lightsail × WordPress - AWSでWordPressを簡単に運営しよう)
Kiminori Yokoi
5分で伝えるAWS
5分で伝えるAWS
Tomoe Sawai
WordPressとwebサイトの常時ssl化
WordPressとwebサイトの常時ssl化
Endoh Shingo
AWS+WordPressでつくるFirefoxアプリ
AWS+WordPressでつくるFirefoxアプリ
Takayuki Miyauchi
Was ist angesagt?
(10)
20161022 mt azure_handson
20161022 mt azure_handson
20160611 mtsaga mtaws_public
20160611 mtsaga mtaws_public
AWSでWordPressを使って富を得た時の話 (JAWS FESTA 東海道 2016 セッション)
AWSでWordPressを使って富を得た時の話 (JAWS FESTA 東海道 2016 セッション)
Nginx+WordPress+AWS - NginxでWordPressを構築してみよう!
Nginx+WordPress+AWS - NginxでWordPressを構築してみよう!
20170602 aws lt_public
20170602 aws lt_public
【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン
【JAWS-UGおおいた】第4回勉強会資料:S3ハンズオン
くものフレンズ 第1話「あまぞんちほー」 (Amazon Lightsail × WordPress - AWSでWordPressを簡単に運営しよう)
くものフレンズ 第1話「あまぞんちほー」 (Amazon Lightsail × WordPress - AWSでWordPressを簡単に運営しよう)
5分で伝えるAWS
5分で伝えるAWS
WordPressとwebサイトの常時ssl化
WordPressとwebサイトの常時ssl化
AWS+WordPressでつくるFirefoxアプリ
AWS+WordPressでつくるFirefoxアプリ
Ähnlich wie 20170922 cms security_public
20170519 cms security_public
20170519 cms security_public
Six Apart
20160209 power cms_cloud_public
20160209 power cms_cloud_public
Six Apart
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
20160125 power cms_cloud_public
20160125 power cms_cloud_public
Six Apart
20161102 cms security
20161102 cms security
Six Apart
20150202 Movable Type Seminar
20150202 Movable Type Seminar
Six Apart
20140606 Movable Type Seminar
20140606 Movable Type Seminar
Six Apart
Clould Service for Enterprise Market
Clould Service for Enterprise Market
インフォリスクマネージ株式会社 (InfoRiskManage, Inc.)
20140613 Movable Type Seminar
20140613 Movable Type Seminar
Six Apart
Mtddc meetup kyushu_2013_mt_usage
Mtddc meetup kyushu_2013_mt_usage
Six Apart
20200717 kanazawauniv takasu キャリア、コミュニティとアカデミア、そして事業開発
20200717 kanazawauniv takasu キャリア、コミュニティとアカデミア、そして事業開発
Nico-Tech Shenzhen/ニコ技深圳コミュニティ
20170609 dev rel_meetup
20170609 dev rel_meetup
Six Apart
20140908 Movable Type Seminar
20140908 Movable Type Seminar
Six Apart
20130517 movable type_seminar
20130517 movable type_seminar
Six Apart
次期Exchangeのご紹介
次期Exchangeのご紹介
kumo2010
ソーシャルコンテンツマネジメント
ソーシャルコンテンツマネジメント
Akinori Ishii
20141117 movable type seminar
20141117 movable type seminar
Six Apart
国産baserCMSの基本機能と秘めたポテンシャル
国産baserCMSの基本機能と秘めたポテンシャル
Ryuji Egashira
20140903 Movable Type Seminar
20140903 Movable Type Seminar
Six Apart
20130129 movable type_usage
20130129 movable type_usage
Six Apart
Ähnlich wie 20170922 cms security_public
(20)
20170519 cms security_public
20170519 cms security_public
20160209 power cms_cloud_public
20160209 power cms_cloud_public
20160208 power cms_cloud_public
20160208 power cms_cloud_public
20160125 power cms_cloud_public
20160125 power cms_cloud_public
20161102 cms security
20161102 cms security
20150202 Movable Type Seminar
20150202 Movable Type Seminar
20140606 Movable Type Seminar
20140606 Movable Type Seminar
Clould Service for Enterprise Market
Clould Service for Enterprise Market
20140613 Movable Type Seminar
20140613 Movable Type Seminar
Mtddc meetup kyushu_2013_mt_usage
Mtddc meetup kyushu_2013_mt_usage
20200717 kanazawauniv takasu キャリア、コミュニティとアカデミア、そして事業開発
20200717 kanazawauniv takasu キャリア、コミュニティとアカデミア、そして事業開発
20170609 dev rel_meetup
20170609 dev rel_meetup
20140908 Movable Type Seminar
20140908 Movable Type Seminar
20130517 movable type_seminar
20130517 movable type_seminar
次期Exchangeのご紹介
次期Exchangeのご紹介
ソーシャルコンテンツマネジメント
ソーシャルコンテンツマネジメント
20141117 movable type seminar
20141117 movable type seminar
国産baserCMSの基本機能と秘めたポテンシャル
国産baserCMSの基本機能と秘めたポテンシャル
20140903 Movable Type Seminar
20140903 Movable Type Seminar
20130129 movable type_usage
20130129 movable type_usage
Mehr von Six Apart
20180723 okubo mtc_loud_handson
20180723 okubo mtc_loud_handson
Six Apart
20180709 pronet study
20180709 pronet study
Six Apart
20180702 okubo mtc_loud_handson
20180702 okubo mtc_loud_handson
Six Apart
20180625 dev relenglish_public
20180625 dev relenglish_public
Six Apart
20180411 monaca ug_lt
20180411 monaca ug_lt
Six Apart
20180326 mt azure_handson_translation
20180326 mt azure_handson_translation
Six Apart
20180228 jazug
20180228 jazug
Six Apart
20180214 okubo mt_cloud_handson
20180214 okubo mt_cloud_handson
Six Apart
20170921 smartphone apli_seminar_public
20170921 smartphone apli_seminar_public
Six Apart
20170905 dev rellt_public
20170905 dev rellt_public
Six Apart
20170801 monaca ug_lt_public
20170801 monaca ug_lt_public
Six Apart
20170713 smartphone apli_seminar_public
20170713 smartphone apli_seminar_public
Six Apart
20170624 cms idobata_kaigi
20170624 cms idobata_kaigi
Six Apart
20170420 publish
20170420 publish
Six Apart
20170415 mttokyo handson
20170415 mttokyo handson
Six Apart
20170314 aws handson
20170314 aws handson
Six Apart
20170201 dev rel_public
20170201 dev rel_public
Six Apart
20161202 lte publish
20161202 lte publish
Six Apart
20161115 okubo mt_cloud_handson
20161115 okubo mt_cloud_handson
Six Apart
Mehr von Six Apart
(19)
20180723 okubo mtc_loud_handson
20180723 okubo mtc_loud_handson
20180709 pronet study
20180709 pronet study
20180702 okubo mtc_loud_handson
20180702 okubo mtc_loud_handson
20180625 dev relenglish_public
20180625 dev relenglish_public
20180411 monaca ug_lt
20180411 monaca ug_lt
20180326 mt azure_handson_translation
20180326 mt azure_handson_translation
20180228 jazug
20180228 jazug
20180214 okubo mt_cloud_handson
20180214 okubo mt_cloud_handson
20170921 smartphone apli_seminar_public
20170921 smartphone apli_seminar_public
20170905 dev rellt_public
20170905 dev rellt_public
20170801 monaca ug_lt_public
20170801 monaca ug_lt_public
20170713 smartphone apli_seminar_public
20170713 smartphone apli_seminar_public
20170624 cms idobata_kaigi
20170624 cms idobata_kaigi
20170420 publish
20170420 publish
20170415 mttokyo handson
20170415 mttokyo handson
20170314 aws handson
20170314 aws handson
20170201 dev rel_public
20170201 dev rel_public
20161202 lte publish
20161202 lte publish
20161115 okubo mt_cloud_handson
20161115 okubo mt_cloud_handson
20170922 cms security_public
1.
CMSの安全な運用と Movable Type のセキュリティ 2017年9月22日 シックス・アパート株式会社 長内毅志
2.
•長内毅志 –2011年~ Movable Typeプロダクトマネージャー –2014年~
ディベロッパーリレーションマネージャー エバンジェリスト –趣味 ダンス (ストリート、ジャズ) ジョギング (サブフォー) 英語の勉強 (TOEIC 875, 英検準1級) 家族と過ごすこと
3.
アジェンダ •CMSとは •CMSのセキュリティと攻撃の実際 •CMSの安全な運用のために •クラウド環境構築のポイント •Movable Type のラインアップ
4.
CMSとは
5.
CMSとは •デジタルデータを管理する仕組みのこと •Contents Management System
の略称 –コンテンツ管理システム •2000年頃から市場に出回る
6.
CMSは多種多様だが •社内ドキュメント管理 •画像、PDFなどのアセット管理 •ウェブサイト管理 •CMS = ウェブサイト管理システム、という認識が浸透 しています
7.
Movable Type とは
8.
Movable Typeとは • 10年以上利用されているブログ・CMS(通称MT) •
MTタグ組み合わせでロジック生成 • テンプレートとDBが完全に分離している (MVCライク)
9.
•ブログから数万ページに及び大規模サイトまで 5万件以上の導入実績 ECサイト イントラサイト・WEB社内報 メディアサイト・企業オウンドメディア 会員制サイト・コミュニティサイト 実績 コーポレートサイト 5万件以上の導入実績 5万件以上
10.
ビジネスユーザーに絶大な支持 日経平均225社の 半数以上がMTユーザー
11.
CMSのセキュリティと攻撃の実際
12.
データ出典:JPCERT/CC インシデント報告対応レポート グラフ:http://www.nca.gr.jp/2013/web201303/
13.
ガンブラー http://www.ipa.go.jp/security/txt/2013/07outline.html
14.
ウェブサイトに改ざんでよく使われる手法 http://www.ipa.go.jp/security/txt/2013/07outline.html
15.
•CMSの管理権限を奪取してウェブサイトを改ざん •CMSの公開ディレクトリに任意のファイルをアップロ ードしてウェブサイトを改ざん
16.
CMSに関するハッキングの傾向 •20%はCMSのコア部分にある脆弱性への攻撃、80% はプラグインなど周辺プログラムの脆弱性を狙った 攻撃 BSI「Content Management Syttem」より https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.ht ml Via
http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
17.
もっとも多いパターン •使用されているCMSを識別して攻撃 http://phxsac.com/wp-content/uploads/2013/06/CMS-Hacking.pdf
18.
• オープンソースCMSが脆弱なわけではない • 活発なプロジェクトは固く作らており、パッチの供給も早い •
MTも同様、セキュリティ対応は早い • FingerPrint(指紋)が紛れ込むことが多いことが問題 • 管理画面のURL特定=>攻撃につながる
19.
ブルートフォースアタック(総当り攻撃) イラスト:「2014年版 情報セキュリティ10大脅威」より http://www.ipa.go.jp/security/vuln/10threats2014.html
20.
ファイルアップロード攻撃(バックドア) イラスト:「2014年版 情報セキュリティ10大脅威」より http://www.ipa.go.jp/security/vuln/10threats2014.html
21.
その他 •SQLインジェクション •CSRF •XSS –主にソフトウェアの脆弱性を付くもの
22.
CMSをセキュアに保つために •ジェネレーター情報はできる限り消去 •管理画面は特定させない •ステージング構成はセキュリティ的に強い –構築・運用の手間は考慮の必要あり •パッケージやプラグインは常に最新の状態にアップ デート
23.
Movable Type のセキュリティ
24.
•Movable Type はセキュリティ対策に強いとよく言わ れる •動的、静的生成どちらも対応することで、様々なサー バー構成に対して柔軟に対応できる
25.
基本的な構成 公開サーバー兼 CMSサーバー 管理者 閲覧者 (サイト訪問者)
26.
ステージング環境 ステージング サーバー兼 CMSサーバー 公開 サーバー 管理者 閲覧者 (サイト訪問者)
27.
冗長構成 CMS サーバー 公開 サーバー (冗長構成) ロード バランサ
28.
CMSの安全な運用のために
29.
最新版を使う •最新版を使う
30.
管理画面にBasic認証をかける •管理画面にBasic認証をかける
31.
パスワードの強度を上げる 文字種の数 4桁 6桁
8桁 10種 (数字のみ) 1万 100万 1億 26種 (英小文字) 約46万 約3億 約2千億 62種 (英数字) 約1500万 約570億 約220兆 94種 (英数記号) 約7800万 約6900億 約6100兆 「Web担当者フォーラム」より http://web- tan.forum.impressrd.jp/e/2014/05/09/17197/page%3D0,6
32.
ジェネレーター情報の消去
33.
CMSサーバーと公開サーバーの分離
34.
•Movable Typeセキュリティ対策ガイド • http://www.movabletype.jp/guide/movable-type-security-guide.html •Movable
Type 以外でも通用します
35.
ここまでのまとめ •常に最新版へアップデートすることが改善防止につ ながる •CMSの設定を調整することで、さらに安全性は高まる
36.
クラウド上でCMSを構築・運用する際のポ イント
37.
この章について •一般的なクラウドサービスについて言及 (Microsoft Azure、AWS) (PowerCMS クラウド、Movable
Type クラウド版など、クラウド基盤 を利用したCMSサービスは「クラウドCMSサービス」と称します)
38.
クラウド上でのCMS構築 •クラウド+CMS => Virtual Machine、DB、データストレージが中心とな る •クラウドの特性を理解して利用が吉
39.
クラウドにデータを預けるのは心配? •10億円を保管するなら自宅? 銀行? •銀行なみのセキュリティ?
40.
クラウド事業者のセキュリティレベルは高い •Azureなら –国際規格 (ISO 27001、HIPAA、FedRAMP、SOC
1/2) –英国 (G-Cloud) –オーストラリア (I-RAP) –シンガポール (MTCS) 出典: https://azure.microsoft.com/ja-jp/support/trust-center/compliance/
41.
Azure 仮想マシンのダウンタイム •Azure 仮想マシンの稼働率
99.9996% –40.07分のダウンタイム 画像及びデータはCloudSquare (https://cloudharmony.com/cloudsquare) via “Publickey” (http://www.publickey1.jp/) より
42.
AWSのダウンタイム •AWS EC2の稼働率 99.9992% –2回の障害
16.88分のダウンタイム 画像及びデータはCloudSquare (https://cloudharmony.com/cloudsquare) via “Publickey” (http://www.publickey1.jp/) より
43.
肝は「構成」 •クラウドのメリットは「構成が柔軟」なこと –冗長構成 (仮想マシンの複数構成) –Geoレプリケーション (異なる地域へのデータ保全) –ディザスタ・リカバリ •データ保全、システムの可用性
44.
クラウドのセキュリティ •不必要なポートは開放しない –(クラウドCMSサービスを利用する場合は特に意識する必要はな い) •仮想ネットワークサービスを活用して設定を –Azure ならVirtual Network –AWSならVPC
45.
Microsoft Azureでのセキュリティ設定
46.
AWSでのセキュリティ設定
47.
セキュリティチェックは要注意 •各種セキュリティチェック –ペネトレーションテスト –ポートスキャン •そのままでは攻撃とみなされる
48.
クラウドのセキュリティチェックは申請が必要 •Microsoft Azure での侵入テスト申請 –http://blogs.msdn.com/b/dsazurejp/archive/2014/10/15/micro soft-azure-penetration-test-request.aspx •侵入テスト
AWS セキュリティセンター –https://aws.amazon.com/jp/security/penetration-testing/
49.
セキュリティチェックポリシーは事前にすり合わせを •事前に確認と手続きを •サーバー管理担当者やシステム構築担当者との手 続きが必要 •クラウドCMSサービスの場合、サービス提供者へ問 い合わせを
50.
インフラへの理解は運用・構築の工数を削減 •運用のトラブルを未然に防げる –Azureなら •Virtual Machine •Web Apps •Storage –専門家になる必要はない •サービス事業者へ聞けば良い
51.
クラウドサービス型CMSの構築は仕様に準じて •クラウドサービス型CMSの場合、サーバーのルート 権限は使えない •仕様内の構築が望ましい –プログラム的に負荷の高いカスタマイズは運用継続性の足かせ になるケースがある •サポートをうまく活用する
52.
ここまでのまとめ •クラウドの特性を理解したシステム構築が肝 •セキュリティチェックは事前のすり合わせを •クラウド基盤の理解はスムーズな運用に繋がる •クラウドCMSサービスを利用する際は無理なカスタマ イズをしない
53.
Movable Type ラインアップ
54.
Movable Type のラインアップ •Movable
Type •Movable Type クラウド版 •Movable Type for AWS •MovableType.net
55.
Movable Type クラウド版 •クラウド環境でMTを提供 •サーバー保守、メンテナンスはシックス・アパートが 担当 •月額5000円~
56.
サーバー配信機能 •外部サーバーへhtml送信 •ステージング構成が簡単
57.
バックアップ機能 •1日に1度データをバックアップ •いつでも復旧可能
58.
MovableType.net •Webサービス型CMS •カスタムフィールドが利用可能 •GitHub上のテーマと連携可能 •低価格(2100円/月~)
59.
自由度低 (ウェブサービス型) 高 (ソフトウェア型) 手軽さ 複 雑 容 易
60.
MT on AWS •AWS
marketplace で提供 •microインスタンスは無料(AWS使用料別)
61.
ご清聴ありがとうございました