ウィリアムのいたずらの開発日記

ウィリアムのいたずらが、コンピューター関係について、思ったことを好き勝手に書いているブログです。

WebサイトセキュリティとSSLの進化

2014-02-16 14:46:40 | トピックス
デブサミ2014に行ってきた!シリーズ

暗号破りに新たな攻撃!
進化する脅威に対抗するためのWebサイトセキュリティとSSLの進化

をメモメモ




■電子証明書-現代ネット社会の安全を守る鍵
  SSLサーバー証明書
  コードサイニング証明書
  セキュアメールID
→すべてに暗号技術

■SSLサーバー証明書
  ハッシュアルゴリズムの行こう

・認証局とSSLの仕組み

・SSLを支える技術
  公開鍵暗号:実在性の証明
  共通鍵暗号:ブラウザまでの暗号化通信
  ハッシュアルゴリズム:改ざん検知

・ハッシュアルゴリズムとは
  封筒に封字するような行為
  通信経路上で改ざんされていないか、受け取ったデータが壊れていないか確認

・ショッピングサイト

・暗号の世代交代の必要性
昔:MD5→Sha1→Sha2へ
公開鍵:暗号の2010年問題→移行終了

・暗号の世代交代で考慮すべきこと
  暗号強度を上げるほど、エンドユーザのカバレッジは低くなる
    →対応していない
    →時間が解決するけど

・ハッシュアルゴリズム移行の背景
  PCIDSS,NISC,
 マイクロソフトのアナウンス
  SHA-1発行終了

・SHA1を使い続けると
  ・偽証明書による成りすまし証明書
  ・赤く表示され、見えなくなる

・シマンテックの移行方針
 購入できる
 ・SHA1もかえる
 ・SHA2もかえる

・求められるアクション
  SHA2の検証→運営できるか

・各種プラットフォームの対応状況
  今のは対応→古いものだと・・・
  古い携帯電話は足かせ

・ECC(楕円曲線暗号)
  RSAよりカバレッジ低い

■コードサイニング証明書
・SSLとおなじ。対策要る
・証明書は3年だが、コードサイニングは2年
  →前倒しで

■セキュアメールID
・同様な対応、SSLとおなじく3年

■ウェブサイト攻撃の最新動向
・SSLに新しい機能をつけてうっている

・Webさいとの攻撃増加
 ・攻撃ツールが手に入りやすくなった
  →だれでも攻撃

・決して大手企業だけの脅威ではない

・情報漏えいの影響
   損害賠償
   調査、再構築
   風評被害

・98%のウェブサイトが何らかの脆弱性を抱えている
  危険度高も3分の2

・新たな手口の追加

・攻撃手法はさまざま
  Struts2の脆弱性
  SQLインじぇくしょん
  パスワードリスト攻撃
   :
   :

・覚えられるIDパスワード・2~3組→使いまわし

Webサイト攻撃対策
・自分は受けないと思う

セキュリティを考慮した設計
セキュアコーディング
脆弱性診断
脆弱性診断・WAF

・約48%が脆弱性対策に3ヶ月以上

・なぜ?
 SSL証明書にマルウェアスキャンをつけている

 EVSSL証明書、グローバルサーバID
   →クローリング→脆弱性アセスメントレポート

・いかに守るか
 ゲートウェイ方セキュリティ俯瞰図
   IDS/IPS
   UTM
  →WAF
・事例:自民党
  →グリーンバーになる

・従来型WAFとクラウド型WAF
 →価格と運用
 →すぐに入れたい場合
 →不正ログインも



ジャンル:
ウェブログ
この記事についてブログを書く
この記事をはてなブックマークに追加
« グリーを支えるデータ分析基... | トップ | おっぱい方程式がNTT、ひいて... »
最近の画像もっと見る

あわせて読む

関連するみんなの記事