パブリッククラウドは本当に安全なのか? デモでわかるSSRF対策のすすめ

本ページは、
AWSなどパブリッククラウドのサービスのセキュリティを強化したい、2019年に起こった大手金融機関の個人情報流出を起こしたSSRFにどう対策するか知りたい、パブリッククラウドをこれからもっと安全に活用していきたい、
という方に参考になる部分もあると思いますので、ぜひ読んで頂けますと幸いです。

パブリッククラウド活用のセキュリティ課題とは

ハードウェアを自社で保有する必要がなく、運用コストの大幅な軽減を可能にするとともに、サーバの追加や構成変更などもオンデマンドで迅速に実現できるといったメリットから、加速度的に進むパブリッククラウド活用。

そんな流れに大きなインパクトを与えたのが、2019年7月にアメリカの大手金融機関で起こった過去最大規模ともいわれる個人情報流出でしょう。
アマゾン・ウェブ・サービス(AWS)が提供する「S3=シンプル・ストレージ・サービス」に保存されたデータの流出の原因は、AWSのサーバ上に配置されたファイアウォールの設定ミスを突いた不正アクセスといわれています。

クラウド・サービスの利用に際しては、メリットだけでなく、そのリスクについても考える必要があります。

file

クラウド特有のサービスが脆弱性となる危険性

一般的にAWSなどのクラウドサービスプロバイダ(CSP)とユーザー企業の間には、責任共有モデルが定められていて、ストレージやネットワークなどのセキュリティはサービスプロバイダが担保し、OSやミドルウェア、アプリケーションのセキュリティは、ユーザー企業が担保しなければなりません。

ユーザー企業は、例えば、機密情報をセキュアに保存する、サービス提供時のアクセス制限を厳格化する、IDやパスワードなど認証情報を容易に推測しにくいものにするといったことに留意することはもちろん、OSやミドルウェアへのセキュリティパッチの適用や、最新バージョンへの更新作業も求められますし、アプリケーション開発においては、悪意のある攻撃者やマルウェア等にも耐え得る堅牢なプログラムを書く、いわゆるセキュアコーディングも必要になります。

留意しなければならないのは、パブリッククラウドには、インスタンスのIDやネットワークの情報などを HTTP で取得する事ができるメタデータサービスと呼ばれる機能があることでしょう。前述の米大手金融機関の情報漏洩事件は、このサービスの脆弱性を狙ったものだったといわれています。SSRF(=Server Side Request Forgery)といわれる攻撃です。

 

 

SSRFは、例えばクラウド上にある外部に公開されているサーバから、内部のサーバに送られるリクエストを偽造し、本来公開されてないサーバにアクセスするという手法。パブリッククラウドで提供されているメタデータサービスに対してこの攻撃が行われると、インスタンスの構成情報や認証情報が盗まれてしまい、その認証情報を用いることで、機密ファイルを格納しているサーバから不正に情報が取得されてしまうことになります。

クラウド特有のサービスが脆弱性となる危険性

こうした攻撃に対しては、例えばAWSにおけるIAMなど、アイデンティティ管理ツールを利用してメタデータサービス上の認証情報には必要最小限の権限のみを付与すること、OSやミドルウェアにセキュリティパッチを適用すること、アプリケーションでのセキュアコーディングを行うことなどの対策があります。 また、2019年11月に新しくリリースされたEC2インスタンスメタデータサービスv2 (IMDSv2)を有効にすることで、メタデータへのアクセスをより強固にすることも可能になりました。

一方で、クラウド上のアプリケーションを様々な不正攻撃から保護するために、 攻撃者が攻撃対象に接続できないように制限する WAF(Web Application Firewall)を利用する方法があります。 F5が提供するF5 Advanced WAFは、例えば、Amazon EC2などのインスタンスの前段にインスタンスを作成して配置することで、いわば、セキュリティゲートウェイ、リバースプロキシと同様の機能を提供し、不正な攻撃を遮断します。また、高度なファイアウォール機能により、一般的なシグネチャー判定に加え、他のWAFでは対応できないレイヤ 7の分散型サービス拒否(DDoS)攻撃の防御、振る舞い検知による不正通信をブロックする機能を提供します。 さらに、DATA GUARDと呼ばれる機能で、レスポンスに含まれる特定の文字列をマスキングすることが可能なため、SSRFなど既知の攻撃はもちろん、未知の手法によるゼロデイ攻撃によって情報が抜き取られた場合でも、個人情報など機密情報の漏洩を防止するなど、パブリッククラウド特有のリスクの最小化を実現します。

効果的なSSRF攻撃対策を実現するF5 Advanced WAF

▼動画デモ(音声解説付き!)でわかるF5 Advanced WAFでのSSRF攻撃対策

 

ダウンロード資料

file

不正ボット対策

・ボットの定義。良いボットと悪いボットとは

・業界別サイトの、良いボット、悪いボットの割合などどの業界が、悪いボットに狙われているか一目瞭然です。

・ボット被害の実態やその攻撃手法
どれぐらいのアカウントが漏洩しているか 、悪いボットがどんな攻撃を仕掛けてくるのか?などなど

・一般的なボット対策の限界とこれからのボット対策
今のボット対策の課題とF5が推奨するソリューションの紹介

・クラウドコストの削減

関連情報

file

F5のWAFソリューション Advanced WAF

file

SSRF対策~パブリッククラウドは本当に安全なのか?

file

お役立ち情報が満載!WAF特集

おすすめ記事

file

あなたの会社のWebセキュリティは本当に大丈夫?

F5のWAFはガートナーの2017年版マジック・クアドランドのWEBアプリケーション要請分野でリーダーに選ばれています。

file

SSL可視化でセキュリティ対策~常時SSL化の落し穴

Webサイトを常時 SSL化するにあたり、インフラ管理者が押さえておかなければならない知識や注意点と対策について紹介します。

file

製品・ソリューションに関する ご相談・お問い合わせ

file

~インフラの力を伸ばす~ 資料ダウンロード