エンジニア経験0からの急成長。「最優秀エンジニアアワード」の栄誉に輝くまで
こんにちは。ISAOの新人PR担当、原田です。 ISAOに入社して早2ヶ月半経ちますが、私が社内のNEWSを配信する仕事で初めて携わったものが「トレンドマイクロ パートナーエンジニアアワード 最優秀賞」受賞に関するものでした。 正直、私はエンジニア界隈のことについてはほぼ無知に近いのですが、このタイトルを聞いたとき「ISAOにはすごいエンジニアがいるんだなぁ。お話聞きたいなぁ」と純粋に興味が湧きました。 しかも噂に聞くと、元々エンジニアではなかったとか。 エンジニアじゃなかった人が、エンジニアの最優秀賞受賞できるってどういうこと?とさらに興味が湧きおこりました。 と、いうことで今回はISAOのセキュリティプロジェクトリーダー西郡さんにインタビューしました! エンジニア経験0から最優秀賞アワード受賞までのヒストリー [caption id=“attachment_4351” align=“alignnone” width=“800”] トレンドマイクロ パートナーエンジニアアワード 授賞式にて[/caption] 原田:西郡さん、改めまして「トレンドマイクロ パートナーエンジニアアワード 最優秀賞」受賞おめでとうございます。 西郡:ありがとうございます。 原田:私がISAOにきて初めてニュースリリースを出したのがこのアワードについてだったので、すごく印象に残っています。 しかも個人アワードは今年から始まったんですよね?初年度で最優秀賞受賞って本当にすごいなって。 西郡:ありがとうございます。私が携わってるプロジェクトでは、いわゆる「サイバー攻撃」からお客様のサーバーを守るサービスを提供しています。そこでトレンドマイクロ社の「Deep Security」という商品をお客様のサーバーに導入して監視運用しているのですが、その実績を評価いただけたようです。 元々ISAOは「くらまね」というクラウドを中心としたサーバーマネジメント事業をやっていて、そちらで多数の実績があり、高評価をいただいています。そこから発展して、サーバーの上のアプリケーションまでセキュリティ対策をしてほしいという声から生まれたプロジェクトですね。 なので今回、セキュリティ部門の中で賞をいただいたんですが、「Deep Security」の導入の主要な部分を担当していたので、そこを評価いただけたのかなぁと思っています。 エンジニア経験「0」スタート 原田:でも、西郡さんは元々エンジニア職ではなかったと伺いましたが…? 西郡:そうですね。実は、私は元々新卒でゲームプランナーとして働いていたんです。なので、最初はゲームのキャラクターとかストーリー、システムを考える仕事をしていました。 その後、会社を変わってからはWEBプランナーとして働いていました。 どういうサイトをつくろうか、どういうサービスにしてどういう仕組みにすればユーザーが使いやすいかなどを構築する仕事にずっと携わっていました。 WEBプランナーとして、お客様に良いものを提供するのは大前提なんですけど、サイトを作ることに慣れてくると、ビジネスとして事業を収益化させることを考えることが多くなってきました。私はこれもプランナーの仕事の一部と考えてはいるんですが、プランナーとして後半になるとどうやって事業を成り立たせるかを常に考えていました。 原田:そういうことまでWEBプランナーってやるんですか? 西郡:うーん。もしかしたら厳密には一般的なWEBプランナーの定義とは異なるかもしれないんですが、私の考えは、プランナーというのは良いサービスを提供するだけではなくて、最終的に事業をしっかり黒字化させるまでがプランナーだと勝手に定義しています。 原田:経営的な目線まで必要な職種なんですね?お話を聞いているとマーケティング要素なども必要なんでしょうか? 西郡:そうですね。一般的にいうマーケティング要素もありますが、でも実際そんなかっこいいものではなくてやることの取捨選択、そしてその選択を突き詰めていくような仕事だと思っています。 原田:西郡さんの独自の「WEBプランナー」の定義がすごく幅広くて、WEBプランナーという印象がすごく変わりました。 西郡:一般的にはWEBディレクターだったり、WEBプロデューサーみたいにいわれる領域でもあるかもしれませんね。私はプランナーとして、そういう下積みを積んできたので総してWEBプランナーと言ってます。 原田:なるほど~。西郡さんはWEBプランナーだったんですね。 ISAOの「チャレンジングな環境」と「個人の成長」 原田:ISAOならではの「成長環境」を求められる社風がありますが、これまでのISAOの中でのご経歴を教えてください。 西郡:今のセキュリティプロジェクトに関わる前は、WEBプランナーとしてムービーフルPlusという動画配信のプロジェクトに携わっていていました。5年ほど携わって、そのプロジェクトも収益化にまでもっていきました。 原田:それから現在のセキュリティプロジェクトに変わった経緯は? 西郡:特に理由はなかったです。ただ、誘われたからやってみようかなって。その場の勢いでしたね(笑)。 原田:それって、ISAOでいう「個人の成長」のポイントだったんですかね? 西郡:そうですね。私的には全く新しい領域だったので、知識的にはほぼ0からのスタートでした。40歳過ぎてからの大きなチャレンジでしたね。まぁISAOはどんどんチャレンジしていこうっていう環境ですから、みんなそれぞれ頻繁にあると思いますよ。普通の会社だったら部署異動とか色々手続きとかいりそうですが、ISAOはそういうのもないですからね。 原田:そんなあっさり変わったんですか!職種的には大きな変化だと思うのですが、結構不安じゃないですか?エンジニア職って知識とか経験とか必要な分野かなと思ったりするんですが。 西郡:そうですね。普通ではあんまりないジョブローテーションだったかもしれないです(笑)。だから当然、苦労はたくさんありました。ただ、ISAOにはすごく技術力の高いエンジニア集団がいるので、本当に助けられたし勉強させてもらって、なんとかやってこれました。だから今回のアワードもたまたま自分が前面に立っていただけで、個人の力というよりはチーム力あってのアワードだと思っています。 原田:なるほど~。ISAOの他のエンジニアの方にもたくさんお話聞いてみたくなりました!...★セキュリティ製品には得意分野がある!~ Deep Security<中級編①> ~
Deep Securityの得意分野はどこ? こんにちは。ISAOセキュリティプロジェクトの岩切です。 4回目です。今回から中級編になります。 中級編では、Deep Securityの設定方法について説明していくつもりです。 その前にちょっとだけ概念的なお話をします。 Deep Securityは分類すると、「IDS/IPS」と呼ばれる製品です。 「IDS/IPSって何?」と思われる方が多いと思います。 下の図をご覧ください。 まずは右端の3つの箱をご覧ください。 Webサービスを構成する環境は、大きく3つの層に分けられます。 Webアプリケーション層 PHPやJavaなどでつくられたプログラムが置かれている階層です。 DBやファイルのデータ、ランタイムライブラリもここに入ります。 原則、OSやミドルウェアがないと動きません。 これらをつくるのは開発会社や社内の開発部門の人達です。 プログラマーにはベテランもいればビギナーもいるので、そのつくりは千差万別になります。 そのため攻撃の数が最も多いのがこの層だと言えます。 OS/ミドルウェア層 OSというのは、LinuxやWindowsのことですね。 ミドルウェアは、DB(MySQLなど)やプログラム言語(PHPなど)といった、アプリケーションを動かすためのソフトウェアのことです。 これらをつくるのは大手ベンダーや有志の集まりだったりします。 高度な専門スキルを持ったエンジニアがつくっているのでセキュリティは大丈夫! ・・・と思われがちですが、OSもミドルウェアもメジャーなソフトウェアなので、技術力の高い攻撃者が狙ってきます(いわゆる、OSやミドルウェアの脆弱性を突いた攻撃です)。 また、マルウェアを置かれるのもこの層です。 ネットワーク層 ネットワーク機器を使って、ポートやプロトコルを管理している層です。 ファイアウォールやネットワークグループを適切に設定することで、セキュリティを担保します。 この層のセキュリティ対策は他の層と比べると、定型化(※)されていると思います。 ※ポートやIPアドレスの制限など、やることが決まっています。 次に左端の矢印をご覧ください。これがサイバー攻撃の種類です。 サイバー攻撃はそれぞれの層を狙い撃ちにしてくるので、大きく分けると、 Webアプリケーション層を狙った攻撃 OS/ミドルウェア層を狙った攻撃 ネットワーク層を狙った攻撃 の3つに分類されます。 そして、それぞれの攻撃を防御するセキュリティ製品も大きく3つに分類されます。 (真ん中の3つに色分けされた箱の絵をご覧ください) Web Application Firewall(以下、WAF) 主に、Webアプリケーション層を守ります。 Intrusion Detection System/Intrusion Prevention System(以下、IDS/IPS) 主に、OS/ミドルウェア層を守ります。...★未知の脅威は防げない!?〜 Deep Security<初級編③> 〜
6つのルールで、未知の脅威へ立ち向かおう! こんにちは。 セキュリティプロジェクトの岩切です。今回は3回目です。 前回のおさらいですが、マルウェア対策だけでは未知の脅威は防げません。 そのために色々な視点からサーバーをチェックする必要があります。 セキュリティは健康管理に似ています。 繰り返しになりますが、サーバーを人に例えると、セキュリティの確保は健康管理に似ています。 普通の人なら病気か否かの判断は、熱があるか?咳やくしゃみが出るか?くらいですが、お医者さんならそれに加えて、目や口の中をチェックしたり、聴診器をあてたり、血圧を測ったりします。 なるべく多くの視点で多くの箇所をチェックした方が病気は発見しやすいからです。 セキュリティもこれと同じです。 Deep Securityはマルウェア対策だけでなく、以下の6つの視点でサーバーをチェックします。 Webレピュテーション 侵入防御 不正プログラム対策 変更監視 セキュリティログ監視 ファイアウォール 前回は侵入防御までを説明しましたので、今回は不正プログラム対策からです。 不正プログラム対策 マルウェア対策です。PCで言うところのアンチウィルス機能です。 Deep Securityを入れていて、この設定を有効にしていないサーバーはほとんどないと思います。 リアルタイムでも検知しますし、スケジュールを組んでスキャンすることもできます。 発見したマルウェアは原則削除される設定にするので、このルールは「防御(駆除)を行うルール」と言いたいのですが、発見したマルウェアを放置する設定にもできるので、厳密には「検知か防御かを選べるルール」とも言えます。 変更監視 あくまで私見ですが、このルールがDeep Securityの一番の鬼門です。 鬼門と言うには大げさですが、「ここを真剣にチェックしだすと大変なので、できれば触れたくない」という意味で使いました。 これは、「ファイル、フォルダ、レジストリなどを定点観測し、変更がないかをチェックする」ルールです。 例えばファイルで言うと、ファイルの作成/更新/削除だけでなく、所有者や権限が変わったことも検知します。 変更を監視するタイミングは、LinuxとWindowsで異なります。 Linux系サーバーだと、スケジュールによる定刻での監視しかできませんが、Windowsサーバーは、それに加えてリアルタイムでも監視してくれます。 また、このルールは変更を通知するだけなので、「検知だけを行うルール」に分類されます。 さて、これがなぜ鬼門なのかと言いますと・・・このルールを有効にすると膨大なアラートが上がるからです。 例えばLinux系サーバーの場合、このルールのデフォルト設定では「/var/log/」配下の変更を監視するので、膨大な変更が検知されアラートが上がります。 これをひとつひとつチェックするとなると大変な作業ですね。 そんな訳で、このルールを無効にしていたり、アラートが上がっても無視しているユーザーさんが多くいらっしゃると思います。 しかしこの変換監視ルールは結構重要です! ひょっとすると、最も未知の脅威を発見できるルールかもしれません。 実際に経験したことなのですが、変更監視の結果、あるphpプログラムが「新規作成」で検出されました。 おそらく開発者が新規に作成したプログラムと思いましたが、報告すると誰も知らないプログラムであることが分かり、プログラムのソースを解析したところC&Cサーバと通信するロジックが見つかりました。 バックドア系のマルウェアだったのです。 もちろん、不正プログラム対策は有効にしていましたが、検知はされませんでした・・・ この話を聞くと変更監視の大切はご理解いただけると思いますが、それでも「毎日何十件もアラートが上がっては・・・」とお思いになるでしょう。安心してください(古っ)。回避策はあります。 除外ルールをつくればいいのです。 Deep Securityでは、「このフォルダは変更監視のチェックをしなくてよい」という除外ルールの設定ができます。 どのフォルダを除外するかは悩みどころですが、日々の運用の中で判断していくしかありません。 適切に除外ルールを入れていくと変更監視が精査され、感度のいい(無駄のない)アラートが出るようになります。 除外ルールの設定には少々手こずるかもしれませんが、是非ともこの変更監視ルールは活用していただきたいところです。...★マルウェア対策だけでは防げない! 〜 Deep Security<初級編②> 〜
マルウェア対策は、既知の脅威への対策です。 こんにちは。 セキュリティプロジェクトの岩切です。今回は2回目です。 前回、「マルウェア対策だけではサーバーは守れない」というお話をしましたが、分かりやすく言うとマルウェア対策というのは、「既知の脅威」への対策です。 本当に怖いのは「未知の脅威」 未知の脅威・・・つまり新種のマルウェアには対応できない可能性があります。 新種のマルウェアの確認には時間がかかるので、確認された頃にはもう感染していて大きな被害が出ているかもしれません。 サーバーセキュリティは、健康管理と同じ。 サーバーを人間に例えると、セキュリティの維持は健康を維持すること、つまり健康管理に似ています。 健康管理の基本は日々の体調の変化を観測することです。 そして病気の予兆を見つけたら、病院に行ったり薬を飲んだりして早めに対処します。 それと同じように、サーバーもセキュリティの観点からしっかり観測(監視と検知)し、おかしいと気づいたら早めに対処(防御もしくは駆除)することが必要です。 Deep Securityは6つのルールで検知/防御します。 6つのルールというのは、前回も触れましたが以下の機能のことです。 Webレピュテーション 侵入防御 不正プログラム対策 変更監視 セキュリティログ監視 ファイアウォール そしてこれら6つのルールは、大きく3つに分類されます。 検知だけを行うルール 防御(駆除)を行うルール 検知か防御かを選べるルール それでは各ルールを見ていきましょう。 Webレピュテーション 「レピュテーション」は評判という意味です。評判の悪い(悪意に満ちたWebサイト)へのアクセスを遮断します。 フィッシングサイトへの誘導を遮断する機能と考えてください。 サイトが改ざんされて、悪意に満ちたサイトへのリンクが貼ってあったり、リダイレクトが仕組まれていたとします。 もし改ざんされたタイミングでこの異変に気づかなくても、リンク先にアクセスしようとしたタイミングで防いでくれます。 このWebレピュテーションは「防御を行うルール」です。 つまりこれを有効にすると、トレンドマイクロが認定した悪意のあるサイトへのアクセスができなくなります(※)。 ※アクセス制御のレベルを調整することはできます。 侵入防御 「不正プログラム対策」と並んで、Deep Securityで最も利用されているルールだと思います。 大きく分類すると、以下の2つの機能があります。 仮想パッチ パラメータ改ざんチェック 仮想パッチ OS/ミドルウェア/ソフトウェアに脆弱性が発見された場合、本来であれば直ちに対策用のパッチを当てなければなりません。 但し、パッチは脆弱性のあるOS/ミドルウェア/ソフトウェアに直接当てられるため、仕様変更が発生し、これらの環境上で動いていたアプリケーションが今までどおりに動作しなくなる可能性があります。 このため、脆弱性が発見されてもすぐにパッチを当てられません。 そこで、この仮想パッチを使います。 脆弱性が発見されると、対策用の仮想パッチがリリースされ、脆弱性をフィルタリングしてくれます。 OS/ミドルウェア/ソフトウェアのバージョンはそのままに、脆弱性に蓋をしてくれるのです。 また、対策用パッチが存在しない脆弱性に対しても仮想パッチがリリースされることがありますので、ゼロディ攻撃にも有効です。 但し、これは正式パッチ適用後の「アプリケーションの動作チェック」が完了するまでの一時的な処置ですので、最終的には正式なパッチを必ず当てるようにしてください。 パラメータ改ざんチェック かんたんに言うと、GET/POSTパラメータを改ざんする攻撃です。 GETなら、URLに記載されたパラメータをOSコマンドやSQLコマンドやJavaScriptに書き換え、データベースやOSファイルにアクセスして情報を引き出します。 クロスサイトスクリプティング、SQLインジェクションが有名ですね。 パラメータ改ざんチェックは、「Web Application Firewall(以下、WAF)」というセキュリティ製品が得意とする分野です。 Deep SecurityはWAFほど強力ではありませんが、この機能を備えています。...★サーバーは狙われています!〜 Deep Security<初級編①> 〜
PCには入れてるのに、サーバーにはなぜ入れないの? こんにちは。 ISAOセキュリティプロジェクトの岩切です。 セキュリティの仕事をしていると、セキュリティ製品を入れていないサーバーが多いことに気づきます。 PCにはセキュリティ製品を必ず入れるのに、サーバーにはなぜ入れないのでしょう? 推測ですが、「値段が高い」「設定がムズい」と思われているからではないでしょうか。 確かに値段の高い製品もありますが、これからご紹介するDeep Securityは比較的安価で、かんたんに導入できるセキュリティ製品です。 Deep Securityはトレンドマイクロ社が提供しているインストール型(ホスト型)の製品です。 よく「ウィルスバスターと何が違うの?」と聞かれますが、Deep Securityはウィルスバスターとは似て非なるものです。 ご存知の方も多いと思いますが、ウィルスバスターは同じトレンドマイクロ社製のウィルス対策ソフト(ウィルスを見つけて駆除してくれるソフト)です。 Deep Securityにもウィルスバスターと同じ機能がありますが、この他にも色々な機能を持っています。 大きく分類すると、以下の6つの機能を備えています。 Webレピュテーション 侵入防御 不正プログラム対策 変更監視 セキュリティログ監視 ファイアウォール この中の「不正プログラム対策」というのが、ウィルスバスターと同じ機能です。 (業界的には、ウィルスをマルウェアと呼ぶことが多いので、「マルウェア対策」とも呼ばれます。) マルウェア対策以外の機能って何でしょう? その前に、なぜマルウェア対策だけではダメなのか、かんたんに説明します。 マルウェア対策で見つかる脅威はごく一部! あまり知られていませんが、「マルウェア対策」で見つかるマルウェア(ウィルス)は全体の5〜6割と言われます(諸説あります)。 つまり、検知できずにコンピューターに潜んでいるマルウェアが4割程度いるということです。 どうしてそんなにいるんでしょう・・・? マルウェアを検知するロジック(パターンファイル)は日進月歩していますが、新しいマルウェアがどんどんつくられるので、見つける方が追いつかないのです。 マルウェアだけがサイバー攻撃ではない! サーバーへマルウェアを送り込まれるケースは、サイバー攻撃全体で見るとほんの一部です。 インターネットで公開されているWebサーバなどは、むしろそれ以外の攻撃を受けていることの方が多いのです。 様々なサイバー攻撃からサーバーを守る。 それがDeep Securityです。 それではマルウェア以外にどんなサイバー攻撃があって、Deep Securityはどのように守ってくれるのか? 次回、説明させていただきます。 つづく・・・ Deep Securityの設定・運用なら、くらまね!...パスワードがいらない認証サービス「Mamoru」をリリースしました!
こんにちは! Mamoruプロジェクトの愛です。 (くらまねプロジェクトと兼任です^^) 本日は、先月リリースしたばかりのパスワードがいらない認証サービス 「Mamoru」をご紹介いたします。 「Mamoru」の最大の特徴は、 パスワードがいらないこと! なのにとってもセキュアなんです。 それはなぜ? 本日は、ISAOが「Mamoru」をつくろうと思ったきっかけと、サービス内容を詳しく説明しちゃいます。 パスワードの呪縛をかけられた現代人 SNS、ゲーム、メール、アプリ…私たちの生活にインターネットサービスは欠かせません。 そして現代人は平均すると一人あたり14個、ログイン認証するサービスを利用していることをご存知ですか? サービスを利用するたびにパスワードを入力しなければならず、サービス内容よりも、ログイン時のパスワード認証に関して不満を持っている人も多いでしょう。 パスワード神話の崩壊 しかし、つい先日発覚した数億件規模の個人情報流出のように、セキュリティを保証するためにパスワードのみでは、完全なセキュリティとは程遠いと改めて気づかされました。 弊社調べによると、インターネットユーザーは平均3個のパスワードを使いまわしており、一度流出すると別のサイトにも被害が広がる可能性が非常に高くなります。 もはやパスワード認証は、万全なセキュリティとは言えません。 企業の認証の現状 そんな状況にもかかわらず、多くの企業では未だパスワード認証を導入しています。 企業が考慮するのは、まずインターネットサービスの内容やサービス自体のユーザビリティで、セキュリティや認証方法に関してはまだまだ優先順位が低いのが現実です。 セキュリティ面でも安全とは言い切れず、認証のユーザービリティも低い。 インターネットサービスの品質は向上していく中、セキュリティでもパスワードに代わる認証を、生み出すべきではないでしょうか。 いや、ISAOがうみだしとどけましょう!というところから、「Mamoru」はスタートしました。 Noパスワードでもセキュアになる理由 「Mamoru」は、ISAOが特許出願中のeプッシュ認証を使用しています。 この認証を利用したサービスは、わずか2ステップでログインが可能に! WEBのログイン画面でIDを入力 Mamoruアプリをインストールしたデバイスに届く確認通知をタップ しかも、アプリを経由することで第三者の不正アクセスを防げるので、パスワード認証よりもセキュアです。 ユーザー側は、自分のスマホにアプリを⼀度インストールしてしまえば、複数のサービスでも利用可能です。 No Password But Secure. 企業はパスワードに頼らなくても、ユーザーの大切な個人情報を守ることができます。 10年間ゲーム業界の裏方として運用と経験を積んできたISAOだからできる、企業とユーザーのことを本気で考えた認証! それが「Mamoru」です。 お見積もり、デモ体験は無料です。 まずはお気軽にここからご相談ください。...authorクエリを利用したWordPressのユーザー名漏洩を防ぐ方法
DEVLABはWordPressで運用しているのだが、そのWordPressについて気になる記事を見つけた。 WordPressサイトのホームURLに「?author=x」のGETクエリをつけることで、サイト内のユーザー名がばれてしまう というものだ(※ 詳しくはMT SystemsさんのWordPress TIPを参照)。?author=xのxは数値で、WordPressのユーザーID(ユーザーテーブルのプライマリキー)となる。つまりxに1を指定すると、WordPressのルート管理ユーザーになるわけだ。 さっそく、DEVLABでも試してみたところ・・・ http://devlab.isao.co.jp?author=1がみごとにパーマリンク設定で指定されているリライトルールに沿ってリライトされ、https://blog.colorkrew.com/author/<ルート管理ユーザー名>/にリダイレクトされてしまった。このままだと、管理ユーザーのユーザー名に対してパスワードの総当りをされて、もしログイン成功とかされちゃうと、サイトがクラッキングされてしまうじゃないですか! ただ、DEVLABの場合、一般的なWordPressのログイン画面wp-login.phpは無効化してあって、ログイン方法を探すのが大変なので、一応は安全ではある。しかし、ユーザー名が漏洩してしまう脆弱性があるのは防止しないといけないので、対策を考えてみた次第。 MT Systemsさんのサイトで紹介されているように、著作者アーカイブページのテンプレートauthor.phpによってリダイレクトしてしまう方法ではHTTPのレスポンスヘッダにリダイレクトのlocationとしてユーザー名が出力されてしまうため、たとえ.htaccessにrewriteルールを追加したとしても防止できないのが厄介だ。 MT Systemsさんのサイトでは、最終的にユーザーデータのuser_nicenameを書き換えて、ログインアカウントであるuser_loginと異なる値にしてしまう対処策が掲載されていたんだが、管理パネルから直接編集できない項目でもあって、なかなかに難儀である。 もうちょっと簡単に対策できないものか…。 ──と、言うわけで、対策方法を自作してみた。 // prevent the leakage of user name by author query on WordPress. function knockout_author_query() { // disable author rewrite rule global $wp_rewrite; $wp_rewrite->flush_rules(); $wp_rewrite->author_base = ''; $wp_rewrite->author_structure = '/'; // for author query request if (isset($_REQUEST['author']) && !...