Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ研修 Day1【MIXI 24新卒技術研修】

セキュリティ研修 Day1【MIXI 24新卒技術研修】

本スライドは、MIXIの2024年度新卒向け技術研修で使用された資料です。

<科目名>
セキュリティ研修 Day1

※お願い※ 〜 資料・動画・リポジトリのご利用について〜
公開している資料や動画は、是非、勉強会や社内の研修などにご自由にお使いいただければと思いますが、以下のような場でのご利用はご遠慮ください。
- 受講者から参加費や授業料など金銭を集めるような場での利用
(会場費や飲食費など勉強会の運営に必要な実費を集める場合は問題ありません)
- 出典を削除または改変しての利用

MIXI ENGINEERS

July 22, 2024
Tweet

More Decks by MIXI ENGINEERS

Other Decks in Technology

Transcript

  1. ©MIXI 7 タイムテーブル ※適宜休憩/昼休みを挟みつつ。 時間
 内容
 種別
 10:40-11:00
 情報セキュリティの基本を知ろう
 座学


    11:00-11:10
 MIXI社で取り組んでいる情報セキュリティ対策を知ろう 座学
 11:10-11:50
 セキュアに開発するにはどうしたらいいか知ろう
 (開発の前提)
 開発の前提部分をまずセキュアに
 座学 11:50-16:30
 (サービスのサーバ側)
 メジャーな脆弱性を知ろう
 座学 + ハンズオン 16:30-17:00
 (サービスのサーバ側)
 外部ライブラリ等の脆弱性情報の見方を知ろう
 座学
 17:00-17:20
 (サービスのクライアント側)
 クライアント側のセキュリティリスクを知ろう
 座学 
 17:20-18:30
 
 (管理画面や開発環境など)
 アクセス制御の考え方とやり方を知ろう
 座学 + ハンズオン

  2. ©MIXI 13 可用性を上げるために • バックアップ/復旧手段を持っておこう • サービスが停止した際にすみやかに復旧できるよう、 サービスが稼働するためのデータ(ユーザデータ、コード etc..)はバックアップしておこう •

    いざというとき慌てないように復旧手段を頭の中やドキュメントに残してお こう (説明できるようになっていると Good) • プラス、自分のサービスやデータの性質を考慮しよう • 止まると人命に関わる /災害時に動かないと困るようなもの等は、 例えばロケーション分散等するこ とでそもそも止まらないように。
  3. ©MIXI 15 情報セキュリティを守れず、事故が起きると...... 自分たちは…… 
 実害的なダメージ 
  賠償や訴訟に発展することがある。  業務自体が停止する。売上への悪影響。 


    
 信頼的なダメージ 
  「MIXI」というブランドへの信頼が低下する。 
  ユーザが今後MIXIのサービスを利用したくなくなる。 
  コラボ等のビジネスチャンスを信頼失墜で失う。 
  
 
 
 利用者は…… 
 実害的なダメージ 
  自分や自分の家族等の個人情報が漏洩する。  
  課金していたゲームの資産が無駄になる。 
  必要だったサービスが受けられない。 
  etc
 
 

  4. ©MIXI 19 情報セキュリティに対する脅威には何があるか? 引用元:https://www.ipa.go.jp/security/10threats/10threats2024.html, (2024/5/3). 順位 個人 組織 1 インターネット上のサービスからの個人情報の窃取

    ランサムウェアによる被害 2 インターネット上のサービスへの不正ログイン サプライチェーンの弱点を悪用した攻撃 3 クレジットカード情報の不正利用 内部不正による情報漏えい等の被害 4 スマホ決済の不正利用 標的型攻撃による機密情報の窃取 5 偽警告によるインターネット詐欺 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 6 ネット上の誹謗・中傷・デマ 不注意による情報漏えい等の被害 7 フィッシングによる個人情報等の詐取 脆弱性対策情報の公開に伴う悪用増加 8 不正アプリによるスマートフォン利用者への被害 ビジネスメール詐欺による金銭被害 9 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 テレワーク等のニューノーマルな働き方を狙った攻撃 10 ワンクリック請求等の不当請求による金銭被害 犯罪のビジネス化(アンダーグラウンドサービス)
  5. ©MIXI 20 情報セキュリティに対する脅威には何があるか? 引用元:https://www.ipa.go.jp/security/10threats/10threats2024.html, (2024/5/3). 順位 個人 組織 1 インターネット上のサービスからの個人情報の窃取

    ランサムウェアによる被害 2 インターネット上のサービスへの不正ログイン サプライチェーンの弱点を悪用した攻撃 3 クレジットカード情報の不正利用 内部不正による情報漏えい等の被害 4 スマホ決済の不正利用 標的型攻撃による機密情報の窃取 5 偽警告によるインターネット詐欺 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 6 ネット上の誹謗・中傷・デマ 不注意による情報漏えい等の被害 7 フィッシングによる個人情報等の詐取 脆弱性対策情報の公開に伴う悪用増加 8 不正アプリによるスマートフォン利用者への被害 ビジネスメール詐欺による金銭被害 9 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 テレワーク等のニューノーマルな働き方を狙った攻撃 10 ワンクリック請求等の不当請求による金銭被害 犯罪のビジネス化(アンダーグラウンドサービス) 色々あって カオス
  6. ©MIXI 21 3つのアタックサーフェスについて 自社サービス アプリ インフラ 関連ツール 等 社内システム 端末

    全社ツール 社内NW オフィス 設備 等 人間 アカウント 運用 脳内の情報 等 アタックサーフェス 対策の主体 事業部門 社内システム部門 各人・各部 セキュリティ室の支援の例 脆弱性診断(外注 / 内製) IaaS監視(AWS / Google Cloud) 新卒エンジニア研修 ゼロトラスト支援(導入 / 啓発) EDRの共同運用、PFW設定見直し IDPの共同運用 パスワードマネージャの共同運用 ゼロトラスト支援(導入 / 啓発) 全職種向け研修 各種啓発や周知(全体朝会等) 業務委託監督の支援(教育資料等) 事故対応 mixirt (CSIRT)
  7. ©MIXI 22 3つのアタックサーフェスについて 自社サービス アプリ インフラ 関連ツール 等 社内システム 端末

    全社ツール 社内NW オフィス 設備 等 人間 アカウント 運用 脳内の情報 等 アタックサーフェス 対策の主体 事業部門 社内システム部門 各人・各部 セキュリティ室の支援の例 脆弱性診断(外注 / 内製) IaaS監視(AWS / Google Cloud) 新卒エンジニア研修 ゼロトラスト支援(導入 / 啓発) EDRの共同運用、PFW設定見直し IDPの共同運用 パスワードマネージャの共同運用 ゼロトラスト支援(導入 / 啓発) 全職種向け研修 各種啓発や周知(全体朝会等) 業務委託監督の支援(教育資料等) 事故対応 mixirt (CSIRT) 弊社ではアタックサーフェスを3つに分類し、 室としてそれぞれに対して対策支援を行っている
  8. ©MIXI 23 社内システムの情報セキュリティ対策の例 • ゼロトラスト • システムに対するアクセス制御施策。 • 詳しく後述。 •

    EDR • Endpoint Detection and Response • エンドポイントにおける脅威の監視/検出技術 • 会社支給PCにて不審な挙動(マルウェアが疑われるファイルの実行等)がみられるとアラートが上がる • 変なことしてるとばれますよ!! ^ ^
  9. ©MIXI 25 脆弱性診断の紹介 • 脆弱性診断とは • アプリケーションに潜む脆弱性を探す検査。 • ブラックボックステスト •

    疑似的な攻撃を仕掛け、挙動を診て脆弱性を探る。 • ホワイトボックステスト • ソースコードを読んで脆弱性を探る。 • セキュリティ室で行っている脆弱性診断関連のサポート • 予算やスケジュール感に応じて診断内容(内製/外注)の提案と診断実施 • 診断の準備や実施にあたり必要になる手続き/環境準備等のサポート
  10. ©MIXI 27 セキュリティ室で行っているIaaS監視 • 今のところAWS, Google Cloudを対象にしています • 攻撃が来るとアラートが上がります! •

    不正なアウトバウンド通信が起こっている • マイニングが起こっている • 設定面での不備があるとアラートが上がります! • 二要素認証を設定していないユーザがいる • バケットがインターネット公開になっている
  11. ©MIXI 28 セキュリティ室で行っているIaaS監視 • AWS • ご依頼いただければ監視設定をします • ただし開発本部の新規アカウント作成フローに則って作成されたアカウントであれば、実はBO側で作成時点で 監視設定を施しています

    • Google Cloud • 皆さんがMIXIのorganization組織配下にGoogle Cloudプロジェクトを作成すると 実は自動的に監視対象に加わっています • 配下でない場合は個別にご相談ください! • その他 • MIXIで管理しているドメイン一覧に対して定期的にスクショを撮って、 目視で内容をチェックしています • 右の画像のように、ページ更新を検知すると差分が分かる画像が通知されてきます
  12. ©MIXI 30 パスワードマネージャのススメ 製品によるが下記のようなメリットがあったりします。 • セキュア! • 偽サイトに対してはサジェストが働かないため、フィッシング対策 となる •

    保存してあるパスワードの安全性をチェックしてくれる(使い回しが無いかや桁数が少なくないか等 • 安全なパスワード値をサイトごとに生成してくれる • メモ等で管理して無くす心配がない • 便利! • いちいち覚えたり調べて入力したりしなくてよくなる
  13. ©MIXI 37 フィッシングで気をつけること 見分けの指針 • 差出人 • メールアドレスのドメインは問題なさそうか? • 正規のドメインか(本物っぽいが微妙に違うケースなど

    • メールアドレスを交換したことがあるか • フリーメールアドレスか • 送信元と署名が合っているか • 内容・本文 • 個人情報や認証情報を要求していないか? • リンク先への誘導や、添付ファイルの開封を促していないか? • リンク先URL • リンク先ドメインは問題なさそうか? • 表示URLとマウスをかざした際の実際の遷移先URLが異なっている • HTTPSでない場合はより一層警戒 • ※ 正規のHTTPサイトやフィッシングのHTTPSサイトもある • 添付ファイル • Excel, Word等のマクロ、実行形式ファイル、ショートカットファイル、二重拡張子(doc, exe)
  14. ©MIXI 38 フィッシングで気をつけること 見分けの指針 • 差出人 • メールアドレスのドメインは問題なさそうか? • 正規のドメインか(本物っぽいが微妙に違うケースなど

    • メールアドレスを交換したことがあるか • フリーメールアドレスか • 送信元と署名が合っているか • 内容・本文 • 個人情報や認証情報を要求していないか? • リンク先への誘導や、添付ファイルの開封を促していないか? • リンク先URL • リンク先ドメインは問題なさそうか? • 表示URLとマウスをかざした際の実際の遷移先URLが異なっている • HTTPSでない場合はより一層警戒 • ※ 正規のHTTPサイトやフィッシングのHTTPSサイトもある • 添付ファイル • Excel, Word等のマクロ、実行形式ファイル、ショートカットファイル、二重拡張子(doc, exe) 逆にいうと自分たちの開発においてはフィッシ ングと見間違われないようにしたい。 例えばLet’s Encrypt等の取得が容易な証明書は、それ自体が悪い わけではないが、無料でお手軽なのでフィッシングで利用しやすいの も事実ではあるので注意。
  15. ©MIXI 41 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など
  16. ©MIXI 42 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など セキュリティ室の戦略指針をもとに サービスの守り方を 整理した感じです
  17. ©MIXI 43 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など
  18. ©MIXI 46 セキュアに開発する(インフラ) 下記関連の設定やらかしはあるあるだと思うので注意しておきましょう • NW設定 • 想定外のアクセスが許可されないようにする。FWのinbound公開範囲を適切に。 • ストレージ公開設定

    • バケットのリスティング機能を有効化しないようにする。 • うっかり機密なファイルをアップしてしまった際にそのファイルのパスがバレるバレないは分水嶺になりうる • IAMの運用 • 二要素認証を設定して不正アクセス対策。 • アクセスキーを正しく管理。無闇に作らず、権限を最小化し、使わなければ破棄。 ↑上記がセキュアになっているかは一定セキュリティ室で監視しています
  19. ©MIXI 48 セキュアに開発する(インフラ) ログは取って保存しておかないと無い(当たり前)ので、できるだけ取って保存しておこう • (取っておくべきログの例) • 監査ログ(システムの操作イベントのログ) • Google

    Cloud → MIXIのorganization組織下なら         自動で一定cloud loogingに保存される設定になっている • AWS → セキュリティ室の監視設定時に CloudTrailログをS3に保存する設定を入れている • ユーザログイン履歴などの アプリケーションログ • 送信元IPなどのアクセスログ • 保存場所 • サーバ内だけでなくクラウド上 (cloudwatch, cloudlogging, s3, gcs等)等インスタンス外にもリモートバックアッ プしておくとGood
  20. ©MIXI 49 セキュアに開発する(インフラ) マネージドサービスも選択肢に入れよう • 開発業務環境構築のために、クラウド上にサーバを建てたりすることがあります。 • その際、自前環境を守るためには例えばゼロトラスト構築や OS等の脆弱性管理などが必要になり、構築 /運用コスト

    がかかりますが、マネージドサービスによってはこれらがサービス側で提供されているといったメリットがあるため、 選 択肢の一つとして持っておきましょう • 例)機械学習関係の業務環境として Jupyterを使う • 選択肢として下記があります • 自分でサーバを建てJupyterを導入(構築)する • AWSが提供しているSageMakerサービスを使う • SageMakerサービスを使うとセキュリティ上下記のようなメリットが有ります (※) • IAMで認証が行われるため、それ自体が不正アクセスされない限り第三者にアクセスされることが無くな る • パスワード管理が不要に • サーバのOSやミドルウェアの脆弱性管理が不要になる ※…署名付きURLというSageMakerならではの取り扱い注意な要素もある
  21. ©MIXI 52 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など
  22. ©MIXI 53 セキュアに開発する(各自の作業) • 業務端末のFWは閉じておこう • アクセスキー等のクレデンシャルの取り扱いには注意! • GitHubにアップロードして漏洩など。パブリックに公開するとすぐに使われる可能性が あります。

    • Secretlintなどを使う等することでミスを防ぐ仕組みを入れるとGood • OS/ツール等のバージョンアップデートを忘れず • 再起動時に自動アップデートされるものなどもある。業務終了後のシャットダウンを習 慣化しよう。
  23. ©MIXI 54 セキュアに開発する(各自の作業) • 安全性が高いと言い切れないツールを安易に入れない • Chrome拡張等。公式のストアであっても悪性のものが紛れていることがあります。 • 公式が配布しているツールやレビュー件数が多いメジャーなもの等でない場合、一歩踏 みとどまりましょう。

    • 手元のPCでなくリモートサーバ側で仕事をする場合(RDP, SSH, CloudIDE等) • 会社貸与PCではEDRやADでの制御など、一定のセキュリティを確保しています。その 保護からは外れるということは認識して、しっかり自衛しましょう • アクセス制御はしっかり。特にRDP。 • 不要なことをしない。不要なプログラムを入れない。 • クラウドなら安心...ではないので注意! • 責任共有モデルを思い出そう • 有事の際などに備え、ログは残るように。
  24. ©MIXI 55 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など
  25. ©MIXI 57 例えば個人情報なら、個人情報保護法遵守のために下記のような事項を守らないといけません。 - 利用目的を特定しあらかじめ公表もしくは本人に通知しなければならない。 - 基本的に利用目的の達成に関係のない取り扱いはしてはならない。 - 詐欺などの不正手段により個人情報を取得してはならない。 -

    適切な管理を行う - 本人の個人情報の開示・訂正・停止の求めや苦情に対して何らか応じなければならない。 グッズの配送目的で収集した住所に新サービスの案内を送る、のような行為は NGになります。 セキュアに開発する(データの取り扱い)
  26. ©MIXI 59 セキュアに開発する(データの取り扱い) ちなみに、、 クイズ 次のうち個人情報に該当する可能性が高いものはどれ? 複数可! - 氏名 ← 特定の個人を識別できる(同姓同名でも他の情報との組み合わせることで識別できる) - 指紋 ← 身体の一部の特徴を電子処理のために変換した符号も個人情報

    - 趣味 ← きわめて特殊な趣味でなければ個人情報では無い可能性が高い - メールアドレス ← aiueo@〜〜〜とyamadahanako@〜〜〜とでは識別可否が変わる 個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。 個人情報とは、「当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚に よっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他 の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により 特定の個人を識別することができるもの(他の情報と容易に照合すること ができ、それにより特定の個人を識別することができることとなるものを含む。)」
  27. ©MIXI 61 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など
  28. ©MIXI 62 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など 次はここ!
  29. ©MIXI 63 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など クライアント側にあるモノは見られる /触れる/ 改造できる。だから完璧に守ることは困難と いう前提がある。 だから、大事なデータ /処理はサーバ側に寄 せる。そして、サーバ側を鬼のように守り抜く 必要がある。
  30. ©MIXI 64 前提となる考え 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 •

    作業環境。PCやクレデンシャル等。 • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など まずは ここの話を してゆく!
  31. ©MIXI 65 サーバ側で作りこんでしまった脆弱性が悪用されたときの被害 • 個人情報漏洩 • サーバ停止 • 他人を攻撃するための踏み台として利用 •

    データの破壊、変更、挿入 • Webサイト改ざん • アカウント乗っ取りによる、なりすまし • 非公開情報へアクセス • 不正購入 多岐にわたる
  32. ©MIXI 66 脆弱性を知り、対策するには、、 「これだけ気をつけていればOK」は無い。 まずはメジャーどころを知っておこう。 メジャーな脆弱性を知るために今日の研修ではOWASP Top10(API/Web)を抑えておこう。 • OWASPとは •

    「Open Worldwide Application Security Project」の略 • Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技 術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフ トウェアコミュニティです。 • 引用元:https://owasp.org/www-chapter-japan, (2024/5/3) • OWASP Top 10とは • OWASPがクリティカルだと考える10種類の脆弱性のこと。 • ことサーバサイド開発においては、API/Webアプリケーションの2種類、計20種類がある。
  33. ©MIXI 67 OWASP Top10の脆弱性たち API
 ◦ Broken Object Level Authorization

    ◦ Broken Authentication ◦ Broken Object Property Level Authorization ◦ Unrestricted Resource Consumption ◦ Broken Function Level Authorization ◦ Unrestricted Access to Sensitive Business Flows ◦ Server Side Request Forgery ◦ Security Misconfiguration ◦ Improper Inventory Management ◦ Unsafe Consumption of APIs 
 Web
 ◦ Broken Access Control ◦ Cryptographic Failures ◦ Injection ◦ Insecure Design ◦ Security Misconfiguration ◦ Vulnerable and Outdated Components ◦ Identification and authentication failures ◦ Software and Data Integrity Failures ◦ Security Logging and Monitoring Failures ◦ Server-Side Request Forgery (SSRF)

  34. ©MIXI 71 演習に使うWebアプリケーション • OWASP Juice Shop • https://github.com/juice-shop/juice-shop MIXIでの新卒研修時にはCloud

    Run + Cloud Load Balancing + IAP構成でしたが お好みの形でデプロイしてみてください
  35. ©MIXI 77 おさえておきたいBurpSuiteの機能 基本的なもの • Proxy>Intercept - 通信のキャッチ • Intercept

    is on:通信をキャッチ • Intercept is off:通信をキャッチしない(通過) • Forward:キャッチした通信を送信 • Proxy>HTTP history - 通信の履歴確認 • Request:要求 • Response:応答 • Repeater - リクエストの再送 • 挙動の確認に使う • 使い方 • historyで再送したいリクエストに対しcontrol + クリック • Send to Repeater選択 • Repeater タブが光る! • Repeaterタブに移動 • 「Send」で再送
  36. ©MIXI 78 Juice Shopを触ってみよう(通常動作確認) 1. 商品検索 • キーワード「Apple」などで検索 2. アカウント登録

    • 任意のメアド「[email protected]」などで会員登録 3. ログイン • 作成済みアカウントでログイン 4. 商品購入 • ログイン後>Basketに入れる>Checkout BurpのHistoryを確認しながらサイト巡回してみよう。
  37. ©MIXI 79 おさえておきたいBurpSuiteの機能 ちょっと発展的なもの • Intruder • 様々な試験値を試したいときに使う • 使い方

    i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。
  38. ©MIXI 80 おさえておきたいBurpSuiteの機能 ちょっと発展的なもの • Intruder • 様々な試験値を試したいときに使う • 使い方

    i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。 iii. 下記の試験値サンプルをコピーし、 「Payloads」→「PayLoad Options」の 「Paste」をクリック。 • hoge • huga • piyo
  39. ©MIXI 81 おさえておきたいBurpSuiteの機能 ちょっと発展的なもの • Intruder • 様々な試験値を試したいときに使う • 使い方

    i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。 iii. 下記の試験値サンプルをコピーし、 「Payloads」→「PayLoad Options」の 「Paste」をクリック。 • hoge • huga • piyo iv. 「Start attack」をクリック。
  40. ©MIXI 82 おさえておきたいBurpSuiteの機能 ちょっと発展的なもの • Intruder • 様々な試験値を試したいときに使う • 使い方

    i. 試験したいリクエストを 「Send to Intruder」。 ii. Intruder画面にて、試験したい箇所を 「§」で囲む。 iii. 下記の試験値サンプルをコピーし、 「Payloads」→「PayLoad Options」の 「Paste」をクリック。 • hoge • huga • piyo iv. 「Start attack」をクリック。 v. 「§」の箇所に試験値が送信される。 その結果を一覧で確認できる。
  41. ©MIXI 83 OWASP Top10の脆弱性たち API
 ◦ Broken Object Level Authorization

    ◦ Broken Authentication ◦ Broken Object Property Level Authorization ◦ Unrestricted Resource Consumption ◦ Broken Function Level Authorization ◦ Unrestricted Access to Sensitive Business Flows ◦ Server Side Request Forgery ◦ Security Misconfiguration ◦ Improper Inventory Management ◦ Unsafe Consumption of APIs 
 Web
 ◦ Broken Access Control ◦ Cryptographic Failures ◦ Injection ◦ Insecure Design ◦ Security Misconfiguration ◦ Vulnerable and Outdated Components ◦ Identification and authentication failures ◦ Software and Data Integrity Failures ◦ Security Logging and Monitoring Failures ◦ Server-Side Request Forgery (SSRF)
 演習をしながら脆弱性を体感してゆく!
  42. ©MIXI 87 第一問 問題点 • アクセス制御が適切に行われていない 対策 • ユーザと紐づく情報を取得する際に、正当性検証を必ず行う •

    そもそもカートIDが必要か? も吟味する • セッションから参照でよいならその方がセキュア
  43. ©MIXI 88 第一問 OWASP Top10でいうと下記あたり。 • (API) Broken Object Level

    Authorization • (API) Broken Function Level Authorization • (Web) Broken Access Control 総じて、「アクセス制御を適切に行いましょう」という点が肝。
  44. ©MIXI 91 コード的な話 <脆弱なコード例1(Ruby)> • 他ユーザの情報を見られちゃうコード(表示コンテンツの取得個所にて..) • 攻撃者が他ユーザのuser_idを指定してリクエストを送信すると、 プログラムはそのuser_idと紐づいた情報を表示してしまう •

    以下のようなことに気を付ける必要がある • リクエストパラメータにuser_idを含ませる必要はあるか? セッションIDで十分ではないか? • 含ませるならその妥当性は検証しなくて大丈夫か? user_id = requestobj.param[:user_id] # リクエストのパラメータ値は改ざん可能! userprofile = User.where(user_id).profile view(userprofile) ユーザから送信された値を使って プロフィール情報を取得し それを表示している!
  45. ©MIXI 92 コード的な話 <脆弱なコード例2(Ruby)> • 管理者ページにアクセスできちゃうコード(セッションの検査個所にて..) • adminじゃなくてもif文に引っ掛からず処理が進行してしまう • ログイン直後の画面でだけ権限確認をするのではなく、

    そこから辿れるリンク先の画面でも都度検証しましょう session = get_session(req.header[:cookie]) #「,admin: true」を入れていない! if session.nil? raise “セッションがありません!” end do_adminsomefunction
  46. ©MIXI 96 クロスサイトスクリプティングによって想定される被害 • なりすまし • フィッシングサイトへの誘導 • など 勘所

    • Webページが攻撃者によって任意に改ざんされるということ • 閲覧したユーザのCookie情報を攻撃者に送信するスクリプトを仕込む • 偽フォームを埋め込んで認証情報を攻撃者に送らせる
  47. ©MIXI 102 第二問 alert(`xss`)以外のスクリプトも動かしてみよう • お試し1 (ログイン中のcookie情報取得) • <iframe src="javascript:alert(document.cookie)"> •

    お試し2 (他サイトへ移動させる) • <img src=1 onerror=window.location.href='https://mixi.co.jp'> この応用で、攻撃者は好きなJavaScriptを動作させることができる...!
  48. ©MIXI 103 クロスサイトスクリプティングの対策 • 「<」,「>」,「"」,「'」など、ブラウザにとって意味を持つ文字(特殊文字)はエスケープ(文字 列として解釈させる形式化)して出力する。 • 今回のケースもこれが対策になる。 • エスケープされた文字列の表示のされ方

    • 保険的対策として入力値検証やCSPヘッダの設定も有効。 • XSSは複数の種類があり、種類に応じて対策も異なる場合があるので注意 • JavaScriptスキームを悪用するパターン • Dom構築時にスクリプトが仕込まれるパターン • JavaScriptライブラリに問題がある場合は、使用しているライブラリを更新する。 動的にHTMLページを生成する際は、「レスポンスに攻撃者のスクリプトが埋め込める余地は無いか」と いうアンテナを張っておくこと!
  49. ©MIXI 104 コード的な話 <脆弱なコード例>  • ユーザが入力した検索ワードをレスポンスに表示する ※例であって、Juice Shopのコードがこの通りになっているというわけでないです! keyword =

    requestobj.param[:keyword] # keywordにScriptなどが入力されると .. responsehtml = “<body>” + keyword + “の検索結果一覧” + ”</body>” ここに入力したScriptがそのまま埋め込まれる!
  50. ©MIXI 105 コード的な話 <脆弱なコード例>  • ユーザが入力した検索ワードをレスポンスに表示する ※例であって、Juice Shopのコードがこの通りになっているというわけでないです! keyword =

    requestobj.param[:keyword] # keywordにScriptなどが入力されると .. responsehtml = “<body>” + escape(keyword) + “の検索結果一覧” + ”</body>” エスケープ用の関数を経由させて出力させよう
  51. ©MIXI 106 第二問 OWASP Top10では • (API)Injection • (Web)Injection •

    攻撃コードを「注入」し実行させること全般を指す。 • SQL injection • Cross site scripting • OS command injection • etc
  52. ©MIXI 109 第三問 安く(不正に)購入してみよう 答え • 数量にマイナスをつける • {"quantity":-2} さすがにマイナスの値段で決済が進むとは考え

    にくいけれど、 100円の商品Aを -9個と、 1000円の商品Bを1個とを併せて買えば、 100円でBを1個買えるのは現実的かも? おとく!
  53. ©MIXI 110 第三問 安く(不正に)購入してみよう 答え • 数量にマイナスをつける • {"quantity":-2} さすがにマイナスの値段で決済が進むとは考え

    にくいけれど、 100円の商品Aを -9個と、 1000円の商品Bを1個とを併せて買えば、 100円でBを1個買えるのは現実的かも? おとく! Juice Shopのような現物を取引するサービスならば発送段階などで攻撃に気づけるかもしれないが、電子マネーの チャージやゲーム内通貨など、現物やり取りが行われないサービスの場合、気づくこともできない可能性があるの で注意! 例えばオーブでガチャをまわすとき、オーブ数量をマイナス指定するとオーブが増えたりする かも..... MIXIでも類似の問題は(脆弱性診断のときに)実際あった! よくある!
  54. ©MIXI 111 第三問 問題点 • 入力値の検証が適切に行われていない 対策 • 入力値検証では「仕様的におかしくないか?」もチェックする •

    Syntax的におかしくないか? は検証していても([0-9]+じゃないと弾かれる等)、「仕様や意味を考えた ときにおかしい値の検証」が漏れることもあるので注意。 • 例えば生年月日なら、仮に自然数の入力であったとしても、2200年生まれと主張するユーザがいたらおかし くないか? といった観点でもチェックしよう。
  55. ©MIXI 112 第三問 OWASP Top10では • (Web)Insecure Design • 「設計上の欠陥」に起因する脆弱性全般を指す。

    • 安全な設計が行われていない • 暗号化すべき情報が暗号化されていない • ロジックの検証が不十分なため仕様外の操作が可能になっている
  56. ©MIXI 116 第四問 adminユーザとして会員登録しよう(権限昇格) 答え • 「,"role":"admin"」を無理やりjsonに付与した、下記のような値で会員登録する。 {"email":"[email protected]","password":"hogehoge","passwordRepeat":"hogehoge","securityQuestion":{"id":4,"question":"Father's birth date?

    (MM/DD/YY)","createdAt":"2021-04-20T09:20:42.365Z","updatedAt":"2021-04-20T09:20:42.365Z"},"securityAnswer":"f","role":"admin"} 会員登録時のレスポンスのJsonを確認し、"role"がadminになっていればクリアー!
  57. ©MIXI 117 第四問 問題点 • role という追加パラメータの内容が解釈されて、ユーザ権限では本来実行できない会員作成が行わ れてしまった。 対策 •

    ユーザ権限によるリクエストの場合は、「"role":"customer"」部が変更され得ないようにする。 • Juice Shop側(作り手側)としては「"role":"customer"」は本来の処理では送られてこないパラメータなの で、対策観点から漏れやすい問題なのかもしれません。だからこそ注意をはらう必要があります。
  58. ©MIXI 118 第四問 OWASP Top10では • (API) Broken Object Property

    Level Authorization • 入力値のフィルタリングを行わずにデータにバインディングしてしまう問題のこと。 • 今回の出題のように、「role」プロパティの値を指定する入力値を追加された際、それをフィルタリングせず に評価してしまい、結果、意図しない権限を付与してしまう 等
  59. ©MIXI 120 総合演習 流れ 1. 管理者用ページを見つけよう 2. SQL Syntaxエラー(SQLITE_ERROR) を出してみよう

    3. SQLインジェクションを悪用して、全ユーザの情報(Eメール、パスワードハッシュ)を抜き出そう 4. 「[email protected]」ユーザでログインしよう 5. adminユーザでログインしよう ※演習前にログアウトしておくこと やっていき
  60. ©MIXI 124 総合演習 1. 管理者用ページを見つけよう 答え • https://[環境URL]/#/administration が管理者ページ • 開発者ツールで、main.js内を「administration」で検索すると見つかる。

    • アクセスしても403エラーになると思います。権限が足りないのでそれでOK。 このページに不正アクセスできたら悪さできそうだな
  61. ©MIXI 125 総合演習 1. 管理者用ページを見つけよう 答え • https://[環境URL]/#/administration が管理者ページ • 開発者ツールで、main.js内を「administration」で検索すると見つかる。

    • アクセスしても403エラーになると思います。権限が足りないのでそれでOK。 このページに不正アクセスできたら悪さできそうだな
  62. ©MIXI 130 コード的な話 以下のSQL文を入力した場合 • 「joe", "somebody"); DROP TABLE users;

    --」 作られるSQL文は以下のようになります。 上記のSQLインジェクションでusersテーブルが削除されてしまいます。。 INSERT INTO users (name, description) VALUES ("joe", "somebody"); DROP TABLE users; --", "hogehoge");
  63. ©MIXI 131 SQLインジェクションの対策 プレースホルダという仕組みを使うことが対策となる。 ポイント • SQLを準備する段階で SQL文の構文が確定し、後から SQL構文が変化することがないため安全。 •

    「 joe“, “somebody“); DROP TABLE users; -- 」という入力がされた場合、description箇所が当該文字列にな るだけになる。 INSERT INTO users (name, description) VALUES (username, "hogehoge"); INSERT INTO users (name, description) VALUES (?, ?); 最初にSQL文の構造を決定しておく仕 組みが「プレースホルダ」
  64. ©MIXI 132 プレースホルダ以外の対策 ※プレースホルダが根本的対策。併せて実施しておくと良いという意味での紹介。 • 入力値チェック • 文字種、桁数、取り得る値のリスト等の範囲を仕様として絞り込める場合、もれなく入力値チェックを行うこ とは有効である •

    その際の入力値チェックはブラウザ上で動作するJavaScriptによるのではなく、Webサーバ側のアプリケー ションプログラムによって行う必要がある。 • 特殊記号対策 • シングルクォーテーション「'」のエスケープ • 例 「'」⇒ 「''」等
  65. ©MIXI 133 余談 おそらく実際に皆さんが書く処理はこんな感じ • (Rubyの例) • あれ? SQL文いなくない? • フレームワークによってSQLはコーディングから隠蔽されていることが多いかもしれない

    • 正直、モダンなフレームワークを使っていれば勝手に対策されているので、SQLインジェクションが作りこま れるケースは少ないかもしれない • 逆に言えばコーディングしているだけでは危険性を知れないかも、とも言えるので、今のうちに原理をちゃん と押さえておきましょう username = requestobj.param[:name] userprofile = User.where(username: username).profile view(userprofile)
  66. ©MIXI 135 総合演習 2. SQL Syntaxエラー(SQLITE_ERROR) を出してみよう ヒント1 • アプリケーションがSQLを発行していそうな機能を探し、構文を崩す。この辺。

    • https://[環境URL]/rest/user/login • https://[環境URL]/rest/product/search?q=Apple 不正アクセスのためにSQLインジェクションを狙う
  67. ©MIXI 136 総合演習 2. SQL Syntaxエラー(SQLITE_ERROR) を出してみよう ヒント2 • ログイン時のSQL文(想像)

    • SELECT * FROM xxxx WHERE id = 'test@example' and password = 'password123'; • 検索時のSQL文(想像) • SELECT * FROM xxxx WHERE name like = '%Apple%'; 不正アクセスのためにSQLインジェクションを狙う
  68. ©MIXI 137 総合演習 2. SQL Syntaxエラー(SQLITE_ERROR) を出してみよう 答え • SQL文に利用される送信パラメータの末尾等にシングルクォーテーション「'」等を入れることで、

    意図的にSQLシンタックスを壊す。 • https://[環境URL]/rest/user/login の「email」の値を改ざん • SELECT * FROM xxxx WHERE id = 'test@example'' and password = 'password123'; • https://[環境URL]/rest/product/search?q=Apple の「q」の値を改ざん • SELECT * FROM xxxx WHERE name like = '%Apple'%'; SQLインジェクションできる場所を見つけたぞ!
  69. ©MIXI 139 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報(Eメール、パスワードハッシュ)を抜き出そう ヒント1 • 商品検索のリクエストを見てみよう。 • https://[環境URL]/rest/product/search?q=apple

    • 先ほどのログイン時のSQLITE_ERROR内容から、テーブル名、カラム名が判明している。つまりこ こで発行されるSQL文は下記のよう。 • "SELECT * FROM Users WHERE email = '[email protected]'' AND password = 'b0baee9d279d34fa1dfd71aadb908c3f' AND deletedAt IS NULL" SQLインジェクションでいざ情報奪取!
  70. ©MIXI 141 2つ以上のSELECT文の結果を統合する仕組みのこと。 商品テーブルとUsersテーブルを結合(UNION)してみよう! ※UNIONでつなぐデータの表は、カラム数と型を統一しないとエラーになるので注意。 UNIONとは name kind nakigoe pochi

    dog wanwan tama cat nyaaaaaan!!! name nickname syumi yamada yamachaso tozan tanaka nakata nyaaaaaan!!! name kind nakigoe pochi dog wanwan tama cat nyaaaaaan!!! yamada yamachaso tozan tanaka nakata nyaaaaaan!!! SELECT name,kind,nakigoe FROM animals SELECT name,nickname,syumi FROM friends; UNION UNION
  71. ©MIXI 143 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報(Eメール、パスワードハッシュ)を抜き出そう 解説 まずはSQLエラーから収集できた情報を整理してみよう。 • 商品検索時のSQLエラーから収集できたProductsテーブルの情報 •

    SELECT * FROM Products WHERE ((name LIKE '%APPLE'%' OR description LIKE '%APPLE'%') AND deletedAt IS NULL) ORDER BY name • テーブル名: Products • カラム名: name, description, deletedAt • ログイン時のSQLエラーから収集できたUsersテーブルの情報 • SELECT * FROM Users WHERE email = '[email protected]'' AND password = '79ac8e0c5fbb7fffa893660a9f581303' • テーブル名: Users • カラム名: email, password ← 欲しいのはコレ! SQLインジェクションでいざ情報奪取!
  72. ©MIXI 144 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報(Eメール、パスワードハッシュ)を抜き出そう 解説 次に、ProductsテーブルとUsersテーブルの結合を試してみると。。 • SELECT *

    FROM Products WHERE ((name LIKE '%APPLE%')) UNION SELECT email, password FROM Users––%' OR description LIKE '%Apple'%') AND deletedAt IS NULL) ORDER BY name 下記のエラーになるはずです。 • SQLITE_ERROR: SELECTs to the left and right of UNION do not have the same number of result columns • UNION時には、連結するカラム数を同じにする必要があります。 SQLインジェクションでいざ情報奪取!
  73. ©MIXI 145 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報(Eメール、パスワードハッシュ)を抜き出そう 解説 SELECT * FROM Products

    WHERE ~~~ SELECT email,password,3,4,5,6,7,8,9 FROM Users-- name description deletedAt ? ? ? ? ? ? Apple Juice The all-time classic. null ? ? ? ? ? ? Apple Pomace hoge null ? ? ? ? ? ? email password 3 4 5 6 7 8 9 [email protected] 3c2a~~ 3 4 5 6 7 8 9 [email protected] 963e~~ 3 4 5 6 7 8 9 UNION UNIONするためにはカラム数を統一する必要がある。 でもProductsのカラム数は不明。 SQLインジェクションでいざ情報奪取! カラム数を合わせるために、 ダミー値の3,4,5...を順番に足していく。 9まで足すとカラム数がそろい、UNIONが成功する。
  74. ©MIXI 146 SQLインジェクションでいざ情報奪取! 総合演習 3. SQLインジェクションを悪用して、全ユーザの情報(Eメール、パスワードハッシュ)を抜き出そう 解説 つまり、カラム数が合うまで下記のように試行を続けると、エラーが発生しなくなる時が訪れる。 それが答え。 1.

    /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password%20FROM%20Users–– 2. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3%20FROM%20Users–– 3. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4%20FROM%20Users–– 4. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5%20FROM%20Users–– 5. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6%20FROM%20Users–– 6. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7%20FROM%20Users–– 7. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8%20FROM%20Users–– 8. /rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8,9%20FROM%20Users––
  75. ©MIXI 149 総合演習 4. 「[email protected]」ユーザでログインしよう 答え • Emailの値を「[email protected]'--」にする • SELECT

    * FROM Users WHERE email = '[email protected]'--' AND password = 'c4ca4238a0b923820dcc509a6f75849b' AND deletedAt IS NULL 不正アクセスできた!
  76. ©MIXI 152 総合演習 5. adminユーザでログインしよう 答え1 • 先ほど取得したユーザ情報の一覧から、adminユーザのEメールは「[email protected]」と分か る。これに対し、Eメールの値を「[email protected]'--」とし、SQLインジェクションによるパス ワード不要でのログインを行う。

    • SELECT * FROM Users WHERE email = '[email protected]'--' AND password = 'XXXXXXXXXXXXXX' ログインできたら、冒頭で見つけた管理者ページ「https://[環境URL]/#/administration」にアクセスし てみよう。アクセスできるようになっているはず! 管理者機能にアクセスできた!
  77. ©MIXI 154 総合演習 OWASP Top 10でいうところ • (Web)Injection • XSSのときに登場した問題。入力値からコードを注入できてしまう問題。

    • SQLインジェクションができてしまった点がこれに該当。 • (API) Broken Authentication • (Web) Identification and authentication failures • 認証機能をセキュアに実装できていない という問題。 • SQLインジェクションや総当たりをすることで不正に認証を突破できてしまった点がこれに該当。 • (API) Unrestricted Resource Consumption • リソースの要求サイズや数に制限が設けられていない という問題。 • 画像アップロード機能などで巨大ファイルをアップしたり何回も繰り返すことで負荷を掛けたりできちゃう。 • 今回でいうとログイン試行が無数に行える(途中でロックアウトされない)点がこれに該当。 • リソース消費とは意味合いが違うが試行制限が無いことによる問題という点で該当するという解釈
  78. ©MIXI 156 【余談】BurpSuiteってどんなツール? BurpSuite ブラウザ 通信先(Webサイトとか 復号できます見れますっ SSLセッション SSLセッション HTTPSパケット

    • BurpSuiteってなんでHTTPS通信が見えてるの? • https って暗号化されてるんだから、経路上から見られんくない? • 実はBurpSuiteはMan in the middleなツール • BurpSuiteはクライアントともサーバともSSL/TLSをしている • ブラウザからするとサーバと通信しているつもりがBurpと通信している • サーバからするとブラウザと通信しているつもりがBurpと通信している • あれ、サーバ証明書は? • 当然、通常のブラウザでは(FireFoxとかで試すと)警告が出ます • ハンズオンではBurpの証明書が自動で信頼されている環境だっただけ • フリーWiFi等の信頼できないNWでは攻撃者が同じことをしているかも..? SSLセッション
  79. ©MIXI 157 ハンズオンで紹介しきれなかったOWASP Top 10の脆弱性たち API
 ◦ Broken Object Level

    Authorization ◦ Broken Authentication ◦ Broken Object Property Level Authorization ◦ Unrestricted Resource Consumption ◦ Broken Function Level Authorization ◦ Unrestricted Access to Sensitive Business Flows ◦ Server Side Request Forgery ◦ Security Misconfiguration ◦ Improper Inventory Management ◦ Unsafe Consumption of APIs 
 Web
 ◦ Broken Access Control ◦ Cryptographic Failures ◦ Injection ◦ Insecure Design ◦ Security Misconfiguration ◦ Vulnerable and Outdated Components ◦ Identification and authentication failures ◦ Software and Data Integrity Failures ◦ Security Logging and Monitoring Failures ◦ Server-Side Request Forgery (SSRF)

  80. ©MIXI 158 (API/Web) Security Misconfiguration 不適切な設定をしてしまったことにより発生する問題全般 • 例 • 古いバージョンのTLSが有効なまま

    • ライブラリ/フレームワーク等の設定値がセキュアでない • この問題が招く脆弱性の一例として、XML External Entityという有名な脆弱性がある • 脆弱性対策コーディング演習で後日別途学習
  81. ©MIXI 160 (API/Web) Security Misconfiguration 対策 • これ! というものは無い(使っているものによって着眼点は変わるため)が下記は意識を持って おくと良いと思います。 •

    開発やQA、本番環境それぞれで同じ設定になるようにする • 検証時はセキュアだったが、本番環境の設定では脆弱だったというリスクを減らす • 必要ない機能/コンポーネントは除いておく • コンポーネントの数だけ設定ミスで穴が開くリスクは増える
  82. ©MIXI 162 (API) Improper Inventory Management 想定される被害ケース例 • https://hoge.fuga/v1/loginへの総当たりについてはRate limitが設けられているが、

    • https://hoge.fuga/beta/loginへはRate limitがされておらず、攻撃者はこちらを使って総当たり攻 撃からの不正アクセスを行う
  83. ©MIXI 163 (API) Improper Inventory Management 対策 • 公開するものは守る。守れていないものは公開しない。 •

    /v1, /v2で例えると、/v1を残存させるならv1は守る。/v1が脆弱なら公開を廃止する。 • それをクリアに把握しておけるように、ドキュメント管理をしっかりしておきましょう。 • このAPIは残っていていいのか? 等の判別のため。 • ※ドキュメントこそ命という話ではなくて、何を公開して何を守るのかクリアに なっているのが肝。ドキュメント管理はそのための手段。
  84. ©MIXI 164 (Web) Security Logging and Monitoring Failures ロギング/監視が不十分なため、 攻撃が行われた際に適切に対処することができない状況になっている問題。

    • 例 • ログが無いため、侵入者が何を行ったか分からない。影響範囲が特定できない。 • 監視が無いため、侵入者の存在に気づけない。
  85. ©MIXI 165 (Web) Security Logging and Monitoring Failures 想定される被害ケース例 •

    AWSアカウントにて、ある日コインマイニングを行っているEC2インスタンスを発見した。 • 原因を調べたところ、EC2を立てる権限を持ったユーザのアクセスキーが漏洩し、不正アクセスさ れたようだった。 • ただし、該当アクセスキーAPIログを残していなかったため、悪用被害範囲を特定することができな かった。
  86. ©MIXI 166 (Web) Security Logging and Monitoring Failures 対策 •

    ログはできるだけ残しておく。 • 攻撃が行われたら気づけるように監視をする。 • AWS/Google Cloudについてはセキュリティ室側の監視設定を施してあるアカウントであれば、一定の監視/ ログ取得は行われています。 • 攻撃が行われた場合はアラートが鳴る。 • 管理系のログ(ユーザXがhogeというAPIをいつに実行した程度)は取得している。 • 逆に言うと、エンドユーザのアクセスログ等は各自で取得しておくようにしましょう。 • 認証失敗や不正行為の疑いのログなど。
  87. ©MIXI 168 クレカ情報を取り扱うときには • 非保持化しなさい!(原則) • 保持するならPCIDSS に準拠しなさい! 参考 •

    クレジットカード・セキュリティガイドライン • https://www.meti.go.jp/policy/economy/consumer/credit/2103creditsecurity.html
  88. ©MIXI 169 非保持化 について 非保持とは • 『保存』『処理』『通過』をすべて行っていない状態のこと。 • 保存 • DBに保存。スプレッドシートに保存。etc,,

    • 処理 • コールセンターにて顧客のクレカ情報をPC入力。etc,, • 通過 • 顧客のPC→自社サーバ→決済代行会社サーバという流れでクレカ情報を送信。etc,,
  89. ©MIXI 171 PCIDSS準拠 について PCIDSSとは • Payment Card Industry Data Security

    Standard • クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界 のセキュリティ基準のこと。 • 国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立した PCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されている。 「非保持化」をやらないなら、この基準を守れ! ということ。 詳細は割愛!
  90. ©MIXI 172 クレジットカード情報の流出で想定される被害 • カード利用者への不利益 • 攻撃者に使われる • 本人認証が弱いプリペイドカードにチャージ •

    偽造カードを作成し利用 • 攻撃者に売られる • ブラックマーケットで換金 • 事業者への不利益 • お客様へのお詫びコスト • 不正に行われた買い物の損害賠償 • カード決済の一時停止措置 • コールセンター対応コスト • 再発防止コスト • 信頼を失う!
  91. ©MIXI 174 クレカとパスワードの話のまとめ • クレジットカードの取扱い方 • 非保持化する • しないならPCIDSSに準拠(監査なども含む) •

    パスワードの取扱い方 • 盗まれたとしても解析困難な形で保存する • 具体的には「ソルト付きハッシュ」という形式がセキュアな保存形式 • ストレッチングと呼ばれる、ハッシュ化するとき何千、何万回とハッシュ化を繰り返すことでログインに時間がかかり、総当た り攻撃のために必要な時間を増やす手法も併せるとなおセキュア
  92. ©MIXI 176 (Web) Vulnerable and Outdated Components 想定される被害ケース例 • JVNDB-2021-005429

    • Log4jというJavaライブラリの脆弱性 • 上記脆弱性が存在するバージョンのLog4jを使用していたために、攻撃者からインターネット経由で任意コー ド実行が行われる可能性
  93. ©MIXI 177 (Web) Vulnerable and Outdated Components 対策 • 脆弱性情報をウォッチしておく

    • CVE(Common Vulnerability and Exposures)やNVD(National Vulnerability Database)など • なお、脆弱性情報の見方については後ほどの章で別途説明します • 不要なコンポーネントは取り除いておく
  94. ©MIXI 178 (Web) Software and Data Integrity Failures 悪意あるコードがコンポーネントに含まれている(含まれうる)問題。 •

    外部ファイルを読み込む際、悪意あるものを指定されるかもしれない • 読み込んでいるコードは改ざんされているかもしれない • シリアライズデータが改ざんされて攻撃コードを注入されるかもしれない 想定される被害ケース例 • あるWebアプリでは、生成したオブジェクトをシリアライズしてCookieに保存し、そのオブジェク トが必要な際、Cookie値をデシリアライズして使用する仕様だった • 攻撃者はCookie値を改ざんし、オブジェクトのデストラクタに攻撃コードを忍ばせたシリアライズ データをWebアプリに送信した • すると、デストラクタ実行時、攻撃コードが実行された
  95. ©MIXI 179 (Web) Software and Data Integrity Failures 対策 •

    外部ファイルを読み込む際、悪意あるものを指定されるかもしれない • 外部からのファイルを読み込む際、想定していない外部ファイルを読み込まれない設計にする。例えばクライ アントからURLを受け取り、そのURLのコードをそのまま読み込むといった構成を避ける。数値を受け取り、 その数値と紐づいたファイルを読み込む等。 • 読み込んでいるコードは改ざんされているかもしれない • 信頼性の高い提供元の外部ライブラリを利用する。 • 読み込むコードの署名を検証する。 • シリアライズデータが改ざんされて攻撃コードを注入されるかもしれない • そもそもシリアライズデータでオブジェクト等のコードを送受信する必要があるか見直す。 • データの暗号化や署名付与を行い改ざんをできなくする。 共通するのは「悪性コードを組み込ませられないようにする」
  96. ©MIXI 180 (API/Web) Server-Side Request Forgery (SSRF) アプリケーションを踏み台にして、内部/外部サーバにリクエストすることができる脆弱性。 想定される被害ケース •

    ポートスキャン • ファイル内容の読取 • DoS 脆弱なアプリ 外部サーバ 外部サーバからすると、 攻撃してきているのは脆弱 なアプリのように見える (踏み台にされる) 指定されたサーバに処理を中継し、 ポートスキャン/ファイル読出/DoS等を行う URLを指定するパラメータに 外部サーバのポートやファイ ルを指定してリクエスト
  97. ©MIXI 181 (API/Web) Server-Side Request Forgery (SSRF) 対策 • ネットワーク層(対策というより被害軽減策)

    • SSRFが発生しうる機能をNW的に分離する • 想定している通信先以外への通信をFWでブロックする • アプリケーション層 • そもそも、リクエスト先URLをクライアントから直接受け取る構成をやめる。 • 動的にリクエスト先を変えたい場合、固定値を受け取るようにする。例えば数値を受け取り、それに紐づいた URLにアクセスするなど。 • 入力値検証を行う。 • ホワイトリスト形式で検証する。 • ブラックリスト形式や正規表現で検証すると、バイパスできる可能性が出てくるため極力行わない。
  98. ©MIXI 182 (API) Unrestricted Access to Sensitive Business Flows 機密性の高いビジネスフローに攻撃者が何度も(自動化して)アクセスし、ビジネス的損害が出る脆弱性。

    想定される被害ケース例 • 製品の購入 • 攻撃者により需要の高い商品の在庫がすべて購入、転売される • コメント, 投稿 • 攻撃者によりスパム投稿を繰り返される • 予約 • 攻撃者によって片っ端から予約をされ、正常なユーザがシステムを使用できなくなる
  99. ©MIXI 183 (API) Unrestricted Access to Sensitive Business Flows 対策

    • ビジネス面 • 過度に使用するとビジネスに悪影響を及ぼす可能性のあるビジネス フローを特定。 • システム面 • 自動化された処理を検出しブロックする • キャプチャ認証 • user-agentなど検証 • Tor出口や既知のブラックリストIPからのアクセスをブロック • ビジネスロジック的に明らかにおかしい挙動をブロック(カートに追加→購入まで1秒未満とか)
  100. ©MIXI 184 (API) Unsafe Consumption of APIs 外部のAPI経由の入力値を過信して検証を疎かにした結果、そこ経由で攻撃される脆弱性 想定される被害ケース例 •

    被害アプリにはあるSNSのプロフィール情報を、そのSNSのAPI経由で取得し処理するロジックがあ るとする • そのロジックにおいては入力値を信頼しており、検証をいっさい行っていなかった • 攻撃者はSNSのプロフィールに対して事前に攻撃コードを忍ばせておく • ユーザ名を「'; drop database db;–」とかで登録しておく • 被害アプリが攻撃者のプロフィール情報を処理するとき、そのAPIから得た入力値を信頼してしまっ ているので攻撃コードが動作する
  101. ©MIXI 186 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 • 作業環境。PCやクレデンシャル等。

    • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など 前提となる考え 次は ここの話!
  102. ©MIXI 187 自分たちでは作り込まないが、脆弱性になりうるもの • ミドルウェアやライブラリ • 脆弱性が潜んでいて、そこを突かれる可能性があるので適宜バージョンアップが必要 • 外部組織に開発委託した成果物 •

    委託したコードの中に脆弱性がある可能性もあるので脆弱性診断等でチェックする必要がある。 • 皆さんが直近の業務で関わる機会は少ないかもしれませんが、委託だから丸投げでOKというわけではなく、 きちんと自分たちで品質を確認しなきゃいけないという認識は持っておきましょう。
  103. ©MIXI 188 脆弱性対応時、調査のポイント 外部ライブラリ等の脆弱性対応は、 • 脆弱性があったら • それを評価し • 必要に応じそのモジュールをアップデートする

    という流れになる。その際の評価ポイントは下記になる。 • どのソフトウェア? • どのバージョン? • どんな影響ある? • どれくらい深刻なの? • どう対策すればいい? こういった情報の概要がまとまった脆弱性情報メディアに「CVE」がある。
  104. ©MIXI 189 CVEとは? • Common Vulnerabilities and Exposuresの略。 • CVEとは、米MITRE(マイター)社が提供している、脆弱性を識別するための共通脆弱性識別子。

    • 一般的にCVE番号、CVE IDと呼ばれている。 • 例:CVE-2020-8165 • ※命名規則は、「CVE-YYYY- NNNN…N 」のようになっている。「YYYY」は発見された年数、NNNN…N は一意の番号。
  105. ©MIXI 190 CVEの見方 • 例えば『CVE-2020-8165』なら、下記のようにCVEのサイトのname部分にIDを指定すれば確認でき ます。 • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8165 • 見ると良い項目

    • CVE-ID:NVDへのリンクが記載されている。 • Description:脆弱性概要が記載されている。 • References:参考URLが記載されている。 引用元:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8165,(2024/5/4)
  106. ©MIXI 192 NVDの見方 CVE-2020-8165の例 • URL:https://nvd.nist.gov/vuln/detail/CVE-2020-8165 • 見ると良い項目 • Current

    Description • 脆弱性の概要説明。 • Severity • 「CVSS」の情報。脆弱性の深刻度。 • References to Advisories, Solutions, and Tools • 関連する情報へのリンク。 • Known Affected Software Configurations • 影響を受けるソフトウェアとバージョン。 引用元:https://nvd.nist.gov/vuln/detail/CVE-2020-8165, (2024/5/4)
  107. ©MIXI 193 CVSSとは • Common Vulnerability Scoring System • 脆弱性の深刻度をスコア(数値)で表すシステム。

    • 計算式に則り、脆弱性を0~10.0までの値で評価。 • 10.0が最も深刻。 • 〜V4まである。 • NVDをチェックしていくとするとV3を目にすることが多いかも。
  108. ©MIXI 194 CVSS (V3) の見方 CVSSはVectorと呼ばれる下記の要素から算出されます。 • AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 例 •

    AV:N ー> 攻撃元区分:ネットワーク • AC:L ー> 攻撃条件の複雑さ:低 • PR:N ー> 必要な特権レベル:不要 • UI:N ー> ユーザ関与レベル:不要 • S:U ー> スコープ: 変更なし • C:H ー> 機密性への影響:高 • I:H ー> 完全性への影響:高 • A:H ー> 可用性への影響:高 このScoreは9.8 (Critical)!
  109. ©MIXI 195 脆弱性情報 (NVD/CVSS) の見方の勘所 脆弱性情報をどう読んだらいいか分からない場合、ひとまず以下の観点を確認すると良いと思います。 • 自分たちが対象製品、バージョンを使っていないか確認する。 • 攻撃元区分から攻撃者像を想定する。

    • その攻撃者ができることを想定する。 例 • 自分たちが対象製品、バージョンを使っていないか確認する。 • NVDのKnown Affected Software Configurations欄を確認したところ、自分たちのプロダクトで該当ソフト ウェアの該当バージョンを使っていたことが分かった。 • 攻撃元区分から攻撃者像を想定する。 • CVSSの脆弱性の攻撃元区分(AV)を確認したところ、「N」、 つまりインターネット経由で攻撃可能と分かった。 • その攻撃者ができることを想定する。 • NVDのDescription欄を確認したところ、任意コード実行ができることが分かった。
  110. ©MIXI 196 脆弱性情報 (NVD/CVSS) の見方の勘所 脆弱性情報をどう読んだらいいか分からない場合、ひとまず以下の観点を確認すると良いと思います。 • 自分たちが対象製品、バージョンを使っていないか確認する。 • 攻撃元区分から攻撃者像を想定する。

    • その攻撃者ができることを想定する。 例 • 自分たちが対象製品、バージョンを使っていないか確認する。 • NVDのKnown Affected Software Configurations欄を確認したところ、自分たちのプロダクトで該当ソフト ウェアの該当バージョンを使っていたことが分かった。 • 攻撃元区分から攻撃者像を想定する。 • CVSSの脆弱性の攻撃元区分(AV)を確認したところ、「N」、 つまりインターネット経由で攻撃可能と分かった。 • その攻撃者ができることを想定する。 • NVDのDescription欄を確認したところ、任意コード実行ができることが分かった。 該当ソフトウェアを使っていたとしても、特定の 条件でのみ悪用可となるケースもある。 実際のところその脆弱性を悪用できるのか? というところまで考えられるとサイコーb
  111. ©MIXI 197 脆弱性情報 (NVD/CVSS) の見方の勘所 脆弱性情報をどう読んだらいいか分からない場合、ひとまず以下の観点を確認すると良いと思います。 • 自分たちが対象製品、バージョンを使っていないか確認する。 • 攻撃元区分から攻撃者像を想定する。

    • その攻撃者ができることを想定する。 例 • 自分たちが対象製品、バージョンを使っていないか確認する。 • NVDのKnown Affected Software Configurations欄を確認したところ、自分たちのプロダクトで該当ソフト ウェアの該当バージョンを使っていたことが分かった。 • 攻撃元区分から攻撃者像を想定する。 • CVSSの脆弱性の攻撃元区分(AV)を確認したところ、「N」、 つまりインターネット経由で攻撃可能と分かった。 • その攻撃者ができることを想定する。 • NVDのDescription欄を確認したところ、任意コード実行ができることが分かった。 こういったことを確認すると、 「ヤバそう」かどうかのイメージが付きやすくなると思います!
  112. ©MIXI 198 脆弱性情報 (NVD/CVSS) の見方の勘所 脆弱性情報をどう読んだらいいか分からない場合、ひとまず以下の観点を確認すると良いと思います。 • 自分たちが対象製品、バージョンを使っていないか確認する。 • 攻撃元区分から攻撃者像を想定する。

    • その攻撃者ができることを想定する。 例 • 自分たちが対象製品、バージョンを使っていないか確認する。 • NVDのKnown Affected Software Configurations欄を確認したところ、自分たちのプロダクトで該当ソフト ウェアの該当バージョンを使っていたことが分かった。 • 攻撃元区分から攻撃者像を想定する。 • CVSSの脆弱性の攻撃元区分(AV)を確認したところ、「N」、 つまりインターネット経由で攻撃可能と分かった。 • その攻撃者ができることを想定する。 • NVDのDescription欄を確認したところ、任意コード実行ができることが分かった。 (補足) ここ最近についてはNVDは情報の更新に遅れ が生じているようなので、スピーディにリス クジャッジしたい場合、該当製品のベンダが 発表している情報を見に行く等が良いかもし れません
  113. ©MIXI 199 日本の脆弱性情報収集サイト 情報のスピードを考慮するとベンダの公式ページ等を見にいくことが多いかもですが、 日本のサイトもあります。 • JVN • Japan Vulnerability

    Notes • 日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供 • https://jvn.jp/ • JVN iPedia • 国内外問わず日々公開される脆弱性対策情報のデータベース • https://jvndb.jvn.jp/
  114. ©MIXI 200 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 • 作業環境。PCやクレデンシャル等。

    • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など 前提となる考え 次は ここの話!
  115. ©MIXI 202 モバイルアプリにおける所謂セキュアコーディングをする Mobile Application Security Design Guideの紹介 https://github.com/OWASP/www-project-mobile-application-security-design-guide •

    モバイル開発におけるセキュリティ設計が下記観点ごとにまとめられている • Architecture, Design and Threat Modeling Requirements • Data Storage and Privacy Requirements • Cryptography Requirements • Authentication and Session Management Requirements • Network Communication Requirements • Platform Interaction Requirements • Code Quality and Build Setting Requirements コード例なども交えつつセキュアな設計/実装を包括的に説明してくれているので、モバイルのセキュリ ティを考えるうえで参考になる。文量多いので悩んだときの辞書として使うと良いと思います
  116. ©MIXI 203 今日頭に入れておきたいモバイルセキュリティの注意点 • ログに機微な情報が載らないように注意。 • SDカード等の、他アプリからアクセスできる領域に重要なデータを保存しない。 • カスタムURLスキームでは重要なデータを取り扱わない。 •

    同じカスタムURLスキームを宣言した偽装アプリにデータが渡ってしまうかもしれない。 • レシート検証はちゃんとしましょう。改ざん/別レシート/過去レシートなど。 • レシート検証周りの参考 • [iOS]https://developer.apple.com/documentation/appstoreserverapi • [Android]https://developer.android.com/google/play/billing/security • コラボ情報など未公開情報を埋め込まない。解析による漏洩対策。 • 実際に埋め込んでしまい未公開情報が漏洩してしまったケースも社内でもある • ゲームの場合、上記に加えて「チート」のリスクも認識/対応しておく。
  117. ©MIXI 204 チートとは • チート(英: cheat)とは騙す、欺くこと。 • コンピュータゲームにおいて、広義には制作者が意図しない方法や結果により使用者が意図的に公 平性を損なわせる行為 のこと。

    • 狭義には、コンピュータゲームにおいて優位に進めるための(バグ等を用いた)不正行為または ハッキング行為のこと。 引用元:https://ja.wikipedia.org/wiki/%E3%83%81%E3%83%BC%E3%83%88, (2024/5/3) 違法行為にも なりうる
  118. ©MIXI 205 私たち運営側にとってのチートのリスク • ゲームプレイにおいて不公平が生じてしまう。フェアでない。 • スポーツでいえばドーピング。 • ユーザは冷める。そして運営に対するヘイトが溜まる。 •

    ゲームの寿命の短縮。 • すぐクリアされるという直接的な側面と人離れによる間接的な側面。 • 課金数の低下、課金機会の損失。 • チートしている人→チートした方がコスパ良い • チートしていない人→馬鹿らしくなって課金しなくなる • 関係会社への被害 • 例えばコラボ先の商品を買うとそのIPのキャラデータが手に入るキャンペーンがあったとして、不正にキャラ データを入手できるチートが行われた場合、コラボ先商品の売り上げが下がり、関係会社に対する被害につな がる。 • ブランドイメージの低下。 • ユーザ対応コストの増加。 • 通報対応/BAN対応/問い合わせ対応など。
  119. ©MIXI 206 チートの手法 チートの手法は下記4種類に大別できる • メモリ改変 • メモリの値を書き換える。例えばHPや攻撃力や所持金に相当する箇所のメモリの値を大きくする。 • 対策

    • そもそもサーバに持つべき値はサーバに持つ。所持金とか。 • 加えて、どの値がどのメモリか探り当てられないようにする。なんらか関数を経由した値で保存する等。 • 通信改変 • 通信の送信値を書き換える。JuiceShopで行った攻撃のゲーム版。 • 対策 • 不正に書き換えられた値を受理しないよう、サーバ側での検証を徹底する。 • ローカルデータ改変 • SDカード等のローカル内ストレージの値を書き換える。セーブデータ改変など。 • 対策 • 改変されたくなければローカルに保存しない。サーバ側に保存する。 • やむを得ずローカルに保存する場合は暗号化をして改変の難度を上げる。 • クライアントアプリ解析・改造(リバースエンジニアリング) • アプリ自体を改造する。クライアント側に持つデータ/ロジックであれば実質的になんでもできる。 • 対策(防ぐことはできないので、難易度を上げる) • コードの難読化 • アプリの改ざんチェック • (改ざんチェックを無効化するように改変することも可能なため、根本的対策にはならないが難度を上げるという意味ではやった方がセキュア。)
  120. ©MIXI 213 通信改変の保険的対策 アプリ BurpSuite等の プロキシツール ゲームサーバ SSL証明書のPinningを行う。 
 BurpSuiteの証明書?

    信頼できないのでエラー! 【補足】
 PinningはWebだと廃止の流れがあります(例えばChromeでの廃止)が、
 ・ブラウザ → 運営側がいじれない
 ・自社スマホアプリ → 運営側がいじれる
 という違いがあるため、
 不備のある証明書が固定されてしまった場合等の事情も異なってきます。
 ちなみにAndroidセキュアコーディングガイドでは中間者攻撃への有効策としてPinningが紹介されていま す。
  121. ©MIXI 214 ローカルデータ改変 ローカルストレージやSDカードなど、ファイルにセーブデータやゲームに関する情報を保存している場 合、その値を改変し、チートが可能な場合がある。 例 • ゲームのセーブデータをファイルに保存する設計だったとして • ファイル内にあるレベル/hp/atkに相当するパラメータを書き換えることで

    • ゲーム再起動時、そのファイルに記載されたレベル/hp/atkに強化されている 根本的対策 ゲームのセーブデータなど重要な情報はローカルに保存しない。サーバー側に保存する。 保険的対策 やむを得ずローカルに保存する場合は暗号化をし、改変の難度を上げる。
  122. ©MIXI 217 マクロ ゲームの処理(レベル上げ等単純な処理)を自動化し、ゲーム内で利益を得ようとする手法。 一応、ゲームに対して行っていること自体は正規の行動のため厳密にはチートではないが、 「ラクをして強くなる」という点においては近い行為。 スマホゲームにおいて行われるマクロの方法はいろいろある。 • エミュレータでアプリを動作させ、PCの操作記録ツールを使用する。 •

    マクロ用のスマホアプリを使用する。 • 実際のゲームフローで送信される通信リクエストを再現/送信することで、時短ゲームクリア等を行うパターンもある 。 (これはもはやマクロというより通信改変の亜種かも。) 特にこれはゲーム内容次第で バランスを壊す可能性があるので緩 和策を検討する必要がある。
  123. ©MIXI 218 マクロの緩和策 • 通常プレイではあり得ない値(スコア/クリア時間等)ではないかサーバ側でチェックする。 • その処理に対しては報酬を与えない • たとえばスロットの場合、スロット回転が終わるまでの最低時間を予め計測しておき、それよりも明らかに早い 間隔で回されている場合はお金だけ減らして報酬を与えないようにする。

    • ログをとっておき、BANする • たとえばクエストの場合、明らかに規定クリア時間より早いものを見つけたら記録しておく。後からBANする。 • 自動化のための通信リクエスト再現を難しくする。 • リクエストパラメータの暗号化 • リクエストの改ざん検知 • コードの難読化
  124. ©MIXI 221 参考ドキュメント モバイルのセキュリティのことで迷ったら覗いてみると助けになるかもしれないものたち • Mobile Application Security Design Guide

    • https://github.com/OWASP/www-project-mobile-application-security-design-guide • セキュアコーディングガイド • Android (具体的なコードを交えて実践的に書かれている) • http://www.jssec.org/dl/android_securecoding.pdf • Apple (iOSの具体的な話というよりは一般論的な話) • https://developer.apple.com/library/content/documentation/Security/Conceptual/SecureCodingGuide/Introd uction.html • OWASP Mobile Top 10 • https://owasp.org/www-project-mobile-top-10/
  125. ©MIXI 222 「セキュアに開発業務」をするために守らなければいけないもの • 開発の前提 • インフラ(AWS, GoogleCloud)の環境。NW設定等。 • 作業環境。PCやクレデンシャル等。

    • データの取り扱い。個人情報等。 • 開発する対象 • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 • ミドルウェアやライブラリなど外部のコードを流用する箇所 • クライアント側 • 公開しないもの = 管理画面や開発環境など 前提となる考え 最後は ここの話!
  126. ©MIXI 223 公開しないもの の守り方 シンプルに「アクセス制御する」に尽きるが、やり方は色々ある。 • 境界防御 (IP制限) • ゼロトラスト的制御 •

    Basic認証 • リクエストヘッダに秘密の値を付与して検証 etc 手段によって安全性のレベルと実装,運用コストは変わってくる。 どれが絶対に良い悪いという話ではなく、ケースによって適切な手段を選んでいこう そのために手札を増やしておこう! (セキュリティ室としてはゼロトラスト的な制御を推奨することが多いです)
  127. ©MIXI 224 【演習】Juice Shopをアクセス制御で守ろう 今回抑えておきたい「アクセス制御」の二つの思想 • 境界防御 → NWの境界線で守っていく考え方。 •

    ゼロトラスト → 弊社でも取り組んでいるイマドキ(?)の考え方/やり方。 Google Cloudの機能を使って、 境界防御とゼロトラストの思想それぞれでJuice Shopをアクセス制御してみましょう! • Juice Shopは皆さんが運営しているサービスの試験環境だと想定してください。
  128. ©MIXI 225 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC
  129. ©MIXI 226 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ
  130. ©MIXI 227 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除)
  131. ©MIXI 228 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる
  132. ©MIXI 229 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる 社内ネットワークなら安心という世界観
  133. ©MIXI 230 【演習】Juice Shopを境界防御にもとづいて守ろう 自身のJuice Shop環境にIP制限を施し、境界防御の考え方でのアクセス制御を行おう。 やること - Cloud ArmorというGoogle

    Cloudサービスを使ってIP制限を行い、挙動を確認する ※社内研修時はJuice ShopをGoogle CloudでデプロイしていたためCloud Armorを使用しました
  134. ©MIXI 231 【演習】Juice Shopを境界防御にもとづいて守ろう 1. Google CloudのコンソールCloud Armor設定画面にアクセス 2. ポリシーを作成

    a. PolicyTypeにバックエンドセキュリティポリシーを選択 3. Default rule Action a. デフォルトは拒否でステータス403 4. ルールの追加 a. モード→基本モード b. 一致→許可したいIP c. 優先度→1000 5. ターゲットへのポリシーの適用 a. ターゲットの追加(ロードバランサのバックエンドサービス) 6. 高度な作成 a. スルー 以上で設定したIP以外でアクセスすると403エラーが返るようになります。
  135. ©MIXI 232 ゼロトラストとは 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data App

    & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC
  136. ©MIXI 233 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる 社内ネットワークなら安心という世界観
  137. ©MIXI 234 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) 社内なら安心なので アクセスされる側は信じる 社内なら安心なので アクセスされる側は信じる 社内ネットワークなら安心という世界観 社内NWは 信頼できる=trust ワン!!
  138. ©MIXI 235 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) と思ったらインターネット社会では思い通りにはならなかった。 標的型攻撃はじめ色々な攻撃リスクが顕在化してきた。 色々繋がるネット社会において完全クリーンにすることは困難。
  139. ©MIXI 236 境界防御とは 一般的な会社のネットワーク構成はこんな感じだと思います。 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data

    App & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) と思ったらインターネット社会では思い通りにはならなかった。 標的型攻撃はじめ色々な攻撃リスクが顕在化してきた。 色々繋がるネット社会において完全クリーンにすることは困難。 社内ってだけじゃ アクセスされる側は信じない 社内ってだけじゃ アクセスされる側は信じない 社内ネットワークだからといって それだけで安心とは考えない世界観
  140. ©MIXI 237 境界防御とは 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data App

    & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC 業務用ならIP制限するものたち 会社IPがこれ ここに繋ぐと認証等の各種対策/制約により下記が得られていた。 • 見知らぬ者が社内NWに居ない。→(盗聴者や攻撃者の排除) • 攻撃監視やロギングが一定される。→(攻撃の検知や調査) • 会社の終端装置から外に出る。→(IP制限による攻撃者排除) と思ったらインターネット社会では思い通りにはならなかった。 標的型攻撃はじめ色々な攻撃リスクが顕在化してきた。 色々繋がるネット社会において完全クリーンにすることは困難。 社内ってだけじゃ アクセスされる側は信じない 社内ってだけじゃ アクセスされる側は信じない 社内ネットワークだからといって それだけで安心とは考えない世界観 何も=zero 信頼できない=trust ワン!!
  141. ©MIXI 243 今日覚えて欲しいこと 社内 社外 プロキシ (エンフォーサ) リソース IdP ゼロトラスト的な守り方の、一つのカタチ。

    本当はもっと色んなカタチが詳細に語られているが、基本的で実用的な構成として今日はこれを!
  142. ©MIXI 244 今日覚えて欲しいこと 社内 社外 プロキシ (エンフォーサ) リソース IdP プロキシを経由した

    リクエストだけ到達 IdPと連携して 信頼できるか判断 原則、リクエストは 信頼しない (=zero trust)
  143. ©MIXI 245 この構成がなぜセキュアなのか 社内 社外 プロキシ (エンフォーサ) リソース IdP エンフォーサに

    信頼(中継)されない エンフォーサ経由 じゃないと アクセスできない 攻撃者がいたとしてもリクエストがリソースに到達しない!
  144. ©MIXI 246 この構成がなぜセキュアなのか 社内 社外 リソース 認証認可 データや 機能 Q.

    エンフォーサが無くても認証認可さえされていれば同じ?
  145. ©MIXI 247 この構成がなぜセキュアなのか 社内 社外 リソース 認証認可 データや 機能 Q.

    エンフォーサが無くても認証認可さえされていれば同じ? A. リソース自身のセキュリティが完璧でないと突破されるかもなのでリスクは上がる。 認証等に脆弱性があ り、それを悪用される かもしれない 認可制御が抜けていて 直接アクセスできるか もしれない
  146. ©MIXI 248 この構成がなぜセキュアなのか 社内 社外 プロキシ (エンフォーサ) リソース IdP データや

    機能 認証認可 エンフォーサがあれば攻撃者のリクエストはリソース自体に到達しないので、 リソース自身にもし脆弱性があっても攻撃者は攻撃できない
  147. ©MIXI 249 誤解してはならないこと • 境界防御の全てがオワコンというわけではない。 • 依然として使われているし、重要。手札として持っておこう。 • 単純に ゼロトラスト

    = リモート何でもOK ということではない。 • 公開エンドポイントへのアクセス制御方法が社内IPに依存しなくなったというだけ • PC側の保護も必要となる。AV、EDR、PFW、覗き見、etc… • 当然、カフェ等での業務やフリーWi-Fiでの業務等はリスクがある ゼロトラストを誤解/過信して、 セキュリティレベルが下がることの無いように。
  148. ©MIXI 251 Juice Shopをゼロトラスト的に守るとしたら? MIXI研修時の演習環境はこのようになっていました。 Public NW GoogleのNW Cloud Load

    Balancing 1 Cloud Load Balancing 2 IAP Juice Shop 1 Juice Shop 2 Cloud Run Cloud Run 参加者 2 参加者 1 HTTPS HTTPS HTTP HTTP 認証/認可
  149. ©MIXI 252 Juice Shopをゼロトラスト的に守るとしたら? 実は既にゼロトラスト的に守られています! Public NW GoogleのNW Cloud Load

    Balancing 1 Cloud Load Balancing 2 IAP Juice Shop 1 Juice Shop 2 Cloud Run Cloud Run 参加者 2 参加者 1 HTTPS HTTPS HTTP HTTP 認証/認可 ここがエンフォーサの役割を 果たしている ここがエンフォーサの役割を 果たしている
  150. ©MIXI 253 Juice Shopをゼロトラスト的に守るとしたら? 実は既にゼロトラスト的に守られています! Public NW GoogleのNW Cloud Load

    Balancing 1 Cloud Load Balancing 2 IAP Juice Shop 1 Juice Shop 2 Cloud Run Cloud Run 参加者 2 参加者 1 HTTPS HTTPS HTTP HTTP 認証/認可 ここがエンフォーサの役割を 果たしている ここがエンフォーサの役割を 果たしている 参加者でのGoogleアカウントで認 証されれば通過/それ以外は拒否
  151. ©MIXI 254 Juice Shopをゼロトラスト的に守るとしたら? 実は既にゼロトラスト的に守られています! Public NW GoogleのNW Cloud Load

    Balancing 1 Cloud Load Balancing 2 IAP Juice Shop 1 Juice Shop 2 Cloud Run Cloud Run 参加者 2 参加者 1 HTTPS HTTPS HTTP HTTP 認証/認可 ここがエンフォーサの役割を 果たしている 参加者でのGoogleアカウントで認 証されれば通過/それ以外は拒否 ここがエンフォーサの役割を 果たしている これから、このルールを変えてみる 演習をしていただきます!
  152. ©MIXI 255 【演習】Juice Shopをゼロトラストにもとづいて守ろう 自身のJuice Shop環境のIAP設定を操作し、ゼロトラストにもとづいたアクセス制御を行おう。 • IAPとは • IAP

    とは、ウェブサイトへのリクエストをインターセプトし、リクエストを送信したユーザーを認証して、認 証されたユーザーにのみサイトへのアクセスを許可 する、という一連の処理を行うサービスです。 • 対応しているプラットフォームは、App Engine、Compute Engine のほか、Google Cloud ロードバランサの 背後で動作するサービスなど、さまざまなものがありますが、その利用は Google Cloud に限定されません。 IAP コネクタと合わせて使用すれば、オンプレミスのアプリケーションを保護することも可能です。 • ざっくりいうと、ロードバランサ等へのアクセス時にGoogleアカウントの認証を挟めるサービス。
  153. ©MIXI 256 MIXI社とゼロトラスト 会社のネットワーク 終端装置 ルータ等(詳細は省略) App & Data App

    & Data インターネット Saas の App & Data AWS上 の App & Data Google Cloud上 の App & Data クラウド的なものたち VPN 会社ではないどこか PC PC PC MIXIでもゼロトラスト設 計での防御を使ってい る!
  154. ©MIXI 257 【演習】Juice Shopをゼロトラストにもとづいて守ろう 自身のJuice Shop環境のIAP設定を操作し、ゼロトラストのアクセス制御を行おう。 やること - Identity-Aware ProxyというGoogle

    Cloudサービスを使ってIP制限を行い、挙動を確認する - 確認すること - IAPをONにして、かつアクセス権があるときの挙動 - Googleログイン後にアクセスできればOK - IAPをONにして、かつアクセス権が無いときの挙動 - レスポンスが「You dont have access」になればOK - IAPをOFFにしたときの挙動 - シークレットブラウザなど、Googleログインしてない状態でアクセスできたらOK ※社内研修時はJuice ShopをGoogle CloudでデプロイしていたためIAPを使用しました
  155. ©MIXI 258 【演習】Juice Shopをゼロトラストにもとづいて守ろう 1. IAPサービス画面にアクセス 2. 対象バックエンドサービスを選択しIAPをONにする 3. 画面右側にある「IAP-secured

    Web App User」欄に自分を追加 a. これでアクセス権が付与される 4. IAPのON/OFF、IAP-secured Web App Userの付与/剥奪によって挙動の変化を確認 a. 確認すること b. IAPをONにして、かつアクセス権があるときの挙動 i. Googleログイン後にアクセスできればOK c. IAPをONにして、かつアクセス権が無いときの挙動 i. レスポンスが「You dont have access」になればOK d. IAPをOFFにしたときの挙動 i. シークレットブラウザなど、Googleログインしてない状態でアクセスできたらOK
  156. ©MIXI 259 MIXI社とゼロトラスト うちの会社で使われているゼロトラストベースの構成(エンフォーサ + IDP)の例 • AWS • ALB

    + Okta • ALB + Cognito • GCP • Cloud Load Balancing + IAP • SaaS • Akamai EAA + Okta セキュリティ室で導入サポートも行っています!
  157. ©MIXI 261 【演習】(余談) Juice ShopをWAFで守ろう WAFについて • Webアプリケーションの脆弱性に対しては一つ一つ対策を施していくのが基本だが、 WAF(WebApplicationFirewall)によって防御するという選択肢もある。 •

    リクエスト中に攻撃パターンの文字列が含まれていると遮断する(403応答など)。 • WAFだけで守り切るのは困難だったり、正常なリクエストにも反応してしまう可能性があったり、基本的に はおすすめはしていないが、特定のケースで使える場合があるため、選択肢として持っておくとよい 。 • レガシーなつくりでコードが入り組んでおり、アプリケーションの改修が難しいといった場合、WAFで一元 的に攻撃シグネチャを遮断するという対策手段はアリかもしれない。 • GCPではCloud ArmorにWAF機能がある。
  158. ©MIXI 264 【演習】(余談) Juice ShopをWAFで守ろう 自身のJuice Shop環境にWAF設定を施し、SQLインジェクションを検知・遮断しよう。 やること • Cloud

    ArmorでWAF設定を実施 • 確認すること • 通常のリクエストには何も反応しない一方、 • 総合演習3 の攻撃クエリ 「/rest/product/search?q=apple%27))%20UNION%20SELECT%20email,password,3,4,5,6,7,8,9%20FRO M%20Users-- 」のような攻撃リクエストが送信されると、「403 Forbidden」エラーとなることを確認する。
  159. ©MIXI 265 【演習】(余談) Juice ShopをWAFで守ろう 1. Cloud Armorページにアクセス 2. ポリシーを作成or編集

    3. 「ルールを追加」でエディタ部分に右をコピペ a. これが特定文字列を弾くルールセット 4. アクションは拒否(403)に 5. 優先度→10 6. WAF設定後、UNION〜の文字列を送信するとWAFが作動し 403エラーが返るようになればOK evaluatePreconfiguredExpr('sqli-stable', ['owasp-crs-v030001-id942110-sqli', 'owasp-crs-v030001-id942120-sqli', 'owasp-crs-v030001-id942150-sqli', 'owasp-crs-v030001-id942180-sqli', 'owasp-crs-v030001-id942200-sqli', 'owasp-crs-v030001-id942210-sqli', 'owasp-crs-v030001-id942260-sqli', 'owasp-crs-v030001-id942300-sqli', 'owasp-crs-v030001-id942310-sqli', 'owasp-crs-v030001-id942330-sqli', 'owasp-crs-v030001-id942340-sqli', 'owasp-crs-v030001-id942380-sqli', 'owasp-crs-v030001-id942390-sqli', 'owasp-crs-v030001-id942400-sqli', 'owasp-crs-v030001-id942410-sqli', 'owasp-crs-v030001-id942430-sqli', 'owasp-crs-v030001-id942440-sqli', 'owasp-crs-v030001-id942450-sqli', 'owasp-crs-v030001-id942251-sqli', 'owasp-crs-v030001-id942420-sqli', 'owasp-crs-v030001-id942431-sqli', 'owasp-crs-v030001-id942460-sqli', 'owasp-crs-v030001-id942421-sqli', 'owasp-crs-v030001-id942432-sqli'] )
  160. ©MIXI 266 【演習】(余談) Juice ShopをWAFで守ろう Q.  WAF最強!脆弱性自体を直さなくても、これさえあればいいじゃん! A.  WAFはあくまで対症療法だと思っておこう。ちゃんと直そう。 -

    完全にガードできるわけではない - 今回の例では、実は "email":"[email protected]'--" と入力して不正アクセスする攻撃は演習でのWAFでは 防げません! - 実際当社に関連するプロダクトでのSynack365検査でも、SQLi→WAF→それを貫通する検出があったりしま す - 厳しくフィルタリングし過ぎると正常なリクエストを弾いてしまう懸念もある
  161. ©MIXI 267 セキュアに開発しよう! 早見表 • 開発の前提を守る • インフラ(AWS, GoogleCloud)の環境。NW設定等。 • 作業環境。PCやクレデンシャル等。

    • データの取り扱い。個人情報等。 • 開発する対象を守る • 公開するもの = ユーザに公開しているサービス • サーバ側 • 自分たちでコードを作り込む箇所 → 脆弱性を作り込まないコーディングを。 • ミドルウェアやライブラリなど外部のコードを流用する箇所 → CVE等の情報をもとにリスク評価を。 • クライアント側 → 重要なデータとロジックを持たない。 • 公開しないもの = 管理画面や開発環境など → 適切なアクセス制御を。