昨日の夜、品川マイクロソフトさんで開催された「KUSANAGIハンズオン&徳丸先生のセキュリティセミナー」に参加。軽く感想などを残したいと思います。
セミナー内容は以下の通り。
- Microsoft Azureのセキュリティについて
キーワードは「セキュリティROI」で、以前は(社内ネットワークに)『侵入させない』だったが、現在は『侵入されたことをすばやく検知し、すぐに復旧』とのこと。
- KUSANAGI for Vagrantを使用したKUSANAGIハンズオン
「KUSANAGI for Vagrant」は社員の方が個人的に開発していたものがベースとのこと。box名が「yuya_tajima/kusanagi」になっている謎が解けました。
- WordPressサイトはWAFでどこまで防御できるか
WAFの概要とその効果をデモサイトを使いながら紹介。
KUSANAGI WAF
さてKUSANAGIハンズオンの中身ですが、(ちょっとズルをして)事前にKUSANAGI for Vagrantのインストールまで済ませておいたこともあり、個人的にはそれなりに進めることができました。それでも前半のyumコマンドの処理に時間がかかり、一部の方はここでだいぶ苦労された様子。後半のKUSANAGI WAFのパートがきつくなったのが残念でした。KUSANAGI WAFのところはう少し詳しく聞きたかった感じです。
KUSANAGI WAFのオン・オフはコマンドで簡単に切り替え可能ですが、初期設定のままではWordPressの管理画面の一部でも問題が発生するため、チューニング(設定リストの編集作業)は必須。実際に公開サイトで使用する場合は、適用しているテーマやプラグインに応じたチューニングが必要不可欠であり、緩い設定をしてしまうと攻撃を防ぐことができないため、それなりのノウハウが必要で、実運用は「ちょっと大変そう」というのが正直な印象です。今後、時間経過によって初期設定やチューニング方法が洗練されていくことに期待したい。
WAFの防御
デモサイトを使った攻撃とWAFの検知では、徳丸さんの会社でも扱っているWAF製品の「SiteGuard」が使用され、問題がありそうなリクエストを「検知」するだけでなく、その可能性がありそうなリクエストを「監視」する機能がありました。管理画面上で「監視」から「検知」に切り替えできる機能が紹介され、攻撃発覚後の対応は比較的容易にできるそうです。WAFは既知の攻撃を防げるだけでなく、(その時点で)未知の攻撃を防ぐ場合があり、それなりに有用ではあるものの、誤検知も少なからず発生することは意識しておくべきでしょう。
さて、徳丸さんのお話であらためて意識させられたのが、「ナチュラルなリクエストは(WAFで)検知しにくい」的なニュアンスの内容と、不具合が見つかった場合は速やかにアップデートしていく責任があるということ。またプラグインの機能そのものが脆弱性になりうる可能性があることはプラグインを公開している身としては肝に銘じておきたい。