せきゅりてぃ❓
~第1回:なにから手を付けよう~
何から考えていけばいいのかがわからない。(10年もインフラエンジニアをやっていて新人かと自分にツッコミたくなる)
セキュリティ対策と一口に言うが、実態もイメージもつかめないので、 ミクロ(色んなIT分野のセキュリティ)を積み重ねることでマクロ(日本のセキュリティ)に近づこうと思う。
ECサイトを構築する場合のセキュリティを考えてみることにする。
今回はこちらのサイトから勉強させてもらった。
ポイントは、以下の5つ
- 攻撃/侵入が困難であること
- 侵入されても被害を局所化できること
- 監視/検知が機能すること
- 管理/運用が容易であること
- 調査/復旧が容易であること
そして、1個目でいきなり脱線の予感。
- 攻撃/侵入が困難であること 攻撃・侵入を困難にするといっても、考えることは基本的なことである、「必要なサービスだけを提供し、そのサービスを徹底的にセキュアにして、サービスを提供するサーバへのアクセスを制限する」に尽きる
難しく考えすぎていただけなのか、知らない侵入手段があるのかはわからないが、知らなすぎるがゆえに闇雲に不安がっていたような気がしてきた。 「LB経由でアクセスするサーバにはHTTPS/HTTPでしか侵入する方法はない」のだとすれば、すごくシンプルに考えられる気がする。
HTTPS/HTTPしか許可されていないとすれば、どんな攻撃手法があるのか と疑問がわいてきた。 保守のためにSSHが有効化されているケースは多いので、SSHとHTTP/HTTPSが侵入方法になるのかな。
HTTP/HTTPSでしか許可していないサーバに、魔法使いのように侵入する手段があるのか。 はたまた、結局はHTTP/HTTPSの脆弱性を突いただけのものなのか。
次回、魔法使いの化けの皮をはがす。
~おしまい~