オルタナティブ・ブログ > 穂苅智哉の Webビジネス!日進月歩 >
RSS
穂苅智哉の Webビジネス!日進月歩

文系学部からITベンチャー企業へ進んだ男が考えていること、感じたこと、未来のことなどを書きます。

KUSANAGI大幅セキュリティアップデート! Webサイト運用がますます安心に!!

»

9月はじめ、KUSANAGIの大きなアップデートが行われました。

kusanagi.jpg

KUSANAGIは超高速にWordPressを始めとしたCMSなどを動作させる実行環境のことです。
通常のLAMP環境よりも圧倒的に高速に処理をさばくことができるので、運営しているサイトを「超速い」状態にすることができます。
参考:https://kusanagi.tokyo/
そしてAWSやMicrosoft Azure、GCPを始めとした数多くのクラウドで簡単に、無料で使用できるのも特徴です。
言うなら走・攻・守揃っている、イチローや山田哲人みたいな感じです。
野球わからない方はすみません。

今回、最近よく聞く『WAF』機能を搭載し、大規模なアップデートが行われました。
参考:https://www.prime-strategy.co.jp/information/kusanagi-security-release/

WAFについて

WAFはご存知でしょうか。Web Application Firewallの略で、ファイアウォールのことです。
WordPressのようにフォームなどユーザーからの入力機能、動的にページを生成するWebサイトを不正な攻撃から守る役割を果たします。
一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで解析できることが特徴です。
今は、クラウド型のWAFサービスが多く出てきており比較的安価にセキュリティ対応が可能になっています。
KUSANAGIでは、Nginx NaxsiApache ModSecurityにてWAF機能を実現しております。

TLS1.1以下の無効化

TLS(Transport Layer Security)とは、SSLの次世代規格のことです。
昨今『常時SSL化』といっているものは、実はTLS化のことを指しています。
TLS1.1というバージョンを使っている場合、脆弱性の危険性があります。
そこで、
さくらインターネットのレンタルサーバー

Yahoo! Japan
では、TLS1.1以下の無効化に踏み切ろうとしています。
KUSANAGIでもこの流れを踏襲し1.1の無効化をしています。

スクリーンショット 2018-09-15 0.01.31.png


古いスマートフォンをお使いの方や、フィーチャーフォン(いわゆるガラケー)を使っている方は、サイトが閲覧できなくなります。
思い切った施策だと思います。

脆弱性スキャン

今回KUSANAGIには、脆弱性スキャンツール『Vuls』が導入されております。
Vuls(バルス)はオープンソースソフトウェア(OSS)のアプリケーションで、
脆弱性データベースから脆弱性情報を取得して、サーバにインストールされている各種ソフトウェアにどのようなレベルの脆弱性が存在しているのか検知します。

脆弱性はIPA(情報処理推進機構)でよく注意喚起が行われていまして、種類は様々ですがわりかし頻繁に発生しています。
参考:https://www.ipa.go.jp/security/vuln/index.html

こういった脆弱性を放って置くことは自分の家に鍵をかけていないくらいに危険を伴います。
その脆弱性を検知してくれるアプリケーションがKUSANAGI標準で搭載されました。

IDS(Intrusion Detection System)

IDSは侵入検知システムです。
つまり悪意のある第三者からのアクセスや侵入を検出し、通知するセキュリティシステムのことを指しています。
KUSANAGIでは、Open Source Tripwireというオープンソースソフトウェアを利用しています。

オープンソース Tripwire ® ソフトウェアは、システム内の特定ファイルの変更を監視、アラートのために使用するセキュリティとデータ整合性のためのツールです。

参考:[https://ja.osdn.net/projects/sfnet_tripwire/](https://ja.osdn.net/projects/sfnet_tripwire/ "https://ja.osdn.net/projects/sfnet_tripwire/")

IPS(Intrusion Protect System)

**侵入防止システム**です。 つまり不正な通信を検出し通知し、その通信を遮断するアプリケーションです。 KUSANAGIでは、**Suricata**というオープンソースソフトウェアを利用しています。

Suricata is a free and open source, mature, fast and robust network threat detection engine.

参考:https://suricata-ids.org/

IDSとIPS、WAFの違い

  • IDSは不正なアクセスを検出・通知
  • IPSは検出・通知・通信を防御

という区分けができます。
さらにWAFとの違いですが、こちらのURLの例えがわかりやすかったのですが、
WAFはファイアウォール=壁そのもの。しかし壁をおいても侵入するものは侵入してしまいます。 そこで監視カメラをつけて監視をしましょうというのがIDS、IPSになります。 参考:https://it-trend.jp/ids-ips/article/difference

このように様々なセキュリティに関する機能がKUSANAGIで利用できるようになったので、 今回紹介いたしました。

KUSANAGIの今後のアップデートはこちらのサイトで随時更新されるようなので、チェックですね。
参考:https://kusanagi.tokyo/



私、穂苅智哉の情報は、以下のFacebookページTwitterアカウントを御覧ください!
※友達申請をいただける方は、お手数ですがメッセージを添えておねがいいたします。

Facebook https://www.facebook.com/tomoya.hokari.79

Twitter https://twitter.com/tomoyanhokarin

穂苅 智哉 2018/09/15 08:00:00 Comment(0)