知らなかった、時に困るWebサービスのセキュリティ対策 accepted

Abstract

Webサービスを運営していく上で考えなければいけないこととして、セキュリティ対策が挙げられるかと思います。

セッションオーナーの所属するGMOペパボは、事業として提供している10ほどのWebサービスを、ほぼ標準的なOSS(OSとしてLinux(CentOS/Ubuntu)、サービスの開発言語はPHP,Rubyをメインに、データストアはMySQLをメインに)を利用して構築しています。

そんなペパボですが、2018年1月にセキュリティインシデントが発生しました。社内でも事態を重く受け止め、再発を防ぐために組織体制も変更しセキュリティ対策を強化して来ました。

セキュリティ対策と一口で言っても、具体的な施策を講じるに当たっては、どのようなポリシーによって情報を守るかを決め、「技術的対策」と「管理的対策」によるリスクアセスメントを行い、リスクが高いものについて管理策を検討し対応を行う、という手順を持って実施していくのが効果的です。

本セッションでは弊社のセキュリティインシデントのその後を事例として、どのように対策方針を決め、どのような技術的対策を行ってきたかを紹介します。

技術的対策の具体例としては何かしらの異常があった場合の検知と、各アクティビティに対するトレーサビリティを向上させるために行なった、以下のような話します。

  • WAF (Web Application Firewall)
  • 侵入検知
  • ファイル改ざん検知
  • ログ集約とその活用

今回話さないケース

  • 細かな攻撃手法等の説明
  • セキュアコーディング

前提としてセキュリティの知識が無い方にも、お聞きいただける内容かと思います。

Slides
Session Information
Confirmed confirmed
Material Level Beginner
Starts On 9/7/18, 1:40 PM
Room Multi-Purpose Room 3
Session Duration Regular Session (30min)
Spoken Language Japanese
Interpretation Unavailable
Slide Language Japanese