2014年8月24日日曜日

CMSのセキュリティが学べる!!「【MT東京-05】安全安心 MovableTypeのセキュリティ」に行ってきましたよ~ #mttokyo


MTのユーザーイベント「MT東京」に行って来ましたので、レポートしたいと思います!

もくじ


【MT東京-05】安全安心 MovableTypeのセキュリティ

今回テーマは、「セキュリティ!

当然MovableTypeのセキュリティなんですが、内容はどんなCMSやWebサイトにおいても同様のことがいえる内容でした!

会場は「KDDIウェブコミュニケーションズ」さん!(ありがとうございます!)


セッション
  • 【セッション1】 イケテルエンジニアが使ってるSplunk、サイバーセキュリティ対策最新事例紹介
    マクニカネットワークス株式会社 鈴木富士雄 様
  • 【セッション2】 Webサービスの利用規約を作るときに絶対に押さえないといけない10のポイント
    弁護士 藤井総 様
  • 【セッション3】 MTで学ぶセキュアプログラミング
    アルファサード株式会社 野田純生 様
  • 【セッション4】 Movable Type と CMSのセキュリティ
    シックス・アパート株式会社 長内毅志 様

イベント告知


【セッション1】 イケテルエンジニアが使ってるSplunk、サイバーセキュリティ対策最新事例紹介

最初のセッション!「マクニカネットワークス株式会社 鈴木富士雄 様」より発表いただきました!
このブログでも紹介している「Splunk」、とMovableTypeのお話。

Splunkを使った、MovableTypeノアクセス解析、およびそれによるセキュリティ対策

って内容でした。

ログ基盤の必要性・・・いろんなセキュリティ事象はログから見つけることができる!ってことや、Splunkはそれらを簡単にする「検索」インターフェイスや、「レポート」「ダッシュボード」を有するというお話です~

実際にログを取り込んで、検索・レポートしているところです!

また、マクニカネットワークスさんのブログではセキュリティに関する最先端な情報発信をしていますよ!

このブログ投稿者の一人である、ホワイトハッカーにMTをチェックしてもらった結果がこちら。
重大な脆弱性である「High」が最新版の「素の状態」では見当たらなかった。

この他、こういったアクセスがあるので気を付けていきましょう~っていうアドバイスもいただけましたよ!

Splunkの導入には多少のサーバーの知識が必要です。。。
Linuxで少し古い情報でよければ、本サイトの「Splunkカテゴリ」をご覧いただければ幸いです。

【セッション2】 Webサービスの利用規約を作るときに絶対に押さえないといけない10のポイント

続いて、「弁護士 藤井総 様」より「利用規約」の話
最近だと、〇ニクロやテレビ〇日など大手企業で、「利用規約」にまつわる炎上騒ぎが起きています。
大手企業であっても「利用規約」の作成は難しいのです。ということ。
ポイントは以下の「10個」
10個説明してもらいましたけど、ものすごい濃さですべては覚えきれませんでした・・・w
  • 利用規約は必要。でも流用はいけない
  • Webサービスを規制する法律を押さえる
  • サービス上に送信されたデータの権利関係を処理する
  • 準拠法と管轄裁判所は日本にする
  • ユーザーが起こしたトラブルには、対処しないといけない
  • ユーザーの問題行動には、禁止行為とペナルティで対処する
  • 免責規定は必要。でも違法で無効にならないようにする
  • 利用規約への同意を有効にとる
  • 利用規約の変更を可能にする規定を入れておく
  • ユーザーの目線に立った利用規約にする

  • メッセンジャーのサービスするには、電気通信事業者登録しなくちゃダメ
  • 免責上限や免責条件は提示することで、賠償の範囲を限定できる
  • 準拠法は「日本」、管轄裁判所も「日本」
  • 禁止行為を規定して、必ず、ペナルティも規定する
↑こんなところが気になりました~

セッションの一部を紹介
「利用規約への同意を有効に取る」の例

  • 利用規約は、企業の存続を揺るがすこともある大切なものなので、上記点を考慮したうえで作成しましょう!
  • また、自社で難しい場合はしっかりとした専門家に確認してもらいましょう!
  • 自社内の法務担当もITに詳しいとは限らないので、詳しい弁護士って珍しいなぁ~って思いました!

【セッション3】 MTで学ぶセキュアプログラミング

次は、「アルファサード株式会社 野田純生 様」による、セキュアプログラミング

アルファサード株式会社さんは、MovableTypeにたくさん貢献している会社さん!

「何のために、セキュリティ対策をするのか」 → ここ一番大事だと思います!

「何をされたくないか」ここもしっかりしておきましょう!と
投稿権限で、サイトのデザインを変えられたり・・・投稿権限で権限外のページ削除ができたり・・・
なんてことは出来てはいけない。

気になったワード!
これからはセキュリティだって、UX重視だろ!」・・・あるリンクをクリックしてログインを求められたら、「○○しようとしています」みたいなメッセージが出るとか。

まとめ
  • セキュアプログラミングは性悪説
  • それでも程度問題。何をやられないようにするか。何を優先するか
  • セキュリティにもUXの視点が必要
  • ユーザーの入力を信用しない
  • エスケープは出力時に統一する
  • SQLを自前で書くな。API使え
  • 正規ユーザー攻撃型改ざん対策のために、一時トークンを使う

私自身あまりプログラミングには詳しくないのですが、とってもわかりやすく面白く話してくれて非常に充実しました!

追記:資料が公開されていました!

【セッション4】 Movable Type と CMSのセキュリティ

いよいよ中の人「シックス・アパート株式会社 長内毅志 様
最近多い、セキュリティ事象
CMSハッキングにおいて、「コア部分の脆弱性は20%、プラグインが80%」という比率で圧倒的にプラグインに脆弱性が存在している・・・
MovableTypeには標準で「安全性を高めるための設定・機能」がそろっている
一例として、「最新版を使う」・・・当たり前ですが、結構できていなかったりしますよね!

他に、
  • CMSサーバーと公開サーバーを分ける
  • 管理画面にBasic認証をかける
  • CGIスクリプト名を変更する
  • 使わないスクリプトの権限を変える。止める。
  • パスワードの強度を上げる
  • ロックアウトを設定する
などなど


ここに書けなかった部分は、以下のページに詳しく書かれています!

追記:資料が公開されていました!

MTDDC Meetup TOKYO 2014

詳細が決まれば、 MT東京MTDDCに更新されるんじゃないでしょうかとw
イベント名MTDDC Meetup TOKYO 2014
開催日2014年11月29日(土)
主催MT東京
場所ヤフー株式会社(東京ミッドタウン・タワー内)

まとめ


  • WordPress界隈がかなり盛り上がっていたので、あんまり動向を追っていませんでしたが、改めてとっても魅力的なCMSでした!
  • 商用利用は有償ライセンス、個人利用は無償で使えるらしいのですが・・・アフィリエイトサイトを個人でやる分には「個人ライセンス扱い」だそうですよ!!!
  • CMS(コンテンツ作成)サーバーと公開サーバーを分けることが可能なので、高パフォーマンス!高セキュリティ!
いや~いろいろ、知らなかった新たな部分を見ることができました!

KDDIウェブコミュニケーションズさん、IDCフロンティアさんはじめスポンサー企業さんありがとうございました!

参考図書


Zenback