ジオトラスト クイックSSLプレミアム

クラウドとスマートフォンに適したSSLを選ぶポイントと
最新動向
日本ジオトラスト株式会社 上杉 謙二
Agenda
1. はじめに
2. スマートフォン/クラウドに関わるセキュリティリスク
3. 常時SSL化の流れ
4. すぐできる対策、中長期的に検討すべき対策
5. SSLの陥りやすい課題
6. スマートフォン/クラウドのSSLには、ジオトラストがお勧め
2
1.はじめに
スマートフォン/クラウドが当たり前の時代に
「便利、使いやすい、楽しい」をサイト運営者、
エンドユーザが求めている
便利を追求しすぎるのも危険(セキュリティ的に)
サイト運営者側が対策を怠ると、信頼を失う結果に
対策を打ったのに、逆効果になるケースもある
3
1. はじめに
+ このエラーメッセージの原因は、何でしょうか?
答えは、本セッション最後で
4
2.クラウドに関わるセキュリティリスク
攻撃者
+
クラウドを利用する場合、重要なデータがデータセンターで管理され、インターネットを通じて利用すること
になるため、セキュリティに関する懸念が増えます。
+
つまり、インターネットを前提とするため、常に第三者による不正アクセスや盗聴などの攻撃により、情報
漏えいやデータ改ざんのリスクが今まで以上に顕在化します。
出典:日本ベリサイン ホワイトペーパー [5 分でわかるクラウドセキュリティの5 つのポイント]
2.クラウドに関わるセキュリティリスク
+
クラウドのサービスには、その提供形態によって、SaaS / PaaS / IaaS に分かれます。SaaS / PaaS /
IaaS 毎に責任分界点が異なり、「クラウド利用企業自体が対策するセキュリティ」と「クラウド事業者が対
策するセキュリティ」に分かれます。
出典:日本ベリサイン ホワイトペーパー [5 分でわかるクラウドセキュリティの5 つのポイント]
2.スマートフォンに関わるセキュリティリスク
+ Symantec Report より (A Window Into Mobile Device Security)
iOSやAndroidは、1つ以上の
クラウドサービスに常に接続
して利用している
E-mail / カレンダー / 電話帳 /
音楽・動画の同期、データバッ
クアップの用途としてクラウド
を利用している
スマートフォンはネット常時接続によるリスクが顕在化
7
出典:Symantec Report 2011/06 A Window Into Mobile Device Security
2.スマートフォンに関わるセキュリティリスク
CP
CP
CP
CP
CP
CP
CP
CP
CP
CP
CP
CP
CP
CP
CP
CP
8
出典:キーマンズネット 2011/06/30 モバイルマルウェア動向
コンテンツプロバイダ(
Webサイト運営者、アプ
リ提供者など)が対策可
能な項目
2.スマートフォンに関わるセキュリティリスク
オススメできないスマートフォン設定
+ 無線LAN(wifi)に自動接続する設定
+ GPSを常に有効にする設定
+ アプリケーションの同期設定を常に有効にする設定
+ 作成者不明なアプリケーションでもインストールできる設定
9
3.常時SSL化の流れ Wi-Fi利用シーンの広がり
「常時SSL」とは、ログインページや決済ページなど通常暗号化が必要とされて
いるページだけではなく、全てのページをSSLで暗号化する手法です。
+ スマートフォン・タブレットなどの端末の無線LAN利用拡大
▪
PSP、ニンテンドーDS、デジカメ、携帯ルータ等のWi-Fi対応端末が増加中
▪ テザリングの登場
– スマートフォンをWi-Fiスポットにして複数の携帯Wi-Fi機のハブとする利用法
+ ホテル、空港、カフェなどの無線LANインフラが広がる
▪
公衆無線LANサービスが充実してきている
▪ 携帯キャリアの3Gオフロード戦略
– NTTドコモ
– KDDI
– ソフトバンク
Mzone
au Wi-Fi SPOT
ソフトバンクWi-Fiスポット
+ 無線LAN利用については、米国が先行しているが、上記の通信キャリ
アの動きによって、猛追。
3.無線LANに潜むリスク(マンインザミドル)
<無線LANに潜むリスク(マンインザミドル)>
特にフリーのホットスポット(公衆無線LAN)ユーザは
アカウントを乗っ取られるリスクが高くなる。
情報を暗号化する手段を提
供するかどうかはサイト運
営者の判断
Firesheepは同じホットスポットに接続している他人
のアカウントでなりすましを可能にしてしまうツール
PCの有線接続と同じような
感覚で非暗号化通信で情報
のやりとりがなされる
cookie
盗聴
ホットスポット
ターゲット
cookie
Firesheep
ユーザ
3.常時SSL化の流れ
httpサイトでの中間者攻撃(マンインザミドル)によるCookieの窃取を防御するため、ウェブサ
イトのトップページからhttps化すること。米国で常時SSLの流れがあり、日本も普及へ。
検索サイト
Eコマース
サイト
検索
購入
支払いサイト
cookie
https化の流れ
httpのまま
httpsにより、トランザク
ションを暗号化
Twitterも常時SSL化
google.co.jp 3月に検索サイト
を常時SSL化
12
Firefox で Google 検索が暗号化
Facebookも常時SSL化
3.常時SSL化 日本企業における先進的な事例
野村證券株式会社様
3.常時SSL化まとめ
+ 米国で、ウェブサイトのトップページからhttpsとする ”Always on SSL”
(常時SSL)という機運が高まっている。
+ 背景として、WiFiの利用拡大とWiFi上で簡単に情報を摂取できるツー
ル(Firesheep)の登場によるリスク拡大が挙げられる。
+ Googleがgoogle.comで導入していた、トップページSSL化について、
過日google.co.jpにも適用することを発表した。
+ Google以外にも、Facebook, twitter, Paypalなど、Always on SSLを
導入し、上記のパネルディスカッションに参加している。
+ 日本においても、上記の脅威に対抗するため、認知向上と対策の理解
活動を行っていく。
4.すぐできる対策、中長期的に検討すべき対策
+ コンテンツプロバイダ(Webサイト運営者、アプリ提供者等)
が検討すべき対策
すぐできる対策
中長期的な対策
+ SSLサーバ証明書の導入
+ サーバの脆弱性診断
+ 自社ユーザの個人情報やパスワー
ド漏洩を防ぐ
+ サーバのマルウェアスキャン
+ 自社サイトがマルウェアの配布元に
なることを防ぐ
+ パスワードポリシーの強化
+ 自社サイトへのなりすましログインを
防ぐ
15
+ 事前に自社サイトの危険性を評価
+ WAFの導入
+ SQLインジェクション対策など
+ ワンタイムパスワードの導入
+ ログインの強化
+ セキュアコーディング
+ ソースコード診断、開発者教育など
4.すぐできる対策、中長期的に検討すべき対策
+ まずは、SSL (https) を利用しましょう!
▪ 通信経路の暗号化はサイト側の対策が不可欠。
– 暗号化はエンドユーザではできない(VPNという選択肢もあるがハードル高い)
– 特にWiFi+スマートフォン環境では重要
▪ SSL化していないと、思わぬ信用ダウンになる恐れもある。
▪ SSLは、「枯れている技術」のため導入しやすい。
16
4.すぐできる対策、中長期的に検討すべき対策
+ SSL導入手順 (ジオトラスト クイックSSLの場合)
お客様
① CSRをWebサーバで生成
② オンライン申請
③ Whois登録者宛
にメール送信
④ 発行承認
⑤ 証明書の発行
⑥ サーバ証明書
インストール
⑦ 中間証明書
インストール
⑧ 秘密鍵と証明書バックアップ
⑨ テスト、検証
17
最短2分で発行完了!
5. SSLの陥りやすい課題
+ SSL導入後に発生するエラー
▪ せっかくのセキュリティ対策のために導入したSSLも、正しく選択し、
正しくインストールしないと、エラーを起こすことがあります。
▪ エラーメッセージが表示されると、多くのユーザがそのサイトから別の
サイトに「直帰」してしまいます。
+ ルート証明書がPCやスマートフォンにプ
レインストールされていない
+ 中間証明書の入れ忘れ
18
5. SSLの陥りやすい課題
+ SSLエラーメッセージの原因
▪ ルート証明書がPCやスマートフォンにプレインストールされていない
▪ 中間証明書の入れ忘れ
▪ FQDN名とコモンネームの不一致
▪ 有効期限終了後の放置
https://www....
ルート証明書がプレイン
ストールされていない
FQDN名とコモンネーム
の不一致
クライアントのブラウザ
Webサーバ
①暗号化仕様交渉
ルート
証明書
確認OK!
共通鍵
40bit~256bit
②サーバ証明書送付
③共通鍵生成
④暗号化データ通信開始
19
SSLサーバ証明書
共通鍵
40bit~256bit
中間証明書の入れ忘れ
有効期限終了後の放置
5. SSLの陥りやすい課題
+
(参考) Androidのルート証明書を確認する方法、ルート証明書を追加インストールする方法
素人には推奨できない複雑な
操作が必要。
20
6. 「ジオトラスト」のSSLサーバ証明書がオススメです!
iPhone、Android等
スマホ100%対応!
国内純増数 2年連続No.1
世界でも発行数No.1
2012年1月Netcraft調べ(価格帯市場調査)
トップブランド帯で
最も低価格
21
無制限ライセンス
6. 「ジオトラスト」はライセンスフリー
+ シンプルかつお得なLicense
–
–
22
日本ジオトラストが提供するジオトラスト クイックSSLプレミアムは、同一コモンネーム(FQDN)のサー
バであれば、1IDを複製して複数サーバにインストールしてご利用いただけます
負荷分散処理でサーバを冗長化構成しているような場合やSSLアクセラレータを利用している場合に
も、必要な証明書は1IDだけで良いため、コストを抑えたサービス運営が可能です
6. 他社製品との比較
高価格帯(企業認証)
GeoTrust
トゥルービジネスID
G社
企業認証SSL
C社
企業認証SSL
S社
認証方法
TDB, 登記簿
TDB, DUNS,登記簿
TDB, 登記簿
TDB, 登記簿
有効期間
1年~
半年~
半年~
1年~
期間、
価格(税抜)
1年 : ¥55,000
1年 : ¥59,800
1年 : ¥75,000
1年 : ¥55,000
ライセンス
ライセンスフリー
ライセンスフリー
サーバ台数分
ライセンスフリー
95.3%
53.1%
99.9%
60.1%
携帯電話
ルート搭載率
*1
低価格帯(ドメイン認証)
GeoTrust
クイックSSLプレミアム
G社
ドメイン認証SSL
認証方法
Whois情報確認
Whois情報確認
有効期間
1年~
半年~
期間、
価格(税抜)
1年 : ¥34,800
1年 : ¥34,800
ライセンス
ライセンスフリー
ライセンスフリー
23
*1 : 公表値 (公表していない会社は、ルート証明書搭載率)
当資料は2012年5月時点における情報を基準として作成したものであり、今後の予定は変更される場合があります。
当資料日本ジオトラストおよび日本ベリサイングループによるいかなるコミットメントを含む内容ではございません。
企業認証SSL
6. 「ジオトラスト」の購入方法
+ APS(Application Packaging Standard)から購入
▪ Parallels Plesk Panelのプラグイン
+ ウェブサイトから購入
▪ https://www.geotrust.co.jp
24
(参考) https化すると遅くなる?
+ Adam Langley氏(Google)
▪
▪
GmailのSSLデフォルト化による影響は
CPU負荷の1%以下、セッションあたり
10KB以下のメモリ、ネットワーク負荷の
2%以下だった
"In order to do this we had to deploy no additional machines and no special
hardware. On our production frontend machines, SSL/TLS accounts for less than
1% of the CPU load, less than 10KB of memory per connection and less than 2%
of network overhead. Many people believe that SSL takes a lot of CPU time and
we hope the above numbers (public for the first time) will help to dispel that."
http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html
+ Andreas Grabner氏(dynaTrace Software)
▪
▪
"It turned out that 70% of the time was spent in SSL handshaking. With a simple
change on the web server the 14 seconds could be trimmed down to 2."
http://blog.dynatrace.com/2009/10/28/101-on-https-web-site-performanceimpact/
ウェブサーバの簡単な変更(keepalive
設定を緩和)でレスポンスタイムを14秒
から2秒に短縮
25
(参考)「http混在」の警告がでてしまう?
サーバへのリクエスト例
GET /logo.gif HTTP/1.1
Accept: */*
Referer: http://www.example.com
Accept-Language: ja
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1;
Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET
CLR 3.5.30729)
Accept-Encoding: gzip, deflate
Host: www.example.com
Connection: Keep-Alive
Cookie: sessionID=0233683208C683A3053473E67BE2AE63
+
httpsでアクセスしたHTMLソース内にhttpでリンクされたファイル(画像、css、jsなど)があるとブラウザは
警告メッセージを表示させてしまう
▪
26
対処方法:「../」などの相対パスや、「/」「//www.example.com/」から始まる絶対パスで画像などを表示させる
+
訪問者が不安になるだけではなく、Cookieの値が暗号化されない原因にもなるので注意が必要
+
CookieにSecure属性を付与するとcookieがhttpでは送信されなくなるが、アプリケーションサイトのセッ
ション管理が難しくなるので全部SSLにすることを推奨
ありがとうございました。(終)
http://www.geotrust.co.jp
27