TOP /  セキュリティ/認証 /  Googleが推奨しているWebサイトの常時SSL化によって、逆に生じるセキュリティ問題があることをご存知ですか?

Googleが推奨しているWebサイトの常時SSL化によって、逆に生じるセキュリティ問題があることをご存知ですか? | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

Webサイトの常時SSL化によって生じる問題と、「Powered BLUE 870 Webアプライアンス」による解決方法  (株式会社 ムービット 谷地田 工氏)

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.0 でした!(5点満点中)
セミナー名 Googleが推奨しているWebサイトの常時SSL化によって、逆に生じるセキュリティ問題があることをご存知ですか?
講演企業 株式会社 ムービット
開催日 2018年04月12日
企業に対してITを提供する企業(ベンダー、SIerなど) 20代 女性 の参加者
SSL化の際の問題について、もう少し詳しく知りたかったです。
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
ひととおりの機能が聞けたので良かったです。
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
コメントなし
消費者に対してITを提供する企業(Webサービス、ゲームなど) 50代 男性 の参加者
自社で製品の紹介に寄りすぎ もう少しSSL化による問題点をほり下げてほしかった。
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
既存で持ち備えているServer、機能を改善する方法があると良かった。
その他のIT関連業 20代 男性 の参加者
常時SSL化において何がセキュリティ的に問題なのか理解できない。
匿名の参加者
SSLによって発生する具体的なぜい弱性が知りたかった。
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
常時SSL化による問題について、もう少し具体的な事象を知りたかった。
教育業 30代 男性 の参加者
クライアント証明書の価値がわかった。
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
質問1に書いたような、「常時SSL化のデメリット」を深く知りたいです。
その他のIT関連業 30代 女性 の参加者
常時SSLの部分のセキュリティの話があまりなかった
その他のIT関連業 40代 男性 の参加者
コメントなし
匿名の参加者
場所もアクセスしやすく良かったと思います。
企業に対してITを提供する企業(ベンダー、SIerなど) 20代 男性 の参加者
普段意識して調べない、ブラウザのシェア数が久しぶりに知れた。 シマンテックの証明書+GoogleChromeの場合に、警告が表示されることを知れた。 (お客様がシマンテックの証明書を使用している)
匿名の参加者
コメントなし

Googleが推奨している
Webサイトの常時SSL化によって
逆に生じるセキュリティ問題
があることをご存知ですか?
会社概要
社名 株式会社ムービット
設立 1995年12月8日
所在地 東京都北区王子1-28-6
主な製品 Powered BLUE シリーズ
アプライアンスサーバー ( Linux )
ソフトウエア開発
アジェンダ
■前半
説明
■ 常時SSL化の問題点
■ 解決するための方策
■ Powered BLUE 870 サーバーの紹介
■後半
デモ
Google
の 宣言
HTTPS
検索ランキング に
使用します
Google-chrome
Googleは2018年7月にリリースの
「Chrome 68」から
「http://」で始まるすべてのWeb
サイトで「保護されていません」
と警告を表示する
と発表
ブラウザのシェア
SSL
未対応のWebサイト
SSL
対応のWebサイト
政府機関
政府機関
常時SSL化
SSL対応のWebサイト
に対応したサイトは
中央省庁37機関
2割
のうち常時SSL化を終えているのは
内閣官房や国家公安委員会、国税庁など
独立行政法人
9機関
など政府系106機関のうちでも
常時SSL化が完了しているのは
2割
Webの常時SSL化の問題点
SSLのサーバー証明書
IP アドレス
Webサイトへの攻撃
どのSSLサーバー証明書を使えばいいのか
■ プライベートなサーバー証明書
■オレオレ・サーバー証明書
■ パブリックなサーバー証明書
■グローバルサイン (有償)
■デジサート (有償)
■Let’s Encrypt
(無償)
オレオレ・サーバー証明書
PublicなSSLサーバー証明書
Symantec
Let’s Encrypt
Thawte グローバルサイン
GeoTrust サイバートラスト
正規のSSLサーバー証明書なのに
Chromeの利用者は
2018年3月と9月からは Symantec 関連の
SSLサーバー証明書を利用のサイト
https : //xxx.yyy.zzz
「このウェブサイトは安全な接続ではない」
との警告を出す
チェックサイト
IPアドレス

SSL化Webサーバーの関係
https
IP アドレス A
Webサーバー A
https
IP アドレス B
IP アドレス C
Webサーバー B
https
Webサーバー C
「 SNI / Server Named Indication 」対応のWebサーバー
https
Webサーバー A
https
IP アドレス B
1個
Webサーバー B
https
Webサーバー C
SNI 対応ブラウザ
PC
•IE: 7以降(Windows Vista以降)
•Chrome: Windows Vista以降
•Mac OS X 10.5.7 以降 Chrome 5.0.342.1以降
•Mozilla Firefox: 2.0以降
•Safari: 2.0以降 (Windows Vista以降
•Opera: 8.0以降
iOS
•Safari: 3.0 以降 (iOS 4.0以降)
Android
•標準ブラウザ: Android 3.0 (Honeycomb) 以降
通信経路のSSL暗号化 とWebサーバー
「 SSLクライアント認証 」 での
Webアクセス
「 特定のユーザーのみ 」 Webへアクセスさせることが出来ます
SSL証明書
■ SSLのサーバー証明書
■サーバーにインストール
■アクセス先のサーバーの身元を証明
■ SSLのクライアント証明書
■クライアントの機器にインストール
■アクセス元のクライアントの身元を証明
相互に確認
■ SSLクライアント証明書
■ SSLサーバー証明書
SSL証明書発行元による相違
■ パブリック証明書
■グローバルサイン 公的にも利用
■発行・失効 時間がかかる
■有効期間 年単位
■ プライベート証明書
■自社などで発行 私的な利用
■発行・失効 迅速
■有効期間 日・週・月・年単位
証明書の組み合わせ
Public Private
証明書 証明書
SSLサーバー証明書 O △
SSLクライアント証明書 O △
証明書の組み合わせ
ケース1
ケース2
ケース3
ケース4
SSLサーバー
証明書
Public

Public

Private

Private

SSLクライアント
証明書
Public

Private

Private

Public

価格
高価
安価
最安
意味がない
「 SSLクライアント認証 」 での
「 証明書のないユーザー 」 は
Webアクセス
Webアクセスできません
SSLクライアント認証例
証明書
有効
スマートフォン
証明書
なし・失効
Webサーバーの脆弱性
Selinux
適切なセキュリティレベルでのサーバー運用
パッチ
セキュリティパッチの適用
Nessus
(ネサス:監査ツール)
ポート
サービス
バージョン
社内からの攻撃
Webサーバー単体での Firewall
機能
WebサイトをSSL化したのに
Book mark
http
HSTS機能
SSL接続を行うようにブラウザに
指示するセキュリティ機能
Powered BLUE 870 Web アプライアンス
Powered BLUE 870 Web アプライアンス
1)インターネットサーバー 機能
Web
/
Mail /
DNS
/
FTP
2)Private CA 機能
SSLクライアント証明書発行・管理
3)SSLクライアント認証 機能
WebサイトのSSLクライアント認証
4) オールインワン
リバースプロキシ
運用・機能・ アプリ
Powered BLUE 870
機能 内容
Web マルチドメイン・マルチサイト
Mail 中継・送信・受信・メールボックス
DNS
ftp
フリープラグイン Let’s Encrypt 無償SSLサーバー証明書
WordPress CMS
RoundCube Web Mail
オプション PrivateCA SSLクライアント証明書発行・管理
SSLクライアント認証 Private/Publicに対応
リバースプロキシ
グループウエア サイボウズ
デスクネッツ
基本
運用アプリ

動作スペック
Powered BLUE 870
OS
内容
RedHat 7.x (64bit)
CentOS 7.x (64bit)
スペック
1 Core (min)
512MB mem (min)
20GB HDD (min)
Ethernet x 1
アプライアンス
仮想アプライアンス
OS + 専用GUI
「 Powered BLUE 870 Web アプライアンス」運用環境
仮想アプライアンス
VMware / Hyper-V
アマゾン対応
AWS / EC2
クラウド対応
VPS
「 Powered BLUE 870 」を
サービス名
GMO Cloud
ALTUS Basic
富士通
K5
NTTPC
Web ARENA
SuitePRO V4
サーバースペック
1 Core
2 GB Memory
20 GB HDD
IP Address=1個
1 Core
2 GB Memory
30 GB HDD
IP Address=1個
2 Core
2 GB Memory
100 GB HDD
IP Address=1個
クラウドで運用時の費用
月額
2300円

備考
Firewall 付属
データ転送量が無料
スナップショット機能
4508円
Firewall 付属
データ転送量が無料
リージョンが選択出来る
(東日本・西日本・他)
8400円
Firewall 別途
データ転送量が無料
HA機能付属
Powered BLUE プライベートCA


Web サーバー
オールインワン
■ CAとWebを1台での運用に対応
プライベート CA

+ リバースプロキシ
既存Webサーバー連携
■ CA + リバースプロキシ での運用に対応
プライベートCA

ロードバランサー
■ LB対応

CA / CRL の分離運用に対応
プライベートCA + リバースプロキシ + ロードバランサー

リバースプロキシのLB対応
■ エンド to エンド のSSL運用も可能
「Public」SSLクライアント証明書での認証
2要素認証
Webサーバーアクセス時の認証
1)クライアント証明書による認証 ○ 端末認証
2)ログインID・パスワード認証 ○ ユーザー認証
証明書のみのアクセス不可
パスワードのみのアクセス不可
第3者のなりすましができない
構築・運用
10分

運用開始
GMOクラウド・ALTUSの場合
仮想アプライアンスイメージのインポート
GMOクラウド・ALTUSの場合
Server Spec : 1core / 512MB Memory
管理画面
1)日本語・英語の2か国語対応
2)パッチなどの自動アップデート機能
常時SSL化対応
■ SNI
セキュリティの強化
(Server Name Indication)
機能
IPアドレス1個で、全WebサイトのSSL化に対応
■ Webバージョンの非公開やSSLセキュアレベルの指定機能
■ HSTS (HTTP Strict Transport Security) 機能
httpでアクセスをhttpsでの接続で通信する機能
■ SELinux対応 (セキュアOS)
「一人情シス」にも対応
サーバーのモニタリング & サービスの自動再起動 & パッチ適用
CMS
WordPress
CMS WordPress
WordPress マルチサイト・マルチユーザー対応
同一サイト内で複数の WordPress / ブログ を構築・運用の例
運用パターン-1
オールインワン
運用パターン-1
オールインワン
■本社、支店、関連会社 30社のWebサイトを運用
■各社のSSL化のWebサイトは WordPress で管理
■公開用Webサイト以外に、社員などの関係者用
Webサイトは、SSLクライアント認証
■メールは Web Mail / RoundCube を利用
■Web Mail は SSLクライアント認証&ID/パスワード
■SSLサーバー証明書は Let’s Encrypt を利用
■ IP address= 1個
運用パターン-2
リバースプロキシ
運用パターン-2
リバースプロキシ
■会社及び製品別の複数のWebサイトを運用
■SSL化のWebサイトは、WordPress で管理
■公開用Webサイト以外に、社員&関係者用
Webサイトは、SSLクライアント認証
■社内の既存で運用のグループウェアへは
SSLクライアント認証&リバースプロキシ を利用
■SSLサーバー証明書は Let’s Encrypt を利用
■ IP address= 1個
SSLクライアント認証 例
■グループウエア・Webメール
■サイボウズ
■デスクネッツ ■Active! mail
■ RoundCube ■NIコラボスマート ■Aipo
■ワークフロー
■X-point ■楽々Workflow ■楽NIコラボスマート
■eValue NS
■Power egg
■Seagull Office
■NTTデータ イントラマート ワークフロー
■オンラインストレージ ■ownCloud
■FileBlog
■Proself
■他 ■ホームページ
■WordPress
■Zabbix
「 Powered BLUE 870 Webアプライアンス」 おさらい
■マルチサイトWeb
WordPress や Let's Encrypt 対応
IP アドレス 1個 で運用
■ SSLクライアント認証
社員 や 会員 向けの 専用Web
■ オールインワン
Webアプリ
から
ページ
リバースプロキシ
まで
製品の サイト
■ Powered BLUE 870 Webアプライアンス
https://www.powered.blue/sub/products/blue/b870.html
■ Powered BLUE 870 プライベート CA
https://www.powered.blue/sub/products/ca/b870-ca.html
■ Powered BLUE 870 Public CA
https://www.powered.blue/sub/products/ca/b870-globalsign-auth.html
デモ環境
■ 管理サーバー
192.168.56.140
■ 仮想サイト
プライベート CA & リバースプロキシ
192.168.56.140 WordPress
ホームページ
■ 192.168.56.141
サイボウズ

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!

関連するセミナーの講演資料
オープンソースでデジタルマーケティング ~オープンソースによるマーケティングオートメーション(MA)と会員統合~ VMWare、Docker、AWS、Azureに簡単に配置できる認証基盤 ~オープンソースのシングルサインオン「OpenAM」を仮想アプライアンスで~ テレワーク・リモートワークのセキュリティ問題を多要素認証で解決する(SSLクライアント認証/ワンタイムパスワードなど) オープンソースで実現するシングルサインオンの概要(Offce365連携から、会員統合、ソーシャル連携、多要素認証まで) デジタル革命時代の「攻めと守りの認証/ID管理」(基調講演:NIST SP800-63-3 などに見る、サイバーセキュリティ対策の国際動向/みずほ銀行など採用、パスワード不要のFIDO最新動向) 【東京開催】オープンソース「OpenAM」によるシングルサインオンの概要 ~ IDaaS等との比較、導入時の注意点 ~ 【福岡開催】オープンソース「OpenAM」によるシングルサインオンの概要 ~ IDaaS等との比較、導入時の注意点や体験談も ~ オープンソース(OpenAM / Keycloak)によるシングルサインオンの概要と、商用製品やIDaaSとの比較 WordPressサイトを常時SSL化する方法と、常時SSL化による新たな脆弱性問題 クラウド活用+リモートワークのためのIDライフサイクル管理の重要性(基本機能無料のIDaaS SKUID+LDAP Managerでの解決策)