こんにちは、診断業務全般を担当しているイデです。
脆弱性診断ライフ楽しんでいますか?
気づけばもう2018年も既に10月下旬、今年ももうすぐ終わりますね^^
まだだ、まだ今年は終わらんよ!!!、俺たちの2018年度はこれからやで!という声も後ろのほうから聞こえてきた気がしますが、 (勝手に)今年度を振り返ってみようということで、今回は2018年度上期(1月~6月)のプラットフォーム診断の結果からいくつかピックアップしたいと思います。
プラットフォーム診断とは
Webアプリケーション診断は、対象となるWebアプリケーションの脆弱性を調査するのに対し、 プラットフォーム診断では、サーバやネットワーク機器に潜む脆弱性を調査します。
SSTでは市販を含めたツールとお手製スクリプト、さらに最終的には診断員が確認して最終的な結果をご報告します。
SSTでは、Webアプリケーション診断とのお得なセットプラン(!)でご利用いただくことが多く、 プラットフォーム診断の対象はWebサーバ、対象となるサービスもHTTPの割合が多く占めています。
2018年度上期結果
評価結果
さっそく!?、2018年上期に行われたプラットフォーム診断の評価の割合です。
| 評価 | 割合 | 評価内容 |
|---|---|---|
| A | 約23% | 脆弱性の検出無し |
| B | 約12% | Lowの脆弱性を検出 |
| C | 約41% | Mediumの脆弱性を検出 |
| D ~ E | 約24% | High・Critical相当の脆弱性を検出 |
SSTでは、診断結果をA~Eの5段階で評価しており、Aが一番安全な状態、Eが最も危険な状態を表します。
表から約77%の対象で何かしら脆弱性が検出されており、約65%の対象がC~Eの評価だったことがわかりますね。
なお、A評価の対象の多くはオープンポートが無い場合が多く、結果として脆弱性が検出されないという傾向があります。
2018年度上期脆弱性報告数TOP10
次に、2018年度上期の脆弱性報告数の上位10については以下の通りとなりました。
| 順位 | 脆弱性名 |
|---|---|
| 1. | HTTP Strict Transport Security (HSTS)未対応のWebサーバ |
| 2. | 非推奨暗号スイートの使用(SWEET32) |
| 2. | 非推奨暗号スイートの使用(鍵長128bit未満) |
| 4. | 脆弱性が指摘されているバージョンのソフトウェアの利用 |
| 5. | Webサーバのバージョン情報開示 |
| 6. | 非推奨暗号スイートの使用(RC4) |
| 7. | 暗号化アルゴリズム順序がクライアント優先のサーバ |
| 8. | OCSP Staplingが有効になっていないサーバ |
| 9. | 非推奨暗号スイートの使用(Logjam) |
| 10. | サポート期限切れソフトウェアの利用 |
報告数が一番多かったのは意外?にも
報告数が一番多かったのは、「HTTP Strict Transport Security (HSTS)未対応のWebサーバ」 でした。
SSTでは、危険度が一番低いLowの脆弱性としてご報告しています。
HSTSとは、Webサーバがブラウザに対して、アクセスしたドメインを次回以降にHTTPを使用してアクセスさせず、 強制的にHTTPSでアクセスさせることができます。これはRFC6797で規定されています。
HSTSの設定を有効にすることにより、中間者攻撃のリスクを減らすことが期待できます。
詳細については、以下Google社、Mozilla社のサイトが参考になります。
HTTP Strict Transport Security - The Chromium Projects
HTTP Strict Transport Security - ウェブセキュリティ | MDN
非推奨暗号スイートの使用
次に、非推奨暗号スイートの使用に関する脆弱性がTOP10に4つ入っています。
SSTでは、いずれも危険度Mediumの脆弱性としてご報告しています。
サーバ側で利用可能な暗号スイートの中で、暗号化アルゴリズムの脆弱性や危殆化によって、 非推奨となった暗号スイートが利用可能な状況になっていると指摘事項となります。
これまでプラットフォーム診断を受けたことがない環境はもちろん、毎年定期的にプラットフォーム診断を実施しているお客様でも、 新たに非推奨暗号スイートとしてご報告することが多く、2018年度上期も多くのご報告となっていると考えられます。
対策としては、サーバ側で非推奨の暗号スイートを無効化することで対策することができます。
ただし、ご利用のユーザ環境によっては無効にした場合接続できない可能性もあるため、十分な確認が必要になります。
また対策にあたっては、IPAから公開されているSSL/TLS 暗号設定ガイドラインが非常に参考になります。
利用しているソフトウェアについての問題
次に、現在対応中、対応に悩まれている方もいらっしゃるかもしれない(!)利用しているソフトウェアについての問題です。
SSTでは診断中に取得できたサーバ・ソフトウェアのバージョンで、公式にサポート期限が切れている場合は「サポート期限切れソフトウェアの利用」、既知の脆弱性が報告されている場合は「脆弱性が指摘されているバージョンのソフトウェアの利用」としてそれぞれご報告しています。
ただし、実際にはセキュリティパッチが適用されていたり、公式ではサポート期限が切れていても、ベンダーサポートで保護されている場合があります。
実際にご報告したサーバ・ソフトウェアの脆弱性について確認し、対応いただくのももちろん重要ですが、本来の目的としては、お客様が自社で提供しているサービスのサーバ・ソフトウェアとそのセキュリティに対する状態を把握いただき、ソフトウェアのライフサイクルも含め継続して対応いただくことだと考えています。
多いのはクラウド?クラウド以外?
最後にクラウドとクラウド以外について算出してみました。
| 割合 | |
|---|---|
| クラウド | 約63% |
| クラウド以外 | 約37% |
なお、対象のクラウドサービスはAWSが9割以上を占めていてました。
また、クラウド以外は、主にオンプレミス、ホスティングサービスが該当します。
個人的には思ったよりクラウドが少ない印象でしたが、みなさんの印象・または管理されているサーバと比較するとどうでしょうか?
まとめ
今回は2018年度上期プラットフォーム診断結果について、いくつかピックアップしてみました。
SSTではこれまで診断の統計データについては、公開してきませんでしたが、このブログを機に皆様の参考になるようなものを定期的に出せればと考えています。