「KUSANAGI」は、これまでもセキュリティに関して、WordPress上の実行権限や書き込み権限の制御、管理画面へのセキュリティ情報の表示、WordPressコア、テーマ、プラグインの自動更新機能の提供等、様々な機能を提供してきたという。「KUSANAGI」のエンタープライズ企業への採用が進むにつれ、さらなるセキュリティ要求が発生することも多く、個別に対応を行ってきた。
今回、エンタープライズ企業で必要とされるセキュリティ要件に標準で対応可能とするため、「KUSANAGI」のセキュリティ強化アップデートを実施した。今回実装されたセキュリティアップデートは以下の通りとなる。
- WAF(Web Application Firewall)
- Nginx Naxsi
- Apache ModSecurity
- TLS1.1以下の無効化
- 脆弱性スキャンツール
- Vuls
- IDS(Intrusion Detection System)
- Open Source Tripwire
- IPS(Intrusion Protect System)
- Suricata
・KUSANAGI WAF機能
Webサイトに対する攻撃を検知・防御する目的にて実装され、kusanagiコマンドにて有効化/無効化が可能となる。これによりSQLインジェクション、クロスサイトスクリプティング、パスワードリスト攻撃等、公開Webサーバに対する攻撃に対して対策を講じることが可能となる。
また、WordPress用のホワイトリストや設定が予め定義されており、WAF運用における負荷を軽減可能となる。
・TLS1.1以下の無効化
SSL通信を行う際にはいくつかのプロトコルが使用されるが、例えばTLS1.0、TLS1.1にはPOODLEと呼ばれる脆弱性があり、TLS1.2への移行が推奨されている。また、クレジットカード情報を利用した取引を行う際に推奨されるセキュリティ要件を定義しているPCI DSS v3.2においても、2018年6月30日までにTLS1.2への移行を求めている。
この世界的な状況に対し「KUSANAGI」においてもTLS1.1以下の無効化対策を行うこととした。暗号スイートについては、IPAが推奨するSSL/TLS暗号設定ガイドラインに基づいている。これによりTLS1.2への非対応ブラウザにおける表示に影響が発生する可能性あるという。
・脆弱性スキャンツール
Vuls(VULnerability Scanner)が導入され、kusanagiコマンドにて有効化/無効化が可能となる。これによりミドルウェア、パッケージ等に存在する脆弱性をスキャンすることが可能となる。
・IDS/IPS
ネットワーク層への攻撃を検知・防御することを目的として実装され、kusanagiコマンドにて有効化/無効化が可能となる。これにより、DoS攻撃、Synフラッド攻撃等、ネットワーク上のトラフィックを常に監視し、ファイル改ざんおよび不正侵入や攻撃に対して対策を講じることが可能となる。
