ストリームコンテンツを埋め込み再生するWebサイトとすることで、ストリーミングのトラヒックに圧迫される心配なく動画コンテンツを配信することができる。
動画コンテンツは、ドメイン限定で埋め込みし、ダウンロード不許可とする設定をすることで、動画コンテンツのプライバシー保護が可能になる。
AWSのオンプレミス・サイト・モデルVPC
オンプレミスのWebサイトでは、FWでDMZと高機密エリアを構成し、それぞれを物理サーバで冗長化して構成する(下図)。
DMZにはリバースプロキシが置かれており、DMZから高気密エリアへのアクセスはリバースプロキシ経由のWebポートだけを許可する設定とする。
これによりDMZに侵入された場合でも、高気密エリアのデータベースや他のサービスは保護される。
AWSの仮想プライベートクラウド(VPC)を利用することで、同様のシステムモデルが実現できる(冒頭の図)。
VPCでは、パブリックとプライベートの両サブネットをゾーンに分離・複製し、それぞれのセキュリティグループの設定で、オンプレミスサイトの機密構成を実現する。
AWSのロードバランサはプロキシ機能を有しており、NAT(本図では省略)と合わせて冗長化構成を実現する。
プライベートサブネットのサーバの構築・運用のためのアクセスは踏み台サーバを構築して利用する。
これは常時は停止しておいて、セキュリティ上の問題を減ずる。
VPCを利用することで、オンプレミスからのクラウド移行が容易になり、スケールアップ、スケールアウト、ディザスタリカバリ、等のメリットを享受することができる。
データベースはRDSを利用することで運用管理負担が軽減できる。
AWSには月3万円前後の費用が見込まれる。
継続的なウェブサイト脆弱性対策
情報処理推進機構(IPA)「見える化」ツール&データベースで、脆弱性の理解・対策に関する情報が入手できる。
ウェブサイトの運用上特に重要な、お知らせ、注目すべき脆弱性、脆弱性の新着情報は脆弱性対策情報データベース JVN iPediaから入手できることも紹介されている。例えば、2022年2月10日 新規のお知らせでは、「セキュリティ強化に伴うTLS 1.0/1.1無効化のお知らせ」があり、これはほぼ全てのウェブサイトで対応が必要な事項となっている。
新着情報は多岐に亘っていて、自サイトで対応が必要なものは必ずしも多くない。それでも時折、自サイトも対象になる危険な脆弱性が報告される。ここに報告されている脆弱性が自サイトに該当するかは定期的に、できれば常時、確認し、重大なものには対応する必要がある。 報告されている脆弱性が自サイトに該当するかの確認には診断ツールやサービスを利用することができる。「ウェブサイト脆弱性診断」で検索すれば多くの情報が得られる。脆弱性の「常時確認」をするのであればオープンソースの自動診断ツールもあるので、その利用を検討する。
脆弱性診断ツールはweb・スマホなどのアプリケーションの脆弱性を診断する「アプリケーション診断」ツールと、それを実行するサーバやネットワーク機器・OSやミドルの脆弱性を診断する「プラットフォーム診断」ツールとに大別される。以下は、無料で利用可能な「プラットフォーム診断」ツールの例を挙げる。
Nessus: オープンソースで開発されていた脆弱性スキャナ。有料化されているが、脆弱性に関する学習目的での利用に無料版(Nessus® Essentials )が提供されている。
OpenVAS: 「Nessus(ネサス)」から派生した製品で、コミュニティ版(Greenbone Enterprise TRIAL)は無料で提供されている。無料で利用可能な脆弱情報配信(Greenbone Community Feed)にサービスレベルの保証はないが、2022年4月現在、用途・利用期間に特に制限はない。 14日間は有料版の脆弱情報配信(Greenbone Enterprise Feed)が利用できる。その他、debian系LINUX、Redhat系LINUXに導入可能。
Vuls: MyJVN API を利用して「脆弱性対策情報データベース JVN iPedia」を検索し、日本語のレポートを確認できる。
但し、自動診断ツールの結果は自サイトに影響しないケースも、誤検知もある。自動診断ツールで新たに発見された脆弱性の自サイトへの影響度合いや、対策の必須度、緊急度などは、自サイトの構築ベンダ、あるいは運用ベンダに相談することになる。