～脆弱性スキャンツール、IDS/IPSの実装およびTLS1.1以下の無効化を実装～

プライム・ストラテジー株式会社（代表取締役　中村けん牛、本社所在地：東京都千代田区、以下「プライム・ストラテジー」）はWordPress実行時間3ミリ秒台、秒間1000リクエストをページキャッシュ非使用で実現する世界最高速クラスのWordPress実行環境「KUSANAGI（くさなぎ）」のセキュリティをさらに強化するアップデートを行ったことを発表いたしました。

「KUSANAGI」はこれまでもセキュリティに関して、WordPress上の実行権限や書き込み権限の制御、管理画面へのセキュリティ情報の表示、WordPressコア、テーマ、プラグインの自動更新機能の提供等、様々な機能を提供してまいりましたが、「KUSANAGI」のエンタープライズ企業への採用が進むにつれ、さらなるセキュリティ要求が発生することも多く、個別に対応を行ってまいりました。

この度、エンタープライズ企業で必要とされるセキュリティ要件に標準で対応可能とするため、「KUSANAGI」のセキュリティ強化アップデートを実施いたしました。今回実装されたセキュリティアップデートは以下の通りとなります。

1. WAF（Web Application Firewall）
   • Nginx Naxsi
   • Apache ModSecurity
2. TLS1.1以下の無効化
3. 脆弱性スキャンツール
   • Vuls
4. IDS（Intrusion Detection System）
   • Open Source Tripwire
5. IPS（Intrusion Protect System）
   • Suricata

■KUSANAGI WAF機能について

「KUSANAGI WAF機能」は、Webサイトに対する攻撃を検知・防御する目的にて実装され、kusanagiコマンドにて有効化/無効化が可能となります。これによりSQLインジェクション、クロスサイトスクリプティング、パスワードリスト攻撃等、公開Webサーバに対する攻撃に対して対策を講じることが可能となります。また、WordPress用のホワイトリストや設定が予め定義されており、WAF運用における負荷を軽減可能となります。

※1 「KUSANAGI WAF機能」に関する詳細は、以下URLをご覧ください。
https://kusanagi.tokyo/document/command/

■TLS1.1以下の無効化ついて

TLS1.1以下の無効化について、SSL通信を行う際にはいくつかのプロトコルが使用されますが、例えばTLS1.0、TLS1.1にはPOODLEと呼ばれる脆弱性があり、TLS1.2への移行が推奨されております。また、クレジットカード情報を利用した取引を行う際に推奨されるセキュリティ要件を定義しているPCI DSS v3.2においても、2018年6月30日までにTLS1.2への移行を求めています。この世界的な状況に対し「KUSANAGI」においてもTLS1.1以下の無効化対策を行うことといたしました。暗号スイートについては、IPAが推奨するSSL/TLS暗号設定ガイドラインに基づいています。これによりTLS1.2への非対応ブラウザにおける表示に影響が発生する可能性がございます。

※２ IPA「SSL/TLS暗号設定ガイドライン」に関する詳細は、以下URLをご覧ください。
https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html

■脆弱性スキャンツールについて

脆弱性スキャンツールについては、Vuls（VULnerability Scanner）が導入され、kusanagiコマンドにて有効化/無効化が可能となります。これによりミドルウェア、パッケージ等に存在する脆弱性をスキャンすることが可能となります。

※３「脆弱性スキャンツール」に関する詳細は、以下URLをご覧ください。
https://kusanagi.tokyo/document/command/

■IDS/IPSについて

IDS/IPSについては、ネットワーク層への攻撃を検知・防御することを目的として実装され、kusanagiコマンドにて有効化/無効化が可能となります。これにより、DoS攻撃、Synフラッド攻撃等、ネットワーク上のトラフィックを常に監視し、ファイル改ざんおよび不正侵入や攻撃に対して対策を講じることが可能となります。

※４「IDS/IPS」に関する詳細は、以下URLをご覧ください。
https://kusanagi.tokyo/document/command/