スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策　先生：

⾃自⼰己紹介
• 名前：福井順⼀一
1975年年⽣生まれ B型
• 出⾝身地：東京都
• 経歴
– 2003年年トレンドマイクロ⼊入社コアチーム所属
– 2009年年マーケティング部へ移動、サーバー向けセキュリティ
対策製品の訴求、販促活動を担当
• 趣味：フットサル、ラグビー、スキー
• 好きなAWSのサービス機能：Auto Scaling
6/23/2014 2Copyright © 2013 Trend Micro Incorporated. All rights reserved.

⾃自⼰己紹介
簡単な経歴
某ITベンダーにて7年年間、オープン系システムのプリ
セールス及びバックエンドサポート部⾨門に勤務。その後
⾦金金融機関のセキュリティ部⾨門にてアジア太平洋地域の境
界セキュリティの設計・構築・運⽤用に携わる。2013年年
より現職。
⾼高⽥田智⼰己
セキュリティコンサルタント
プロフェッショナルサービス本部
アマゾンデータサービスジャパン株式会社

自己紹介
• 名前
– 深⾕谷拓拓也（ニックネーム：たくぱん）
• ⾃自⼰己紹介
– プリセールスエンジニア
– アマゾンデータサービスジャパン様とのアライアンス
テクニカル担当
– 標的型攻撃対策製品Deep Discovery Family製品担当
– 料料理理、スポーツ、お酒、旅⾏行行が好き

今年続発した
4つのゼロデイ脆弱性

4⽉月に続発した４つのゼロデイ脆弱性
脆弱性
報告日
ゼロデイ脆弱性が確認
されたソフト
これらのソフトは
元々何をするもの？
この脆弱性が攻撃されると
どうなる？
4月7日 Open SSL
(Heart Bleed 脆弱
性）
サーバの正当性の証明と共
に、端末とサーバ間の通信
を暗号化するためのソフト
暗号化通信時の重要情報
（暗号鍵やユーザが入力した
クレジットカード情報など）が
Webサーバ上で盗み取られ
る
4月21日 Apache Struts Webアプリを作ってサーバ
上で動かすためのソフト
Webアプリへの攻撃により、
Webサーバに不正プログラム
が感染したり、最終的にWeb
サイトが改ざんされる
4月26日 Internet
Explorer（IE）
パソコンでWebを閲覧する
ためのソフト（=ブラウザ）
Internet Explorerを使用して
Webを閲覧しただけで端末が
不正プログラムに感染する
4月28日 Adobe Flash
Player
ブラウザでFlashと呼ばれる
動画などのファイルを再生
するためのソフト
Web閲覧時などに不正な
Flashコンテンツを表示した場
合、端末が不正プログラムに
感染する
4Copyright © 2014 Trend Micro Incorporated. All rights reserved.

セキュリティ事故の発生状況は？
0 100 200 300 400 500 600 700
出版・放送・印刷
福祉・介護
卸小売・サービス
店舗系商業サービス
運輸・交通・インフラ
建設・不動産
教育
情報サービス・通信プロバイダー
医療
製造
金融
官公庁自治体
クライアント端末のウイルス感染社内サーバのウイルス感染
公開サーバのウイルス感染スマートフォン、タブレットのウイルス感染
不正サイトへのアクセスフィッシングサイトへのアクセス
Webサイトの改ざんなりすましメールの受信
社内システムからの情報漏えい公開システムからの情報漏えい
サービス停止攻撃（DoS/DDoS攻撃）社内システムへの不正ログイン
公開システムへの不正ログインノートブックの紛失・盗難
USBなどのリムーバブルメディアの紛失・盗難スマートフォン・タブレットの紛失・盗難
その他
2014年3月トレンドマイクロ調べ
66.2％がセキュリティ事故を経験

セキュリティ事故による実害はあるのか？
323
37
3
4
13
16
26
28
31
47
97
101
122
146
179
0 50 100 150 200 250 300 350
実害はない
把握できていない
その他
訴訟
賠償・補填
株価への影響
金銭被害
盗まれた情報・データの悪用
顧客、取引先との関係悪化
システム破壊
顧客、取引先情報の漏えい
業務関連情報の漏えい
システム・サービス停止
社員情報の漏えい
データ破壊・損失
53.7％が実害に直結

質問です。
皆さん、サーバーに
セキュリティ対策していますか？
A. ウイルス対策だけ
B. IPS/IDSなどバッチリ対策済み
C. 何もしてません

技術的な対策の導入状況は？
67.8%
74.5%
51.6%
77.5%
公開サーバで総合セキュリティではなく
ウイルス対策ソフトを使っている
社内サーバで総合セキュリティではなくウイ
ルス対策ソフトを使っている
不正な通信や挙動を発見する
仕組みを利用している
クライアントで総合セキュリティではなく
ウイルス対策ソフトを使っている
社内・公開システムで不正な改変を
特定できる対策をしている
39.6%
昨今の脅威に対策が追い付いていない

従来の事故との⼤大きな違い
クレジットカード情報を保持していない＝安全という認識識は危険
今回の事故
クレジットカード情報を保持していな
いのに、漏漏えいする事故が発⽣生した。
消費者
戻る購⼊入
番号
期限
クレジットカー
ド
情報を⾮非保持
EC事業者様
従来の事故
DB
消費者
クレジットカード情報を保持している
場合に、脆弱性を悪⽤用され漏漏えいする
事故が発⽣生していた。
戻る購⼊入
番号
期限
クレジットカー
ド
情報を保持
EC事業者様
SQLインジェクショ
ン等
9Copyright © 2014 Trend Micro Incorporated. All rights reserved

昨年年の事故事例例から〜～カード情報漏漏えい事故
このたび、当社が運営するオンラインショップ（以下、「本サイト」といいます。）の
ウェブサーバに対して、外部からの不不正アクセスがあった事が判明いたしました。
〜～
（２）流流出の可能性がある個⼈人情報
対象・・・以下の期間に商品をクレジットカード決済でご購⼊入いただいたお客様
xxxxxx 件のクレジットカード情報が流流出した可能性がございます。
対象期間・・・平成25 年年xx⽉月xx⽇日〜～平成25 年年xx⽉月xx ⽇日
対象項⽬目・・・クレジットカード情報（①カード番号、②カード名義⼈人名、③セキュリ
ティコード、④カード有効期限）
昨年年、某オンラインショッピングにて、不不正アクセスがあったことが報道され
ました。
– Apache Struts 2の脆弱性を利利⽤用してシステムに不不正侵⼊入
– 当該システムに使⽤用されていたStrutsが、すでに過去に脆弱性が指摘されてい
た古いバージョンのものであった
– バックドアプログラムが設置され、第三者のサーバにクレジットカード情報が転送
されるようにプログラムが改ざんされていた。（発覚はおよそ1週間後）
構築・保守フェーズにおける脆弱性の管理理のルールが曖昧であった
プログラムの改ざんを検知する仕組みがなかった
10Copyright © 2014 Trend Micro Incorporated. All rights reserved

Apache Strutsの脆弱性(CVE-2014-0094他)
• 想定される攻撃シナリオと被害
– 正規Webサイト改ざん
攻撃者がこの脆弱性を攻撃する通信をWebアプリケーションに
対して送信することにより、Webサーバ内で任意のコードが実⾏行行
され、サーバが不不正プログラムに感染したり、Webコンテンツが
改ざんされる
– Web利利⽤用者のセキュリティ被害
Webサイトの改ざんを発端とする脅威連鎖により、最終的に
Web利利⽤用者が不不正プログラム感染、情報窃取などの被害に遭う
11Copyright © 2014Trend Micro Incorporated. All rights reserved
正規Webサイト
ユーザ
②改ざんされた
正規サイトを閲覧
サイバー犯罪者
① 正規サイトに侵⼊入
Webサイトを改ざん
③閲覧中不不正サイト
に誘導
③裏裏で不不正サイト接続
⑤不不正プログラムを使って
PC上の重要情報を盗み出す
④PC上で不不正
プログラム感染
不不正プログラム拡散サイト
①ウイルスを拡散する
不不正サイトを⽤用意
【Web改ざんからの脅威連鎖の流流れ】

デモンストレーション
では、実際に見てみましょう

AWSのセキュリティ
Security in the AWS cloud
Amazon Data Services Japan

コンテンツ配信
Amazon CloudFront
メッセージ
Amazon SNS
Amazon SQS
分散処理理
Elastic MapReduce
メール配信
Amazon SES
キャッシング
Amazon Elasticache
ワークフロー管理理
Amazon SWF
コンピュータ処理理
Amazon EC2
Auto Scale
ストレージ
Amazon S3
Amazon EBS
データベース
Amazon RDS
Amazon DynamoDB
AWS グローバルインフラ
Geographical Regions, Availability Zones, Points of Presence
AZRegion
ネットワーク
Amazon VPC / Amazon Elastic Load Balancer / Amazon Route 53 /AWS Direct Connect
AWSのサービス
認証
AWS IAM
モニタリング
Amazon
CloudWatch
Web管理理画⾯面
Management
Console
デプロイと⾃自動化
AWS Elastic
Beanstalk
AWS CloudFromation
IDEプラグイン
Eclipse
Visual Studio
ライブラリ & SDKs
Java, PHP, .NET,
Python, Ruby
お客様のアプリケーション
Infrastructure
Services
Application
Services
Deployment
Administration

ＡＷＳのセキュリティ⽅方針
セキュリティはAWSにおいて最優先されるべき事項
セキュリティへの⼤大規模な投資
セキュリティに対する継続的な投資
セキュリティ専⾨門部隊の設置
© 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.

昨年年AWSがリリースしたサービスのうちセキュリティ
に関連するものは何パーセントあったでしょう？
１）10％
２）15%
３）20%
４）25%
質問です

NASAも認める⾼高いセキュリティ
http://www.atmarkit.co.jp/ait/articles/1301/24/news087.html

お客様のデータ
ユーザー権限管理理
アカウント管理理
アプリケーション
セキュリティ構成
ネットワーク構成
ゲストOS
AWSの責任共有モデル
仮想化レイヤー
コンピュート・インフラ
ストレージ・インフラ
ネットワーク・インフラ
施設・物理理セキュリティ
AWSグローバル・インフラ
お客様固有の
セキュリティ要件
AWS管理理
お客様管理理
第三者機関による
評価・認定

ゲストOS
お客様固有の
コンプライアンス・
Security
“IN”
the
Cloud
Security
“OF”
the Cloud
http://aws.amazon.com/jp/compliance/
AWS 責任共有モデル
評価・認定

データセンターの物理理的なセキュリティ
Amazonは数年年間にわたり、⼤大規模なデータセンターを構築
• 複数拠点を利利⽤用することによる冗⻑⾧長性
• 洪⽔水などの環境的影響を考慮
重要な特性:
• 場所の秘匿匿性
• 周囲の厳重なセキュリティ
• 物理理アクセスの厳密なコントロール
• 2要素認証を2回以上で管理理者がアクセス
• 完全管理理された、必要性に基づくアクセス
• 全てのアクセスは記録され、監査対象となる

Distributed Denial of Service (DDoS)対策:
中間者攻撃対策:
IPなりすまし対策:
許可されていないポートスキャニング対策:
パケットの盗聴対策:
ネットワーク・セキュリティ

ハイパーバイザー（ホストOS）
• AWS管理理者の拠点ホストからの個別のログイン
• 全てのアクセスはロギングされ、監査されます
ゲストOS（EC2インスタンス）
• お客様による完全なコントロール
• 顧客が⽣生成したいキーペアを使⽤用
Firewall機能の標準提供
• AWS標準機能としてInbound/Outboundに対するFirewall
• AWSのお客様の権限、責任で設定
論論理理的なセキュリティ

顧客データが権限のない⼈人々に流流出しないようにするスト
レージ廃棄プロセスを保持
• DoD 5220.22-M（「National Industrial Security
Program Operating Manual（国⽴立立産業セキュリティ
プログラム作業マニュアル）」）
• NIST 800-88（「Guidelines for Media Sanitization
（メディア衛⽣生のためのガイドライン）」)
上記の⼿手順を⽤用いハードウェアデバイスが廃棄できない場
合、デバイスは業界標準の慣⾏行行に従って、消磁するか、物
理理的に破壊する
データ・セキュリティ

AWS クラウドインフラストラクチャは以下の規制、標準、および
ベストプラクティスに準拠するよう設計、管理理されています。
ISO27001 PCIDSS SOC2SOC1 FedRAMP FIPS140-2ITAR HIPAA
AWS コンプライアンスプログラム

AWSのセキュリティ・コンプライアンス
スケールメリットを
セキュリティ・コンプライアンスに適⽤用

ゲストOS
コンピュート・インフ
ラ
ネットワーク・インフ
ラ
施設・物理理セキュリ
ティ
AWSグローバル・イン
フラ
Security
“IN”
the Cloud
Security
“OF”
the
Cloud
お客様固有の要件
AWS 責任共有モデル

OSの選択とハードニング
• インスタンスサイズ、OSの選択もお客様が柔軟に構成可能
• 標準的なOSのハードニングガイドとテクニックを活⽤用
• 最新のセキュリティパッチの適⽤用
ホストベースの防御策の適⽤用を考慮
• Firewall
• IDS/IPS
管理理者権限やユーザー管理理
• 必要最⼩小限のアクセス
• パスワードや認証の管理理
仮想OSの設定はお客様が実施
EC2
インスタンスの起動お客様の独⾃自インスタンス
ハードニングと構成
監査とログ取得
脆弱性管理理
マルウェア、IDS, IPS
Whitelisting and integrity
ユーザー管理理
OS
仮想OSイメージ

バケット単位、オブジェクト単位のアクセス・コントロール
• アクセス権限を可能な限り厳格に制限し、定期的にログを検査
• 重要ファイルにはバージョニング機能を使⽤用
• 削除には多要素認証を使⽤用
S3暗号化機能を使⽤用
• データ保護のためにSSLを転送に使⽤用
• S3サーバー・サイド暗号化（AES256）
• S3クライアント・サイド暗号化も可能
• オブジェクトの整合性はMD5チェックサムを使⽤用して検査
データの所有権はお客様のもの
〜～AWS S3のセキュリティ機能〜～

• 多要素認証
• H/Wトークン or スマートフォンのS/W
• IAMポリシー・シュミレーター
• 本番適⽤用前にツールでテスト可能
• ユーザー毎の権限とアクション
• 誰が？
• 何を？
• 何処から？
AWSサービスへのアクセスはお客様が統制
AWS IAM, Identity and Access Management
AWSサービスとリソースへのアクセス・コントロールが可能

ゲストOS
責任共有モデルとセキュリティソリューション
Firewall/WAF/IPS
AWS
パートナー様
セキュリティ
ソリューション
暗号化
AWS
お客様
お客様固有の
柔軟性
お客様の統制権
評価・認定

3
クラウドサービス上でのセキュリティ対策
Copyright © 2013 Trend Micro Incorporated. All rights reserved.

トレンドマイクロとしてお手伝いできる範囲

5
最新の脅威への対策「多層防御」について

どうすればセキュリティ事故を防げたのか？
ファイル改ざんまでのプロセス例例
「⾮非保持＝安全」ではない、という認識識に変えていく
③サーバのファイルを改ざんされる。結果
「結果」から
「原因」をたどり
「層」を強化！
• ポリシーの⾒見見直し
– 規格依存ではなく、リスクベースのアプローチが必要
– 脆弱性管理理プロセス（作業範囲、SLAなど）の⾒見見直し
– 内部からの脅威の⾒見見直し（標的型攻撃への対応）
• システム的な対策、運⽤用の⾒見見直し
– 多層防御の「層」の⾒見見直し
②サーバの権限を取得される。
原因 ①サーバの脆弱性を攻撃される。

多層防御の考え⽅方①
①サーバの脆弱性を攻撃される。
③サーバのファイルを改ざんされる。
対策優先度度
⾼高
低
【課題】
・パッチの適⽤用が適切切に⾏行行えない。
【理理由】
・適⽤用前にシステムの検証が必須。
・適⽤用時にはシステムを⽌止める必要が
ある場合もある。
仮想パッチで運⽤用を軽減
OSやアプリケーションの脆弱性を突いた
攻撃をネットワークレベルでブロック
（本来のパッチ検証作業を⼗十分に⾏行行って
からパッチの適⽤用が可能となる）
• 仮想パッチとは、仮想的に脆弱性を修正するプログラム
– サーバが⾃自動で脆弱性を検出し、⾃自動で保護することが可能（⼿手動保護も可能）
– 脆弱性を狙った攻撃を受けた場合は、仮想パッチが攻撃をブロック
– 仮想パッチを適⽤用するためにはサーバを停⽌止、再起動する必要がない

多層防御の考え⽅方②
対策優先度度
⾼高
低
【課題】
・不不正なログイン試⾏行行に気づかない。
セキュリティログ監視で対応
検知
・
管理理者へ通
知
認証エラー認証エラー
• 攻撃の兆候があった場合はすぐに管理理者へ通知する
– 重要なデータや、ActiveDirectoryなどユーザ情報を保管しているサーバは常に監視し
ておき、疑わしいふるまいを検知
– 検知した場合は⾃自働で速やかに通知

多層防御の考え⽅方③
【課題】
・ファイルの改ざんに気づかない
対策優先度度
⾼高
低
改ざん検知で対応
戻る購⼊入
番号
期限改ざん
検知
・
管理理者へ通知
• 改ざんを検知した場合はすぐに管理理者へ通知する
– OSやアプリケーション（Webコンテンツ含む）のファイル・レジストリを監視して、
不不正なファイルやレジストリの変更更を監視
– 監視対象のディレクトリやファイルは柔軟に除外/追加可能
– 改ざんを検知した場合は⾃自働で速やかに通知

10
Trend Micro Deep Securityご紹介
⼤大切切なサーバ/クライアントに必要な「All in One」セキュリティ対策

Trend Micro Deep Securityとは？
ログ監視
ウイルス対策
変更更監視
IDS/IPSFirewall
セキュリティ機能内容
①ファイアウォール攻撃を受ける機会を軽減します。
②仮想パッチ脆弱性を突いた攻撃からサーバを保護します。
③セキュリティログ監視重要なセキュリティイベントを早期に発⾒見見します。
④改ざん検知ファイル等の改ざんを早期に発⾒見見します。
⑤ウイルス対策マルウェアの攻撃から保護します。
多
層
防
御
EC2
Deep Security

IPS/IDS 機能紹介
OSやアプリケーションの脆弱性（セキュリティホール）を突く攻撃パケットを検知し、
防御する機能（仮想パッチ）
SQLインジェクションやクロスサイトスクリプティング等のWebアプリケーションの脆
弱性を突く攻撃パケットを検知し、防御する機能（WAP）
ポイント１：
ソフトウェアのコード
レベルでの修正を⾏行行わ
ないので、動作中のシ
ステムへ影響が少ない
ポイント２：
WindowsやLinuxのよう
なOSだけでなく、様々なア
プリケーションの仮想パッ
チがトレンドマイクロから
提供される
※トレンドマイクロから提供されるIPSルールの他にも、独⾃自のルールを作成することも可能です。
仮想パッチは⼀一時的な保護を⽬目的としたもので、
根本的な解決のためにはセキュリティパッチをインストールする必要があります。

IPS/IDS補助機能：推奨スキャン
サーバにインストールされたDeep Security Agentがサーバにインストールされて
いるアプリケーションの情報を収集し、必要な仮想パッチを⾃自動選択します。推奨スキャンとは
Deep Security
Manager
Webサーバ DBサーバ
推奨スキャン推奨スキャン
仮想パッチ機能
ON！
仮想パッチ機能
ON！
Time Line
正規パッチ
検証開始
推奨スキャンを利利⽤用したパッチマネジメント
Deep Security
仮想パッチ
リリース
脆弱性情報が
公的DBに
登録される
Deep Security
仮想パッチ
適⽤用
正規パッチ
リリース
Deep Security
仮想パッチ
解除
正規パッチ
インストール
脆弱性
発覚！推奨スキャン
で⾃自動化
推奨スキャン
で⾃自動化
緊急度度が⾼高いも
のは48時間以内
にリリース

さて、ここで質問です
1：48時間以内
2：72時間以内
3：96時間以内
4：まだ配信したことがない
緊急度度の⾼高い脆弱性が発覚した場合、
トレンドマイクロからIPS/IDSのルールが配
信されるのは実績値で何時間以内でしょうか？

エージェント型のポイント
物理理、仮想化、クラウド環境など、様々なサーバ環境に
対してセキュリティ対策を⼀一元的に提供
Amazon AWS
物理理環境
クラウド環境
仮想化環境
様々なサーバ環境に導⼊入が可能
オートスケールにも対応

GW型のセキュリティ対策をした場合
Data Volume S3 BucketEBS Snapshot
Web
Server
APP
Server
DB
Server
Trend.AWS.com
Security Group
GW
IDS/IPS
1. スケールアウトを考慮した設計が必要
2. 単⼀一障害ポイントとなりうる
3. “2”の対策⇒インスタンス増⇒費⽤用がかさむ
Availability Zone
Web
Server
GW
IDS/IPS

Host型のセキュリティ対策をした場合
Data Volume S3 BucketEBS Snapshot
Web
Server
APP
Server
DB
Server
Trend.AWS.com
Security Group
NIDS/
NIPS
1. インスタンスの増減に対して考慮が不不要
2. 障害時の影響もインスタンス単位である
3. 必要な時に必要なだけ = クラウド向き
Availability Zone
Web
Server
ホスト型の⽅方が
AWS上のセキュリティ対策に向いてる！

ライセンス体系
■主なポイント■
① サーバ課⾦金金でよりシンプルに： Deep Securityマネージャの費⽤用は無料料となります。
② 機能別ライセンス： “仮想パッチ”や“ファイル変更更監視”といった欲しい機能だけ購⼊入が可能。
③ 数量量ラダーの適⽤用：ボリュームディスカウントが適⽤用されますが、TRSLではない別体系です。
製品名
Deep Securityエージェント
Aﾗﾝｸ（5~24ﾗｲｾﾝｽ）
初年年度度標準価格
（１サーバあたり）
次年年度度更更新価格 IPS
ウイルス
対策
F/W
変更更
監視
ログ
監視
Deep Security PCI-DSS ¥107,400- ¥32,220- × × × ○ ○
Deep Security Virtual Patch ¥125,300- ¥37,590- ○ × ○ × ×
Deep Security Standard ¥179,000- ¥53,700- ○ × ○ ○ ○
Deep Security Advance ¥213,500- ¥64,050- ○ ○ ○ ○ ○
Deep Security
Virtual Patch
購⼊入例例
Deep Security Virtual
Patchを物理理サーバ５ライセン
ス購⼊入の場合
【初年年度度費⽤用】
¥125,300 x 5= ¥626,500-
【次年年度度費⽤用】
¥37,590 x 5＝¥187,950-
※Deep Securityエージェント製品の最低購⼊入数は５ライセンスからとなります
※Deep Security Advanceのウイルス対策はServer Protect Windows⼜又はLinuxを同梱します
※次年年度度更更新費⽤用は初年年度度価格の30%となります
※※上記価格に消費税は含まれておりません
※上記価格はTRSLに準拠しておりません

コイニー株式会社様
• 製品選定にあたっては、単機能の製品を個別に複数導⼊入するより導⼊入・運⽤用が容易易で
ある点や製品サポート体制が⼗十分である点を評価。
• 本番環境での設計〜～実装を、2012年年11⽉月〜～12⽉月の約1ヶ⽉月間で完了了。
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20130925064721.html
AWS上の決済システムのPCIDSS準拠にTrend Micro Deep Securityを採⽤用

管理理サーバ不不要のSaaS型サービス
Deep Security as a Service
① トレンドマイクロがDeep Securityマネージャを管理理
② 5ライセンスまで無料料利利⽤用可能
③ 簡単サインアップでトライアル
DSM
管理理マネージャインフラの運⽤用管理理：
トレンドマイクロ
運⽤用管理理：お客様
エージェントの死活監視、ログ
の確認等の⽇日常運⽤用
クラウド上の仮想サーバー
Deep Security
エージェントを
仮想サーバに
インストール
http://www.trendmicro.com/us/business/saas/deep-security-as-a-service/

スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策　先生：

スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策　先生：

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策　先生：

Similaire à スタートアップのCEOもおさえておきたい、ITインフラのセキュリティ対策　先生： (20)

Plus de schoowebcampus

Plus de schoowebcampus (20)

Dernier

Dernier (12)