WAFとIPS/IDSのちがいとは?

2019.05.08

WAF

WAF-IPS

最近は、企業のホームページがサイバー攻撃を受けたというニュースも良く見るようになりました。サイバー攻撃の増加に伴い、セキュリティ対策サービスも多様化してきました。まだ一つのセキュリティ対策ですべてのサイバー攻撃に対抗できるような強固なサービスはでてきていません。そのため、セキュリティ対策は1つだけ行っても安心とは言えず、複数のセキュリティ対策を同時に行って、サイバー攻撃に備える必要があります。
また、セキュリティサービスの得意分野を把握して導入しないとセキュリティに穴が出来たり、セキュリティの得意分野が重なりコストが無駄にかかってしまうこともあります。今回はWAF(Web Application Firewall)とIPS/IDS(不正通信防御/検知システム)の違いについて解説します。こちらの2つのサービスはよく比較対象になりますが、守っているレイヤーが異なります。2つのサービスの違いをしっかりと把握しておきましょう。

目次

サイバー攻撃の種類

まず最初に、有名ないくつかのサイバー攻撃について、その仕組みや攻撃内容を知っておきましょう。

SQLインジェクション

SQLインジェクションとは、データベースと連動したWebサイトのセキュリティ上の不備を意図的に利用し、想定しないSQL文を実行させることにより、不正操作を行って情報を盗み取る攻撃です。

 

SQLインジェクションによるサイバー攻撃の例を紹介します。

 

2014年1月23日にECサイトがSQLインジェクション攻撃をうけて、クレジットカード情報が漏洩しました。この事件を受けて、サイト運営者がWebアプリケーション開発会社に対して損害賠償を請求しました。
その結果、約2262万円の支払い命令が下されました。
開発側として「専門家としての責務を怠ったこと」によって過失が認定されました。
クライアントはセキュリティの専門家ではないため、ベンダーに委ねているところが多く、ベンダーはクライアントから要求されていなくても対策をすることが大切であり、怠った場合の責任の重さを世間に広める事例となりました。

参考:SQLインジェクションとは

クロスサイトスクリプティング

Webサイト上にある入力フォームに悪意のあるスクリプトを埋め込み、サイト訪問者の個人情報を盗み取る攻撃のことです。Webサイトの管理者が意図しないうちに加害者になってしまう可能性もあるため、十分な注意と対策が必要な攻撃の一つです。

 

クロスサイトスクリプティングによるサイバー攻撃の例を紹介します。

 

・2010年7月、動画共有サイトの米YouTubeを狙った攻撃が発生しました。

この攻撃ではYouTubeのコメント欄の暗号化処理に存在するクロスサイトスクリプティングの脆弱性が悪用されました。

コメントが表示されなくなったり、デマ情報のポップアップが表示されたり、悪趣味なWEBサイトにリダイレクトされたりする被害が拡大しました。

 

・2010年9月21日、Twitterの公式クライアント・アプリケーション「TweetDeck」が攻撃されました。

こちらもクロスサイトスクリプティングに対する脆弱性が原因で、Twitterのタイムライン上に罠が仕掛けられていました。

ユーザーのアカウントが遠隔的にハイジャックされ、訳の分からないリツイートを大量に投稿されるといった被害が発生しました。

 

参考:クロスサイトスクリプティングとは

OSコマンドインジェクション

パラメータにOSコマンドを挿入し、プログラムに意図しないコマンドを実行させることを狙った攻撃手法です。
自社のWEBサイトを踏み台にされて、取引先企業を攻撃する可能性もある危険な攻撃です。

 

過去のOSコマンドインジェクションの例を紹介します。

●PCを遠隔操作され、犯罪や不正アクセスの犯人に仕立て上げられる
●データーベース内に登録されている個人情報(カードや銀行口座)等のデータが流用される
●複数のマルウェアをインストールされてしまい、深刻なダメージを受ける
●データーベースの改ざんや消去が行われ、業務に支障をきたす
参考:OSコマンドインジェクションの仕組みとその対策

DDoS攻撃

DDoS攻撃は、攻撃対象のWebサイトやWebサーバへ、大量のトラフィックを送信しサービスを停止させる攻撃です。複数のコンピュータからWebアプリケーションが対応不可能なほどリクエストやパケットを送信し、サービスを運営できない状況まで追い込まれることもあります。

参考:DDoS攻撃とDoS攻撃

WAFとIPS/IDS の防御範囲可能な攻撃

WAFも、IPSも、ネットワークやサーバを外部から守るセキュリティ対策製品です。
それぞれの得意分野がある中で守るべきものを明確にすることで、効果的な対策ができます。
WAFとIPSは防御可能なレイヤーが異なるため、それぞれ補完的関係にあります。

どちらかだけを対策していても完全なセキュリティ対策にならないことがわかりますね。対策を行うならば、複数同時に行う必要があります。

WAF

WAFはWebアプリケーションに対して送信されるリクエストを解析し、不正な文字列が含まれているか判断します。
また、通信自体を監視することで正常なリクエストのみが送信されるようにします。

WAFはWebサービス上の入力フォームに不正文字列を入力するSQLインジェクションやパスワードリスト攻撃、不正スクリプトを埋め込むクロスサイトスクリプティングなどに有効です。
クラウド型WAF「攻撃遮断くん」であれば、DDoS対策もできるDDoSセキュリティタイプもあり、近年多く発生しているDDoS攻撃からも守ることができます。

IPS

サーバやネットワークの外部との通信や内部通信を監視することで不正アクセスを検知・防御します。
防御対処によって、ネットワーク型とホスト型に分類されます。
ネットワークをリアル監視し、特定の通信を防御できるので、DDoS攻撃などの防御は可能ですが、SQLインジェクションなどの攻撃手法に対しては検知精度が低く、IPS/IDSだけでWebアプリケーションを守るのはかなりリスクが高い状態です。

まとめ:セキュリティ対策サービスをしっかりと理解して、Webアプリケーションを守る

WAFとIPS/IDSは役割のことなるセキュリティ対策サービスであることが理解できたかと思います。
「どちらかをやっていれば安心!」ということではなく、どちらも大切ということです。サイバー攻撃も日進月歩で力を増しているこの状況で、サイバー攻撃による企業ホームページの乗っ取り、なりすましなどの被害を受けないためにもセキュリティ対策サービスを利用し、十分な対策を行いましょう。

 

クラウド型WAF「攻撃遮断くん」は、DNSを切り替えるだけの「WEBセキュリティタイプ」やサーバにエージェントをインストールする「サーバセキュリティタイプ」など、お客様の環境にあったものを選択し、導入することが可能です。
料金も幅広く用意してあり、どんなお客さまにもマッチングできます。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
この機会にぜひ会社のセキュリティ状況を見直しをして、WAFの導入を検討してみてください。

 

(2017/3/9 執筆、2019/5/8修正・加筆)

この記事と一緒に読まれています