WAFとIPS/IDSのちがいとは?

2017.03.09

WAF

WAF-IPS

最近は、企業のホームページがサイバー攻撃を受けたというニュースも良く見るようになりました。サイバー攻撃の増加に伴い、セキュリティ対策サービスも多様化してきました。まだ一つのセキュリティ対策ですべてのサイバー攻撃に対抗できるような強固なサービスはでてきていません。そのため、セキュリティ対策は1つだけ行っても安心とは言えず、複数のセキュリティ対策を同時に行って、サイバー攻撃に備える必要があります。
また、セキュリティサービスの得意分野を把握して導入しないとセキュリティに穴が出来たり、セキュリティの得意分野が重なりコストが無駄にかかってしまうこともあります。今回はWAF(Web Application Firewall)とIPS/IDS(不正通信防御/検知システム)の違いについて解説します。こちらの2つのサービスはよく比較対象になりますが、守っているレイヤーが異なります。なので、2つのサービスの違いをしっかりと把握しておきましょう。

目次

サイバー攻撃の種類

SQLインジェクション

データベースと連動したWebサイトのセキュリティ上の不備を意図的に利用し、想定しないSQL文を実行させることにより、不正操作を行って情報を盗み取ること。

 

SQLインジェクションによるサイバー攻撃の例を紹介します。

 

2014年1月23日にECサイトがSQLインジェクション攻撃をうけて、クレジットカード情報が漏洩しました。この事件を受けて、サイト運営者がWebアプリケーション開発会社に対して損害賠償を請求しました。
その結果、約2262万円の支払い命令が下されました。
開発側として「専門家としての責務を怠ったこと」によって過失が認定されました。
クライアントはセキュリティの専門家ではないため、ベンダーに委ねているところが多く、ベンダーはクライアントから要求されていなくても対策をすることが大切であり、怠った場合の責任の重さを世間に広める事例となりました。
参考URL:SQLインジェクション対策の極意はSQL文を組み立てないことにあり

クロスサイトスクリプティング

Webサイト上にある入力フォームに悪意のあるスクリプトを埋め込み、サイト訪問者の個人情報を盗み取ること。

OSコマンドインジェクション

パラメータにOSコマンドを挿入し、プログラムに意図しないコマンドを実行させることを狙った攻撃。
自社のWEBサイトを踏み台にされて、取引先企業を攻撃する可能性もある危険な攻撃。

 

過去のOSコマンドインジェクションの例を紹介します。
●PCを遠隔操作され、犯罪や不正アクセスの犯人に仕立て上げられる
●データーベース内に登録されている個人情報(カードや銀行口座)等のデータが流用される
●複数のマルウェアをインストールされてしまい、深刻なダメージを受ける
●データーベースの改ざんや消去が行われ、業務に支障をきたす

DDoS攻撃

複数のコンピュータからWebアプリケーションが対応不可能なほどリクエストやパケットを送信し、サービスを運営できない状況まで追い込む攻撃。

WAFとIPS/IDS の防御範囲可能な攻撃

WAFとIPSは防御可能なレイヤーが異なるため、それぞれ補完的関係にあります。
なので、どちらかだけを対策していても完全なセキュリティ対策にならないことがわかりますね。対策を行うならば、複数同時に行う必要があります。

WAF

WAFはWebアプリケーションに対して送信されるリクエストを解析し、不正な文字列が含まれているか判断します。
また、通信自体を監視することで正常なリクエストのみが送信されるようにします。

WAFはWebサービス上の入力フォームに不正文字列を入力するSQLインジェクションやパスワードリスト攻撃、不正スクリプトを埋め込むクロスサイトスクリプティングなどに有効です。
クラウド型WAF「攻撃遮断くん」であれば、DDoS対策もできるDDoSセキュリティタイプもあり、近年多く発生しているDDoS攻撃からも守ることができます。

IPS

サーバやネットワークの外部との通信や内部通信を監視することで不正アクセスを検知・防御します。
防御対処によって、ネットワーク型とホスト型に分類されます。
ネットワークをリアル監視し、特定の通信を防御できるので、DDoS攻撃などの防御は可能ですが、SQLインジェクションなどの攻撃手法に対しては検知精度が低く、IPS/IDSだけでWebアプリケーションを守るのはかなりリスクが高い状態です。

まとめ:セキュリティ対策サービスをしっかりと理解して、Webアプリケーションを守る

WAFとIPS/IDSは役割のことなるセキュリティ対策サービスであることが理解できたかと思います。
「どちらかをやっていれば安心!」ということではなく、どちらも大切ということです。サイバー攻撃も日進月歩で力を増しているこの状況で、サイバー攻撃による企業ホームページの乗っ取り、なりすましなどの被害を受けないためにもセキュリティ対策サービスを利用し、十分な対策を行いましょう。

クラウド型WAF「攻撃遮断くん」は、DNSを切り替えるだけの「WEBセキュリティタイプ」やサーバにエージェントをインストールする「サーバセキュリティタイプ」など、お客様の環境にあったものを選択し、導入することが可能です。
料金も幅広く用意してあり、どんなお客さまにもマッチングできます。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

この機会にぜひ会社のセキュリティ状況を見直しをして、WAFの導入を検討してみてください。

この記事と一緒に読まれています