企業でwebサービスを利用することも多くなっていますが、セキュリティ技術者が不足する中、十分なセキュリティ対策が施せていないサービスもあります。wafはwebサービスにおけるセキュリティ対策に有効で、セキュリティ技術者が社内にいなくともサービスのセキュリティ対策を強化することが可能です。wafがセキュリティ対策にどのように役立つのか、wafの役割や利用シーンについて紹介します。
Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることが出来ない攻撃を検知・遮断することができます。
目次
wafとはどんなもの?
wafはWeb Application Firewallを略したものでファイアウォールをWebアプリケーション用に特化した装置またはサービスです。wafを導入することによってWebアプリケーションへの外部からの攻撃・侵入を検知・防止することができます。
通常のファイアウォールはパケットフィルタリングなどを中心にして、外部からの侵入や不正なパケットの送信からの防御を行います。一方、wafはWebサーバーの通信内容を解析することで、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を防ぐことも可能です。ファイアウォールではアクセスそのものを防ぐのに対し、wafはアクセスされてからの行動についても防御を行うことができ、防御する段階に違いがあります。
また、ファイアウォールは基本的にルーターやDNSの前に実機を設置する必要がありますが、wafはクラウドでのサービスも提供されています。クラウド型のサービスは、機器の管理や保守が必要なく、利用状況に合わせた課金になるためネットワーク技術者の不足している状況やコストをかけられない状況にも役立ちます。
wafで防ぐことができる脅威
SQLインジェクション
wafではWebサービス上の入力フォームに不正文字列を入力するSQLインジェクションに対して防御効果があります。アプリ上に不正な文字列を検出する仕組みがなくとも、waf側で検出し、問題のあるパターンと一致していた場合には通信を遮断することができます。パターンはAIで管理する場合もあれば、ホワイトリストやブラックリストを作成して管理することもあります。
パスワードリスト攻撃
パスワードリスト攻撃は、システムの利用者アカウントの乗っ取りを目的とした攻撃です。別のサービスやシステムから流出したアカウント情報を利用することでログインを試みるもので、システム側での対策が難しい攻撃です。本来の利用者が他システムやサービスと同じアカウント名とパスワードを使いまわしていると、システム側ではユーザーの識別ができずに不正ログインを許してしまいます。また、手当たり次第にパスワードを試していく総当たり攻撃も対応が簡単ではない攻撃です。しかし、wafを導入すると、端末情報など別の角度から不正を検知し、ログインを中止したり、本来の利用者や管理者に攻撃の情報を知らせたりできます。他人になりすましてログインする攻撃による被害は後を絶たないため、webアプリケーションやサービスにおいて特に重要な対策といえるでしょう。
クロスサイトスクリプティング攻撃
不正なスクリプトを埋め込むクロスサイトスクリプティングもWebサービスへの攻撃で多いものです。クロスサイトスクリプティングは、入力フォームなどの中に不正プログラムを含む情報を埋め込むことによってシステムを操作し、情報の入手やシステムの破壊を行います。クロスサイトスクリプティングによる攻撃があるときは、文字列をエスケープ(安全な表記に置換)する仕組みが不十分な場合が多いです。名前を入力する欄にプログラムやエスケープすべき文字が入っている場合など、通信内容から不正な入力を察するとwafが通信をブロックしてくれます。
バッファオーバーフロー攻撃
コンピュータの処理能力を超えるデータを送りつけ、誤動作を起こさせるのがバッファオーバーフローといわれる攻撃です。コンピュータは情報の処理のために一時的に情報をメモリに保管しますが、そのメモリ領域に入らない量のデータを送りこむことでシステムトラブルを誘発します。wafは入力データを確認し、データサイズが想定範囲を上回っている場合には、通信を遮断するなどの対応を行うことが可能です。
その他
また、ApacheやWordpress、SSLの認証ストアなど、webアプリケーションで利用される特定のミドルウェアを狙った攻撃に対しても防御が可能です。その他、多くのパケットを送りつけてサーバーをダウンさせたり、異常な動作を発生させてその隙に侵入経路を作ったりするDDoS攻撃などへの防御機能をもったwafもあります。wafによってカバーできる範囲は異なりますので、対策が必要な部分をカバーしているものを選ぶことが大切です。
wafはこういう場合にとても便利!
セキュリティ対策用のコストや時間を節約したいとき
wafが活用されるのは、基本的にwebアプリケーションがある場合ですが、webアプリケーションにも大規模なものや小規模なものもあります。小規模なアプリケーションであれば、装置として据え置くよりもクラウド型のwafを利用したほうがコストを低く抑えることができて便利です。また、クラウド型のwafであれば、システム用のサーバーが分散している場合でも導入が容易で、同じ設定をすぐに複数箇所に適用することが可能で、セキュリティ対策をスピーディーに施すことができます。
セキュリティ対策技術者がいないとき
wafはセキュリティやITの詳しい知識がなくとも導入が可能です。webサービスを企業で運用していたとしても、すべての企業にwebサービスのセキュリティ対策技術をもった技術者がいるとは限りません。また、実際に技術者がいたとしても、すでに完成しているシステムにセキュリティ対策を施すのは簡単ではなく、システムの理解と脆弱性の把握、対策の実施に相当な時間を必要とします。wafは、既存のwebサービスに触れることなくセキュリティ対策だけを加えることができる点がメリットです。複数の問題解決に必要な機能をすぐに導入・適用することができるため、セキュリティ対策のためにサービスを止める必要がなく、サービスの運用が始まってからでも利用できます。
問題発生時の応急処置に
また、wafは問題発生時にも活用できます。サイバー攻撃が行われ、その原因がわからない場合の応急処置に使うことが可能です。脆弱性や問題点がどのページのどの部分にあるのか、その修正方法や適切かどうかの確認は時間がかかります。大規模なシステムであれば、状況の確認や対策に数ヶ月、長ければ年単位の時間が必要になることもあり、その間にサービスを継続するのも不安です。クラウド型のwafなら、こうした場合に導入して追加の問題発生を防ぎつつ、じっくりと問題の検証や対策に取り組むことができます。サービスを停止することなく、セキュリティ対策を即時に行い、追加の問題発生を防ぐことができるため、ビジネス機会や利用者の利益を守ることが可能です。
継続的な対策を行いたいとき
組織として、情報セキュリティ対策を継続的に強化していきたいときにもwafは役立ちます。wafでは不正と思われる通信内容をモニタリングするだけでなく、ログとして記録することが可能です。セキュリティ担当者はログを見ながら、攻撃の傾向をつかみ、その後のセキュリティ対策に役立てることができます。企業としてプライバシーマークやISMSなどの認証資格の取得に向けた取り組みをする際に便利です。セキュリティのPDCAサイクルを回す上で有用な情報を提供してくれるでしょう。
wafを活用してシステムのセキュリティを強化しよう
wafはwebアプリケーションに特化したセキュリティ対策のシステム・サービスです。アクセスが行われた後の通信内容などから不正アクセスを検知し、システムやユーザーの情報を保護します。wafはファイアウォールやIPS/IDSとは異なるレイヤーでシステムを守り、簡単に多層防御を実装できますし、緊急時の応急手当にも活用可能です。大事なシステムやユーザーの保護のために、ぜひ導入を検討してみてはいかがでしょうか。
サイバー攻撃を可視化・遮断する「攻撃遮断くん」
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
