|
今年の5月、ある有名Webサイトが突然閉鎖されました。後の報道によると何者かによってWebサイトに侵入され、内容を書きかえられた上に、ウィルス拡散のプログラムを仕込まれ、さらに個人情報が盗まれたという具体的な被害があったようです。このサイトの責任者は「最高レベルのセキュリティが破られた」と言っています。さらに最近はこれだけでなく他のWebサイトでも類似した事件が多く報告されています。では、なぜセキュリティ対策の取られたサイトがこのような被害を受けてしまうのでしょうか。
Webサイト攻撃の手口
前述の事件ではWebへのアクセス時に不正な文字列を入力しアプリケーションを誤動作させるSQLインジェクションという手法が取られたと言われています。この他にもWebサイトへの攻撃手法としてはクロスサイト・スクリプティング、バッファ・オーバーフローといったものが知られています。これらの手法は最近開発されたわけではなく何年も前から広く知られており、危険性が叫ばれていました。それが最近になって簡単に攻撃を実行できるツールが出回るようになり、攻撃が増加しているようです。またこれらの攻撃手法は、インフラの弱点を突くのではなく、アプリケーションを狙うところが特徴的です。
今までの防衛手段
今までインターネットからの不正アクセスを防止する手段としては、ファイアウォールやIDPなどのネットワーク・セキュリティ製品が主役でした。ところがアプリケーションを狙う攻撃手法が厄介なのは、ネットワーク通信としてはあくまで正常に見えることです。つまり通信プロトコルのレベルで通信可否を判断するファイアウォールでは検知も遮断もできないのです。そのため今までは、こうした攻撃に対する防衛はプログラミングに頼っていました。入力される文字列を処理する前に不正な内容でないかチェックするのです。問題は処理が増えることによる負荷増大と、対策漏れがなくせない点です。特に対策漏れについては、対策必要箇所をすべて把握することが難しいこと、したがって検査も容易でないこと、そしてサイトの変更に伴って対策作業を継続しなければならないこと、などの要因があり、なかなか完全に抑えるのが難しい事情があります。
Webアプリケーション・ファイアウォール
 そこを補完するのがWebアプリケーション・ファイアウォール(WAF)です。(下図参照)WAFは従来のファイアウォールと同様に「防火壁」の役目を担うものですが、動作や使い方は異なります。まず、WAFはWebサーバの直前に設置してWebサーバへの通信だけを監視させます。さらに動作としても、WAFは通信プロトコルではなくプログラムに渡される入力内容などを検査し、アプリケーションを狙う不正な内容をストップします。まさに冒頭で紹介したような攻撃を防御するための道具と言えます。ただしWAFの製品は5年以上前から存在していましたが、ある問題点があり今までは広く使われていませんでした。
WAFの課題と最新技術による対応
今まで説明してきたとおり、WAFは最近危険性が増しているWebサイトへの攻撃を防御する有力な手段を提供しますが、WAFの大きな課題と言われてきたのが設定作業です。
ファイアウォールは通信プロトコルとアドレスの内容でフィルタを設定しますが、WAFの場合にはアプリケーションごとに異なるルールを設定する必要があります。入力フォームの場所、各フィールドの内容、許される文字、隠し(Hidden)フィールドの内容など、アプリケーションに依存する情報を間違いなく設定する手間が膨大で現実的でなかったのです。
そこで最近では、できる限り設定を自動化する工夫がされています。具体的には1)コンテンツの自動解析、2)反復的なポリシー修正、といった機能です。コンテンツを自動解析することによりアプリケーション依存の情報をWAFのソフトウェアが収集して自動設定。さらに運用中のトラフィックやWebコンテンツの変更・修正を監視して、必要と思われるポリシー変更を通知することにより、自然に設定の精度が上がるようになっています。
実用段階に入った WAF
今まで見てきたように、Webサイトの保護はアプリケーションの対策とWAFによるネットワーク上の対策を併用することにより、大きな効果が期待できます。また、今まで使いこなしの難しかったWAFも、自動解析とポリシー修正支援の機能で実用段階になりました。サイト防衛が重要になった今こそ、WAFが次の一手の筆頭候補と言えるでしょう。
マーケティング・グループ
松永 豊
|
