ホワイトペーパー
Webの脆弱性や設計の不備を狙った不正アクセスによる情報漏えい事件は止む気配すら見えません。
しかし、脆弱性のまったくないWebアプリケーションを開発するのは困難です。そこで役立つのがWebアプリケーションファイアウォール(WAF)です。
同ソリューションの1つである「Advanced WAF」は脆弱性を狙った攻撃や不正ログイン、DoS攻撃からWebシステムを保護する多彩な機能を備えています。
サイバーセキュリティの重要性が認識されるようになって久しいですが、Webサイトへの不正アクセスは減る兆しを見せません。
ECサイトが脆弱性を悪用され、顧客情報の漏えいにつながった事件は依然として数多く報告されています。情報処理推進機構(IPA)がまとめている「情報セキュリティ10大脅威2019」でも、Webアプリケーションに関する直接・間接的な脅威が半数を占めるほどです。
こうした不正アクセスから大切な情報を守るには、脆弱性のないシステムやWebアプリケーションを開発するのが理想的でしょう。しかし、残念ながらそれは現実的ではありません。既知の脆弱性を作り込まないよう、セキュアな設計、セキュアなコーディングに努めるのは当然のことですが、それでもバグや脆弱性のないWebアプリケーションを構築することに限界があります。
では、脆弱性が潜在する前提でどのように対策すべきでしょうか。もし脆弱性が見つかれば、Webアプリケーションを修正したり、OSやミドルウェアをアップデートすべきですが、それには時間も追加の費用もかかります。今まで利用できていた機能が動かなくなったりしないか、サービス提供に影響がないかを確認するだけでも数週間、場合によっては数カ月単位の時間がかかります。
IPAの「ソフトウェア等脆弱性関連情報に関する届出状況 2019年第3四半期(7月〜9月)」では、脆弱性の報告を受けたWebサイトの約3分の1で、修正までに90日以上を要しています。一方で、脆弱性が公表されてから攻撃が開始されるまでの猶予は短く、公開翌日に攻撃コードが公開されたり、「次の期の予算で手当しよう」と考えているうちに攻撃されてしまったりするケースも発生しています。
そのような時、外部からの不正アクセスを防いでくれるのがWebアプリケーションファイアウォール(WAF)と呼ばれるソリューションです。WAFは従来のファイアウォールでは防げないWebアプリケーションの脆弱性を狙う不正なコードが含まれたトラフィックを検知しブロックします。PCI DSSのような業界ガイドラインでも、WAFを用いてWebアプリケーションを保護するよう求めており、導入が広がっています。
その上、最近では、これまで社内のみで利用することを前提としていたアプリケーションがAPIを介して外部のサービスと連携したり、Webインターフェースにてアクセスするようになっています。SAPをはじめとする基幹システムも例外ではありません。信頼できる社内の特定のユーザーからのアクセスのみを想定した従来の運用では、基幹システムが思わぬリスクにさらされる恐れがあります。こうした背景からも、改めてWAFによるWebシステムの保護が求められているのです。
では、実際にどのようなWAFを選べばよいでしょうか。その有力な選択肢の1つがF5 N etworksの「Advanced WAF (以下、AWAF)」です。
BIG-IPというと、負荷分散機能を提供する「BIG-IP Local Traffic Manager (LTM)」を思い浮かべる方もいるかもしれませんが、ファイアウォールやアクセス管理を含むさまざまなセキュリティソリューションを提供してきました。AWAFに関しても、多くの導入実績があり、SQLインジェクションやクロスサイトスクリプティングといった主要な脆弱性を狙う攻撃はもちろん、リスト型攻撃、DoS攻撃、ボットによる攻撃を検知・ブロックできます。検知のためのシグネチャは年々充実しており、OS、ミドルウェア、データベースなどを対象に用意されています。
AWAFの特徴の1つは、WAFと負荷分散機能を単一のプラットフォームで利用できることです。年々ネットワーク構成が複雑化する中で
も、シンプルに導入でき、その際に必要なサイジングの情報も提供されています。
もう1つの特徴はSSL(HTTPS)のオフロードです。現在、インターネットを経由するトラフィックの多くがSSL化しています。経路の安全性確保という点では当然の傾向ですが、ネットワークの入り口で通信内容を精査し、攻撃やマルウェアが含まれていないかをチェックするには復号が必要です。AWAFは、独自の「SSLアクセラレータ」によって暗号通信をハードウェアで復号し、インライン形式で遅延なくトラフィックの内容を精査します。