WAF(Webアプリケーションファイアウォール)とは|なぜ、今、WAFが必要とされるのか

2018.10.15

WAF(Webアプリケーションファイアウォール)が必要とされる背景

Webアプリケーションの脆弱性を狙ったサイバー攻撃の増加

2018年8月、オープンソースのJava Webアプリケーションフレームワークとして提供されているApache Struts2の特定バージョンにおいて、リモートで任意のコードが実行される脆弱性(CVE-2018-11776)が発見されました。この脆弱性が悪用された場合、サーバ上で任意のコードが実行される可能性があります。

Apche_struts2

IPAのWebサイトに掲載された、Apache Struts2の脆弱性情報

このApache Struts2のように、Webサーバ上で利用されるミドルウェアに脆弱性が発見されたとき、問題となるのは影響範囲が極めて大きい点でしょう。現在エンタープライズ領域では、外部に公開するWebサイトだけでも複数運用しているケースが珍しくないほか、社内で利用する業務システムなどにおいてもWebアプリケーション化が進んでいます。

このように数多くのWebサーバを運用している場合、それぞれで使われているミドルウェアの種類やバージョンを適切に把握、管理するのは容易ではありません。公表された脆弱性情報に基づき、すばやく対策を図るためには、各Webサーバで使われているミドルウェアの種類やそのバージョンを細かく記録するといった構成管理は欠かせません。しかし実際には、社内で利用しているWebサーバをすべて把握していない、あるいはミドルウェアのバージョンまでは管理できていないといったことが少なくないのが現状ではないでしょうか。

このような構成管理ができていなければ、脆弱性情報が発表されてから調査を開始することになり、対策を実施するまでにタイムラグが生じてしまいます。この間に攻撃を受ければ、Webサーバに蓄積している機密情報の漏えいなど、大きな被害を受けることにもなりかねません。

 

Webセキュリティ対策の必要性

個人情報漏洩事故は「Webサービスへの攻撃」が原因

サイバー攻撃による被害は「サービス停止」「売上機会の損失」「ブランドイメージの棄損」などにとどまらず、予期せぬ二次災害を起こす可能性もあります。

個人情報漏洩事故の多くが「Webサービスへのサイバー攻撃」によるものであり、IPA(独立行政法人情報処理機構)が発表した「2017情報セキュリティ10大事故」によると、情報セキュリティ10大脅威のうち半数以上が「Webサービスへの脅威」と明らかにされています。

これまでよく見られていたDDos攻撃や不正侵入、改ざんなどのサイバー攻撃からWebアプリケーションの脆弱性をついた攻撃へと傾向が変わっており、企業は新たなWebサービスへの脅威に対してセキュリティ対策が十分でないことが伺えます。

 

Webサーバの保護に特化したファイアウォール

Webサーバで使われるソフトウェアを狙った脆弱性以外にも、WebサイトやWebアプリケーションを狙った攻撃の手法は数多くあります。

  • ・SQLインジェクション

    •  Webアプリケーションの不備を突き、背後にあるデータベースの情報を不正に取得する攻撃

 

  • ・クロスサイトスクリプティング

    •  ウェブサイト上にある入力フォームに悪意のあるスクリプトを埋め込み、サイト訪問者の個人情報を盗み取る攻撃

 

  • ・OSコマンドインジェクション

    •  パラメータにOSコマンドを挿入し、プログラムに意図しないコマンドを実行させることを狙った攻撃

 

自社のWebサイトがマルウェアの配布に使われたといったケースも目立っています。具体的には、Webサーバに不正アクセスし、WebブラウザでアクセスするとマルウェアをダウンロードするようにWebサイトの内容を改ざんします。このようなことが行われると被害者であると同時にマルウェアを拡散した加害者にもなり、アクセスした多くのユーザーに被害を与えることになってしまいます。

こうしたサイバー攻撃を防ぐために、積極的に活用したいのがWAF(Web Application Firewall)です。

WAFはWebサーバの保護に特化したファイアウォールです。Webサーバの前段で通信内容を解析し、登録されている攻撃パターンと一致すれば不正なアクセスであると見なして攻撃を遮断するといった処理を行います。

 

WAFとファイアウォール・IPS/IDSとの違い

同様にサーバのセキュリティ対策として使われるものとして、ファイアウォールやIDS/IPSもあります。ただファイアウォールは基本的にIPアドレスやポート番号を識別して通信を制御するものであり、HTTP/HTTPSといったプロトコルで行われている内容にまで踏み込んで通信を制御できないため、WebサーバやWebアプリケーションを狙った攻撃を検知することはできません。

一方、IDS/IPSは主に内部ネットワークへの不正侵入の検知、あるいはOSやその上で動作するアプリケーションソフトウェアの保護が対象です。Webサーバを対象とした攻撃にはIDS/IPSで防げるものもありますが、さらにその上位層で実行されるWebアプリケーションの保護はIDS/IPSでは不十分です。

このため、Webアプリケーションまで含めたWeb環境全体のセキュリティを強化したいのであれば、IDS/IPSだけで安心するのではなく、WAFの導入も検討するべきでしょう。また、最近増えているクラウド型サービスのWAFであれば、ハードウェア込みのアプライアンスとして提供されているものなどより手軽に導入することが可能なほか、導入コストを抑えられるメリットもあります。

 

WAFに特化したクラウドサービス

こうしたクラウド型WAFの1つであり、多くの企業で採用されているのが「攻撃遮断くん」です。Webサーバへのサイバー攻撃による情報漏えいやWebサイトの改ざん、さらにはDDoS攻撃を防ぐことも可能な高機能なWAFです。冒頭で紹介したApache Struts2の脆弱性を利用した攻撃を防げたほか、最新の攻撃手法にもいち早く対応しているため、仮にパッチの適用が間に合わなくても脆弱性を突いた攻撃を防げる可能性があり、WebサイトやWebアプリケーションのセキュリティを大幅に高められます。

リンクでは、物理サーバをクラウドサービスとして提供する「ベアメタルクラウド」で攻撃遮断くんを利用できる、「攻撃遮断くんマネージドサービス」を提供しています。個人情報の漏えいやWebサイトの不正改ざんを防ぐために、こうしたセキュリティサービスを積極的に活用しましょう。

wafマネージドサービス