|
 |
|
変化・拡大するWebサイト
  Webアクセスをセキュアに維持する為には、WebアプリケーションやWebサーバー自体に存在する脆弱性への対応が必要であるということは既に多くのユーザが認識しています。
【 図1 安全なWebサイトのための予防策
】で示すように、安全な開発のもと、監査・改修を継続することが大事となってきます。しかし、日々、変化・拡大するWebサイトを守りきるためには、この予防策だけでは不十分なのです。
|
|
|
 |
開発の段階で将来のセキュリティホール等を検知することはできない |
|
|
Webサイトの変更の度に全ての脆弱性監査を行うことは難しい |
|
|
一つでも脆弱性の見落としがあった場合は、そこから攻撃されてしまう |
|
|
開発ツール(パッケージ)自体が脆弱な可能性もある |
|
|
古くから存在するサイトに今さら手をつけることができない |
|
|
時間、予算がない |
そこで、これらの問題点を解決するために、Webアプリケーションファイアウォール(WAF)による防御策の実施が必要となってくるわけです。WAFはWebアプリケーションを狙う攻撃に特化した防御製品であり、ファイアウォールやIPSでは対応しきれないWeb攻撃を防ぐことができます。
|
|
 |
|
Webアプリケーションファイアウォール(WAF)とは?
Webアプリケーションファイアウォール(WAF)とは、【 図2 ファイアウォールでは防げない攻撃 】で示しました通り、ファイアウォールやIPS等では防ぐことができないWebアプリケーションを狙う攻撃に特化した防御製品です。WebアプリケーションやWebサーバーをターゲットとしたネットワーク攻撃は、【
>> インシデント事例解説 >> Webアプリケーションの「脆弱性を狙う」とは?
】にて一部をご紹介しました通り、その手法や被害は多種多様にわたります。またそれらの手法や攻撃ツールは日々進化増大していきます。WAFはWebアプリケーションへのアクセスを仲介して、これらの攻撃を一元的にブロックします。WAFの防御テクノロジーとして「ブラックリスト」と「ホワイトリスト」というものがありますが、攻撃や手法をデータベース化し、マッチングして攻撃を判断・ブロックするブラックリスト方式はWAFの要となります。このブラックリストが優秀か否かはその製品の品質そのものに直結してくるといえるでしょう。
|
※ |
「SiteGuard」は、国内屈指のネットワーク・セキュリティ・プロフェッショナル集団である株式会社ラックによって、解析・チューニングされた「トラステッド・シグネチャ」を搭載しています。 |
|
|
|
 |
|
|
Webアプリケーションへの攻撃を防御
【 図3
Webアプリケーションを狙う攻撃に特化 】のとおり、昨今その被害が問題となっています「SQLインジェクション」や「クロスサイトスクリプティング」といった攻撃はファイアウォールやIPSでは完全に防ぐことは難しく、その対策としてWAFによる防御対策が必要となってくるのです。
|
|
【 図4 WAFによる攻撃の防御
】の例では、攻撃者はユーザIDの後ろにデータベースへアクセスする為の文字列を入力し、不正アクセスを試みようとしています。ファイアウォールをすり抜けてきたこの攻撃を、WAFが水際で検知・ブロックしWebアプリケーションやデータベースへの
不正アクセスをブロックします。
|
|
|
このように、WAFはWebアプリケーションやWebサーバーへの攻撃対策に特化した防御製品です。勿論、WebアプリケーションやWebサーバー等をセキュアに開発・維持することも大事であることに変わりませんが、両者の共存・補完によってよりセキュアなWebシステムを維持することができるのです。
|
WAFとは
