日経SYSTEMSがWAFの実力を検証

title001

ウェブアプリケーションに対する攻撃が日々増加している中、日経SYSTEMS誌は、特に実際の被害が相次いでいる「SQLインジェクション」攻撃に焦点を当て、WAF製品がどのくらい効果を発揮するのか、市販のWAF5製品を用いて独自検証を行った。「SiteGuard」もこの比較・検証の対象5製品の一つとして選定され、ラボのテストにおいて見事その実力を発揮することができた。他4製品の実名は本 ウェブ記事では公開を避けるものとするが、「SiteGuard」は5製品の中において、≪唯一のソフトウェア製品≫かつ≪唯一の日本国産製品≫であったことを特筆しておく。

以下に、ラボにおける比較・検証の結果を簡易レポートとしてまとめるが、WAF製品を疑問視している方も、あるいはその必要性に基づき製品選定に悩んでいる方も、是非「日経SYSTEMS 3月号」内の同記事を確認いただき、指針の参考としてほしい。

three_12_nv_sq 本内容は、日経ITPro Dataにも掲載されています。

2009年3月


title002

表1は、文字列型、数値型等の5種類のSQLインジェクション攻撃に対して、各WAF製品が攻撃を検知し、遮断できるかどうかを検証した。表に示すとおり、各攻撃をスルーした製品がある中で、「SiteGuard」は設定変更の不要な初期値設定状態で見事に全てを遮断した。

spre_01

また、SQLインジェクションの手法を用いて、データベースの属性情報やデータを搾取・ 改ざんする機能を持つ「HDSI2.2」と「Pangolin1.3」というツールを使っての検証も行われた。(表2)

spre_02

この結果は、製品毎の大きな差異は発覚しなかった。勿論「SiteGuard」はデフォルト設定で遮断している。


title003

WAFの防御機能として「ホワイトリスト」と「ブラックリスト」という2種類の考え方がある。記事では、「ホワイトリストでは守りきれない」「ブラックリストが最後のとりで」と謳い、ブラックリストの重要性に着目している。「ホワイトリスト」は細かな適時の設定更新が必要であり、また、「ホワイトリスト」では対応しきれない≪入力フォーム≫に対する文字列攻撃を防ぐには、どうしても「ブラックリスト」によるバターン・マッチングによる対応が必要となってくるからだ。

「SiteGuard」も、自己学習機能を装備したホワイトリストの作成機能を備えているが、同製品の最大の特徴であるラック社によってチューニングされた国産の「ブラックリスト = トラステッド・シグネチャ」も持ち合わせている。


title004

攻撃検知漏れをなくすために、必要な正常アクセスまで遮断されてしまっては意味がない。この一線がWAF製品の性能の生命線なのかもしれない。

網羅的な検証は困難であるが、同誌における、攻撃と誤解されそうな文字列をフォームに入力するテストでは、「SiteGuard」を含むブラックリスト型製品は正常と判断したものの、それ以外のホワイトリスト重視型3製品では過剰検知をする結果となった。(表3)

spre_03


記事の中では、「ウェブアプリケーションの脆弱性の全てを根絶することは極めて困難」と示している。これは、改良、機能拡張、ページ変更/更新が常に行われ続けるウェブサイトでは、脆弱性の確認や修正等の対応を完全に行うことはできないという物理的現実があるからだろう。
また、一方でWAF製品だけでも、全ての攻撃を防げるとは断言できないことも主張している。ただ、検証結果において一定の効果を裏付けたことは事実であり、脆弱性対策とWAF製品の導入による相互補完において、効率的なウェブアプリケーションのセキュリティが保たれるということであろう。

編集:櫻井 秀