ウェブサイトには外部からの不正アクセスによるコンテンツ改ざんや情報流出などの脅威が存在します。昨今の高度なサイバー攻撃からウェブサイトを保護するにはWAFの活用が有効です。

WAFとは

Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ製品です。ウェブアクセスに介在し、パケット単位の検査ではなく、プロトコルレベルで解析・検査を行うことで、多様な攻撃を高い精度で検出・防御することができます。

WAF概要

ウェブサイトにおける脆弱性の有無とは独立した形で防御機能を提供するため、仮に脆弱性の存在するシステムであっても、WAFがセーフティネットの役割を果たします。

ウェブアプリケーションの脆弱性対策はもちろんのこと、Apache Struts等のミドルウェアや、WordPressに代表されるCMS(コンテンツマネジメントシステム)の保護にも大変有効です。不正アクセスによる被害を未然に防止する役割に加え、攻撃状況を可視化する効果もあります。

純国産ソフトウェア型WAF「SiteGuardシリーズ」

JP-Secureが提供するSiteGuard(サイトガード)シリーズは、高い防御性能とユーザビリティを両立する、ソフトウェア型のWAF製品です。オンプレミスやクラウドなどのインフラを問わず、システム環境にあわせて柔軟に導入することができます。

SiteGuardが選ばれる理由2

セキュリティの専門家でない方でも安心してお使いいただけるよう、使いやすさを追求した設計をしており、国産ならではの高品質なサポートも特長です。

セキュリティ要件の厳しい官公庁や金融機関をはじめとして、今では100万を超えるWebサイトに導入されている、国内利用サイト数No.1の純国産製品です。

 

システム環境に応じて選択できる2種類の製品

SiteGuardシリーズにはホスト型WAF「SiteGuard Lite」とゲートウェイ型WAF「SiteGuard」の2製品があります。ネットワーク構成やシステム要件に合わせて選択可能です。

SiteGuardシリーズ2

ホスト型WAF「SiteGuard Lite」(サイトガードライト)

SiteGuard Liteは、ウェブサーバーのモジュールとして動作するホスト型WAF製品です。Webサーバー自体にインストールするため、専用ハードウェアが必要ありません。ネットワーク構成を変更せず、できるだけシンプルに導入したいお客様に最適な製品です。

SiteGuard Liteの詳細へ

ゲートウェイ型WAF「SiteGuard」(サイトガード)

SiteGuardは、リバースプロキシとして動作するゲートウェイ型WAF製品です。多機能型WAFとして、細かなカスタマイズを行うことができます。ウェブサーバーと独立した構成で、複数のウェブサーバーを一元的に保護したいお客様に最適な製品です。

SiteGuardの詳細へ

従来型のファイアウォールやIDS/IPSとの違い

ウェブサイトに対する攻撃の多くで、ウェブアプリケーションの脆弱性が悪用されています。

ネットワークレイヤでアクセス制御(IPアドレスやポート番号)を提供する従来型のファイアウォールは、アプリケーションレイヤの攻撃を検出することができません。

一般的にIDS/IPSは、ウェブサイトを守ることに特化した製品ではなく、広い範囲でのサーバーやネットワークへの侵入検知を目的としています。一方WAFは、ウェブアプリケーション(および一部ミドルウェア)専用のシグネチャ(攻撃パターンのデータベース)を備え、ウェブアクセスを詳細に解析・検査するため、検出精度に優れています。

例えば、対策の重要性が極めて高いSQLインジェクション攻撃は、その攻撃パターンが多岐にわたるため、単純な○×だけで対応を評価することはできません。SiteGuardシリーズはSQLインジェクション関連だけで100種類以上のシグネチャを標準実装するなど、その防御性能には定評があります。

また、WAFはプロトコルレベルで通信を処理する性質上、検出精度に優れるだけでなく、アクセス元へ警告ページを送信するなど、ウェブサイトの円滑な運営を支援する様々な機能も備えています。

警告ページ

活用範囲の広がるWAF

SiteGuardシリーズは、業種や規模、個人情報の有無によらず、様々なお客様サイトで活用いただいています。元々WAFはウェブアプリケーションなど動的コンテンツを扱うサイトで特に効果的なソリューションですが、最近では静的コンテンツ(html等)のみのサイトでも導入される傾向があります。

企業・団体でのWAF活用が進む一方、多くの低価格な個人向けレンタルサーバーでもWAF機能の標準化が一般化しています。PCIDSS(Payment Card Industry Data Security Standard)への準拠や、組織内セキュリティポリシーにおけるWAF活用のルール化など、WAFのニーズが高まっています。

WAFでウェブサイトの事故を防止

ウェブサイトを介したセキュリテイ事故は様々ありますが、代表的な被害に改ざんと情報漏えいがあります。これらは、情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2017(組織)」において3位と6位に挙げられています。

情報セキュリティ10大脅威2017(組織)

  1. 標的型攻撃による情報流出
  2. ランサムウェアによる被害
  3. ウェブサービスからの個人情報の窃取
  4. サービス妨害攻撃によるサービスの停止
  5. 内部不正による情報漏えいとそれに伴う業務停止
  6. ウェブサイトの改ざん
  7. ウェブサービスへの不正ログイン
  8. IoT機器の脆弱性の顕在化
  9. 攻撃のビジネス化(アンダーグラウンドサービス
  10. インターネットバンキングやクレジットカード情報の不正利用

出典:IPA「情報セキュリティ10大脅威 2017」(外部サイト)

改ざんは、サイトの表示内容が目に見える改ざんだけでなく、密かにマルウェアサイトへ誘導される改ざんなど手法が巧妙化しています。情報漏えいは、個人情報などの機密情報を保有するウェブシステムで、ウェブアプリケーションの脆弱性を悪用してデータベースへ不正にアクセスされ、情報が搾取される事故が多発しています。

WAFは、このような被害を未然に防止するための大変有効なソリューションです。

SiteGuardシリーズに関するお問い合わせはこちら044-201-4036受付時間:平日9:30~17:30

お問い合わせフォームご質問や資料請求、評価版など