ウェブアプリケーションに対する攻撃が日々増加している中、日経SYSTEMS誌にて、主要WAF5製品の防御性能に関する比較検証が行われました。SiteGuardも検証対象製品の一つに選定され、結果として最も高い評価を得ています。対象5製品のうち、SiteGuardのみが国産かつソフトウェア型の製品、他の製品はすべて海外製のアプライアンス型製品です。
ここでは、本検証記事の概要をご紹介しています。詳細については日経SYSTEMS(2009年3月号)誌内の同記事をご確認ください。
【外部サイト】
WAFでWebアプリの脆弱性を守れるか(ITpro)
SiteGuardのみがすべての攻撃をデフォルト設定で遮断
表1は、特に危険性の高いSQLインジェクション攻撃に焦点をあて、様々な攻撃パターンに対する各WAF製品の検出状況をテストした結果を示したものです。一部攻撃を検出できない製品がある中で、SiteGuardはデフォルト設定ですべてを防御できています。
(表1) | SiteGuard | 製品A | 製品B | 製品C | 製品D |
①文字列、情報窃取(4パターン) | ○ | ○ | ○ | ○ | ○ |
②文字列、改竄(3パターン) | ○ | ○ | ○ | △※1 | ○ |
③数値、情報窃取(2パターン) | ○ | ○ | △※2 | ○ | ○ |
④数値、改竄(2パターン) | ○ | ○ | △※2 | △※1 | ○ |
⑤最新の高度な攻撃(2パターン) | ○ | ○ | ×※3 | △※1 | × |
※1 初期設定では検知のみ。遮断するよう設定変更することによって全てをブロック。
※2 一部の攻撃が通過。設定変更によりブロック可能。
※3 一部の攻撃が通過。ファームウェアのバージョンアップにて対応予定。
また、SQLインジェクションの手法を用いて、データベースの属性情報やデータを搾取・ 改ざんする機能を持つ「HDSI2.2」と「Pangolin1.3」というツールを使っての検証も行われました。(表2)
(表2) | SiteGuard | 製品A | 製品B | 製品C | 製品D |
①HDSI | ○ | ○ | ○ | ○ | ○ |
②Pangolin | ○ | ○ | ○ | △※ | ○ |
※ 初期設定では一部の攻撃について検知のみ。遮断するよう設定変更することによってすべてをブロック。
ここでは製品毎に結果の違いはありませんでした。
ブラックリストの有効性
WAFの防御機能としてホワイトリストとブラックリストという2種類の考え方があります。本記事では、「ホワイトリストでは守りきれない」「ブラックリストが最後のとりで」と謳い、ブラックリストの有効性に着目しています。ホワイトリストは正しく活用できれば効果的である反面、ウェブコンテンツの更新にあわせてルールの変更が必要といった運用上の課題もあります。
SiteGuardは、柔軟な条件設定によるホワイトリストの作成機能を備えていますが、ブラックリスト型を重視し、高品質なトラステッド・シグネチャ(メーカー標準シグネチャ)による防御機能を核としています。
高精度を証明、過剰検知なし
攻撃の検出漏れをなくすために、正常アクセスまで遮断されては意味がありません。このバランスがWAF製品では重要です。本検証における「攻撃と誤解されそうな」文字列をフォームに入力するテストでは、SiteGuardを含むブラックリスト型製品は正常と判断(通信を止めずに通過)できましたが、それ以外のホワイトリスト重視型3製品では過剰検知が発生する結果となりました。(表3)
(表3) | SiteGuard | 製品A | 製品B | 製品C | 製品D |
①「union」、「select」※1 | ○ | × | ○ | × | ○ |
②「’」、「and」※2 | ○ | ○ | × | ○ | ○ |
※1 「union」、「select」というSQL文のキーワード(予約語)が二つ入っているテスト。
※2 「’」という特殊文字と「and」というSQL文のキーワード(予約語)が入っているテスト。
本記事は「ウェブアプリケーションの脆弱性のすべてを根絶することは極めて困難」と主張しています。これは、改良、機能拡張、ページ変更/更新が継続的に行われるウェブサイトでは、脆弱性の確認や修正等の対応を完全に行うこと、つまり「脆弱性ゼロ」を達成することが大変難しい点が背景にあります。一方で、WAF製品だけでもすべての攻撃を防げるとは断言できないことも主張しています。
脆弱性対策とWAF製品の活用をバランスよく行うことで、効率的にウェブアプリケーションのセキュリティを保つことができると弊社は考えています。