F5 Networks、後からの修正が面倒なWebアプリのセキュリティに「包括的に対応」

Webアプリケーションの脆弱性を修正するには大きなコストを要する。米F5 Networksの幹部が来日し、そのコストを抑制する手助けをしたいと語った。

[高橋睦美，ITmedia]

　「アプリケーションレベルのセキュリティは、いま、大きな問題になりつつある。多くのベンダーではネットワークレベルのセキュリティ機器を提供しているが、この問題に対処するには、それだけでは不十分だ」――米F5 Networksのセキュリティ・ビジネス・ユニット担当上級副社長、ジェフ・パンコティン氏が来日し、アプリケーションレベルのセキュリティの重要性について語った。

　現在、多くの企業がファイアウォールやIDS／IPSといったセキュリティ機器を導入している。しかし、こうしたネットワークレベルの防御では「Webアプリケーションで利用されるポート80番、443番のトラフィックについては、たとえ悪意ある内容が含まれていてもチェックされることなく素通りしてしまう。エンドポイント（端末）のコントロールも困難だ」と、パンコティン氏は指摘する。

「XMLのセキュリティにも関心を持っている」と述べたパンコティン氏

　同氏によると、セキュリティは大きく3つの分野に分類できるという。

　1つめは、エンドポイント（端末）のセキュリティ。いわゆるウイルスやワーム、スパイウェアといった問題だ。事件の数は多いが、アンチウイルスソフトなどを導入し、きちんと運用すれば、少ないコストで的確に対処できる。2つめは、不正アクセス対応に代表されるネットワークレベルのセキュリティである。利用できるサービスやプロトコルの広がりに伴い複雑さが増している部分だが、これもファイアウォールやIPSによって対処が可能だ。

　最も対処が難しいのが、3つめのアプリケーションレベルのセキュリティだ。「数こそ少ないが、それぞれの対処は非常に難しい」（パンコティン氏）。

　というのも、残念ながら「ビジネスアプリケーションの多くはセキュリティの専門家が開発しているわけではない。開発担当者は機能や納期、パフォーマンスに追われており、セキュリティは後回しになりがちだ。しかし、セキュリティ問題を修正するにはアプリケーションを書き直す必要があり、それには膨大なコストと手間がかかる」（同氏）。

　事実、ある航空会社でWebサイトのセキュリティをチェックしたところ、クロスサイトスクリプティングやコマンドインジェクションといった重大な問題が発見された。そして一連の脆弱性を修正するには「1年の期間と数百万ドルのコストが必要になると見積もられた」（同氏）という。

「包括的」なアプリケーションセキュリティを提供

　これに対しF5 Networksでは、アプリケーションファイアウォール製品の「TrafficShield」とSSL VPNアプライアンス「FirePass」の組み合わせを通じて、アプリケーションセキュリティを提供し、「アプリケーションの問題に対処するためのコストを抑える」（パンコティン氏）という。

　最近になってようやく複数のアプリケーションファイアウォールが登場してきたが、TrafficShieldのユニークな点は、「悪いものをブロックする」というモデルではなく、「適切なものしか通さない」というアプローチを採用していることだ。あらかじめ定めた条件に合致したトラフィックしか通さない「ポジティブ・セキュリティ・モデル」により、新種の攻撃やちょっと手口を変えただけの亜種についても対処が可能という。

　処理が高いレイヤになればなるほど、パフォーマンスへの影響が懸念されるが、TrafficShieldはASICやネットワークプロセッサに頼らず、Intelの汎用プロセッサを採用している。

　その理由をパンコティン氏は次のように説明する。「レイヤ4までのネットワーク層の処理ならば挙動が予測できるため、ASICのほうが高速で合理的だ。しかしレイヤ7での処理には常に新しい要素が加わり、変化する。こういった高いレイヤで判断を下すには、ソフトウェアの力が必要だ」。その上で、複数のプロセッサを搭載することにより、パフォーマンスの強化を図っているという。

　アプリケーションセキュリティの別の面を支えるのが、SSL VPNアプライアンスのFirePassだ。ネットワークへのリモートログインを許可する前に、アクセスしてくる端末のセキュリティ状況を検査し、それに基づいてアクセス制御を行うとともに、やり取りされるデータの中にアプリケーションレベルの攻撃が含まれていないかをチェックする。これにより、エンドポイントのセキュリティも保障できるという。

　パンコティン氏はこれら2つの製品を組み合わせることによって、「SSL VPNだけでもなく、アプリケーションファイアウォールだけでもない、エンドツーエンドの包括的なアプリケーションセキュリティを提供できる」と述べた。既に報じられているとおり、年内には、これらの機能を1つのプラットフォームに統合していく計画である。

　ただ、P2Pアプリケーションやインスタントメッセンジャーといった、新たな「経路」への対処は今後の課題だ。「1つの製品ですべてを実現できるわけではない。ネットワークレベルの防御とアプリケーションレベルの防御、エンドポイントのセキュリティを組み合わせることで、より堅牢なセキュリティが実現できる。これこそ『階層的防御』だ」（パンコティン氏）。