独自機能とステップアップでWebセキュリティを強化する術とは：新手のSQLインジェクション攻撃にも対応可能

「Web Application Firewall（WAF）」は、単純にSQLインジェクション・クロスサイトスクリプティングを防げればいいというものではない。絶えず進化し続けているWebアプリケーションに対する攻撃を防御し、さらに次世代ネットワークにも対応したWAFアプライアンスがある。

[PR／ITmedia]

PR

　Webアプリケーションの脆弱性を標的にする不正アクセス攻撃が激増し、「防衛手段をすぐに講じたい」という企業が増えている。Webアプリケーションを保護する手段として「Web Application Firewall（WAF）」への注目が高まっており、代表的な製品の1つである米Citrix Systemsの「Citrix Application Firewall」は、過去5年（※注）にわたってWAFを提供してきた実績・経験を活かし、最新の攻撃にも対処できる強みがあるという。

※注：旧Teros社時代含む

防御レベルを段階的に高める

　Citrix Application Firewallを提供するマクニカネットワークスは、金融機関や官公庁、オンラインショッピングサービスを運営する企業などを中心に、約150システム以上（2009年3月時点）を提供してきた。

　同社によれば、ユーザーはまずWebアプリケーションの脆弱性として代表的なSQLインジェクションやクロスサイトスクリプティングなどの攻撃から自社システムを保護したいという目的で同製品を検討するケースが多い。ただ、それだけでは脅威に対するセキュリティは十分ではないため、最新の攻撃にも対応できる機能をCitrix Application Firewallでは兼ね備えた。

　Citrix Application Firewallは正常な通信のみを通過させ、それ以外の通信は遮断するホワイトリスト方式に加え、あらかじめ精査されたブラックリストによってSQLインジェクションやクロスサイトスクリプティングの攻撃を制御する。また、バッファオーバーフローなどの脆弱性を突く攻撃に対処し、設定も容易にできる。さらに、外部に送信されるクレジットカード番号の情報や、電話番号などユーザーが任意に指定する重要情報を隠ぺいする機能もあり、情報漏洩を未然に防ぐことができる。これらの機能は、Webアプリケーションに対する主要な脅威をほぼ網羅しており、導入当初から自社のシステムを広範に保護できるのが特徴だ。

　さらにCookie改ざん、パラメータ改ざんといったハイレベルな攻撃についても防御したいユーザーの要望に対応している。例えば、新たな攻撃手法として2008年9月に発見されたCookieを悪用するSQLインジェクション攻撃にも、Cookieの一貫性を自動でチェックする独自機能によって対処できる。

　従来型のSQLインジェクション攻撃では、クライアントとサーバ間でやり取りされる「GET」や「POST」のオブジェクトに不正なSQLの文字列を埋め込むが、新たな攻撃手法は、Microsoft Internet Information ServicesのASPなどで使われる「Request」オブジェクトを悪用し、Cookieに不正なSQLの文字列を埋め込む。RequestではCookie情報も取得対象になるため、脆弱性が存在すればデータベースを不正に操作される恐れがある。

　この攻撃は、従来型のWAFやIDS／IPS（不正侵入検知／防御）システムなどのシグネチャで検知するのが難しく、対処できない場合がある。こうした新手の攻撃へ迅速に対処できるため、自社システムを高度な攻撃から保護したいという要望にも容易に対応できるのが特徴だ。

　このほか、Citrix Application FirewallはXMLインジェクションと呼ばれる攻撃に対応したWAF製品としても知られる。XMLインジェクションでは、クライアントとWebサーバ、XMLデータベース間で交わされるXMLの処理が不適切な場合にユーザー権限などを乗っ取られる恐れがあり、同製品ではこの脆弱性を突く狙いで不正に改ざんされたXMLを検出できるようにしている。

Web高速化・負荷分散・セキュリティ機能を1台に集約

　Citrix Application Firewallは、CitrixのWebアプリケーション高速化・負荷分散機能を提供する「NetScaler」と同一のアプライアンス筐体で運用することができる。

　NetScalerはWebアプリケーションの高速配信やWebシステムの負荷分散を図るためのソリューションとして知られるが、Citrix Application Firewallを組み合わせることでユーザーへのサービス品質を高めると同時に高レベルのセキュリティ環境を両立できるメリットがある。

　ネットワーク機器では、新たな機能を導入したい場合に専用の物理環境も併せて用意しなければならないケースが多いが、異なるハードウェアや設置スペースを追加する必要が一切ないため、導入コストを大幅に節約できる効果が得られる。

　Citrix Application FirewallとNetScalerはいずれもIPv6に対応済みであるため、今後「次世代ネットワーク（NGN）」のサービス拡大に伴ってIPv6環境が普及しても、既存の環境を大幅に変更することなく運用を続けることができる。

　このように、NetScalerは将来的にインターネットのサービス環境や脅威の内容が変化をしても、ユーザーに提供するサービス品質を維持したまま、セキュリティレベルを向上させることが可能なWAF製品である。しかし、導入や運用自体は非常に容易であり、ユーザーは導入当初に正常なトラフィックをホワイトリストに登録すれば、後は広範な脅威から自動的にシステムを保護できる。ユーザー自身が高度な防御環境を自由に構築したいのであれば、ライセンスを追加するだけでよい。

SQLインジェクション攻撃をブロックする設定を行う際は、チェックボックス内のチェックをONにするだけでよいため、導入が容易

　また、Citrix Application Firewallはクレジットカード業界のセキュリティ標準「PCI DSS（Payment Card Industry Data Security Standard）」にも準拠支援している。PCI DSSではクレジットカード情報を保護するために12項目の要件を定めているが、要件6においてWAFの導入が推奨されている。Citrix Application FirewallではPCI DSSに準拠したリポーティング機能を搭載しており、自社のクレジットカード情報に対する保護状況を容易に提示することもできる。

　インターネットを通じた脅威は今後も増加していくとみられるだけに、WAFは急場凌ぎのセキュリティ対策ではなく、中長期的に活用していくことが重要である。Citrix Application Firewall は、Webアプリケーションの保護とユーザーサービスを戦略的に高めていくのに有効な製品といえるだろう。

提供方法

　マクニカネットワークスでは、下表のように｢Basic｣｢Advance｣と2つのライセンス形態を独自に用意している。また、全国100拠点以上のオンサイト保守体制があるため、サポート面でも安心だ。

マクニカネットワークス独自のライセンス体系によって、セキュリティレベルを容易にステップアップすることができる

ホワイトペーパー ダウンロード

【WAF導入事例集】あなたのWebサイト、公開しても本当に大丈夫？

SQLインジェクションなどの攻撃で、機密情報流出のリスクが高まるばかりのWebサイト。強固で効率的なWebセキュリティ環境を構築したいなら、参考にしたいのはWebアプリケーションファイアウォールを導入した事例だ。

　クレジットカード情報や個人情報などのミッションクリティカルな機密情報を保有するWebサイトを、SQLインジェクションやクロスサイトスクリプティングなど急増する攻撃から防御するための対策は十分だろうか？
　ある日突然、情報漏えい事件の渦中にいることのないように、Webサイトのセキュリティ対策を再考したいところだ。　
　本資料では、シトリックスのWebアプリケーションファイアウォールでWebセキュリティ対策を施した企業のWAF製品の導入理由や、導入決定ポイントを簡潔にまとめている。
　効率的、かつ強固なWebセキュリティ環境づくりに活用できるWAFの有効な機能や、運用後の情報も記載。

TechTargetジャパンでより詳細な資料をダウンロードできます。