Webの弱点を狙う攻撃へ対処するWAFという選択肢：ネットサービスや顧客情報を守る防火壁

Webサーバやアプリケーションの脆弱性を狙う不正アクセスが激増し、サイト改ざんや重要情報の盗難などの被害が多数発生している。脆弱性を修正するには多大な時間やコストを伴うが、こうした課題に効率的に対処する手段として注目されているのが「Webアプリケーションファイアウォール（WAF）」である。

[PR／ITmedia]

PR

過去最大規模の攻撃

　インターネットを利用した通信販売やオンラインバンキングサービス、ソーシャルネットワーキングサービス（SNS）に代表されるWeb 2.0型サービスが普及し、近年はWebを通じて個人情報をやり取りする機会が増えている。また、企業の業務システムとしても、SaaS（サービスとしてのソフトウェア）などの台頭で、Webを介してビジネスの重要なデータを処理する機会が拡大しつつある。

　こうしたサービスを提供するWebアプリケーションは、すでに重要インフラとも言える存在だが、Webアプリケーションに存在するSQLインジェクションやクロスサイトスクリプティングといった脆弱性を標的にして、システムへの不正アクセスを試みる攻撃が激増している。

　セキュリティ会社のラックによれば、2008年に観測された国内のWebサイトに対するSQLインジェクション攻撃の件数が2007年に比べて61倍に増加した。特に2008年12月には月間1500万件以上という過去に類を見ない規模の攻撃が発生し、個人・一般企業から官公庁に至るまでの多数のWebサイトが標的になったという。

　こうした攻撃では、Webコンテンツの改ざんや、システムに保存されている重要情報の盗難などの被害を受けることが多い。特に前者の場合は、攻撃を仕掛けた第三者がサイト利用者を不正サイトに誘導するためのリンクを密かに埋め込み、閲覧者をマルウェアに感染させてコンピュータから重要情報を盗み出したり、不正に操作したりするなどの行為に及ぶ。

　改ざんされたWebサイトは、被害者であると同時に、サイト運営者が意図することのないまま加害者にもなってしまう。攻撃によって改ざんが見つかれば、直ちにサービスを停止して顧客への周知やシステム改修を実施しなければならず、多大なコストが発生する。Webを主要事業としている企業では、死活問題につながりかねない重大な課題である。

「WAF」という名の防火壁

　攻撃者がWebアプリケーションの脆弱性を狙う背景には諸説あるが、主な理由として先に挙げたインターネットサービスの普及や、攻撃者が既存のセキュリティ対策を容易に回避できる点などがあるとみられている。

　従来、ネットワークを経由した不正アクセスに対処する手段としてはファイアウォールが有効な手段とされてきた。しかし、Webアプリケーションの脆弱性を標的にする不正アクセス攻撃は、インターネットを通じてランダムな場所から行われることが多く、ファイアウォールのように特定のプロトコルやポート単位でブロックすることが非常に難しい。このため、Web経由の不正アクセス対策に主眼を置く対策として、「Webアプリケーションファイアウォール（WAF）」が登場した。

　WAFは、Webサーバの前面に配置されるもので、WebブラウザとWebアプリケーションの間に介在してアプリケーション単位で通信を監視する。両者が交わすHTTP／HTTPSなどの通信内容を解析し、ユーザーが任意指定するホワイトリストやベンダーが提供するシグネチャのブラックリストを用いて、SQLインジェクションやクロスサイトスクリプティングといった脆弱性を悪用する不正なリクエストを検出し、通信自体を遮断する仕組みだ。

　WAFの提供形態にはソフトウェア型とハードウェア型（アプライアンス）がある。ソフトウェア型では、Webサーバなどと同一のハードウェア環境にインストールできるため、システム構成を小さくできるなどのメリットがある。アプライアンス型ではハードウェアベースで通信を処理するため、トラフィックのパフォーマンスを大きく損なわずに済むほか、負荷分散やコンテンツキャッシュなどの機能を併せて提供する製品も多く、サービス品質とセキュリティを両立できるといったメリットがある。

WAF導入を環境改善のきっかけに

　Webアプリケーションの脆弱性を狙う不正アクセスに対処する際に、「担当者が誰になるのか」という問題も起こる。不正アクセスに備える役割はネットワーク管理者の範囲になると思われがちだが、原因となる脆弱性はアプリケーション開発側の領域であり、明確に切り分けられないケースがほとんどだろう。WAFはこの境界を埋めることができるセキュリティ対策である。

　Webアプリケーションのセキュリティを本質的に高めていくには、やはりアプリケーション自体の脆弱性を可能な限り解消することが唯一の方法である。これには時間や人手、金額などの多大なコストを伴うことが多いが、まずWAFを導入して外部からの不正アクセスを遮断し、その間に脆弱性を解消していくというアプローチを取ることもできるだろう。

　このように、WAFは不正アクセスなどの直接的な攻撃からWebアプリケーションを守るだけでなく、アプリケーションの信頼性や品質の向上を実現していくためのきっかけや時間を提供する多彩な「防火壁」としての役割を果たすのである。

ソリューションFLASH Pick UP！

Barracuda Web Application Firewall

Web Application Firewall（WAF）を選ぶ上では、ソリューションとしての機能だけでなく導入・運用が容易であることが大きなポイントだ。バラクーダのWAFアプライアンス製品群は、導入が迅速、容易であるだけでなく、運用の負担を軽減する点も追求しているという。

Citrix Application Firewall

「Web Application Firewall（WAF）」は、単純にSQLインジェクション・クロスサイトスクリプティングを防げればいいというものではない。絶えず進化し続けているWebアプリケーションに対する攻撃を防御し、さらに次世代ネットワークにも対応したWAFアプライアンスがある。