管理者の立場で考えるWebアプリケーションセキュリティとは(シマンテック・ウェブサイトセキュリティ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.20(月)

管理者の立場で考えるWebアプリケーションセキュリティとは(シマンテック・ウェブサイトセキュリティ)

特集 特集

Webアプリケーションの脆弱性が相次いで発見され、ネットや新聞などのメディアで大きく取り上げられている。

脆弱性対策に追われる現状から脱却するソリューションとして、注目を集めているのが導入や運用が容易な「クラウド型WAF」だ。今回は、ウェブセキュリティのスペシャリストとしてクラウド型WAFを提供している合同会社シマンテック・ウェブサイトセキュリティのTrust Services プロダクトマーケティング部 上席部長の安達徹也氏に、クラウド型WAFについて2回にわたり話を聞いた。


―― WAFが注目されている背景について教えてください

標的型攻撃をはじめとする、企業を狙うサイバー攻撃が増加しています。また、その攻撃対象は従来の大企業から中堅・中小企業にシフトしています。中堅・中小企業は、大企業の関連会社であったり下請け会社であったりするケースが多いので、セキュリティ対策の不十分なところを攻撃して、本丸である大企業への攻撃の足がかりにするのです。

Webアプリケーションへの攻撃は、以前からあるSQLインジェクションが多くを占めています。SQLインジェクションが成功すればデータベースの情報を引き出すことができるので、現在でも有効な攻撃となっています。また、パスワードリスト攻撃など巧妙な手法も目立っています。さらには、昨年から今年にかけてApache Struts の脆弱性を攻撃するプログラムが発見されて、IPAが注意喚起するといったことがありました。


このような背景から、Webアプリケーションへのセキュリティ対策が急務となっていますが、このレイヤは従来の対策であるファイアウォールやIPSでは守りきることができません。そこに対応しているのが、WAF(Web Application Firewall)なのです。しかし、まだまだ認知や普及が進んでいないのが現状です。


――WAFの普及が進まない理由は

Webアプリケーションのセキュリティ対策のためにWAFを検討するケースは多いのですが、高価であることと運用負荷が高いことから導入を見送られてしまうのです。たとえば、WAFはシグネチャによって攻撃を検出するので、新たな攻撃が発生したときにはシグネチャを追加したり修正したりする必要があります。この作業には高いスキルが求められます。

しかも、単純にシグネチャを追加していくだけでは誤検知が発生する可能性があり、これをエンドユーザ側で1つずつ判断するのは至難の業です。また、無作為にシグネチャを追加するとWAFのパフォーマンスに影響を与える可能性があります。

また、「ウチはIPSを入れているから大丈夫」という声も聞かれます。確かにIPSもWAFも同じゲートウェイセキュリティ製品ですが、保護できるレイヤに違いがあります。一般的なIPSはWebアプリケーションのレイヤに対応していません。Webアプリケーションに対応したIPSもありますが、検知率に大きな差があります。WAFはファイアウォールやIPSと置き換えられるものではないのですが、こちらに対して誤った認識を持っている方もいます。


――「シマンテック クラウド型 WAF」について教えてください

WAFには、オンプレミス型とソフトウェア型、そしてクラウド型があります。「シマンテック クラウド型 WAF」は文字通りクラウド型のWAFです。既存環境に新しく機器を設置したり、Webアプリケーションに大きな変更を加えたりすることなく導入できるのが最大のメリットです。導入側での作業はDNSの切り替えのみ(※)となっており、最短で1週間で導入できたケースもあります。
編集部注:ウェブサイトによっては、その他の変更が必要なこともあります。

また、安価であることも特徴です。従来型のWAFでは、機器の購入費用、設計・構築費用、導入前トレーニング費用など、高額な初期費用が発生します。また、年間単位で機器の保守費用がかかりますし、ウェブサイトの設定変更やWAFのファームウェア更新時にはメンテナンス費用も必要になります。「シマンテック クラウド型 WAF」はサービスとしてWAFを提供するため、初期費用と利用料のみで、複数台の冗長構成環境を利用できます。年額約34万円から提供することが可能です。

また、運用も容易です。機器そのものの保守はもちろん、運用課題になりがちなシグネチャの導入とチューニングは、すべてクラウドサービス側が実施します。シグネチャは年間100回以上更新しているため、常に最新の脆弱性や攻撃手法に対応しています。同様の運用を従来型のWAFで実施しようとすると非常に運用負荷がかかるでしょう。さらに、複数台の冗長構成環境となっているため、通信の可用性が保たれるだけでなく、常に最新のシグネチャを適用可能です。たとえば昨年から複数回にわたって公開された「Apache Struts 2(Apache Struts 1も含む)」の脆弱性にもサービスの断なく素早く対応しました。

こういった脆弱性への対応を、従来のセキュリティ対策で対応することはできずオンプレミス型・ソフトウェア型のWAFで行うことは、非常に大きな作業負荷がかかります。しかも多くのサイトを公開していれば、サイトごとに対策を行わなければなりません。「シマンテック クラウド型 WAF」であれば、多数のサイトに一括対応することが可能です。

検知精度の高さも「シマンテック クラウド型 WAF」の特徴です。インバウンドとアウトバウンドの双方向のトラフィックを見て攻撃ブロック・モニタの判断をするため、高い検知精度を実現しながら誤検知の発生を低く抑えています。


――ありがとうございました。次回は実際の導入例についてお聞かせください
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×