管理者の立場で考えるWebアプリケーションセキュリティとは(シマンテック・ウェブサイトセキュリティ) | ScanNetSecurity
2024.03.29(金)

管理者の立場で考えるWebアプリケーションセキュリティとは(シマンテック・ウェブサイトセキュリティ)

Webアプリケーションの脆弱性が相次いで発見され、ネットや新聞などのメディアで大きく取り上げられている。

特集 特集
Webアプリケーションの脆弱性が相次いで発見され、ネットや新聞などのメディアで大きく取り上げられている。

脆弱性対策に追われる現状から脱却するソリューションとして、注目を集めているのが導入や運用が容易な「クラウド型WAF」だ。今回は、ウェブセキュリティのスペシャリストとしてクラウド型WAFを提供している合同会社シマンテック・ウェブサイトセキュリティのTrust Services プロダクトマーケティング部 上席部長の安達徹也氏に、クラウド型WAFについて2回にわたり話を聞いた。


―― WAFが注目されている背景について教えてください

標的型攻撃をはじめとする、企業を狙うサイバー攻撃が増加しています。また、その攻撃対象は従来の大企業から中堅・中小企業にシフトしています。中堅・中小企業は、大企業の関連会社であったり下請け会社であったりするケースが多いので、セキュリティ対策の不十分なところを攻撃して、本丸である大企業への攻撃の足がかりにするのです。

Webアプリケーションへの攻撃は、以前からあるSQLインジェクションが多くを占めています。SQLインジェクションが成功すればデータベースの情報を引き出すことができるので、現在でも有効な攻撃となっています。また、パスワードリスト攻撃など巧妙な手法も目立っています。さらには、昨年から今年にかけてApache Struts の脆弱性を攻撃するプログラムが発見されて、IPAが注意喚起するといったことがありました。


このような背景から、Webアプリケーションへのセキュリティ対策が急務となっていますが、このレイヤは従来の対策であるファイアウォールやIPSでは守りきることができません。そこに対応しているのが、WAF(Web Application Firewall)なのです。しかし、まだまだ認知や普及が進んでいないのが現状です。


――WAFの普及が進まない理由は

Webアプリケーションのセキュリティ対策のためにWAFを検討するケースは多いのですが、高価であることと運用負荷が高いことから導入を見送られてしまうのです。たとえば、WAFはシグネチャによって攻撃を検出するので、新たな攻撃が発生したときにはシグネチャを追加したり修正したりする必要があります。この作業には高いスキルが求められます。

しかも、単純にシグネチャを追加していくだけでは誤検知が発生する可能性があり、これをエンドユーザ側で1つずつ判断するのは至難の業です。また、無作為にシグネチャを追加するとWAFのパフォーマンスに影響を与える可能性があります。

また、「ウチはIPSを入れているから大丈夫」という声も聞かれます。確かにIPSもWAFも同じゲートウェイセキュリティ製品ですが、保護できるレイヤに違いがあります。一般的なIPSはWebアプリケーションのレイヤに対応していません。Webアプリケーションに対応したIPSもありますが、検知率に大きな差があります。WAFはファイアウォールやIPSと置き換えられるものではないのですが、こちらに対して誤った認識を持っている方もいます。


――「シマンテック クラウド型 WAF」について教えてください

WAFには、オンプレミス型とソフトウェア型、そしてクラウド型があります。「シマンテック クラウド型 WAF」は文字通りクラウド型のWAFです。既存環境に新しく機器を設置したり、Webアプリケーションに大きな変更を加えたりすることなく導入できるのが最大のメリットです。導入側での作業はDNSの切り替えのみ(※)となっており、最短で1週間で導入できたケースもあります。
編集部注:ウェブサイトによっては、その他の変更が必要なこともあります。

また、安価であることも特徴です。従来型のWAFでは、機器の購入費用、設計・構築費用、導入前トレーニング費用など、高額な初期費用が発生します。また、年間単位で機器の保守費用がかかりますし、ウェブサイトの設定変更やWAFのファームウェア更新時にはメンテナンス費用も必要になります。「シマンテック クラウド型 WAF」はサービスとしてWAFを提供するため、初期費用と利用料のみで、複数台の冗長構成環境を利用できます。年額約34万円から提供することが可能です。

また、運用も容易です。機器そのものの保守はもちろん、運用課題になりがちなシグネチャの導入とチューニングは、すべてクラウドサービス側が実施します。シグネチャは年間100回以上更新しているため、常に最新の脆弱性や攻撃手法に対応しています。同様の運用を従来型のWAFで実施しようとすると非常に運用負荷がかかるでしょう。さらに、複数台の冗長構成環境となっているため、通信の可用性が保たれるだけでなく、常に最新のシグネチャを適用可能です。たとえば昨年から複数回にわたって公開された「Apache Struts 2(Apache Struts 1も含む)」の脆弱性にもサービスの断なく素早く対応しました。

こういった脆弱性への対応を、従来のセキュリティ対策で対応することはできずオンプレミス型・ソフトウェア型のWAFで行うことは、非常に大きな作業負荷がかかります。しかも多くのサイトを公開していれば、サイトごとに対策を行わなければなりません。「シマンテック クラウド型 WAF」であれば、多数のサイトに一括対応することが可能です。

検知精度の高さも「シマンテック クラウド型 WAF」の特徴です。インバウンドとアウトバウンドの双方向のトラフィックを見て攻撃ブロック・モニタの判断をするため、高い検知精度を実現しながら誤検知の発生を低く抑えています。


――ありがとうございました。次回は実際の導入例についてお聞かせください
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×