ファイアウォールやIPS/IDSでの対策では、Webアプリケーションの防御としては不十分です。それはなぜでしょう？

Webアプリケーションをインターネット上に公開するということは、世界中のユーザーがWebアプリケーションを閲覧、利用できるようになるということです。ビジネスチャンスが広がる一方、悪意のある攻撃者に狙われるリスクも高まります。Webアプリケーションを攻撃者から守る対策はどの企業も少なからず取っていますが、本当に十分でしょうか？

ファイアウォールやIPS/IDSは防御する対象が異なっている

ファイアウォールやIPS/IDSで外部からの不正アクセスやサイバー攻撃への対策をしている企業も多いでしょう。しかし、これらの方法では、Webアプリケーションへの攻撃は完全に防御できません。これらは、Webアプリケーションを防御することを目的とした製品ではないからです。その理由を見ていきます。

ファイアウォール

・外部からの不正アクセスやサイバー攻撃からネットワークを防御することを目的としたセキュリティー対策
・通信時にやり取りされる送信先、送信元のポートやIPアドレスからその通信を許可するかどうかを判断し、不正アクセスを遮断する
・ただし、通信の内容はチェックできない

IPS/IDS

・サーバーやネットワークの外部との通信や内部通信を監視することで不正アクセスを検知・防御
・送信元ポート・IPアドレスが正常なためファイアウォールを通過してしまったDDoS攻撃(Distributed Denial of Service attack／分散型サービス拒否攻撃)などの検知と防御が可能
・OSやミドルウエアなどを対象とし、Webアプリケーションは対象としていない

つまり、ファイアウォール、IPS/IDSはそれぞれ得意とする防御対象があり、Webアプリケーションは対象に含まれていないのです。

脆弱性対策も有効だが完全に防ぐのは難しい

悪意のある攻撃者はWebアプリケーションの脆弱性を狙ってきます。そのため、Webアプリケーションを攻撃から防御する対策として、セキュアプログラミングや脆弱性診断を行う、といった脆弱性対策が考えられます。

しかし、脆弱性を狙う攻撃者はあらゆる手を使い、新たな攻撃を仕掛けてくるため、セキュアプログラミングや脆弱性診断だけでは、ゼロデイ攻撃など対応できない場合も出てきます。また、セキュアプログラミングや脆弱性診断は非常に高度な専門性が必要で、自社で脆弱性対策を完全に行うのは難しいでしょう。

従来のウォーターフォール型の開発では、セキュリティー対策は開発完了後に行われることが多く、その時点で脆弱性が発見された場合、手戻りが発生します。上流工程でセキュアプログラミングを行っていれば、軽微な修正で済む可能性はあります。しかし、根本的な設計から修正をしなければならないとなると、リリース延期もしくは脆弱性を許容してリリースすることになりかねません。
この点において、Webアプリケーションのリリースサイクルを短縮し、柔軟な開発を可能にするDevOpsにセキュリティー対策を組み込むDevSecOpsの手法を取るとよいでしょう。

Webアプリケーションを防御する「WAF」

そこで注目されているのが「WAF」です。WAFは「Web Application Firewall」の略で、Webアプリケーションを防御するセキュリティー機器です。Webアプリケーションへの通信に不正なコードやコマンドが仕込まれていないかを監視することで、Webアプリケーションを攻撃から防御します。ファイアウォールやIDS/IPSでは防御しきれない攻撃もWAFなら対応が可能になります。

例えば、不正なSQL文を実行させ、データベース内の情報漏えいやデータの改ざんを引き起こす「SQLインジェクション攻撃」や、ユーザーのWebブラウザ上で悪意のあるスクリプトを実行させ、個人情報やCookie情報を搾取する「クロスサイトスクリプティング攻撃」を行うようなコードがWebアプリケーションへの通信に含まれていれば、検知や遮断を行います。

WAFにはアプライアンス型とSaaS型の2種類あります。特徴を見ていきましょう。

①アプライアンス型のWAF

アプライアンス型では機器を購入し、データセンターなどに設置します。非常に高価で、初期設定が難しく、導入に時間がかかります。また、セキュリティー関連に詳しいエンジニアが運用する必要があります。

②SaaS型のWAF

セキュリティーサービス提供企業がSaaSとして提供するWAFです。導入の際は、機器の購入や設置・管理をする必要はありません。ネットワークの設定変更を行えばよいため短期間で導入できます。機器やデータセンターを利用することがないので、アプライアンス型よりも安価に抑えることが可能です。

WAF導入は運用を含めて検討が必要

WAFは導入後の運用が非常に難しいと言われています。サイバー攻撃の手法は日々新しくなっています。また、様々な脆弱性が世界中で発見されています。そのたびに、WAFが新しい攻撃を防御できるように常に更新をしていく必要があるからです。
加えて、攻撃ではない通信を誤ってブロックしてしまう誤検知も少なからずあります。どのような通信を攻撃として検知したか、常に監視し、誤検知を減らしていく必要があります。
そのような課題を解決するため、WAF導入後の運用監視を専門に行うサービスも多様に存在しています。組み合わせて利用するといいでしょう。

WAFを活用して安全なWebアプリケーションの提供を

Webアプリケーションへの攻撃は日々高度化・巧妙化しています。いつ・誰が攻撃をしてくるかわかりません。「うちは大丈夫」と油断していると、ユーザーにも被害が及んでしまいます。WAFを活用し、かつ正しく運用を行うことで、ユーザーが安心・安全に利用できるWebアプリケーション提供しましょう。

　※記載されている会社名、製品名、サービス名は各社の商標または登録商標です。

　※記載されている情報は、記載日時点のものです。現時点と異なる場合がありますので、あらかじめご了承ください。