Webアプリケーションへの攻撃にはWAF

Webサイトへの攻撃に不安はありませんか？

オンラインバンキング、ショッピングサイト、会員管理、コミュニケーション……。Webサイトで提供されているサービスは多くあり、ビジネスや生活に不可欠となっています。これらWebアプリケーション（インターネットを通じて提供されるサービス）は、オープンにされていることから、常に攻撃にさらされています。
その手口は単純ではありません。
たとえば、「SQLインジェクション」があります。WebアプリケーションはSQLコマンドと呼ばれる命令により制御されていますが、SQLインジェクションは不正なSQLコマンドを送り込み、サーバーへの攻撃を実施します。
「クロスサイトスクリプティング」という攻撃は、不正なスクリプトを送りつけて、Webアプリケーションを操作しようとします。「強制ブラウジング」では本来公開していない情報やアクセスを許していない階層のページをブラウジングしようとします。さらに「Cookieの濫用」「コンテンツの脆弱性」「バックドアおよびデバッグオプション」など、Webアプリケーションが持っている脆弱性を狙ってWebサイトが攻撃されています。

WAFでWebアプリケーションの脆弱性対策

Webサイトを攻撃から守る対策としてファイアウォールとIDS/IPSがあります。しかし、「SQLインジェクション」「クロスサイトスクリプティング」「強制ブラウジング」などはWebアプリケーションの脆弱性を狙った攻撃では検出できません。
そこで開発されたのがWAFです。Web Application Firewallの略で、文字どおりWebアプリケーション用のファイアウォールです。インターネットからのアクセスとWebサーバー間の通信（HTTP/HTTPS）を精査し、Webアプリケーションへの攻撃をブロックします。
検出のベースとなるのは不正な攻撃パターンをまとめた定義ファイル「シグネチャ」です。シグネチャと通信内容を照らし合わせ、ファイアウォールとIDS/IPSではわからなかった不正な通信を見つけ出します。
WAFは不正な通信を遮断してログとして記録、攻撃者には警告メッセージを返します。WAFの制度はシグネチャの品質に依存しているため、シグネチャは頻繁に更新を繰り返しています。

クラウドだからスピード構築・コスト最適化

WAFにはアプライアンス型、ソフトフェア型、クラウド型の3種類があります。

アプライアンス型

専用ハードウェアに専用のソフトウェアをインストールして提供します。ハードウェアとともに購入する必要があり、初期投資がかかり、稼働後の運用も自社で行う必要があります。

ソフトウェア型

専用のWAFソフトウェアを購入し、サーバーにインストールして使用します。アプライアンス型と比較して導入コストは軽減できますが、稼働後のバージョンアップなどの運用は自社で行います。

クラウド型

導入コストは他と比較して、最も低く抑えることができますが、稼働後の月額使用料金がかかります。しかし、ハードウェアやソフトウェアのメンテナンスがなく、セキュリティ担当者の負荷を軽減できます。
ＮＴＴスマートコネクトのWAFはクラウド型サービスです。クラウド型のメリットはスピード構築とコスト最適化にあります。アプライアンス型とソフトウェア型は製品の選択と性能検証に時間がかかりますが、ＮＴＴスマートコネクトのWAFはDNS切替によって簡単に導入が可能で、最短7日間でサービス利用を開始できます。
ＮＴＴスマートコネクトのWAFは、世界的に評価の高いF5ネットワーク社の製品を利用しており、ハイクラスの品質のWAFをクラウドでサービス提供を受けることができます。

導入/運用コンサルティング

ＮＴＴスマートコネクトはオプションで導入/運用コンサルティングも提供しています。WAFには標準のシグネチャセットが組み込まれていますが、利用者にとって過検知となる等のリスクがあるため、導入時や稼働後のチューニングが求められます。
しかし、中小企業では「技術がなくシグネチャを変更できない」「大量のログが出力され精査できない」「アプリケーション変更のチューニングできない」などの問題があります。これをＮＴＴグループの専門部隊がお客さまごとのリスク分析・考察を踏まえ提案を行うなど、運用を支援しています。