6月25日、東京・竹橋パレスサイドビルにて、毎日コミュニケーションズが主催する特別セミナー『ジャーナルITサミット』が開催された。同セミナーの第二部では「狙われるWebアプリケーションの脆弱性とその対策」と題し、バラクーダネットワークスジャパンの佐藤栄治氏が、Webサイトの防御方法について説明を行った。
WAF(Web Application Firewall)の有効性
佐藤氏はIPAの資料をもとに、2009年第1四半期に報告されたWebサイトにおける脆弱性の53%がWebアプリケーションの脆弱性によるものであることを指摘。その2大要因となっているのがクロスサイトスクリプティングとSQLインジェクションであるが、佐藤氏は「これらWebアプリケーションの脆弱性に対する外部からの攻撃に対しては、IPS(Intrusion Prevention System)やIDS(Intrusion Detection System)を導入すれば万全というわけではない」とし、レイヤー7レベルでデータを解析して攻撃を防御する仕組みを持つWAFの有効性を訴えた。
導入・運用管理の負荷を軽減するブラックリスト方式
佐藤氏はSQLインジェクションについて、「さほどスキルが高くなくても容易に攻撃を実行できる」という特徴を説明。これが昨今このタイプの攻撃が増加傾向にある要因の1つとなっているという。しかしながら、攻撃を行う側の敷居の低さと相反するようにSQLインジェクションへの対策は難しい。
同氏は講演中にWebサーバ向けのセキュリティスキャナであるNiktoを使ったスキャンのデモムービーを紹介。サーバの"穴"を誰でも容易に見つけることができる実態を示しながら、「実はセキュリティベンダー自身もSQLインジェクションの被害に遭っている」という事実も紹介した。
さらに佐藤氏は、WAFにはブラックリスト方式とホワイトリスト方式の2種類があることを解説。「ホワイトリスト方式では、リストの正確性を維持するための更新作業や、そのためのリソース(人員)割り当てが必要になるため、専任のIT担当者を確保することが難しい中小企業においては、運用管理がラクになるブラックリスト方式の方が適しているはず」と説明。同社が採用するブラックリスト方式のWAF製品の優位性をアピールした。
最後に佐藤氏は、同社が製品導入前の評価用として無償で実機を貸し出していることを紹介。ただし、一度製品を貸し出すと、「日常的に攻撃にさらされている事実を知っって愕然とし、製品を手放せなくなってご購入に至るというケースが多い」という話で本セッションを締めくくった。