依然続く、ウェブアプリケーションの脆弱性を突く攻撃

ウェブを活用した多種多様なサービスが人々の生活の中でもはや欠くことのできない存在となった昨今、そうしたサービスを支えるウェブアプリケーションを提供・開発する側には、利用者と自身を守るためのより高度なセキュリティ対策が求められている。

ジェイピー・セキュア 取締役 技術部長の斉藤和男氏

しかしながら、SQLインジェクションに代表される、ウェブアプリケーションの脆弱性を悪用した深刻なインシデントは最近数多く発生しており、予断を許さない状況だ。そんななか、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するための効果的な手法として注目されているのが、ウェブアプリケーションファイアウォール(WAF)である。

ジェイピー・セキュアの取締役で技術部長を務める斉藤和男氏は、昨年11月の「2011 Webセキュリティセミナー」(マイナビ主催)で行った「ウェブアプリケーションファイアウォール(WAF)導入のポイントと効果的な活用方法」と題する講演において、WAFの概要や機能、導入のポイントなどについて事例を交えながら解説を行った。

インターネット上の攻撃の半数以上がウェブを対象に

講演の冒頭で斉藤氏は、ウェブアプリケーションの脆弱性を悪用する攻撃手法として知られるSQLインジェクションやクロスサイトスクリプティング(XSS)を取り上げ、これらの攻撃手法は以前から知られているものであるにもかかわらず、依然として猛威をふるっている現状を危惧した。この2つ攻撃手法は、ウェブサイトの改ざんや個人情報の流出などといった重要インシデントのうち、実に8割を占めていると言われているのだ。また、インターネットからの攻撃によるインシデント全体を見渡しても、ウェブ系への攻撃がその半数近くを占めており、さらにその半数以上がSQLインジェクションとXSSによるものとなっている。

当然、ウェブアプリケーションをセキュアに開発すればリスクは減少するわけだが、斉藤氏はその難しさを指摘する。「それは基本的な考え方であって、誰もが理解していること。だが、理解はしていても実際に対策をすることは困難なのが現実だ。だからこそ、ウェブアプリケーションの脆弱性を悪用した攻撃は後を絶たない」

そこで、セキュアなウェブアプリケーションの開発をあくまでベースとしながらも、それに加えるべき有効な解決策として斉藤氏が掲げるのが、WAFの活用である。WAFは、ウェブアプリケーションの脆弱性からウェブサイトを守るためのソフトウェアまたはハードウェアで、ウェブサイトへの攻撃を検出して防御することができる。複数のウェブサイトを一元的に保護することも可能だ。

WAFが威力を発揮する3つのケース

WAFが有効なケースとしては、1.「脆弱性の修正ができない、または困難な場合」、2.「事前対策、保険的な対策として活用したい場合」、3.「ウェブアプリケーションへの攻撃をすぐに防御したい場合」の3つが挙げられる。斉藤氏は、「WAFを導入する際には、この3つのケースに当てはまるかをまず検証した後に、防御したい攻撃に対してWAFが対応できるのかどうかをベンダーに確認することが重要だ」と唱える。

具体的なWAFの選定基準として斉藤氏が推奨するのが、商用製品かオープンソースかといったWAFの種類とともに、ソフトウェア、ハードウェア、サービス、仮想アプライアンスといった提供形態、そしてそれに基づくホスト型、ネットワーク型、サービス型といったWAFの設置構成の違いをしっかりと把握して自身のニーズに照らし合わせることだ。

まずネットワーク型というのは、WAFがインターネットとウェブサーバの間に存在する設置構成を指す。ウェブサーバの動作環境に依存しない、複数のウェブサーバを一元的に保護することができるといった利点を有する一方で、ネットワーク構成の見直しが必要となるために導入が少々大がかりになってしまう。次のホスト型は、ウェブサーバ上にインストールするもので、当然ながらウェブサーバの動作環境に依存するが、こちらはネットワーク構成の見直しは不要だ。そのため、ウェブサーバの台数が少ない場合に向いている。サービス型として代表的なのは、ウェブサーバ宛の接続をDNSの切替によってWAFサービスを提供している事業者が指定するIPアドレスに変更するというものだ。

WAFの導入、運用時に配慮すべきこと

実際にWAFを導入・検証するにあたっては、まずはテスト環境において導入手順の確認や検出に用いる検出パターンの設定確認を行うことになる。斎藤氏は、「テスト環境での検証では、本番環境と同じテスト環境を使用することで本番運用を想定した検証が容易になる」とコメントとする。

その後、本番環境での検証へと移行するわけだが、ここではウェブサイトの運用に生じる問題への対策に重きが置かれる。「そのため、一定期間サイトの運用に支障がないことを確認するとともに、WAFの通過処理を活用することで、サイトが止まらないようにログを精査しながら検出パターンなどのチューニングを施すことが有効になる」と斉藤氏は言う。

そしていよいよWAFを運用する場合には、WAFや検出パターンの適時アップデート、定期的なログの確認などをきちんと実施していくことが大切だ。

最後に斎藤氏は、実際にWAFを用いて攻撃や障害に対応した2つの事例を紹介した後、ジェイピー・セキュアが提供する高速・高性能なWAN製品「Site Guard」の特徴に触れて講演を締めくくった。