2009年より、F5ネットワークスが提供するWAF製品「BIG-IP ASM(Application Security Manager)」を使ったWebアプリケーションセキュリティの総合サービスを展開しているSCSK。単にWAF製品を提供するだけでなく、コンサルティング・構築・運用監視・インシデント対応まで、セキュリティ対策すべてをワンストップで提供するトータルソリューションを手がける。日々ユーザーと対話を重ねている同社のエキスパートに、Webアプリケーションへの攻撃について昨今の動向を聞いた。
Webアプリケーション防御のキーワード「人間系の対策」と「多層防御」
SCSK グローバルセキュリティソリューション部 シニアコンサルタント 手柴雄矢氏によれば、同社が2003年にWebアプリケーションのセキュリティ対策ソリューションを手がけ始めた当時と比べ、今日のセキュリティ事情はかなり様変わりしているという。
SCSK
CISSP、公認情報システム監査人
グローバルセキュリティソリューション部
シニアコンサルタント
手柴雄矢 氏
情報セキュリティのコンサルティング業務に従事。主にサイバー攻撃に特化したIT戦略の立案・推進や、組織改正のアドバイザリー業務など、グローバル企業を中心に多くの実績を持つ。
「かつては、SQLインジェクションやクロスサイト・スクリプティングなどの手法を使った『いたずら目的』の愉快犯が主流でしたが、近年では攻撃の手法が多様化・大規模化してきており、特に2013年にはパスワードリスト型攻撃とDDoS攻撃、そしてWebの改ざんという3つの攻撃手法が急速に増えました」
また、SCSK グローバルセキュリティソリューション部 マネージャー 松村卓也氏は、攻撃の手法だけでなく、その目的も多様化しつつあると指摘する。
SCSK
企業向けパッケージソフト、データセンターの営業を経て、SCSKセキュリティビジネスのマーケティングを担当。海外赴任経験があり、グローバル企業のセキュリティ事業に精通。
グローバルセキュリティソリューション部
マネージャー
松村卓也 氏
「愉快犯だけでなく、近年では金銭目的の組織的・大規模な攻撃、さらに政治的なアピールを目的とした攻撃も増えてきています。このように目的が多様化するに伴い、自ずとさまざまな攻撃手法が使われるようになってきています」
こうした状況の変化に直面し、企業はいったい、どのような心構えでセキュリティ対策に当たるべきなのか。手柴氏は「人間系」の対策の重要さを説く。
「単にセキュリティ機器を導入しただけでは、実際に攻撃を受けても検知や対処ができません。以前、私が担当したEコマースのお客様では、セキュリティデバイスは導入したものの、検知ログを保存するだけで分析を実施していませんでした。そのため、3カ月にわたって情報流出が発生していた事実が1年後に判明したというケースがありました。したがって、機器を設定・導入した後は、セキュリティの専門知識が豊富な人間が脅威の検知状況やログの内容などから傾向を分析し、新たな脅威の予兆を見出して適宜対処していく"人間系"の取り組みが不可欠です。さらには、それをスムーズに遂行するための体制作りが重要です」
そしてもう1つ、企業がWebアプリケーションを守る上で欠かせない考え方が、「多層防御」だ。WAFをはじめとするゲートウェイ型の機器で不正アクセスをシャットアウトする仕組みに加え、アプリケーションそのものを堅牢に作り上げる「セキュアコーディング」の取り組み、さらには先に述べたように、新たな脅威に即応するための「人間系」の運用の仕組み。これらの幾重もの対策を積み重ねていくことで、十分な強度を持つセキュリティ対策が初めて実現できるのだ。
また多層防御を、「予防」と「発見」の観点からとらえることも、漏れのない対策を施す上では重要だと松村氏は述べる。
「アプリケーションの堅牢化やWAFの設置は、いわば"予防"の対策ですが、新たな攻撃をいち早く"発見"するための対策も合わせて講じることが重要です。そして後者においては、やはり機器だけでなく同時に人間による監視活動が不可欠になります」
アプリケーション脆弱性診断とWAF監視を中心とした運用サイクル
ちなみに、SCSKではこうした人間系の取り組みや多層防御の考え方に則り、Webアプリケーションの設計・開発からテスト、運用に至るライフサイクル全般にわたってセキュリティ対策を講じるトータルソリューションを提供している。サービスメニューの一例を挙げると、アプリケーションの要件定義や設計のレビューに始まり、セキュアコーディングの指南やソースコードレビュー、さらに出来上がったアプリケーションの脆弱性診断と、実に多岐にわたる。
これらの対策によって、アプリケーションの開発段階ですべての脆弱性をつぶすことができれば理想的だが、実際にはすべてをカバーすることは難しく、また一度アプリケーションを実装・展開してしまった後に出現した新たな脅威に対処するには、アプリケーションを作り直す必要が出てくるため、即応は困難だ。そこで威力を発揮するのが、WAFだ。脆弱性診断によって見つかったアプリケーションの脆弱性を、WAFでカバーするのである。
SCSKでは、そのために適切な設定をWAFに施す作業も、ソリューションの一環として提供している。それも、アプリケーションを新たに実装する際だけでなく、すでに展開済みのアプリケーションの運用を続ける中で、診断による脆弱性チェックと、それに対応したWAFの設定チューニングを繰り返す、いわば「PDCAサイクル」を継続的に回すための諸々の支援を提供している。
なお、冒頭で紹介した通り、同社ではWAFの具体的な製品として、F5ネットワークスの「BIG-IP ASM」を採用しているが、手柴氏はその理由として、同製品がさまざまな面でユニークな特徴を備えている点を挙げる。
「極めて動作が安定しており、可用性が高いので安心して導入できます。また、『アプリケーションフル・プロキシ』というアーキテクチャにより、通信プロトコルを一度WAF上で終端させるネットワーク構成を取るため、厳格なセキュリティ境界を設けられるほか、詳細なログが取得できるので攻撃の傾向などを正確に把握できます」
なおBIG-IP ASMには、ログの内容をビジュアルなレポート形式で表示できる機能が備わっており、運用の現場ではとても重宝されている。「レポート出力機能は特に役職者への報告時に活用しています。特定期間の攻撃防御件数や標的にされたアプリケーションの傾向など、十数種類の切り口で分析レポートを出力することができるので、導入効果や攻撃傾向を視覚的にわかりやすく伝えるためによく利用されています」(手柴氏)という。
また松村氏によれば、同社がセキュリティソリューションを提供する顧客企業からも、BIG-IP ASMには高い信頼が寄せられているという。
「ミッションクリティカルなシステムでは高い実績を持つ製品なので、金融や公共のサイト、大規模Eコマースサイトなどに導入するWAFとして、圧倒的に信頼度が高いです。最近のハードウェアの進化により、以前に比べ導入コストが下がりつつあり、幅広い業種のWebサイトに広がり続けています。」
激増するDDoS攻撃やパスワードリスト型攻撃に対処した事例
SCSKではこれまで、WAFを適切に運用することで、Webアプリケーションの脆弱性を狙った攻撃からさまざまな企業を守ってきた実績があるという。
例えば、あるBtoCの大規模なEコマースサイトでは、WAFを導入するとともに、その稼働状況を監視する適切な手順や体制を整備したことで、パスワードリスト型攻撃による不正ログインをいち早く検知し、脅威を迅速にシャットアウトした。前述のように、WAFを導入しっぱなしの状態では、新たな攻撃を受けても気付かないことがほとんどだが、この企業ではSCSKの監視サービスを利用することで、WAFのログからいち早く不正アクセスの兆候を発見できたという。
さらには、BIG-IP ASMの柔軟なシグネチャ設定やCookieをベースとしたセッション管理機能を駆使し、「一定時間内に何度かログインに失敗したユーザーのアクセスを拒否する」というルールをWAFに設定することで、迅速に脅威をブロックすることに成功した。
さらには、近年増え続けるDoS/DDoS攻撃に対処する例も増えてきているという。手柴氏も実際に、Apacheサーバの脆弱性を突く「Apache Killer」というDoS攻撃に対し、BIG-IP ASMの柔軟なルール設定機能を生かして対処したことがあるという。
「このようにWAFと人間がうまくコラボレーションすることで、新たな脅威に迅速に対処できます。今後も、WAFの機能をフルに生かした高度なセキュリティサービスを顧客に提供していきます」(手柴氏)
Company Profile
SCSK株式会社
セキュリティブランド「SECURE YOUR SITE」のもと、「サイバーセキュリティソリューションをコアコンピタンスとし、安全なITサービスをグローバルに提供することにより、健全な情報化社会の発展に貢献する」を理念とし、日々進化する攻撃に対応したセキュリティソリューションを展開。2009年よりF5ネットワークスジャパン株式会社のソリューションパートナーとして、Webアプリケーションセキュリティの要件定義、機器導入、運用・監視サービスを提供。
■関連記事
【特別企画】知らないと損! 10分でわかるロードバランサの製品選定ポイント
【連載】今さら聞けない「ロードバランサの基本」
【レポート】138万円から購入可能なBIG-IPが新たに登場
BIG-IP Application Security Manager
双方向のトラフィック監視により、外部からの攻撃を防御するだけではなく、内部からの情報流出も防ぎ、Webアプリケーションと情報に対する万全のセキュリティを実現。詳しくはこちら
[PR]
http://www.f5networks.co.jp/product/bigip/asm/