TOP>課題別ソリューション>ウェブサイトの脆弱性

ウェブサイトの脆弱性対策

ウェブサイトやウェブアプリケーションの脆弱性をついた標的型の攻撃から企業を守る

ウェブサイトやウェブアプリケーションが直面する脅威

企業が直面するウェブサイトやウェブアプリケーションにおける脅威には、以下のようなものが存在します。

一般的な脅威 典型的な攻撃手法 攻撃の概要 発生しうる損害
ハッキング SQLインジェクション(SQLi) 脆弱性のあるウェブアプリケーションにSQLコマンドを送信する 情報漏えい、詐欺、ウェブサイトの改ざん、ウェブサイトのダウン
クロスサイトスクリプティング(XSS) 悪意のあるコードを挿入する マルウェア感染、情報漏えい
セッションハイジャック 他のユーザになりすます 情報漏えい、詐欺
悪用 サイトスクレイピング ウェブサイトの公開されているデータやコンテンツをコピーする 事業の競合状況への悪影響、お客様への嫌がらせ
フォームスパム スパム的にウェブフォームを送信する サイト上に不適切な投稿やマルウェアへのリンク投稿が増える、お客様への嫌がらせ
アカウントなりすまし 複数のなりすましアカウントを作成する 詐欺、プラットフォームをスパム目的に利用する、信頼性やブランド価値への悪影響
サービスの妨害 DoS/DDoS攻撃 ウェブサイトをダウンさせる ビジネスの妨害、信頼性やブランド価値への悪影響

このうち、主にDoS/DDoS攻撃以外の攻撃に対処するために使われるのが、WAF(ワフ、ウェブ・アプリケーション・ファイアウォール)と呼ばれるサービスです。

WAFのアプローチ手法

WAFのサービスプロバイダを選択するにあたり、各社が提供するWAFがどのようなアプローチ手法をとっているかを知るのは重要なことです。基本的なWAFのアプローチ手法には次のようなものがあります。

アプローチ手法 概要 主な課題
シグネチャベース - ポジティブセキュリティ 許可しないリストを適用する シグネチャを頻繁に更新する必要がある
誤判定が発生しがちである
未知の脆弱性をついた攻撃やゼロデイ攻撃に対応できない
シグネチャベース - ネガティブセキュリティ 許可するリストを適用する 許可するリストを作成するために、長い時間「学習モード」を走らせる必要がある
変化の早い昨今の状況に合わない
レピュテーションベース 既知のスコアが低いIPアドレスをブロックもしくはキャプチャする 水平展開的な攻撃しか検知できない
レピュテーションを頻繁に更新する必要がある
ビヘイビアベース 悪意あるユーザを振る舞い(ビヘイビア)分析によってブロックもしくはキャプチャする 複雑で理解することが難しい

WAFのアプローチ手法の中で、もっとも一般的でこれまで多く採用されてきたのはシグネチャベースです。シグネチャベースのWAFの動きは、主にクライアントからのリクエストをブロックしたり許可したりすることです。シグネチャベースのアプローチには、さらにポジティブセキュリティとネガティブセキュリティという二つのサブカテゴリがあり、ほとんどのシグネチャベースのWAFソリューションは主にポジティブセキュリティを採用しています。これは「許可しないリスト」をベースとしたものです。ただし、シグネチャベースのWAFは、既知の、もしくは明らかになった脆弱性をついた攻撃からウェブアプリケーションを防御する場合には有効ですが、未知の脆弱性をついた攻撃、もしくはゼロデイ攻撃から防御することはできません。そのため、シグネチャを絶えず・頻繁にアップデートする必要があります。

レピュテーションベースのWAFは、既知のIPレピュテーションを利用しています。履歴データに基づいて、スコアが低いIPを見つけたらブロック、もしくはキャプチャします。IPレピュテーションはアプリケーションを防御する新しい手法です。しかし、シグネチャベースと同様、レピュテーションデータを頻繁に更新し続ける必要があります。

ビヘイビアベースのアプローチは、既知の脆弱性をついた攻撃、未知の脆弱性をついた(ゼロデイ)攻撃の両方からウェブアプリケーションを防御する、次世代型の手法です。ビヘイビアベースのWAFは悪意あるクライアントを、クライアントのビヘイビア(振る舞い)を分析することで見分けます。

ウェブサイトやウェブアプリケーションの脆弱性に対応しすべての攻撃から守るには

ウェブアプリケーションをすべての攻撃から守るためには、単純なWAFアプローチ手法だけでは不十分で、ルールを絶えず・頻繁に、そして自動的にアップデートしてくれる仕組みが必要です。
CDNetworksのクラウド・セキュリティ WAFなら、ウェブパフォーマンスを最適に保ったまま、ウェブサービスのセキュリティ強化を実現します。マルチレイヤ型のセキュリティ・ファイアウォールが、すべてのリクエストをフィルタリングし、適切に処理します。

CDNetworksのマルチレイヤ型セキュリティ・ファイアウォールは、次のようにすべてのアプローチ手法を取り入れています。

シグネチャとルールベースのファイアウォール

シグネチャベースとルールベースのファイアウォールです。あらかじめ定義されたルールやシグネチャを使ってウェブアプリケーションを保護します。これらのルールは静的で、すべてのリクエストをあらかじめ設定された基準に照らし合わせ、ブロック、許可、キャプチャなど、決められたアクションをとるように設定されています。

ビヘイビアベースのファイアウォール

ビヘイビアエンフォーサはビヘイビアベースのファイアウォールです。悪意あるトラフィックは見た目や振る舞いが正当な人間のインタラクションと違いがあるという仮説のもと、収集したビヘイビア情報を徹底的に調べ上げるヒューリスティック・相関エンジンを利用しています。

IPレピュテーションファイアウォール

トラフィックが疑わしいソースから届いた際、IPアドレスやIPレンジ、端末の情報と背景を情報源として判断します。ビヘイビアの分析、ダークネットやボットネットサービスの調査結果、そしてWAFやIPSなどのサードパーティからフィードされた情報などを集めています。

ウェブサイトやウェブアプリケーションの脆弱性をついた攻撃から守る「クラウド・セキュリティ」

CDNetworksなら、お客様のウェブサービスをWAFによりさまざまな脅威から守ることができます。
クラウド・セキュリティ WAFは世界中に分散配置したインフラを利用したクラウド型のWAFサービスで、DDoS対策サービス「クラウド・セキュリティ DDoS」と併せて利用することで、ウェブサイトやウェブアプリケーションのセキュリティ強度をより強固にします。

ウェブサイトやウェブアプリケーションの脆弱性をついた攻撃からお客様のウェブサービスを守るCDNetworksのセキュリティ・サービス「クラウド・セキュリティ WAF」について、詳しくは以下をご覧ください。

クラウド・セキュリティ WAF

ウェブ・パフォーマンス・スイートにご興味のある方は、以下よりご連絡ください。営業担当より詳細のご説明をさせていただきます。

サービスに関するお問い合わせ

関連資料ダウンロード

ホワイトペーパー「ウェブ・アプリケーション・ファイアウォール(WAF)」

ウェブ攻撃を仕掛けることはますます簡単になり、攻撃者はより賢く、攻撃方法は複雑に進化し続けており、ウェブセキュリティの重要性に対する認識は高まっています。本資料では、一般的な攻撃手法、攻撃者の意図やセキュリティ・インシデントのコストを明らかにし、ウェブアプリケーションやその他の大切な資産を、次世代型のウェブセキュリティ技術を使ってどのように守るのか、その理想的な方法をご説明します。

ホワイトペーパーダウンロードはこちらから

▲ このページのトップへ戻る