ウェブの脆弱性対策 

ウェブサイトやウェブアプリケーションの脆弱性をついた標的型攻撃から
貴社のウェブを保護します

ウェブの脆弱性対策

ウェブサイトやウェブアプリケーションが直面する脅威

企業が直面するウェブサイトやウェブアプリケーションにおける脅威には、以下のようなものが存在します。

一般的な脅威 典型的な攻撃手法 攻撃の概要 発生しうる損害
ハッキング SQLインジェクション(SQLi) 脆弱性のあるウェブアプリケーションにSQLコマンドを送信する 情報漏えい、詐欺、ウェブサイトの改ざん、ウェブサイトのダウン
クロスサイトスクリプティング(XSS) 悪意のあるコードを挿入する マルウェア感染、情報漏えい
セッションハイジャック 他のユーザになりすます 情報漏えい、詐欺
悪用 サイトスクレイピング ウェブサイトの公開されているデータやコンテンツをコピーする 事業の競合状況への悪影響、お客様への嫌がらせ
フォームスパム スパム的にウェブフォームを送信する サイト上に不適切な投稿やマルウェアへのリンク投稿が増える、お客様への嫌がらせ
アカウントなりすまし 複数のなりすましアカウントを作成する 詐欺、プラットフォームをスパム目的に利用する、信頼性やブランド価値への悪影響
サービスの妨害 DoS/DDoS攻撃 ウェブサイトをダウンさせる ビジネスの妨害、信頼性やブランド価値への悪影響

このうち、主にDoS/DDoS攻撃以外の攻撃に対処するために使われるのが、WAF(ワフ、ウェブ・アプリケーション・ファイアウォール)と呼ばれるサービスです。

WAFのアプローチ手法

WAFのサービスプロバイダを選択するにあたり、各社が提供するWAFがどのようなアプローチ手法をとっているかを知るのは重要なことです。基本的なWAFのアプローチ手法には次のようなものがあります。

アプローチ手法 概要 主な課題
シグネチャベース - ポジティブセキュリティ 許可しないリストを適用する シグネチャを頻繁に更新する必要がある
誤判定が発生しがちである
未知の脆弱性をついた攻撃やゼロデイ攻撃に対応できない
シグネチャベース - ネガティブセキュリティ 許可するリストを適用する 許可するリストを作成するために、長い時間「学習モード」を走らせる必要がある
変化の早い昨今の状況に合わない
レピュテーションベース 既知のスコアが低いIPアドレスをブロックもしくはキャプチャする 水平展開的な攻撃しか検知できない
レピュテーションを頻繁に更新する必要がある
ビヘイビアベース 悪意あるユーザを振る舞い(ビヘイビア)分析によってブロックもしくはキャプチャする 複雑で理解することが難しい

WAFのアプローチ手法の中で、もっとも一般的でこれまで多く採用されてきたのはシグネチャベースです。シグネチャベースのWAFの動きは、主にクライアントからのリクエストをブロックしたり許可したりすることです。シグネチャベースのアプローチには、さらにポジティブセキュリティとネガティブセキュリティという二つのサブカテゴリがあり、ほとんどのシグネチャベースのWAFソリューションは主にポジティブセキュリティを採用しています。これは「許可しないリスト」をベースとしたものです。ただし、シグネチャベースのWAFは、既知の、もしくは明らかになった脆弱性をついた攻撃からウェブアプリケーションを防御する場合には有効ですが、未知の脆弱性をついた攻撃、もしくはゼロデイ攻撃から防御することはできません。そのため、シグネチャを絶えず・頻繁にアップデートする必要があります。

レピュテーションベースのWAFは、既知のIPレピュテーションを利用しています。履歴データに基づいて、スコアが低いIPを見つけたらブロック、もしくはキャプチャします。IPレピュテーションはアプリケーションを防御する新しい手法です。しかし、シグネチャベースと同様、レピュテーションデータを頻繁に更新し続ける必要があります。

ビヘイビアベースのアプローチは、既知の脆弱性をついた攻撃、未知の脆弱性をついた(ゼロデイ)攻撃の両方からウェブアプリケーションを防御する手法です。ビヘイビアベースのWAFは悪意あるクライアントを、クライアントのビヘイビア(振る舞い)を分析することで見分けます。

ウェブサイトやウェブアプリケーションの脆弱性に対応しすべての攻撃から守るには

ウェブアプリケーションをすべての攻撃から守るためには、単純なWAFアプローチ手法だけでは不十分で、ルールを絶えず・頻繁に、そして自動的にアップデートしてくれる仕組みが必要です。
CDNetworksのクラウド・セキュリティ WAFなら、ウェブパフォーマンスを最適に保ったまま、ウェブサービスのセキュリティ強化を実現します。
CDNetworksのクラウド・セキュリティ WAFは、次のようにさまざまなアプローチ手法を取り入れています。

シグネチャとルールベースのファイアウォール

シグネチャベースとルールベースのファイアウォールです。あらかじめ定義されたルールやシグネチャを使ってウェブアプリケーションを保護します。これらのルールは静的で、すべてのリクエストをあらかじめ設定された基準に照らし合わせ、ブロック、許可、キャプチャなど、決められたアクションをとるように設定されています。

ポットプロテクション

ボットプロテクションは未知の攻撃(ゼロデイ攻撃)など、トラフィックや見た目やふるまいが正当な人間のインタラクションと違いがあるなどの仮説のもと、収集した情報を元に、悪意のあるボットを排除する機能です。

IPレピュテーションファイアウォール

トラフィックが疑わしいソースから届いた際、IPアドレスやIPレンジ、端末の情報と背景を情報源として判断します。ビヘイビアの分析、ダークネットやボットネットサービスの調査結果、そしてWAFやIPSなどのサードパーティからフィードされた情報などを集めています。

CDNetworksの「クラウド・セキュリティ WAF」

クラウド・セキュリティ WAFは世界中に分散配置した配信プラットフォームを利用したクラウド型のWAFで、ウェブ脆弱性をついた攻撃からお客様のウェブサービスを守ります。また、DDoS攻撃対策「クラウド・セキュリティ DDoS」、ボット攻撃防御対策「クラウド・セキュリティ・ボットマネージャ」と併せて利用することで、ウェブサイトやウェブアプリケーションのセキュリティ強度をより強固にします。

関連プロダクト情報

ウェブの脆弱性をついた攻撃からお客様のウェブサービスを守るCDNに統合されたクラウド・セキュリティ WAFについて、詳しくは下記ページをご覧ください。
クラウド・セキュリティ WAF

CDNetworksのプロダクトラインナップについては、以下をご覧ください。
ウェブ・パフォーマンス・スイート

関連資料ダウンロード

導入事例やホワイトペーパー、会社概要などの資料ダウンロードは、以下よりどうぞ。           資料ダウンロードはこちら

ホワイトペーパー

WP-10:ウェブ・アプリケーション・ファイアウォール(WAF)
WP-10:ウェブ・アプリケーション・ファイアウォール(WAF)

ウェブ攻撃を仕掛けることはますます簡単になり、攻撃者はより賢く、攻撃方法は複雑に進化し続けており、ウェブセキュリティの重要性に対する認識は高まっています。本資料では、一般的な攻撃手法、攻撃者の意図やセキュリティ・インシデントのコストを明らかにし、ウェブアプリケーションやその他の大切な資産を、次世代型のウェブセキュリティ技術を使ってどのように守るのか、その理想的な方法をご説明します。
ウェブ・アプリケーション・ファイアウォールについて改めて整理、理解したいという方は是非ご覧ください。

ホワイトペーパーダウンロード

サービス全般に関するお問い合わせ

お問い合わせは、以下よりお気軽にご連絡ください。

お問い合わせはこちら
PAGE TOP