WAF:Web脆弱性対策/Web Apprication Firewall

Webの脆弱性をついた標的型攻撃からWebサイトを保護

Webの脆弱性対策

企業が直面するWebの脅威にはどのようなものがあるか

Webサーバを狙った攻撃で、主にDDoS攻撃以外に対処するためのものをWAF(ウェブ・アプリケーション・ファイアウォール)と呼びます。そして、企業が直面するWeb脆弱性を狙った脅威には、以下のようなものが存在します。

一般的な脅威 典型的な攻撃手法 攻撃の概要 発生しうる損害
ハッキング SQLインジェクション(SQLi) 脆弱性のあるWebアプリケーションにSQLコマンドを送信する 情報漏えい、詐欺、Webサイトの改ざん、Webサイトのダウン
クロスサイトスクリプティング(XSS) 悪意のあるコードを挿入する マルウェア感染、情報漏えい
セッションハイジャック 他のユーザになりすます 情報漏えい、詐欺
悪用 サイトスクレイピング Webサイトの公開されているデータやコンテンツをコピーする 事業の競合状況への悪影響、お客様への嫌がらせ
フォームスパム スパム的にWebフォームを送信する Webサイト上に不適切な投稿やマルウェアへのリンク投稿が増える、お客様への嫌がらせ
アカウントなりすまし 複数のなりすましアカウントを作成する 詐欺、プラットフォームをスパム目的に利用する、信頼性やブランド価値への悪影響
サービスの妨害 DoS/DDoS攻撃 Webサイトをダウンさせる ビジネスの妨害、信頼性やブランド価値への悪影響

WAFのアプローチ手法

WAFのサービスプロバイダを選択するにあたり、各社が提供するWAFがどのようなアプローチ手法をとっているかを知るのは重要なことです。基本的なWAFのアプローチ手法には次のようなものがあります。

アプローチ手法 概要 主な課題
シグネチャベース - ポジティブセキュリティ 許可しないリストを適用する シグネチャを頻繁に更新する必要がある
誤判定が発生しがちである
未知の脆弱性をついた攻撃やゼロデイ攻撃に対応できない
シグネチャベース - ネガティブセキュリティ 許可するリストを適用する 許可するリストを作成するために、長い時間「学習モード」を走らせる必要がある
変化の早い昨今の状況に合わない
レピュテーションベース 既知のスコアが低いIPアドレスをブロックもしくはキャプチャする 水平展開的な攻撃しか検知できない
レピュテーションを頻繁に更新する必要がある
ビヘイビアベース 悪意あるユーザを振る舞い(ビヘイビア)分析によってブロックもしくはキャプチャする 複雑で理解することが難しい

WAFのアプローチ手法の中で、もっとも一般的でこれまで多く採用されてきたのはシグネチャベースです。

シグネチャベースのWAFの動きは、主にクライアントからのリクエストをブロックしたり許可したりすることです。シグネチャベースのアプローチには、さらにポジティブセキュリティとネガティブセキュリティという二つのサブカテゴリがありますが、そのほとんどがポジティブセキュリティを採用しています。これは「許可しないリスト」をベースとしたものです。ただし、シグネチャベースのWAFは、既知の、もしくは明らかになった脆弱性をついた攻撃を防御する場合には有効ですが、未知の脆弱性をついた(ゼロデイ)攻撃から防御することはできません。そのため、シグネチャを絶えず・頻繁にアップデートする必要があります。

レピュテーションベースのWAFは、既知のIPレピュテーションを利用しています。履歴データに基づいて、スコアが低いIPを見つけたらブロック、もしくはキャプチャします。しかし、シグネチャベースと同様、レピュテーションデータを頻繁に更新し続ける必要があります。

ビヘイビアベースのWAFのアプローチは、既知の脆弱性をついた攻撃、未知の脆弱性をついた(ゼロデイ)攻撃の両方からWebアプリケーションを防御する手法です。ビヘイビアベースのWAFは悪意あるクライアントを、クライアントのビヘイビア(振る舞い)を分析することで見分けます。

Webの脆弱性に対応しすべての攻撃から守るには

Webアプリケーションをすべての攻撃から守るためには、単純なWAFアプローチ手法だけでは不十分で、ルールを絶えず・頻繁に、そして自動的にアップデートしてくれる仕組みが必要です。
CDNetworksのクラウド・セキュリティ WAFなら、Webパフォーマンスを最適に保ったまま、Webサービスのセキュリティ強化を実現します。
CDNetworksのクラウド・セキュリティ WAFは、次のようにさまざまなアプローチ手法を取り入れています。

シグネチャとルールベースのファイアウォール

シグネチャベースとルールベースのファイアウォールです。あらかじめ定義されたルールやシグネチャを使ってWebアプリケーションを保護します。これらのルールは静的で、すべてのリクエストをあらかじめ設定された基準に照らし合わせ、ブロック、許可、キャプチャなど、決められたアクションをとるように設定されています。

ポットプロテクション

ボットプロテクションは未知の脆弱性をついた(ゼロデイ)攻撃など、トラフィックや見た目やふるまいが正当な人間のインタラクションと違いがあるなどの仮説のもと、収集した情報を元に、悪意のあるボットを排除する機能です。

IPレピュテーションファイアウォール

トラフィックが疑わしいソースから届いた際、IPアドレスやIPレンジ、端末の情報と背景を情報源として判断します。ビヘイビアの分析、ダークネットやボットネットサービスの調査結果、そしてWAFやIPSなどのサードパーティからフィードされた情報などを集めています。

CDNetworksの「クラウド・セキュリティ WAF」

クラウド・セキュリティ WAFは世界中に分散配置したCDNのPoP群からなるCDNプラットフォームに統合されたクラウド型のWAFサービスで、Webの脆弱性をついた攻撃からお客様のWebサービスを守ります。また、DDoS攻撃対策「クラウド・セキュリティ DDoS」、ボット攻撃防御対策「クラウド・セキュリティ・ボットマネージャ」と併せて利用することで、WebサイトやWebアプリケーションのセキュリティ強度をより強固にし、あらゆる攻撃からWebを保護します。

サービス&プロダクト情報

Webの脆弱性をついた攻撃からお客様のWebサービスを守るCDNに統合されたクラウド・セキュリティ WAFについて、詳しくは下記ページをご覧ください。
クラウド・セキュリティ WAF

CDNetworksのプロダクトラインナップについては、以下をご覧ください。
ウェブ・パフォーマンス・スイート

関連資料ダウンロード

導入事例やホワイトペーパー、会社概要などの資料ダウンロードは、以下よりどうぞ。           資料ダウンロードはこちら

ホワイトペーパー

WP-10:ウェブ・アプリケーション・ファイアウォール(WAF)
WP-10:ウェブ・アプリケーション・ファイアウォール(WAF)

Web攻撃を仕掛けることはますます簡単になり、攻撃者はより賢く、攻撃方法は複雑に進化し続けており、Webセキュリティの重要性に対する認識は高まっています。本資料では、一般的な攻撃手法、攻撃者の意図やセキュリティ・インシデントのコストを明らかにし、Webアプリケーションやその他の大切な資産を、次世代型のWebセキュリティ技術を使ってどのように守るのか、その理想的な方法をご説明します。
ウェブ・アプリケーション・ファイアウォールについて改めて整理、理解したいという方は是非ご覧ください。

ホワイトペーパーダウンロード

サービス全般に関するお問い合わせ

お問い合わせは、以下よりお気軽にご連絡ください。

お問い合わせはこちら
PAGE TOP