WAF/Web Application Firewall

Webアプリケーションの脆弱性をついた外部攻撃からの保護

Webの脆弱性対策

企業が直面するWebの脅威にはどのようなものがあるか

Webサーバを狙った攻撃で、主にDDoS攻撃以外に対処するためのものをWAF(ウェブ・アプリケーション・ファイアウォール)と呼びます。そして、企業が直面するWeb脆弱性を狙った脅威には、以下のようなものが存在します。

脅威 攻撃手法 攻撃概要 発生しうる損害
ハッキング SQLインジェクション(SQLi) 脆弱性のあるWebアプリケーションにSQLコマンドを送信する 情報漏えい、詐欺、改ざん、サービス停止
クロスサイトスクリプティング(XSS) 悪意のあるコードを挿入する マルウェア感染、情報漏えい
セッションハイジャック 他のユーザになりすます 情報漏えい、詐欺
悪用 サイトスクレイピング Webサイトに公開されているデータやコンテンツをコピーする 事業の競合状況への悪影響、お客様への嫌がらせ
フォームスパム スパム的にWebフォームを送信する Webサイト上に不適切な投稿やマルウェアへのリンク投稿が増える、お客様への嫌がらせ
アカウントなりすまし 複数のなりすましアカウントを作成する 詐欺、プラットフォームをスパム目的に利用する、信頼性やブランド価値への悪影響
サービスの妨害 DoS/DDoS攻撃 Webサイトをダウンさせる ビジネスの妨害、信頼性やブランド価値への悪影響

WAFのアプローチ手法

WAFのサービスプロバイダを選択するにあたり、各社が提供するWAFがどのようなアプローチ手法をとっているかを知るのは重要なことです。基本的なWAFのアプローチ手法には次のようなものがあります。

アプローチ手法 概要 主な課題
シグネチャベース
- ポジティブセキュリティ
許可しないリストを適用する ・シグネチャの頻繁な更新の必要性
・誤判定が発生しがち
・未知の脆弱性(ゼロデイ)攻撃に対応できない
シグネチャベース
- ネガティブセキュリティ
許可するリストを適用する ・リスト作成のために長時間「学習モード」を走らせる必要がある
・変化の早い昨今の状況に合わない
レピュテーションベース 既知のスコアが低いIPアドレスをブロックまたはキャプチャする ・水平展開的な攻撃しか検知できない
・レピュテーションの頻繁な更新の必要性
ビヘイビアベース 悪意あるユーザを振る舞い(ビヘイビア)分析によってブロックまたはキャプチャする 複雑で理解することが難しい

WAFのアプローチ手法の中で、もっとも一般的でこれまで多く採用されてきたのはシグネチャベースです。

■シグネチャベースのWAF
 

シグネチャベースのWAFの動きは、主にクライアントからのリクエストをブロックしたり許可したりすることです。シグネチャベースのアプローチには、さらに「ポジティブセキュリティ」と「ネガティブセキュリティ」という2つのサブカテゴリがありますが、そのほとんどが”ポジティブセキュリティを採用”しています。これは「許可しないリスト」をベースとしたものです。ただし、シグネチャベースのWAFは、既知の、もしくは明らかになった脆弱性をついた攻撃を防御する場合には有効ですが、未知の脆弱性(ゼロデイ)をついた攻撃から防御することはできません。そのため、シグネチャを絶えず・頻繁にアップデートする必要があります。

■レピュテーションベースのWAF
 

レピュテーションベースのWAFは、既知のIPレピュテーションを利用しています。履歴データに基づいて、スコアが低いIPを見つけたらブロック、もしくはキャプチャします。しかし、シグネチャベースと同様、レピュテーションデータを頻繁に更新し続ける必要があります。

■ビヘイビアベースのWAF
 

ビヘイビアベースのWAFのアプローチは、既知の脆弱性をついた攻撃、未知の脆弱性(ゼロデイ)をついた攻撃の双方からWebアプリケーションを防御する手法です。ビヘイビアベースのWAFは悪意あるクライアントをクライアントのビヘイビア(振る舞い)を分析することで見分けます。

CDNetworksの「クラウド・セキュリティ WAF(クラウドWAF)」

Webアプリケーションの脆弱性に対応しすべての攻撃から守るためには、単純なWAFアプローチ手法だけでは不十分で、ルールを絶えず・頻繁に、そして自動的にアップデートしてくれる仕組みが必要です。

CDNetworksのクラウドWAFは、世界中に分散配置したCDNのPoP群からなるCDNプラットフォームに統合されたクラウド型のWAFサービスです。Webパフォーマンスを最適に保ったまま、Webサービスのセキュリティ強化を実現するもので、脆弱性侵害や不正アクセスなどの脅威からお客様のWebサービスを強力に守ります。

クラウドWAFは、次のようにさまざまなアプローチ手法を取り入れています。

■シグネチャとルールベースのファイアウォール
 

シグネチャベースとルールベースのファイアウォールです。あらかじめ定義されたルールやシグネチャを使ってWebアプリケーションを保護します。これらのルールは静的で、すべてのリクエストをあらかじめ設定された基準に照らし合わせ、ブロック、許可、キャプチャなど、決められたアクションをとるように設定されています。

■ポットプロテクション
 

ボットプロテクションは未知の脆弱性(ゼロデイ)をついた攻撃など、トラフィックや見た目やふるまいが正当な人間のインタラクションと違いがあるなどの仮説のもと、収集した情報を元に、悪意のあるボットを排除する機能です。

■IPレピュテーションファイアウォール
 

トラフィックが疑わしいソースから届いた際、IPアドレスやIPレンジ、端末の情報と背景を情報源として判断します。ビヘイビアの分析、ダークネットやボットネットサービスの調査結果、そしてWAFやIPSなどのサードパーティから提供される情報などを集めています。

サービス&プロダクト情報

お客様のWebアプリケーションを守るCDNに統合されたクラウド・セキュリティ WAFについて、詳しくは下記ページをご覧ください。
クラウド・セキュリティ WAF

CDNetworksのプロダクトラインナップについては、以下をご覧ください。
ウェブ・パフォーマンス・スイート

関連資料ダウンロード

導入事例やホワイトペーパー、会社概要などの資料ダウンロードは、以下よりどうぞ。           資料ダウンロードはこちら

ホワイトペーパー

WP-31:Web セキュリティもクラウドが主流に:クラウドWAF サービス選定時におさえるべき、5つのポイント
WP-31:Web セキュリティもクラウドが主流に:クラウドWAF サービス選定時におさえるべき、5つのポイント

Webアプリケーションの脆弱性を狙う攻撃をいかに防御するかは、多くの企業にとって重要な問題です。さまざまな対策をおこなえばその分コストがかさむため、企業はリスクとコストのバランスを見極めなければなりません。自衛の手段だけですべての攻撃を防ぎ続けるのは難しく、そこで有効とされるのがWAF(ウェブ・アプリケーション・ファイアウォール)による対策です。本資料では、クラウド型のWAFサービスを比較・選定する際に踏まえておくべき観点をまとめました。また、CDNetworksが提供する「クラウド・セキュリティWAF」の機能およびサービス内容をベースに基礎から解説します。

ホワイトペーパーダウンロード

サービス全般に関するお問い合わせ

お問い合わせは、以下よりお気軽にご連絡ください。

お問い合わせはこちら
PAGE TOP