WAFの仕組みを解説

 2016.12.01 Secure Enterpriseポータル

WAF(Web Application Firewall)とは、ファイアウォールやIPS/IDS(不正通信防御/検知システム)といった、プラットフォーム層を中止に保護するセキュリティ製品に対し、Webサーバにおけるアプリケーション層を保護するためのセキュリティ製品です。

つまり、Webサイト/Webサービスを対象として行われる数々のサイバー攻撃に対し、不正改ざんや機密情報といった脅威から効果的に保護することができます。

今回は、そんなWAFがどうようにアプリケーション層を保護しているのか?その仕組みを解説します。

また、解説を踏まえた上でシマンテックが提供する「シマンテック クラウド型WAF」の特長についても紹介しますので、ぜひ参考にしてください。

WAFの仕組み

WAFは一般的に、シグネチャを用いた“ブラックリスト方式”、それとは対極にある“ホワイトリスト方式”によってWebサイト/Webサービスへのサイバー攻撃を検知及び防御します。

ブラックリストによるHTTP/HTTPS通信の評価

HTTP/HTTPSとは、インターネット上でWebサーバとユーザーPCが相互に通信するために使用される通信プロトコルです。

全てのWebサイト/WebサービスはこのHTTP/HTTPSによってクライアント(ユーザーPC)とデータのやり取りを行っており、ユーザーからの要求(リクエスト)情報に返答(レスポンス)する形でネットワークを形成しています。

そしてWAFにおけるブラックリストとは、シグネチャ(複数の不正通信/攻撃パターンを定義したファイル)を基準にHTTP/HTTPSの情報内容を精査することで、ユーザーからの要求が“正常なものかあるいは悪質なものなのかを評価”します。

ブラックリストはセキュリティベンダーが更新することで既知の脅威へ対応するため、ベンダーが提供するシグネチャによって“性能が大きく左右される”のが特長です。

ホワイトリストで特定のパラメータのみを許可

ホワイトリストとは管理者が明示的に設定した通信のみを許可するもので、ブラックリストとは全く逆のプロセスを持つため未知の脅威に対して有効的な対策方式です。

しかし、基本的にはユーザー側で管理する必要があるため、管理負荷の増大やシステム設定が複雑化してしまうという特徴があります。

また、設定したパラメータによっては正常な通信まで阻害してしまう可能性があるので、慎重な運用が必要です。

従来ホワイトリストの優位性が説かれてきたセキュリティ業界ですが、正常通信までブロックしてまうことや、管理負荷の増加などの理由によりこの認識が薄れてきているというのが現状です。

WAFで防御できるサイバー攻撃

WAFを導入することで、企業はどういったサイバー攻撃からWebサイト/Webサービスを保護できるのか?ここではその一部を紹介します。

SQLインジェクション

ほとんどのWebサーバ/WebアプリケーションではRDB(Relational DataBase)の操作にSQL文を用いていますが、この脆弱性を突いた攻撃がSQLインジェクションです。

攻撃者はWebサイト/Webサービスの入力欄に特定のSQL文を入力することで、データベースを不正に操作し情報搾取や内部ネットワークへの侵入を試みます。

クロスサイトスクリプティング

クロスサイトスクリプティングとは、ユーザーの要求に応じて動的Webページを生成するWebアプリケーションにおいて、脆弱性を突き不正プログラムを組み込むサイバー攻撃です。

これにより管理者が意図しないWebページを作成し、ユーザーの個人情報やCookie情報などを搾取したり、マルウェア感染を目的として攻撃が実行されます。

セッションハイジャック

クロスサイトスクリプティングやその他の攻撃手法によって搾取されたCookie情報やセッションIDは、攻撃者が不正利用することで正規ユーザーに成りすますセッションハイジャックへと進展します。

正規ユーザーのみが使用できるサービスなどを悪用することで、直接的な被害を受けるのはユーザー自身です。

DDoS攻撃/DOS攻撃

不特定多数あるいは単一コンピュータから大量のトラフィックやリクエストを送信し、Webサーバ/Webアプリケーションなどのリソースを枯渇させることで正常通信への対応を不可能な状態に追い込みます。

主に政治的/嫌がらせ目的に用いられる攻撃手法ですが、近年ではWebサイト/Webサービスを人質に摂ることで金銭の要求を行うケースも発生しています。

Apache Struts2の脆弱性

Webアプリケーションのフレームワークとして広く使用されているApache Stuts2では、定期的に脆弱性が発見されており、それを狙ったサイバー攻撃も相次いでいます。

また、Apache Stuts2に限らずオープンソースソフトウェアは比較的脆弱性が多いため、確実に対処する必要性があります。

WAF導入形態の違いによる特徴

現在市場で提供されているWAFには3つの導入形態があり、企業は自社環境や現状課題を踏まえ検討を行うことが重要です。

アプライアンス型

専用ハードウェアや汎用サーバをネットワーク上(Webサーバの前面)に設置し、ユーザーとの通信を物理的にWAF経由とすることで通信内容を精査します。

多額な導入コストや管理負荷の増大というネックはありますが、Webサーバの台数やリソースに影響されないWAF環境を構築できます。

ソフトウェア型

既存WebサーバにソフトウェアをインストールするタイプのWAFであり、アプライアンス型に比べ低コストでの導入が可能です。

しかし、Webサーバの台数によってはアプライアンス型を上回ることもあり、かつリソースに影響されるという特徴を持ちます。

クラウド型

クラウド型は専用ハードウェアなどの設置や既存Webサーバへのソフトウェアインストールを必要とせず、Webベースで提供されるWAFを“サービスとして利用”するものです。

ユーザーが行う導入作業はDNS設定の変更のみなので導入期間を短期化でき、かつ安価な初期コストで導入することができます。

「シマンテック クラウド型WAF」の特徴

「シマンテック クラウド型WAF」はクラウド型の特性を活かし、“最短1週間での導入”を実現するセキュリティ製品です。

導入にかかるコストを“大幅にカット”しつつ、導入後の“運用管理まで効率化”できるため堅牢かつ快適なセキュリティ環境を構築できます。

また、「シマンテック クラウド型WAF」ではブラックリスト方式のみを採用したWAFを提供することで、柔軟なシステム構成を可能としあらゆる環境にフィットします。

Webサーバを1台のみ稼働する小規模環境から、50のWebサイト運営と80以上のWebサーバを稼働する大規模環境など幅広い導入実績があり常に最適なセキュリティ環境を提供します。

本格稼働前の事前検証に関しても入念に行うので、検証不足によるWAF導入の失敗を防ぐことも可能です。

まとめ

ファイアウォールやIPS/IDSといったセキュリティ製品が日々高度化し、様々なサイバー攻撃へ対処できる時代へ既に突入しています。

しかし、Webサイト/Webサービスを狙ったサイバー攻撃に確実に対処するためにはWAFが不可欠というのもまた事実です。

既存セキュリティ環境でWebサーバ/Webアプリケーションの脆弱性を突いた攻撃への対策は取れているでしょうか?

全てのWebサイト/Webサービス運営企業は自社セキュリティ環境を見つめ直し、実用的なWAF導入をご検討ください。