金融業界のWEBサイト防衛に学ぶ最上級のセキュリティとは?

 2017.04.06 Secure Enterpriseポータル

メガバンクやネット証券にFX(外国為替証拠金取引)などのサービスをオンラインで提供する金融機関では、取引相場などが時事刻々と変わるため、コンマ何秒の単位でのレイテンシーが問われます。

そのため、不正アクセス対策をはじめとして、WEBサイトの改ざん検知やWEBアプリケーションへの攻撃対策などは、自社のデータセンターに数千万円規模のコストをかけて万全の体制を整えています。

こうした金融機関における最上級のWEBアプリケーション保護対策は、どのように運営されているのでしょうか。オンプレミスでWAFを運営する金融機関の取り組みから、その最先端の防衛について考えてみましょう。

オンプレミスのWAFに求められる検査と処理とログ機能

自社のネットワーク内に設置されたWAFは、利用者とウェブサイト間の HTTP 通信の内容を機械的に検査します。

検査の結果、「悪いもの」と判定した HTTP 通信に対して、あらかじめ定義しておいた防御のための「処理」を実行します。この一連の機能が WAFの「基本機能」です。WAF の「基本機能」には以下の機能が含まれます。

  • 「検査機能」:HTTP 通信を検出パターンに基づいて検査する
  • 「処理機能」:HTTP 通信に対する処理を実行する
  • 「ログ機能」:WAF の動作を記録する

まず「検査機能」では、定義した検出パターンに基づいて、HTTP 通信内の HTTP リクエストおよびHTTP レスポンスを検査します。代表的なHTTPリクエストの検査は、次のような項目があります。

  • リクエストライン(メソッド、URI、クエリストリング)
  • ヘッダ(ジェネラルヘッダ、リクエストヘッダ、エンティティヘッダの各フィールド)
  • メッセージボディ(POST データ)

またHTTPレスポンスの検査項目は以下のような内容になります。

  • ステータスライン(ステータスコード)
    ヘッダ(レスポンスヘッダフィールド)
    メッセージボディ

これらの検査では、「ブラックリスト」を使って「悪いもの」を判断し、「ホワイトリスト」で「安全なもの」を通過させます。

WAFを自社で運用する場合には、まず最初にこの「ブラックリスト」と「ホワイトリスト」の定期的なメンテナンスが必須となります。特に「ブラックリスト」は、指名手配書のようなリストなので、古いままでは凶悪な攻撃を検出できなくなります。

そこで社内のWAF管理者は、常に最新の「ブラックリスト」を入手するために、日々メンテナンス作業を行います。

攻撃には通過とエラーに遮断や書き換えで対応

最新の「ブラックリスト」と「ホワイトリスト」による検査と合わせて、WAFの中にはHTTP通信におけるセッションの正当性を確認する機能が備わっています。

「ホワイトリスト」に登録されている情報に合致したり、「ブラックリスト」に該当しない通信であれば、通常は「通過」処理が実行されます。それに対して、不正なHTTP通信が発見されると「エラー」や「遮断」に「書き換え」などの処理を実行します。

エラー処理では、WAFがエラー応答を生成して、不正アクセス者などに送信します。エラー処理よりも厳密な対応が「遮断」です。不正なHTTP通信を意図的に破棄して、不正アクセス者に防御の意図を伝えます。そして、より高度な対応が「書き換え処理」になります。

HTTPリクエストで発見されたクロスサイト・スクリプティングやSQLインジェクションなどの攻撃通信に対して、特徴的な文字列のみを書き換えて、あえてHTTPリクエストをWEBアプリケーションに送信します。こうした高度な処理は、WAFの管理者が設計します。そのため、WEBアプリケーションに対する深い知識とWAFの処理機能に対する高度な技能が求められます。

さらにWAFの管理者は、管理機能を利用して、日々のログを集計したり、自動的に生成されるレポートの内容から、不正なHTTP通信の傾向を読み解きます。

高い経験と知識が求められるWAF管理者とオンプレミス導入までの道のり

WAFを自社で運用するには、導入の検討から運用に至るまでの手順を踏まなければなりません。その工程は図のようになっています。

waf-implementation.jpg

導入までのプロセスそのものは、一般的なITシステムの導入手順と大きな違いはありません。しかし、通常のITシステムは稼働してしまえば、定期的な保守や更新だけで運用を維持できるのに対して、WAFの場合には運用に大きな負担がかかります。実際の運用においては、図のような運用ポリシーを検討しなければなりません。

waf-management-flow.jpg

日々のログを確認するだけではなく、即時性の高い検知パターンの更新に、WAFプログラムそのものの更新や、障害対応などの体制と人員の確保が必要になります。

オンプレミスでWAFを運用する大手の金融機関などでは、最低でも3交代のシフト制で24時間の管理体制を整えています。そのため、人的な投資もかなりの額になります。それでも、コンマ何秒の単位でのレイテンシーを重視するWEBサイトでは、必要なコストとなっています。

IPAが作成している資料によれば、標準的なWAF導入には約4か月の期間が必要になります。それでも、WEBアプリケーションへの攻撃を保護するためには、WAFの導入が必須なのです。しかし、すべての企業が大手金融機関のような万全なオンプレミスのWAFは導入できません。そこで、コンマ何秒の単位でのレイテンシーが発生しても問題がなく、利用できるプロトコルなどの条件さえクリアできれば、クラウド型WAFという選択肢があります。

クラウド型WAFは、クラウド上にある仮想アプライアンスです。導入は、WEBサイトのネットワーク設定を一部変更するだけです。そのため、最短で一日での導入も可能です。また、運用はサービスを提供するシマンテック側が行うので、脆弱性への対応やチューニングといった作業も不要です。

サーバの構築や機器の購入も不要なので、初期費用を抑えて安価な月額料金で利用できます。これまで紹介してきた大手金融機関が導入している規模のソフトウェア型WAFやアプライアンス型WAFの導入が困難な場合には、クラウド型WAFの採用が最善の選択といえるでしょう。