SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2015 講演レポート(PR)

ウェブサイトが直面する危機に備える!WAFの有効活用――ジェイピー・セキュアの齊藤和男CTOが解説

 Webサイトを構成するアプリケーションやミドルウェアの脆弱性を突く攻撃が相変わらず後を絶たないが、これに対処する方法として「WAF(Web Application Firewall)」を導入する企業・組織が増えてきている。ソフトウェア型WAFのベストセラー製品「SiteGuard」の開発元ジェイピー・セキュアのCTOである齊藤和男氏が、「Security Online Day 2015」講演のなかで、あらためてWAFの有効性や導入効果について語った。

相変わらず猛威を振るう「Webアプリケーションの脆弱性を突いた攻撃」

 今日、Webサイトを経由した情報漏えいや、コンテンツの改ざん、あるいはアクセスしてくるユーザーをマルウェアに感染させるなど、Webサイトを介したセキュリティ事故が多発している。インターネット上にサイトを公開しているあらゆる企業や組織にとって、Webサイトのセキュリティ対策強化はまさに急務だといえる。  

 ちなみにWebサイトが攻撃を受けたり、侵入を許す経路には、大きく分けて「不正ログイン」と「アプリケーション/ミドルウェアの脆弱性を突いた攻撃」の2種類がある。後者については、ここ最近の事例だけを見てもApache Strutsやbash、HTTP.sysなどの脆弱性を突いた攻撃が猛威を振るい、今なお新たな脆弱性が次々と見付かっている状況だ。しかし齊藤氏によると、新たに見付かった脆弱性をいち早く突く攻撃だけでなく、古典的な手法を使った攻撃による被害も依然として多いという。

株式会社ジェイピー・セキュア 取締役 CTO 齊藤 和男氏

 「SQLインジェクションやクロスサイトスクリプティングなど、以前からある攻撃手法も依然として使われており、これによる被害も相変わらず多数報告されている。また昨年1月には、個人情報漏えい事故を引き起こしたオンラインショップ企業が、開発会社を相手取り、損害賠償を請求した件で、SQLインジェクションへの対策を怠った責任を問う判決が下り、開発会社側に一定の債務不履行責任があると認められた」  

 こうした事案は、法的なリスク管理・対策においても参考となり、Webアプリケーションの脆弱性を突く攻撃への備えを決して怠ってはならないと齊藤氏は説く。しかし同時に、「常に完ぺきな対策を施すのも現実的には困難だ」とも同氏は言う。  

 「Webアプリケーションの脆弱性に対して根本的に対処するには、セキュアな開発と脆弱性診断を実施し、脆弱性が発見された場合には修正する必要がある。しかし、脆弱性診断やプログラムの修正・テスト作業には時間とコストが掛かる上、場合によっては既存のサービスを停止する必要もあり、ビジネス上許容できないケースも多い」

ソフトウェア型WAFのベストセラー製品「SiteGuard」

 こうしたケースで有効なのが、「WAF(Web Application Firewall)」と呼ばれるセキュリティ製品の活用だ。WAFは、Webアプリケーションの脆弱性を悪用した攻撃からサイトを守るためのソリューションで、Webアプリケーション本体には手を加えることなく、既存システムに追加導入することで外部からの攻撃を防ぐことができる。

「Security Online Day2015」(2015/09/07) ジェイピー・セキュア
「ウェブサイトが直面する危機!改ざんや情報流出を防ぐ」講演資料より[クリックすると図が拡大します]

 そのため、自社サイトの脆弱性が判明したものの、プログラム修正やソフトウェア製品のアップデートを今すぐ行うのが困難な場合に、極めて有用なソリューションとして機能する。WAFを導入することで、あらゆる既知の脆弱性に対して「今すぐ」対応し、リスクの芽を迅速に排除するとともに、並行して根本的な対策をじっくり計画立てて行っていけばいいわけだ。  

 なおWAF製品には、アプライアンス型やソフトウェア型、オープンソース製品など、さまざまな形態のものが存在する。齊藤氏は、それらの中から自社サイトの特徴や運用に合致した製品を適切に選ぶことが重要だと述べる。  

 「インラインブリッジの構成で設置したいならアプライアンス型が適しているし、運用をアウトソースしたいならサービス型のWAFが適している。また、自社でインフラの構成変更や拡張を頻繁に行うのなら、それに柔軟に対応できるソフトウェア型がニーズにマッチするだろう」  

 ちなみにジェイピー・セキュアでは、ソフトウェア型のWAF製品「SiteGuard」を開発・提供している。HTTPのリバースプロキシとして動作するゲートウェイ型製品「SiteGuard」と、Apacheのモジュールとして動作するホスト型製品「SiteGuard Lite」の2つの製品ラインアップを持ち、メガバンクから個人サイトまで、数十万ものサイトで導入されているベストセラー製品だという。  

 「高性能でありながらシンプルな使い勝手がユーザーに好評を博しており、また国産製品ならではの充実した製品サポートサービスも多くの企業から高く評価いただいている。近年では、既に判明した脆弱性に対する事後対策としてだけでなく、新たにWebアプリケーションを構築する際にセーフティネットとして当初からSiteGuardを導入するユーザーが増えていて、多くのサイトでWAFが有効活用されている」

次のページ
CMSに特有のセキュリティリスク――セキュアなWordPress環境を実現する方法

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2015 講演レポート連載記事一覧

もっと読む

この記事の著者

吉村 哲樹(ヨシムラ テツキ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7277 2015/10/16 06:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング