相変わらず猛威を振るう「Webアプリケーションの脆弱性を突いた攻撃」
今日、Webサイトを経由した情報漏えいや、コンテンツの改ざん、あるいはアクセスしてくるユーザーをマルウェアに感染させるなど、Webサイトを介したセキュリティ事故が多発している。インターネット上にサイトを公開しているあらゆる企業や組織にとって、Webサイトのセキュリティ対策強化はまさに急務だといえる。
ちなみにWebサイトが攻撃を受けたり、侵入を許す経路には、大きく分けて「不正ログイン」と「アプリケーション/ミドルウェアの脆弱性を突いた攻撃」の2種類がある。後者については、ここ最近の事例だけを見てもApache Strutsやbash、HTTP.sysなどの脆弱性を突いた攻撃が猛威を振るい、今なお新たな脆弱性が次々と見付かっている状況だ。しかし齊藤氏によると、新たに見付かった脆弱性をいち早く突く攻撃だけでなく、古典的な手法を使った攻撃による被害も依然として多いという。
株式会社ジェイピー・セキュア 取締役 CTO 齊藤 和男氏
「SQLインジェクションやクロスサイトスクリプティングなど、以前からある攻撃手法も依然として使われており、これによる被害も相変わらず多数報告されている。また昨年1月には、個人情報漏えい事故を引き起こしたオンラインショップ企業が、開発会社を相手取り、損害賠償を請求した件で、SQLインジェクションへの対策を怠った責任を問う判決が下り、開発会社側に一定の債務不履行責任があると認められた」
こうした事案は、法的なリスク管理・対策においても参考となり、Webアプリケーションの脆弱性を突く攻撃への備えを決して怠ってはならないと齊藤氏は説く。しかし同時に、「常に完ぺきな対策を施すのも現実的には困難だ」とも同氏は言う。
「Webアプリケーションの脆弱性に対して根本的に対処するには、セキュアな開発と脆弱性診断を実施し、脆弱性が発見された場合には修正する必要がある。しかし、脆弱性診断やプログラムの修正・テスト作業には時間とコストが掛かる上、場合によっては既存のサービスを停止する必要もあり、ビジネス上許容できないケースも多い」
ソフトウェア型WAFのベストセラー製品「SiteGuard」
こうしたケースで有効なのが、「WAF(Web Application Firewall)」と呼ばれるセキュリティ製品の活用だ。WAFは、Webアプリケーションの脆弱性を悪用した攻撃からサイトを守るためのソリューションで、Webアプリケーション本体には手を加えることなく、既存システムに追加導入することで外部からの攻撃を防ぐことができる。
「ウェブサイトが直面する危機!改ざんや情報流出を防ぐ」講演資料より[クリックすると図が拡大します]
そのため、自社サイトの脆弱性が判明したものの、プログラム修正やソフトウェア製品のアップデートを今すぐ行うのが困難な場合に、極めて有用なソリューションとして機能する。WAFを導入することで、あらゆる既知の脆弱性に対して「今すぐ」対応し、リスクの芽を迅速に排除するとともに、並行して根本的な対策をじっくり計画立てて行っていけばいいわけだ。
なおWAF製品には、アプライアンス型やソフトウェア型、オープンソース製品など、さまざまな形態のものが存在する。齊藤氏は、それらの中から自社サイトの特徴や運用に合致した製品を適切に選ぶことが重要だと述べる。
「インラインブリッジの構成で設置したいならアプライアンス型が適しているし、運用をアウトソースしたいならサービス型のWAFが適している。また、自社でインフラの構成変更や拡張を頻繁に行うのなら、それに柔軟に対応できるソフトウェア型がニーズにマッチするだろう」
ちなみにジェイピー・セキュアでは、ソフトウェア型のWAF製品「SiteGuard」を開発・提供している。HTTPのリバースプロキシとして動作するゲートウェイ型製品「SiteGuard」と、Apacheのモジュールとして動作するホスト型製品「SiteGuard Lite」の2つの製品ラインアップを持ち、メガバンクから個人サイトまで、数十万ものサイトで導入されているベストセラー製品だという。
「高性能でありながらシンプルな使い勝手がユーザーに好評を博しており、また国産製品ならではの充実した製品サポートサービスも多くの企業から高く評価いただいている。近年では、既に判明した脆弱性に対する事後対策としてだけでなく、新たにWebアプリケーションを構築する際にセーフティネットとして当初からSiteGuardを導入するユーザーが増えていて、多くのサイトでWAFが有効活用されている」
