
好きな所から読む
WAFとは?
WAF(Web Application Firewall)は外部と内部ネットワークの間に位置して、GmailやSkypeなどWebアプリケーションの脆弱性を狙った外部からのサイバー攻撃を検知・ブロックします。
ファイアウォールのアプリケーション版と認識してください。
Webアプリケーション内の脆弱性を無くすことは、ほとんど不可能に近いです。ベンダーが開発から顧客に導入するまでの短納期で全ての範囲の脆弱性を発見・把握するのは困難であることと、攻撃者が日々サイバー攻撃の技術や知識を向上させているため、今後も脆弱性を狙った攻撃は後を絶たないでしょう。
WAFの特徴は外部からのアクセスをシグネチャに基づいて、判断している点です。マルウェアに含まれる特徴的なデータや傾向、攻撃者が不正アクセスやサイバー攻撃を行う際に見られる特徴のデータとアクセスを照合して、アクセス許可を下してもいいか判断しています。つまり、蓄積されたデータベースから、ログイン要求があったアクセスにマルウェアやサイバー攻撃との共通点や類似性がないか判断しているのです。
そのため、WAFを導入することで、ファイアウォールでは検知できないゼロデイ攻撃やクロスサイトスクリプティング、バッファオーバーフロー攻撃などへの対策を強化できます。
WAFの機能と導入効果
WAFの機能をまとめました。
外部からの不正アクセスやマルウェア感染へのリスク対策に重点を置かれた機能構成です。
種類 | 機能内容 | 効果 |
外部からのアクセス監視・制御 |
|
|
シグネチャの自動更新 |
|
|
ログ・レポート |
|
|
特定URLの除外 |
|
|
IPアドレス拒否 |
|
ファイアウォールとは?
ファイアウォールは内部と外部ネットワークの間に位置し、外部からの不正アクセスの検知・ブロックを行います。
また、ユーザーが外部のWebサイトにアクセスする際、信頼性の低い危険なサイトにアクセスした場合はブロックします。
ファイアウォールがアクセス許可の判断基準としているのは、IPアドレスとポート番号です。
WAFとの違いはここにあります。
IPアドレスは通信のやりとりを行う相手が、多くのネットワーク機器と識別するための住所の役割を果たしています。
そして、ポート番号はデータの宛先を確定するための番号で、住所で例えるとマンションやアパートの何号室にあたる部分です。
近年は攻撃者の技術向上に伴いIPアドレスやポート番号を巧みに偽装して、ファイアウォールに不正アクセスと検知させずに、社内ネットワークに侵入する機会が増えています。
ファイアウォールの3つのデメリット
Webアプリケーションの脆弱性を狙う攻撃に対しての機能が無いことや未知の攻撃への弱さが挙げられます。
また、ファイアウォールが機能していた従来の境界線型セキュリティモデルは、社外から社内ネットワークへのアクセス機会の増加やサイバー攻撃の多様化によって、モデルチェンジを迫られています。
脆弱性を狙う攻撃を防止する機能が無い
Webサイトやアプリケーションの脆弱性を狙った攻撃を防ぐための機能がないため、ゼロデイ攻撃やバッファオーバーフロー攻撃などのサイバー攻撃を防ぐことができません。
近年、攻撃者のサイバー攻撃の特徴として、アプリケーションやソフトウェア、OSなどの脆弱性を狙う攻撃が増えているため、WAFの導入が必要となっています。
未知の攻撃に弱い
攻撃者は技術や知識を向上させて、IPアドレスやポート番号を巧みに偽装することで、社内ネットワークに侵入しています。また、近年では、既知のマルウェアと未知の要素をミックスさせたオリジナルのマルウェアやWindowsのPowershellを利用したファイルレス・マルウェアなどを使った攻撃も増えています。ファイアウォールは未知の攻撃に対する機能を備えていないため、WAFや別のセキュリティソリューションで補う必要があります。
境界線型セキュリティモデルの限界
従来は「社内=安全」、「社外=危険が伴う」との考えでセキュリティ対策が取られており、「マルウェアや不正アクセスの侵入をいかに防ぐか」といった対策に、重点が置かれていました。
オフィスでの勤務がデフォルトだった時代に、ファイアウォールは外部からの不正アクセスやマルウェアを遮断する文字通り「防火壁」として機能します。
ですが、近年の在宅勤務やテレワークの導入による場所を問わない働き方の増加、業務の効率性を求める企業の意向から営業マンやプログラマーなどが、顧客先やカフェなど外出先で資料作成や機密情報の閲覧をする機会も増えました。
以前よりも社外から社内ネットワークにアクセスする機会が大幅に増加したことにより、社内と社外で明確に境界線を敷く必要性が薄れています。また、サイバー攻撃の種類が多様化したことや技術の向上により、ファイアウォールが防げる攻撃も限定されてきました。
そして、従来の境界線型セキュリティモデルでは、「脅威が社内ネットワークに侵入した後、いかに素早く被害を抑えるか」といった対策が、やや不十分であったため、被害が拡大する傾向にありました。日本企業のサイバー攻撃による被害総額は、2014年~2018年にかけて4年連続で2億円以上を超えており、セキュリティ対策の変化が求められています。
WAFの導入で対策効果のあるサイバー攻撃の事例
サイバー攻撃の種類としてゼロデイ攻撃、クロスサイトスクリプティング、バッファオーバーフロー攻撃、ブルートフォースアタックの特徴を紹介します。
ゼロデイ攻撃
アプリケーションやソフトウェア上での脆弱性を修正したプログラムを適用する前に、再び攻撃者から脆弱性を狙った攻撃を受けることです。
セキュリティ管理者が修正プログラムを作成する時間を「ワンデイ」とカウントし、プログラムを配布する前に攻撃をされるので、ゼロデイ攻撃と呼ばれています。
ゼロデイ攻撃は攻撃の予兆を感じさせず、攻撃の要因となったマルウェアがシステム内部に留まる場合は再び攻撃を受ける可能性があるため、企業にとって最も警戒するサイバー攻撃の1つとなっています。
近年でも、Adobe Flash Player内の脆弱性を突かれた事例や三菱電機の中国拠点がハッカーにゼロデイ攻撃の被害を受けるなど、世界中で猛威を振るっています。
クロスサイトスクリプティング
Twitterやヤフー知恵袋など入力フォームを利用するアプリケーションにスクリプトを貼って、ユーザーから個人情報を盗取しようとする攻撃です。ユーザーがスクリプトをクリックすると、広告画面が画面上に何度も表示されたり、操作していないにも関わらずコメントを投稿されたりと攻撃者による不正操作が行われます。
混乱したユーザーに、攻撃者が用意した偽の入力フォームに個人情報を入力させるのが狙いです。
バッファオーバーフロー攻撃
バッファオーバーフロー攻撃は、データを保存する領域である「バッファ」にキャパシティ以上のデータ送信を行い、誤操作やシステムダウンを起こす攻撃です。システムダウンさせたPC内のアプリケーションやWebサイトの脆弱性を利用して、PC自体を乗っ取ります。乗っ取られたPCは他のサイバー攻撃の踏み台にされるだけでなく、個人情報の流出やインターネットバンキングの不正引き出しなどに悪用される場合があります。PCが乗っ取られた場合、多くのPCを不正操作して対象のサーバーやWebサイトに深刻なダメージを与えるDDos攻撃につながるので、注意が必要です。
ブルートフォースアタック
「総当たり攻撃」とも呼ばれるブルートフォースアタックは、パスワードを解読するために考えられる全ての方法を試す攻撃です。短いパスワードの場合はすぐに解読されるだけでなく、一つのパスワードを使い回している場合は被害がより大きくなります。人間よりも処理能力が遥かに高いPCを使用するため、個人情報を手に入れる手段として「最も確実な方法」と言われていました。
対策としては、文字数が長く英数字や記号などを複雑に組み合わせたパスワードの使用、WAFの導入による不正アクセスの軽減、顔認証や指紋認証を使用した多要素認証の導入が挙げられます。
WAFとの併用が望ましい3つのセキュリティソリューションを紹介
UTM、DMZ、EDRの紹介をします。
UTM
統合脅威管理と呼ばれるUTM(Unified Threat Management)は、複数のセキュリティ機能を1台に集約したセキュリティツールです。
ファイヤウォールやアンチウイルス、Webフィルタリング機能などが1台に集約されているので、低コストで導入もしやすいのが特徴です。
WAFでクロスサイトスクリプティングやゼロデイ攻撃などのサイバー攻撃への対策を強化し、UTMでマルウェア感染や不正アクセスへの対策を強化できます。
日本のUTM市場では、アメリカのFortinet社が提供しているFortigateがシェアナンバー1に輝いています。
UTMに搭載されている機能をまとめました。
種類 | 機能 | 効果 |
ファイアウォール |
|
|
アンチウイルス/アンチスパム |
|
|
IPS/IDS(不正侵入検知防止システム) |
|
|
Webフィルタリング機能 |
|
|
アプリケーション制御 |
|
DMZ
DMZ(DeMilitarized Zone)は、「非武装地帯」と呼ばれる内部ネットワーク内における緩衝地域です。
サーバーを内部ネットワークから隔離することで、標的型攻撃からサーバーを守ることができます。
DMZを併用することで、WAFでは防げない標的型攻撃への対策を強化します。
標的型攻撃の一例
種類 | 特徴 | 被害 | 事例 |
ランサムウェア |
|
|
|
サプライチェーン攻撃 |
|
|
|
ビジネスメール詐欺 |
|
|
|
EDR
EDR(Endpoint Detection and Response)は、社員が利用するノートPCやスマートフォンなどをエンドポイントと位置づけ、端末内のセキュリティ監視を行います。
端末内でマルウェアや脅威を検知した場合は、脅威の発生源をすぐに隔離・駆除します。また、エンドポイント内に侵入した感染経路を把握・分析する機能も持っており、攻撃者の2次攻撃を防ぐことが可能です。
EDRを導入することでマルウェアや不正アクセスに侵入されたとしても、被害を最小限に食い止められます。
まとめ
WAFの機能や強み、情報資産を守る仕組みが強化できる併用して導入するべきセキュリティソリューションを見てきました。大切なのは、自社のセキュリティ環境や対策を今一度確認することです。
「外部からの不正アクセスリスクを減らしたいのか」、「効率的な運用を行いたいのか」、「マルウェアやサイバー攻撃の被害にあった場合の対策を強化したいのか」では、導入するべきセキュリティソリューションも変わってきます。
併せてセキュリティ業務経験や知識に長けた社員の有無も確認し、自社のセキュリティ対策における課題と改善したい部分を明確にしておきましょう。