| お客様のご要望 | オンプレでシステムを構成し、WAFのチューニングが必要な場合 | 仮想基盤/クラウドでシステムを構成し、WAFのチューニングが必要な場合 | クラウドでシステムを構成し、そのクラウドが提供するWAFサービスを利用する場合 | オンプレミス/クラウドでシステムを構成し、Webアプリ保護とDDoS対策を行いたい場合 | ||
|---|---|---|---|---|---|---|
| 構成例 |
 |
 |
 |
 |
||
| お客様の保護対象システムの環境 | オンプレミス | 仮想基盤/クラウド | クラウド | オンプレミス/クラウド | ||
| WAFの提供形態 |
ハードウェア アプライアンス |
仮想アプライアンス |
IaaSが提供する サービス |
SaaS | ||
|
当社からの ご提案ソリューション |
製品 |
F5 BIG-IP ASM
|
F5 BIG-IP ASM
Virtual Edition |
AWS WAF/
Azure WAF |
攻撃遮断くん
|
|
| 運用 |
定期メンテナンス
サービス |
定期メンテナンス
サービス |
WafCharm
|
|||
| 詳しくはこちら | 詳しくはこちら | 詳しくはこちら | 詳しくはこちら | |||
F5ネットワークス社のBIG-IP (Advanced) Web Application Firewall(以下、BIG-IP ASM(AWAF))は、Webサーバーが利用するポート80番、443番のトラフィックを双方向で監視し、悪意あるユーザーからWebアプリケーションとその背後にあるデータを守るWebアプリケーションファイアウォール (WAF)です。
多くの企業でWebアプリケーションを利用していますが、その多くはSQLインジェクション等のセキュリティ上の脆弱性を有し、攻撃者のターゲットとなっています。アプリケーション改修による対応ではコストが見合わない場合に大きな力になるのがBIG-IP ASM (WAF)です。
また、AWAFはボットを使った攻撃の防御、パスワードリスト攻撃やアプリケーションレイヤに対するDoS攻撃など、より広範な脅威に対応した新世代のWAFです。これにより、従来のWAFでは検知できなかった脅威を検知・防御できるようになります。
入力フォームを持つWebアプリケーションには、少なからず脆弱性が潜んでいます。脆弱性診断を行いセキュリティホールを発見し、アプリケーションを改修することでも対応可能ですが、アプリケーション数が多い場合にはコストや工期の面で現実的ではない場合があります。
BIG-IP ASM (WAF)は、Webサーバーの前段に設置することでこれらの脆弱性を狙ったリクエストを排除、アプリケーションとその背後にあるデータを保護します。豊富なWAF導入実績とノウハウを持つSCSKセキュリティならではの「SCSK WAF導入運用支援サービス」と併用いただくことで、サイトごとに適したポリシーチューニングも可能。より堅牢なWebシステムの構築をサポートします。
BIG-IP ASMはオンプレミス環境に導入するハードウェアプライアンス型、お客様のプライベートクラウド上で稼働させるハイパーバイザー型、クラウド上で稼働させるIaaS型、いずれの構成にも対応しています。
実際にWebアプリケーションにはどのような脅威が存在するのか、以下代表的なハッキング手法をご紹介します。
ユーザーからの入力値を元に行われるデータベース処理において、アプリケーションが想定しないSQL文を挿入することによりデータベースを不正に操作する。
WebアプリケーションがサーバーのOSコマンドを呼び出す処理において、入力値に任意のOSコマンドを埋め込むことでサーバーに対する破壊・乗っ取りを行う。
ユーザーからの入力値を元にサーバー上のファイルを参照させる処理において、入力値に親ディレクトリ参照表現(../等)や絶対パス名(/etc/passwd等)を埋め込むことで特定のファイルを取得する。
| 攻撃の種類 | 攻撃方法 | 脅威 |
|---|---|---|
| クロスサイトスクリプティング | 悪意のあるスクリプトを標的サイトに仕掛け、不正なスクリプトをユーザーに実行させる。 | 標的にされたサイトの信頼性が損なわれるだけでなく、ユーザーが保持するデータや、個人情報が流出する可能性がある。 |
| フォースフルブラウジング | 本来、認証を必要とするページやファイルに直接アクセスを試みる。 | サーバー上の機密情報やアクセス制御されたページにアクセスされてしまう可能性がある。 |
| バッファーオーバーフロー | アプリケーションの許容範囲を超えるデータを送りつける。 | サーバー上で悪意のあるコードを実行されてしまう可能性がある。 |
| Hiddenフィールドの改竄 | クライアント側でHiddenフィールドの値を改竄する。 | 例えば商業サイトで、Hiddenフィールド内にある価格が改変されてしまう等の可能性がある。 |
| メタキャラクタインジェクション | 入力値にメタキャラクタを埋め込み、サーバーやデータベースの挙動に影響を与える。 | 誤動作やエラー画面の取得など OSやアプリケーションによって脅威は異なる。 |
|
ユニコード及び URLの符号化(検知回避) |
悪意のあるコードを隠すために、文字列をエンコードし難読化させる。 | 難読化された攻撃がIDSやIPSを通過してしまう。 |
| CSRF(クロスサイト・リクエスト・フォージェリ) | 外部サイトを経由した悪意のあるリクエストを受け入れて、利用者が予期しない処理を実行させる | 不正な送金や意図しない製品の購入などの可能性がある。 |
| ブルートフォースアタック/パスワード(アカウント)リスト攻撃 | 不正に入手したIDやパスワードのリストを使いログイン試行を行う。 | ユーザーアカウントの乗っ取りや個人情報の流出の可能性がある。 |
| アプリケーション層 DoS 攻撃(L7 DoS) | 不正なHTTP(S)コネクションを多量に維持させWebサーバのリソース枯渇を狙う。 | 不正なコネクションが増加することで正規ユーザーが接続できなくなる。 |
脆弱性検査や不慮のセキュリティ事故などをきっかけに管理下のWebアプリケーションの脆弱性が明らかとなった場合、管理者がとるべき対策としてはシステムの停止、もしくは早急な改修 が求められることと思います。しかしながら多くの場合Webアプリケーションの改修には多大な費用と時間を要します。一方WAFを導入している場合、脆弱性に対して短時間で対応する事ができ、かつ改修にかかる費用よりも安価に済むケースが多いと考えられています。また新たな脅威に対しても、随時シグネチャがアップデートされるため、継続的に高いセキュリティを維持する事が可能です。
よく質問されるIPSとの違いですが、一般的にIPSがOSやミドルウェアを含むプラットフォームレイヤーの防御を対象としているのに対し、WAFはプラットフォーム上で稼動する固有のWebアプリケーションを防御対象としています。IPSの製品によってはWAFに類似する機能を実装しているものありますが、近年では攻撃コードの難読化や、アプリケーション固有の脆弱性を利用するなど、その手法が高度化されてきておりIPSだけでは対処が難しいというのが現状です。特に下記の機能はWAFならではのものです。
アプリケーションの画面ごとにセキュリティの強度を変えたり、特定の入力フィールドに対してより強固なセキュリティ設定を施すなど、Webアプリケーション毎の最適な設定が可能です。
Cookieのやり取りを監視し、値が改ざんされている場合にブロックします。これによりセッションの乗っ取りや権限の昇格を未然に防止します。
パラメータ値のやり取りを監視し、改ざんされている場合にブロックします。これにより金額の改ざんや、なりすまし等を防止します。
万が一の情報流出に備え、サーバーからのレスポンスにクレジットカード番号が含まれている場合にマスキング処理を行います。クレジットカード番号には特定の採番ルールがあり、例えば4から始まる16桁の番号はVISAカードであるといった具合に判断します。
利用者の画面遷移を監視して不正な画面遷移をブロックします。これにより本来、認証を必要とするページやファイル等へ直接アクセスできないように制御します。
暗号化された通信を紐解いた上で通信の内容を分析します。またSSLの複合化/暗号化処理をWAF上で行う事によりサーバー側の負荷が減少します。
| WAF | IPS | FW | |
|---|---|---|---|
| 機能概要 | Webアプリケーションへのリクエストに対して、シグネチャ/ホワイトリストに基づき防御を行う。 | 多様なアプリケーション(プロトコル)へのリクエストに対して、シグネチャに基づき防御を行う。 | リクエスト元・先のIPアドレス、ポート番号を検査して防御を行う。 |
|
HTTPリクエストに 対しての機能 |
TCPレベルで分割されたパケットを1件のデータとして組み立てて、さらにパラメータ名とパラメータ値等、HTTPリクエストとしての構文を認識してチェックを行う為、リクエストパラメータに不正な値が入っているか等のより詳細なチェックが可能。 | TCPレベルで分割されたパケットを1件のデータとして組み立てて、チェックを行う。HTTPリクエストとしての構文を認識しない為、データ全体に不正な値が入っているかをチェックする。 |
Copyright © SCSK Security Corporation
