オンプレミス型WAF Webアプリケーションセキュリティ F5 BIG-IP ASM

SCSKセキュリティでは、お客様のご要望に沿ったWAFソリューションの提供が可能です。

お客様のご要望 オンプレでシステムを構成し、WAFのチューニングが必要な場合 仮想基盤/クラウドでシステムを構成し、WAFのチューニングが必要な場合 クラウドでシステムを構成し、そのクラウドが提供するWAFサービスを利用する場合 オンプレミス/クラウドでシステムを構成し、Webアプリ保護とDDoS対策を行いたい場合
構成例 オンプレでシステムを構成し、WAFのチューニングが必要な場合 仮想基盤/クラウドでシステムを構成し、WAFのチューニングが必要な場合 クラウドでシステムを構成し、そのクラウドが提供するWAFサービスを利用する場合 オンプレミス/クラウドでシステムを構成し、Webアプリ保護とDDoS対策を行いたい場合
お客様の保護対象システムの環境 オンプレミス 仮想基盤/クラウド クラウド オンプレミス/クラウド
WAFの提供形態 ハードウェア
アプライアンス
仮想アプライアンス IaaSが提供する
サービス
SaaS
当社からの
ご提案ソリューション
製品
F5 BIG-IP ASM
F5 BIG-IP ASM
Virtual Edition
AWS WAF/
Azure WAF
攻撃遮断くん
運用
定期メンテナンス
サービス
定期メンテナンス
サービス
WafCharm
詳しくはこちら 詳しくはこちら 詳しくはこちら 詳しくはこちら

概要

F5ネットワークス社のBIG-IP (Advanced) Web Application Firewall(以下、BIG-IP ASM(AWAF))は、Webサーバーが利用するポート80番、443番のトラフィックを双方向で監視し、悪意あるユーザーからWebアプリケーションとその背後にあるデータを守るWebアプリケーションファイアウォール (WAF)です。

Webアプリケーションの脆弱性を狙う
悪意ある操作を排除してアプリケーションを保護

多くの企業でWebアプリケーションを利用していますが、その多くはSQLインジェクション等のセキュリティ上の脆弱性を有し、攻撃者のターゲットとなっています。アプリケーション改修による対応ではコストが見合わない場合に大きな力になるのがBIG-IP ASM (WAF)です。

また、AWAFはボットを使った攻撃の防御、パスワードリスト攻撃やアプリケーションレイヤに対するDoS攻撃など、より広範な脅威に対応した新世代のWAFです。これにより、従来のWAFでは検知できなかった脅威を検知・防御できるようになります。

サーバーソフトやOS、開発言語の種類に関わらず対応が可能

入力フォームを持つWebアプリケーションには、少なからず脆弱性が潜んでいます。脆弱性診断を行いセキュリティホールを発見し、アプリケーションを改修することでも対応可能ですが、アプリケーション数が多い場合にはコストや工期の面で現実的ではない場合があります。

BIG-IP ASM (WAF)は、Webサーバーの前段に設置することでこれらの脆弱性を狙ったリクエストを排除、アプリケーションとその背後にあるデータを保護します。豊富なWAF導入実績とノウハウを持つSCSKセキュリティならではの「SCSK WAF導入運用支援サービス」と併用いただくことで、サイトごとに適したポリシーチューニングも可能。より堅牢なWebシステムの構築をサポートします。

SQLインジェクション等のWebアプリケーションを狙った攻撃をブロック

BIG-IP ASMはオンプレミス環境に導入するハードウェアプライアンス型、お客様のプライベートクラウド上で稼働させるハイパーバイザー型、クラウド上で稼働させるIaaS型、いずれの構成にも対応しています。

Webアプリケーションへの脅威

実際にWebアプリケーションにはどのような脅威が存在するのか、以下代表的なハッキング手法をご紹介します。

SQLインジェクション

ユーザーからの入力値を元に行われるデータベース処理において、アプリケーションが想定しないSQL文を挿入することによりデータベースを不正に操作する。

SQLインジェクション イメージ
OSコマンドインジェクション

WebアプリケーションがサーバーのOSコマンドを呼び出す処理において、入力値に任意のOSコマンドを埋め込むことでサーバーに対する破壊・乗っ取りを行う。

OSコマンドインジェクション イメージ
ディレクトリトラバーサル

ユーザーからの入力値を元にサーバー上のファイルを参照させる処理において、入力値に親ディレクトリ参照表現(../等)や絶対パス名(/etc/passwd等)を埋め込むことで特定のファイルを取得する。

ディレクトリトラバーサル イメージ
その他の攻撃手法
攻撃の種類 攻撃方法 脅威
クロスサイトスクリプティング 悪意のあるスクリプトを標的サイトに仕掛け、不正なスクリプトをユーザーに実行させる。 標的にされたサイトの信頼性が損なわれるだけでなく、ユーザーが保持するデータや、個人情報が流出する可能性がある。
フォースフルブラウジング 本来、認証を必要とするページやファイルに直接アクセスを試みる。 サーバー上の機密情報やアクセス制御されたページにアクセスされてしまう可能性がある。
バッファーオーバーフロー アプリケーションの許容範囲を超えるデータを送りつける。 サーバー上で悪意のあるコードを実行されてしまう可能性がある。
Hiddenフィールドの改竄 クライアント側でHiddenフィールドの値を改竄する。 例えば商業サイトで、Hiddenフィールド内にある価格が改変されてしまう等の可能性がある。
メタキャラクタインジェクション 入力値にメタキャラクタを埋め込み、サーバーやデータベースの挙動に影響を与える。 誤動作やエラー画面の取得など OSやアプリケーションによって脅威は異なる。
ユニコード及び
URLの符号化(検知回避)
悪意のあるコードを隠すために、文字列をエンコードし難読化させる。 難読化された攻撃がIDSやIPSを通過してしまう。
CSRF(クロスサイト・リクエスト・フォージェリ) 外部サイトを経由した悪意のあるリクエストを受け入れて、利用者が予期しない処理を実行させる 不正な送金や意図しない製品の購入などの可能性がある。
ブルートフォースアタック/パスワード(アカウント)リスト攻撃 不正に入手したIDやパスワードのリストを使いログイン試行を行う。 ユーザーアカウントの乗っ取りや個人情報の流出の可能性がある。
アプリケーション層 DoS 攻撃(L7 DoS) 不正なHTTP(S)コネクションを多量に維持させWebサーバのリソース枯渇を狙う。 不正なコネクションが増加することで正規ユーザーが接続できなくなる。
脆弱性発見後の対策方法

脆弱性検査や不慮のセキュリティ事故などをきっかけに管理下のWebアプリケーションの脆弱性が明らかとなった場合、管理者がとるべき対策としてはシステムの停止、もしくは早急な改修 が求められることと思います。しかしながら多くの場合Webアプリケーションの改修には多大な費用と時間を要します。一方WAFを導入している場合、脆弱性に対して短時間で対応する事ができ、かつ改修にかかる費用よりも安価に済むケースが多いと考えられています。また新たな脅威に対しても、随時シグネチャがアップデートされるため、継続的に高いセキュリティを維持する事が可能です。

IPSとの違い

よく質問されるIPSとの違いですが、一般的にIPSがOSやミドルウェアを含むプラットフォームレイヤーの防御を対象としているのに対し、WAFはプラットフォーム上で稼動する固有のWebアプリケーションを防御対象としています。IPSの製品によってはWAFに類似する機能を実装しているものありますが、近年では攻撃コードの難読化や、アプリケーション固有の脆弱性を利用するなど、その手法が高度化されてきておりIPSだけでは対処が難しいというのが現状です。特に下記の機能はWAFならではのものです。

特定のURL、パラメータ毎のセキュリティポリシー設定

アプリケーションの画面ごとにセキュリティの強度を変えたり、特定の入力フィールドに対してより強固なセキュリティ設定を施すなど、Webアプリケーション毎の最適な設定が可能です。

Cookie改ざん防止機能

Cookieのやり取りを監視し、値が改ざんされている場合にブロックします。これによりセッションの乗っ取りや権限の昇格を未然に防止します。

パラメータ改ざん防止機能

パラメータ値のやり取りを監視し、改ざんされている場合にブロックします。これにより金額の改ざんや、なりすまし等を防止します。

カードのマスキング機能

万が一の情報流出に備え、サーバーからのレスポンスにクレジットカード番号が含まれている場合にマスキング処理を行います。クレジットカード番号には特定の採番ルールがあり、例えば4から始まる16桁の番号はVISAカードであるといった具合に判断します。

フロー制御機能

利用者の画面遷移を監視して不正な画面遷移をブロックします。これにより本来、認証を必要とするページやファイル等へ直接アクセスできないように制御します。

SSLアクセラレータ機能

暗号化された通信を紐解いた上で通信の内容を分析します。またSSLの複合化/暗号化処理をWAF上で行う事によりサーバー側の負荷が減少します。

まとめ
WAF/IPS/FWの役割
WAF IPS FW
機能概要 Webアプリケーションへのリクエストに対して、シグネチャ/ホワイトリストに基づき防御を行う。 多様なアプリケーション(プロトコル)へのリクエストに対して、シグネチャに基づき防御を行う。 リクエスト元・先のIPアドレス、ポート番号を検査して防御を行う。
HTTPリクエストに
対しての機能
TCPレベルで分割されたパケットを1件のデータとして組み立てて、さらにパラメータ名とパラメータ値等、HTTPリクエストとしての構文を認識してチェックを行う為、リクエストパラメータに不正な値が入っているか等のより詳細なチェックが可能。 TCPレベルで分割されたパケットを1件のデータとして組み立てて、チェックを行う。HTTPリクエストとしての構文を認識しない為、データ全体に不正な値が入っているかをチェックする。
WAFの必要性
  • 攻撃手法の高度化により、従来型のファイアーウォールやIPSでは対処が難しいのが現状
  • WAFによる脆弱性対策は短時間で対応する事ができ、かつ改修にかかる費用よりも安価に済むケースが多いと考えれる
SCSK WAF導入運用支援
  • 脆弱性診断で現状把握
  • 発見された脆弱性をWAFにて防御
  • 正常通信を妨げない為のチューニングを実施
  • 導入後も定期的に設定を見直し、最新のセキュリティホールに対応

CONTACT

当サービスに関するお問い合わせは、こちらからお気軽にご相談ください。

当サービスに関するお問い合わせ