「安全なクレジット・カード決済のため,WAF(Web Application Firewall)の重要性が増している。企業にとってWAFはもはや必須だ」---。こうWAFの重要性をアピールするのは,WAF機能を持つWeb高速化装置を出荷するF5ネットワークスジャパンである。同社でエンジニアリングマネージャを務めるJoe Poehls氏は2008年5月28日,WAFが必須となる根拠を示すとともに,同社製品が備えるWAF機能をアピールした。
WAFの重要性が増す背景は,SOX法の次のセキュリティ・トレンドとして「PCI DSS」(Payment Card Industry Data Security Standard)が立ち上がっているという状況がある(関連記事:セキュリティ基準「PCI DSS」)。PCI DSSとは,大手クレジットカード会社が策定した,クレジットカード情報を取り扱う事業者に向けた,情報システムの構成や運用に関するガイドライン。クレジットカードを不正に使われたり,クレジットカード情報が漏えいしたりすることを防ぐために,情報システムが備えるべき要件を示したものだ。データベース・アクセス・ログの監視やWAFなどの分野で,PCI DSS対策市場が立ち上がりつつある。
米F5 Networksは,Web高速化装置「BIG-IP」にWAF機能を追加するソフトウエア「BIG-IP Application Security Manager」(BIG-IP ASM)を提供済み。同ソフトの旧称はTrafficShield。買収したイスラエルMagniFire WebSystemsの技術であり,元々は独立したアプライアンスとして提供していたものの,現在はBIG-IPの共通基盤/OSであるTMOSへの移植が完了している。現在出荷している版では,一度レイヤー4からレイヤー7へと解析の対象を広げた段階で,WAF解析と他の解析を一度に終わらせるようにして性能を向上させているという。
同社はさらに,WAFの導入はもはや簡単であり,従来のような導入の難しさが無くなった点を強調した。以前のWAFでは,WAFに対するセキュリティ・ポリシーを設定するために,守るべき業務アプリケーションの内容について詳しく知る必要があったという。ところが,現在では,既知の攻撃パターンが分かっているほか,日常のトレンドを自動学習した上で日常と異なるアクセスを検知することも可能であり,さらにポリシー設定の方法に工夫を凝らすことで初期導入と運用開始までの時間が短く済むとしている。
従来はWAF機能をオフにした段階でポリシーの作成から取り組む必要があり,初期導入から運用開始まで2カ月ほどかかっていたと同社は指摘する。ところが現在では,ポリシー指定が柔軟になったことにより,まずはWAF機能をオンにした状態で,WAFを通過させるべき正当なアクセスを「*.jsというオブジェクトへのHTTPアクセスはすべて許可する」などのワイルド・カード指定でいったん運用しておき,運用中に詳細なポリシーが定まった後でワイルド・カード指定を外すという導入が可能になったという。
PCI DSS対策を特に意識した機能としては,転送データ中にクレジットカード情報が含まれていた場合にアクセスをブロックしたり,転送データ内のクレジットカード情報の一部分をマスキングして全体像を分からなくする機能がある。BIG-IP ASMの場合では,クレジットカードに関連した情報であるかどうかを判断するための材料として,大手クレジットカード会社のカード番号に関する知識を備えているという。
Evasion Attackと呼ぶ攻撃手法も流行しており,WAFはこうした攻撃に対する防御としても有効であるとした。Wvasion Attackとは,攻撃コマンドを文字列変換しておくことにより,一見して攻撃であるとは分からずに見逃してしまう手法を指す。例えば,SQL文をURLエンコードして送りつけたり,SQL文のコマンドを分割し,間にコメント「/* */」を挿入してSQLコマンドを発見されにくくする,といった具合だ。
