「Webアプリの安全は、アプリ視点(プロキシ)でなければ守れない」――。F5ネットワークスジャパンは2011年12月21日、記者向けの説明会を開催し、ITシステムが抱えるセキュリティの課題と解決策について解説した。結論として、ネットワーク経路上にL7スイッチをリバースプロキシとして配置し、ここでセキュリティ対策を一元化すべき、とした。
冒頭で同社は、第三者の調査データを引き合いに「企業のセキュリティ投資は間違っている」と指摘。同社によれば、企業のセキュリティ投資の90%は、ネットワーク層に注がれており、半数の企業は「IDS/IPS(侵入検知/侵入防御システム)を導入済みだから大丈夫」と考えている。この状況を、F5ネットワークスジャパンの帆士敏博氏(写真)は「まったくの誤解」と指摘し、Webアプリに焦点を合わせた対策が必要だと強調した。
Webアプリの安全運用にはWAFが必須
同社が提示したレポートの一つは「株式会社ラック 侵入傾向分析レポート Vol.17 2011年11月16日」。これによると、インターネットからの重要な攻撃の75%は、SQLインジェクションやXSS(クロスサイトスクリプティング)など、Webアプリを狙ったものだ。特に、やり取りするデータの中身を調べなければ防御できないような、アプリケーションの脆弱性を利用した攻撃が目立つ。
もう一つのレポートは、「NRIセキュアテクノロジーズ サイバーセキュリティ傾向分析レポート 2011」。これによると、WAF(Webアプリケーションファイアウォール)で検知できた157万2652件の攻撃の54%は、IDS(侵入検知システム)では検知できなかった。パラメータ値への不正アクセスや不正な文字コード、Cookieインジェクションなどは、IDSでは検知が困難であり、WAFが有効というデータである。
複数アプリのセキュリティ対策を一元化せよ
Webアプリが全盛の現在では、IDS/IPSでは検知が困難な攻撃を検知する必要がある。ここで有力な製品がWAFである。同社は、これに加えて、複数のアプリケーションに対するセキュリティ対策を一元化できることが重要、と説く。現状では「ネットワーク、アプリ、認証システム、など、個々のポイントごとの解決策をバラバラに導入しているのが実態」(帆士氏)である。
ポイントごとの解決策では管理できなくなる背景として同社は、企業が抱える課題が直近の2~3年で大きく変化したことを挙げる。サーバー仮想化環境の浸透によって、Webアプリが動作するサーバーの場所が変わるなど、システムは複雑性を増している。さらに、Windows PCだけでなくスマートフォン/タブレットが普及し、リモートアクセスによるアプリ利用が広がりつつある。
これを踏まえて、今後のITシステムでは、複数のアプリのセキュリティ対策を一カ所に集約できることと、コンテキスト(いつ誰がどうアプリを使っているのか)を把握してセキュリティ対策に利用することが求められ、これを可能にする製品が必要になるという。さらに、製品には、情報を共有する場としてユーザー(技術者)のコミュニティが存在することが大切であるとする。
多機能プロキシ製品を用意
セキュリティ対策を集約する仕組みとして同社が用意している製品が、L7スイッチ「BIG-IP」である。同一のプラットフォームを用いながら、用途に応じて主要機能を変えて、負荷分散、WAF、リモートアクセス、などに向いたアプライアンスをそれぞれ用意している。
例えば、リモートアクセス用の機能を用いると、社外から任意のデバイスで社内にアクセスし、バックエンドにある複数のWebアプリへのアクセス認証を一元化できる。BIG-IP製品群全般の特徴としては、TCPコネクションを分断して仲介するプロキシサーバーの仕組みによって、アプリケーション層で送受信するデータの中身も把握する。
説明会の最後に、WAF(DoS攻撃対策など)やリモートアクセス(ワンタイムパスワード認証やシングルサインオンなど)の事例をいくつか紹介した。
WAFでは、9万人が参加する同社のコミュニティ「DevCentral」が有効に機能しているという。例えば、SSLの再ネゴシエーションを利用したDoS攻撃が登場して話題に上がった際には、これを防御するスクリプト(60秒以内に5回のSSL再接続リクエストがあったら防御するといった内容で、19行で構成)がコミュニティに掲載されたという。
