セキュリティ機器やサービスを導入するにあたっては,最近ではどのような攻撃が行われているのかを知る必要がある。弊社ではセキュリティ・オペレーションセンターを設置し,インターネットでの各種の攻撃を検知しているが,最近では以下の事例が増えている。

  • SQLインジェクション
  • クロスサイトスクリプティング
 このうちSQLインジェクション攻撃は2008年12月より急増しており,いまだに手を休めることがない。SQLインジェクション攻撃の被害として,個人情報やクレジットカード情報などが盗まれるケースをよく耳にするが,最近では,クレジットカード情報を扱うECサイトだけでなく,ブログやオンラインゲームの情報サイトなど,個人情報やクレジットカード情報を扱わないサイトへの攻撃も行われている。

 このように,Webサイトのぜい弱性を利用した攻撃のターゲットは拡大しており,重要情報を扱わないサイトであっても,攻撃を受ける可能性は高まっているのである。そこで,これらの攻撃からネットワークやサーバーを防御するWAF,IDS/IPSといった製品の特徴と,選定する際の注意点を紹介していく。

 WAF,IDS/IPSとはどのように攻撃を防ぎ,どのような場合に有効利用できるのか,また,防ぐことのできない攻撃とはどのようなものなのか説明しよう。

Webアプリを専門に防御するWAF

 WAFはWeb Application Firewallの略であり,その名のとおり,Webアプリケーションに特化したファイアウォールである。従来からあるファイアウォールは通信ポートを制御することでセキュリティを確保しているが,許可した通信でどのようなデータが流れているかまでは確認しない。そのため,通常は許可されている80/443ポート番号のHTTP/HTTPSプロトコルを利用して攻撃が行われれば十分な対応が行えず,結果的に攻撃を許してしまう。

 そこでWAFが登場したのである。WAFは,ファイアウォールを通過したクライアントとサーバー間通信のデータや入力値を確認し,設定されたルールに従って通信を遮断する働きをする。

 WAFには「ポジティブセキュリティ方式」と「ネガティブセキュリティ方式」の2種類があり,ポジティブセキュリティ方式とは,通過させる通信をルールとしてホワイトリストに登録し,ルールに一致しない通信を全て遮断することが出来る。一方,ネガティブセキュリティ方式とは,遮断する通信をルールとしてブラックリストに登録し,ルールに一致した通信を遮断することが出来る。