【コラム】情報漏えい対策にクラウド型WAFが効果的な理由
個人情報漏えい事件が多発するときには、その背後にWebアプリケーションの脆弱性の発覚があることが少なくありません。脆弱性の公表とともに修正パッチやアップデートが提供されますが、サイバー攻撃者もその脆弱性を悪用した攻撃を行います。その結果、対策が間に合わなかったWebサイトが被害に遭ってしまうわけです。ここでは、脆弱性に対する攻撃と、それを阻止するWAFについて紹介します。
情報漏えいにつながるWebアプリケーションの脆弱性
個人情報の漏えい事件は後を絶ちません。JNSA(NPO日本ネットワークセキュリティ協会)の調査によると、2017年における情報漏えい事件の原因は「誤操作」(25.1%)、「紛失・置き忘れ」(21.8%)、「不正アクセス」(17.4%)、「管理ミス」(13.0%)が上位を占めています。このうち「不正アクセス」を原因とするものは、脆弱性を悪用された可能性が高いと考えられます。
また、情報漏えい事件を時系列で振り返ってみると、事件が立て続けに発生している時期が数回あります。これらの多くは、Webサイトに存在する同一の脆弱性を悪用されている可能性があります。こうした脆弱性は、Webアプリケーションを構築するためのフレームワークである「Apache Struts 2」を筆頭に、Webサイトの更新などに利用されるCMS(Content Management System)である「WordPress」など、ある程度の傾向が認められます。
脆弱性とは、アプリケーションに存在する不具合のことで、「セキュリティホール」とも呼ばれます。脆弱性にも多くの種類がありますが、想定されていない入力や操作などによって、外部からWebアプリケーションを操作されてしまうものもあります。たとえば「SQLインジェクション」という脆弱性では、Webサイトにデータベースを操作するための命令文「SQL文」を混入することで、外部からデータベースを操作されてしまいます。ユーザ登録機能のあるWebサイトなどでは、データベースサーバに格納されている個人情報を盗み出されてしまうことになるのです。
脆弱性の悪用は、サイバー攻撃者にとって常套手段となっています。そのため、脆弱性情報やアップデート情報などを常に収集しているサイバー攻撃者もいます。こうした情報が公開されると、サイバー攻撃者はその脆弱性を悪用するための攻撃コード(エクスプロイトコード)を作成し、それをマルウェアなどの攻撃ツールにします。脆弱性情報の公開から、その脆弱性を悪用したサイバー攻撃が行われるまでの時間は短縮されてきているので、迅速な脆弱性対応が呼びかけられているのです。
脆弱性対策に有効な仮想パッチ
脆弱性を悪用する攻撃の被害を受けないようにするためには、開発元などが提供する修正パッチやアップデータを当該アプリケーションに適用する必要があります。しかし、適用すること自体はすぐにできるのですが、Webサイトは複数のアプリケーションが動作しているので、パッチなどの適用で他のアプリケーションの動作に悪影響を与えてしまうことがあります。
そのため、パッチなどを適用する際には、あらかじめテスト環境で適用を行い、他のアプリケーションの動作に影響がないかを検証する必要があります。しかし、検証作業にも工数がかかるのでなかなか実施できず、結果として脆弱性が放置されてしまうのが現状です。こうした企業や組織が多いため、サイバー攻撃者による脆弱性悪用攻撃の影響を受けてしまい、情報漏えい事件が複数発生することになるのです。
そこで、脆弱性対策として有効とされているのが「仮想パッチ」という対策手法です。仮想パッチとは、修正パッチやアップデートを適用せず、その脆弱性を悪用しようとする攻撃を検知して遮断する対処法です。これにより、実際にパッチを適用しなくても脆弱性を守ることができるので、その間に正式なパッチの適用をスケジュールするなどの準備ができます。
WAFの種類とクラウド型のメリット
仮想パッチ機能は、いわゆる「次世代IPS」や「WAF」に搭載されています。次世代IPSとは、従来のIPS/IDSの進化版で、一般的にゲートウェイに設置して通信を監視し、サイバー攻撃などの危険な通信を検知して遮断するというものです。一方、WAFはWebアプリケーション・ファイアウォールと呼ばれるもので、通信を監視して攻撃を検知するのは次世代IPSと同じですが、その対象がWebアプリケーションに特化している点が異なります。
WAFは、言わばWebアプリケーションの保護に特化した製品ですので、Webアプリケーション以外の多くの機能を搭載する次世代IPSと比較して、一般的に機能、性能ともに優れているといわれます。Webアプリケーションの脆弱性は情報漏えいなどの被害につながるため、WAFの導入は非常に有効であると考えられます。
WAFでは、Webアプリケーションへの攻撃の止め方に種類があります。たとえば、ブラックリスト型とホワイトリスト型と呼べるような方法があります。ブラックリスト型は、脆弱性によって攻撃のパターンがある程度決まっているので、それらをセットにしたようなもの(シグニチャ)をチェックの基準にします。たとえば、「OWASP Top 10」に対応するシグニチャのセットが用意されています。
一方、ホワイトリスト型は基本的に通信を遮断し、許可された通信のみを通すという方法です。こちらの方法は怪しいものも含めて全てブロックできるのでセキュリティの強度は高くなりますが、その設定にはWebアプリケーションに関する高い専門知識が求められます。現在では、ブラックリスト型とホワイトリスト型のいいところを組み合わせたハイブリッド構成が増えてきています。
WAFの設置方法にも、ソフトウェア型やアプライアンス型、クラウド型といった種類があります。このうち、ソフトウェア型やアプライアンス型は、利用者側の環境に設置またはインストールします。このため、WAFの管理や運用は自社で行う必要があります。特にホワイトリスト型のように、セキュリティの強度を上げるために細かなチューニングが必要だったり、誤検知を解除する設定をしたりするには高度な専門知識が求められるため、運用のハードルとなっています。
そこで注目されているのが「クラウド型WAF」です。特にクラウド型は運用管理も含めてサービスとして提供されることが多く利用者に負担がかかりません。WAF本体はサービスを提供する側にあり、その管理や運用、シグネチャの適用やチューニングなどもセキュリティの専門家がいるサービス側が行います。また、脆弱性情報の公開後、すぐにシグネチャが作成されるので、迅速な防御が可能になります。クラウド型なので機器を構築するといった手間もなく、すぐに導入でき、月額料金で利用できることもメリットとなっています。情報漏えいにつながる可能性の高い脆弱性への対策に、クラウド型WAFは賢い選択といえるでしょう。
製品のご紹介:Barracuda Web Application Firewall, Barracuda WAF-as-a-Service
*吉澤 亨史(ヨシザワ コウジ)
元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。
以後、雑誌やWebを中心に執筆活動を行う。
サイバーセキュリティを中心に、IT全般、自動車など幅広い分野でニュース記事、取材記事、導入事例、ホワイトペーパー、オウンドメディアなどの執筆活動を行っている。
直近では、JSSEC(日本スマートフォンセキュリティ協会)の「IoTセキュリティチェックシート第二版」の制作に参画、解説版を執筆。
愛猫「りく」は、サイバーセキュリティ情報サイト「ScanNetSecurity」で名誉編集長を務めています。
No comments yet.