サイト内の現在位置を表示しています。

InfoCage SiteShell

WAFとは

WAF(ワフ)とは何か

深刻化するWebサイトの脆弱性を突いた攻撃

近年、機密情報の入手やWebページの改ざんなど、金銭や営業妨害を主な目的として、企業のWebサイトを狙った悪質な攻撃が急増しています。

これらの攻撃にどう対処していますか?

現在は、ファイアウォール、IDS/IPSでは防ぐことができない攻撃がトレンドになっています。
気づかないうちに、サイトの改ざんや不正操作、情報の盗用などに遭っていた、などということも現実に起こっているのです。

Webアプリへの攻撃とファイアウォール、IDS/IPSの防御対象

IDS/IPSの防御対象

Webアプリケーション攻撃による被害とその対策

ひとたび被害に遭うと、企業の社会的信用の失墜、Webサイトの長期的閉鎖による機会損失により、大幅な売り上げ減ということも考えられます。

また、即時の対応として

  • 攻撃を受けたWebサイトの停止
  • 被害状況の確認と攻撃の特定
  • 問い合わせ窓口の設置
  • 個人情報漏えいの場合、顧客への迅速な対応
  • Webアプリケーションの改修作業

などが必要となり、これらの緊急対応に要するコストは莫大なものになりかねません。

いずれにせよ、企業は深刻なダメージを受けることになります。

Webアプリケーション攻撃による被害

複雑/巧妙化する手口。攻撃レベルは既に新フェーズに突入。

SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を突いた攻撃は、攻撃の手口が更に複雑/巧妙化しています。
これまでは安全であったWebアプリケーションであっても、今この時に、そして将来にわたって安全とは決して言えないのです。

Webサイト開設時のセキュアコーティングのみといった従来の対策ではすでに対策が間に合わないのが現実です。
このようなWebアプリケーション層への攻撃をクリティカルな問題としてとらえた対策が急務です。

新フェーズでの対策のひとつにソースコード改修対策がありますが、複雑/巧妙化した攻撃を防ぐためのソースコード改修は難易度が高く、時間もかかり、継続的な改修作業を欠かすことができないため、膨大なコストを費やします。

そこで、Webアプリケーションが日々さらされているリスクを深刻に受け止めると共に、適切なコストで最適な効果を上げるための防御ツールとして注目されているのがWAFです。

攻撃は新たなフェーズへ

Webサイトの安全性を確保するには「WAF」が不可欠

「WAF」とは「Webアプリケーションファイアウォール」のことです。
ファイアウォールはネットワークレベルを防御し、IDS/IPSはOS・Webサーバレベルを防御します。
「WAF」は、Webアプリケーションへの攻撃を防ぐために開発された専用防御ツールなのです。

WAFの防御対象
  • 2010年1月20日 IPAが公開している「安全なウェブサイトの作り方」が改訂され「WAF」に関する記述が追加されました。本記載には弊社も執筆協力をしています。
  • 2010年2月16日 IPAからWAFの概要、機能の詳細、導入におけるポイント等をまとめた「Web Application Firewall 読本」が公開されました。

WAFで防御可能な攻撃(NEC製品「 InfoCage SiteShell 」の場合)

バッファオーバフロー クロスサイトスクリプティング
SQLインジェクション クロスサイトリクエストフォージェリ
セッションハイジャック/リプレイ パラメータ改ざん
強制的ブラウズ パストラバーサル
OSコマンドインジェクション エラーコード
パスワードリスト攻撃