2023/6/2
by 木村 和弘
サイバー攻撃者はさまざまな手法で攻撃を仕掛けてきます。「Webサイト」「Webアプリケーション」はインターネット上に公開されているために、攻撃のターゲットにされやすく、安全に運用するには何らかの対策が必要です。攻撃されるリスクを軽減し、事業継続に貢献する「Web Application Firewall(WAF)」について考えてみましょう。
Webアプリケーションの脆弱性を突くサイバー攻撃が横行
今や企業にとってWebサイトは「顔」とも言える存在です。自社の製品・サービスを紹介する、株主をはじめとするステークホルダー向けに情報を公開する、採用活動のアピールの場として活用することはもちろん、Webアプリケーションを活用してECサイトを展開したり、会員制サービスを設けたりするなど、ビジネスに直結します。
Webアプリケーションが高度化・複雑化するとともに、悪用されるリスクが高まっています。中でも深刻な問題となっているのがWebアプリケーションの脆弱性で、ソフトウェアのセキュリティ向上を目指す専門組織「OWASP(Open Web Application Security Project)」が脆弱性を突かれて攻撃を受けた例を一覧にしてまとめています(https://owasp.org/www-community/attacks/)。
もし意図せず「SQLインジェクション」や「クロスサイトスクリプティング」といった脆弱性を作り込んでしまうと、サイバー攻撃者から不正なリクエストを送りつけられ、悪用されてしまうリスクが生まれます。攻撃が成功すれば、データベース内に格納していた顧客情報などを窃取・改ざん・削除されたり、任意のスクリプトを実行させたりする恐れもあります。
現に過去には、Webアプリケーションの脆弱性を突かれ、クレジットカード番号を含む大量の顧客情報が流出してしまい、攻撃を受けた企業が対応に追われるといった事件が発生しました。大きな話題になっていないものも含めて、Webアプリケーションを狙った攻撃はコンスタントに発生しています。
注意が必要なのは、今やそれほど知識や技術を持たない人間でも簡単に攻撃を行えるようになっていることです。これまでは、攻撃者それぞれの「職人技」的な技術が使われていました。一方近年では、サイバー犯罪の組織化に伴って攻撃手法がそれぞれツール化・モジュール化され、ブラックマーケットを介して売買されています。
また、2021年末にゼロデイ攻撃として話題となった「Apache Log4j」のように、多数のWebサイトに採用されるモジュールに深刻な脆弱性が発覚するケースもあります。脆弱性に関する情報が公開されると、すぐさまそれを悪用するコードが出回るのが実情です。ほんの一週間も経たないうちに攻撃される恐れがあるため、脆弱性に対していかに素早くパッチ適用などの対応を取るかが課題となります。
ネットワークレベルの対策を補い、Webサイトを守る「WAF」の役割
Webアプリケーションの脆弱性を狙ったさまざまな攻撃からWebサイトを保護する役割を担うのがWAFと呼ばれる製品です。送られてくるアプリケーションへのWebリクエストの内容を精査し、不正アクセスを試みるパターンが含まれていれば、すぐにアクセスを遮断してWebサーバを保護します。
「うちはファイアウォールやIDS/IPSを導入しているから、それでWebサイトを保護できるだろう」と考える方がいるかもしれません。しかし、ファイアウォールやIDS/IPS、WAFはそれぞれ果たす役割が異なります。
ファイアウォールが担うのは、IPアドレスやポート番号に基づいて「このIPアドレスからの接続は遮断する」といったネットワークレベルでの制御です。そもそも公開することを前提としたWebサーバの制御は困難ですし、送られてくるデータの中身は確認しません。
またIDS/IPSは、OSやその上で動作するサービス、いわゆるプラットフォームに存在する脆弱性を突く攻撃を検知し、保護するものです。ただしサイトごと、アプリケーションごとに異なる脆弱性の検知は不得手です。
WAFはネットワークレベルでの防御を補完するとともに、アプリケーションレベルでの保護を実現するものです。種類・提供形態にはいくつかあり、長らく提供されてきたハードウェアアプライアンス型やソフトウェア型に加え、最近ではクラウド型が注目を集めています。
クラウド型のメリットは、アプライアンス型やソフトウェア型とは異なり、ハードウェアやサーバのメンテナンスが不要なことです。また、最新の攻撃に追随するためのシグネチャと呼ばれる防御ルールも、ベンダー側が迅速に作成・更新してくれる利点もあります。サブスクリプション型で毎月の使用料金を払う必要がありますが、日々登場する新たな攻撃手法や脆弱性へ対応できること、運用に手間がかからなくなることを考えると十分元は取れるでしょう。
セキュリティ・バイ・デザインとWAFで脆弱性を保護
近年では、Webアプリケーションの脆弱性を作り込まないよう設計、製造し、開発後にセキュリティ診断を実施する取り組みも広がりつつあります。いわゆる「セキュリティ・バイ・デザイン」と呼ばれる考え方です。規格や設計、実装段階から安全なアプリケーションを作ることで、セキュリティ向上に努めることができます。
以下のようなドキュメントが参考になるでしょう。
- 情報処理推進機構(IPA)「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity/about.html - JPCERT/CC「セキュアコーディング」
https://www.jpcert.or.jp/securecoding/ - OWASP「Web Security Testing Guide」
https://owasp.org/www-project-web-security-testing-guide/
ただし、セキュアに作ったからといってWAFが不要になるわけではありません。たとえば、十数年にわたって運用されてきたWebアプリケーションの場合、動作に影響を与えないように脆弱性を修正したくても仕様が不明瞭である、担当者などのリソースが不足しているなどの理由から、迅速な着手が困難になることもあります。また、現時点では脆弱性をつぶせていても新たな攻撃方法が見つかる、Webアプリケーションで使われているコンポーネントに深刻な脆弱性が発覚する可能性は十分あり得ます。
万が一に備え、ソースコードの修正やパッチ適用といった対策を取るまでの時間を稼ぐという意味でも、Webアプリケーションの前にWAFを立てて保護することは重要なポイントとなります。最新の脆弱性に追随できることを考慮すると、クラウド型のWAFには一日の長があると言えそうです。
WAFの導入だけでなく効果的・効率的に運用できる体制作りを支援
DXCではご紹介してきたWAFの特徴を踏まえ、導入実績を重ねながらノウハウを蓄積してきました。
たとえば、グローバルに事業を展開しているある製造業のお客様は、海外法人で攻撃を検知したことを機にWAFの導入を検討しました。業界全体でセキュリティに対する意識が高まっていること、公開Webアプリケーションに存在する脆弱性への対応が求められていたことも、背中を押した一因です。
当社では、将来的に登場しうる新たな脆弱性に備えることも視野に入れつつ、ベンダーによって適宜シグネチャがアップデートされるクラウド型WAFを提案しました。OWASPに基づくルールだけでなく、カスタマイズも可能な柔軟性を備えていること、そしてIPファイアウォールやDDos攻撃対策、Contents Cacheといった豊富な機能を兼ね備えていることもポイントです。
実は、このお客様にクラウド型WAFを導入した直後にLog4jの脆弱性が公表されました。どこまでこの脆弱性の影響が及ぶのか、どう対処すべきかについて世間の注目が集まりましたが、このお客様の事例ではWAFを適用していたサーバのセキュリティが担保されていたため慌てずにすみました。
こうした導入実績を通して、意外な実態が見えてきました。たとえば、メディアでは「ウクライナ侵攻を機に、ロシアの犯罪者グループによる攻撃が増加している」といった話題が取り上げられがちです。しかし実際に運用してみると、こと日本のWebサーバに関しては当該国からの攻撃はそれほどでもなく、海外のクラウドサービスからのBotを模した攻撃や、特定の攻撃者からのツールを用いた攻撃が多いことが分かっています。
また先に説明した通り、Webアプリケーションに対する攻撃は、日に数百件から時には万単位と波はあるものの、途切れることなく行われています。そのなかでは、適切なチューニングを行って誤検知・過検知を減らすとともに、ログを確認しながら必要に応じて対処することが重要です。
DXCでは、別途SIEMツールと連携させ、またWebリクエストが攻撃かどうかを判別する独自のスクリプトを作成することで、誤検知か否かの判断を自動化し、効果的・効率的に運用できる体制を整えていきました。DXCのマレーシア支社にはWAFの運用監視を担うチームを作っており、24時間365日体制でマネージドサービスを提供する体制も整えています。日本だけでなくグローバルにまたがる運用監視を、コストパフォーマンスに優れた形で提供可能です。
特定のベンダーに縛られることなく、お客様の環境やニーズに合わせて最適なソリューションを提案できることがDXCの強みです。DXCでは、これまで培ってきた知見と経験を生かし、これからもお客様の大切な資産を保護できるように支援していきます。
セキュアインフラストラクチャ
人、プロセス、テクノロジーにまつわるセキュリティリスクを完全に可視化し、より確かなビジネス判断を実現
木村 和弘(Kazuhiro Kimura)
DXCテクノロジー・ジャパン セキュリティサービス部 Security Delivery Lead。アプリケーション開発、品質管理業務を経験後、セキュリティサービスに転向。 お客様向けにセキュリティソリューション導入・運用支援、個人情報保護法、GDPR対応などセキュリティガバナンス支援等を実施している。