PCIDSS適合次世代WAF
:WAFとは?
WAFとは、Web Application Firewall(ウェブアプリケーションファイアウォール)の略で、その名の通り、Webアプリケーションの脆弱性を悪用した攻撃などからWebアプリケーションを保護する製品の事です。
Webサイトの脆弱性をついた悪質で巧妙な手口が増加
-2007年以降、Webサイトの脆弱性に起因する事故が急増しています-
現在、不正プログラムは、2.5秒に1つという驚異的なスピードで発生しております。
最近話題になっている、サイトの改ざんや不正アクセス、情報漏洩など悪質かつ巧妙な手口の攻撃はファイアウォールやIDS/IPS(※1)などでは、防ぐ事が出来ません。
そういった悪質かつ巧妙な手口の攻撃を防ぐ為に、Webサイトの脆弱性診断、ソースコード改修、セキュアコーディング開発など企業でも様々な対策を取っていると思いますが、最近の進化にあった対策を行い、更に継続させていく為には莫大な時間と費用を費やす結果となっているのが現状です。
そこで、今注目を集めているのがWAF製品です。
WAF製品を利用する事で以下の効果を期待できます。
- ・脆弱性を悪用した攻撃を検出する
- ・脆弱性を悪用した攻撃Webアプリケーションを防御する
- ・複数のWebアプリケーションへの攻撃をまとめて防御する
WAFは脆弱性を修正するといったウェブアプリケーションの実相面での根本的な対策ではありませんが、根本的な脆弱性対策を実施する事が困難な状況では大変有効な製品と考えられております。
ウェブサイトを運営するうえでウェブアプリケーションの脆弱性を悪用した攻撃を防ぐためには、「脆弱性を作りこまないこと」、「脆弱性が見つかったら修正すること」が重要です。
しかし、ウェブサイト運営者の事情により、これらの根本的な脆弱性対策を実施することが困難な状況があります。
根本的な脆弱性対策を実施する事が困難な状況とは?
(WAFが有効な状況とは?)
WAFの導入が有効な状況を「事前対策」、「事後対策」の観点から整理すると
【事前対策】
ウェブアプリケーションの脆弱性を悪用する攻撃にセキュリティ事件の発生を低減する施策
直接管理出来ないウェブアプリケーションに攻撃対策を実施したい状況
- 開発者や運営者が異なるウェブアプリケーションにおいて、脆弱性を悪用する攻撃に対して同じ対策を実施したい場合。(大手企業のウェブサイト運営者、レンタルサーバ等を提供する企業のウェブサイト運営者など)
脆弱性の修正が困難な状況
- 開発者にウェブアプリケーションの改修を依頼出来ない状況
- 他社に開発を依頼していた場合、依頼先企業が開発事業から撤退していたり、依頼を受け付けない場合
その場合、他の企業へ改修を依頼出来ますが、改修費用が高くなり予算内で改修出来ない可能性があります。 - 改修出来ないウェブアプリケーションに脆弱性が発見された状況
- 商用製品やオープンソフトウェアを使用してWebサイトを構築した場合
該当ソフトウェアの改修に直接関与出来ず脆弱性を修正できない事があります。
【事後対策】
事故が起きた場合、被害を最小限に抑え、早期復旧を実現する施策
ウェブアプリケーションへの攻撃をすぐに防御する必要がある状況
- ウェブアプリケーションに脆弱性がありウェブアプリケーションの脆弱性を悪用する攻撃を受け被害を受けた場合、それ以上の被害が生じないように対策を講じる事が重要です。
その為、被害原因の調査や原因を解消する為に必要に応じてウェブサイトを停止する事があります。
しかし、インターネット中心に事業を展開している企業にとってウェブサイトを長期間停止する事は機会損失が大きく、事業継続に多大な影響を与えかねません。このようにウェブアプリケーションの脆弱性を修正する時間を許容出来ない場合などには有効と考えられます。
御社のWebサイトが上記内容に当てはまる場合は、
ぜひ詳細情報をご確認ください!!
- 参考情報
- IPA 独立行政法人情報処理推進機構
「Web Application Firewall 読本」
https://www.ipa.go.jp/security/vuln/waf.html (https://www.ipa.go.jp/archive/security/vuln/waf.html) - 「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity.html
※1 WAF機能がついている機種もある為、例外もございます。