Web Application Firewall

Webアプリケーションセキュリティ

AWS WAF

概要

powered by aws

AWS WAFは、アマゾン ウェブ サービス (AWS) の提供するWAFサービスで初期費用なくAmazon CloudFront、Application Load BalancerやAmazon API Gatewaにデプロイできます。AWS WAFを利用することで悪意あるユーザーからウェブアプリケーションまたは API を迅速に保護することが可能です。

Webアプリケーションの脆弱性を狙う
悪意ある操作を排除してアプリケーションを保護

多くの企業でWebアプリケーションを利用していますが、その多くはSQLインジェクション等のセキュリティ上の脆弱性を有し、攻撃者のターゲットとなっています。アプリケーション改修による対応ではコストが見合わない場合に大きな力になるのがAWS WAFです。

サーバーソフトやOS、開発言語の種類に関わらず対応が可能

入力フォームを持つWebアプリケーションには、少なからず脆弱性が潜んでいます。脆弱性診断を行いセキュリティホールを発見し、アプリケーションを改修することでも対応可能ですが、アプリケーション数が多い場合にはコストや工期の面で現実的ではない場合があります。

AWS WAFは、Amazon CloudFrontやEC2 上で動作するウェブサーバーの前段のApplication Load Balancerにデプロイすることでこれらの脆弱性を狙ったリクエストをブロックし、アプリケーションとその背後にあるデータを保護します。豊富なWAF導入実績とノウハウを持つSCSKならではの「SCSK WAF支援サービス」と併用いただくことで、サイトごとに適したポリシーチューニングも可能。より堅牢なWebシステムの構築をサポートします。

Webアプリケーションへの脅威

実際にWebアプリケーションにはどのような脅威が存在するのか、以下代表的なハッキング手法をご紹介します。

SQLインジェクション

ユーザーからの入力値を元に行われるデータベース処理において、アプリケーションが想定しないSQL文を挿入することによりデータベースを不正に操作する。

SQLインジェクション イメージ
OSコマンドインジェクション

WebアプリケーションがサーバーのOSコマンドを呼び出す処理において、入力値に任意のOSコマンドを埋め込むことでサーバーに対する破壊・乗っ取りを行う。

OSコマンドインジェクション イメージ
ディレクトリトラバーサル

ユーザーからの入力値を元にサーバー上のファイルを参照させる処理において、入力値に親ディレクトリ参照表現(../等)や絶対パス名(/etc/passwd等)を埋め込むことで特定のファイルを取得する。

ディレクトリトラバーサル イメージ
その他の攻撃手法
攻撃の種類 攻撃方法 脅威
クロスサイトスクリプティング 悪意のあるスクリプトを標的サイトに仕掛け、不正なスクリプトをユーザーに実行させる。 標的にされたサイトの信頼性が損なわれるだけでなく、ユーザーが保持するデータや、個人情報が流出する可能性がある。
フォースフルブラウジング 本来、認証を必要とするページやファイルに直接アクセスを試みる。 サーバー上の機密情報やアクセス制御されたページにアクセスされてしまう可能性がある。
バッファーオーバーフロー アプリケーションの許容範囲を超えるデータを送りつける。 サーバー上で悪意のあるコードを実行されてしまう可能性がある。
Hiddenフィールドの改竄 クライアント側でHiddenフィールドの値を改竄する。 例えば商業サイトで、Hiddenフィールド内にある価格が改変されてしまう等の可能性がある。
メタキャラクタインジェクション 入力値にメタキャラクタを埋め込み、サーバーやデータベースの挙動に影響を与える。 誤動作やエラー画面の取得など OSやアプリケーションによって脅威は異なる。
ユニコード及び
URLの符号化(検知回避)
悪意のあるコードを隠すために、文字列をエンコードし難読化させる。 難読化された攻撃がIDSやIPSを通過してしまう。
CSRF(クロスサイト・リクエスト・フォージェリ) 外部サイトを経由した悪意のあるリクエストを受け入れて、利用者が予期しない処理を実行させる 不正な送金や意図しない製品の購入などの可能性がある。
ブルートフォースアタック/パスワード(アカウント)リスト攻撃 不正に入手したIDやパスワードのリストを使いログイン試行を行う。 ユーザーアカウントの乗っ取りや個人情報の流出の可能性がある。
アプリケーション層 DoS 攻撃(L7 DoS) 不正なHTTP(S)コネクションを多量に維持させWebサーバのリソース枯渇を狙う。 不正なコネクションが増加することで正規ユーザーが接続できなくなる。
脆弱性発見後の対策方法

脆弱性検査や不慮のセキュリティ事故などをきっかけに管理下のWebアプリケーションの脆弱性が明らかとなった場合、管理者がとるべき対策としてはシステムの停止、もしくは早急な改修 が求められることと思います。しかしながら多くの場合Webアプリケーションの改修には多大な費用と時間を要します。一方WAFを導入している場合、脆弱性に対して短時間で対応する事ができ、かつ改修にかかる費用よりも安価に済むケースが多いと考えられています。また新たな脅威に対しても、随時シグネチャがアップデートされるため、継続的に高いセキュリティを維持する事が可能です。

IPSとの違い

よく質問されるIPSとの違いですが、一般的にIPSがOSやミドルウェアを含むプラットフォームレイヤーの防御を対象としているのに対し、WAFはプラットフォーム上で稼動する固有のWebアプリケーションを防御対象としています。IPSの製品によってはWAFに類似する機能を実装しているものありますが、近年では攻撃コードの難読化や、アプリケーション固有の脆弱性を利用するなど、その手法が高度化されてきておりIPSだけでは対処が難しいというのが現状です。

AWS WAFではアプリケーションの画面ごとにセキュリティの強度を変えたり、特定の入力フィールドに対してより強固なセキュリティ設定を施すなど、Webアプリケーション毎の最適な設定が可能です。

まとめ
WAF/IPS/FWの役割
WAF IPS FW
機能概要 Webアプリケーションへのリクエストに対して、シグネチャ/ホワイトリストに基づき防御を行う。 多様なアプリケーション(プロトコル)へのリクエストに対して、シグネチャに基づき防御を行う。 リクエスト元・先のIPアドレス、ポート番号を検査して防御を行う。
HTTPリクエストに
対しての機能
TCPレベルで分割されたパケットを1件のデータとして組み立てて、さらにパラメータ名とパラメータ値等、HTTPリクエストとしての構文を認識してチェックを行う為、リクエストパラメータに不正な値が入っているか等のより詳細なチェックが可能。 TCPレベルで分割されたパケットを1件のデータとして組み立てて、チェックを行う。HTTPリクエストとしての構文を認識しない為、データ全体に不正な値が入っているかをチェックする。
WAFの必要性
SCSK WAF導入運用支援

お問い合わせ

お問い合わせはこちら

CONTACT

0800-500-4000

基盤サービス事業本部 セキュリティサービス部
受付時間:月~金 9:00-18:00(祝日、年末年始、当社指定日除く)

page top