Web Application Firewall

Webアプリケーションセキュリティ F5 BIG-IP ASM

概要

F5ネットワークス社のBIG-IP Application Security Manager(以下、BIG-IP ASM)は、Webサーバーが利用するポート80番、443番のトラフィックを双方向で監視し、悪意あるユーザーからWebアプリケーションとその背後にあるデータを守るWebアプリケーションファイアウォール (WAF)です。

Webアプリケーションの脆弱性を狙う
悪意ある操作を排除してアプリケーションを保護

多くの企業でWebアプリケーションを利用していますが、その多くはSQLインジェクション等のセキュリティ上の脆弱性を有し、攻撃者のターゲットとなっています。アプリケーション改修による対応ではコストが見合わない場合に大きな力になるのがBIG-IP ASM (WAF)です。

サーバーソフトやOS、開発言語の種類に関わらず対応が可能

入力フォームを持つWebアプリケーションには、少なからず脆弱性が潜んでいます。脆弱性診断を行いセキュリティホールを発見し、アプリケーションを改修することでも対応可能ですが、アプリケーション数が多い場合にはコストや工期の面で現実的ではない場合があります。

BIG-IP ASM (WAF)は、Webサーバーの前段に設置することでこれらの脆弱性を狙ったリクエストを排除、アプリケーションとその背後にあるデータを保護します。豊富なWAF導入実績とノウハウを持つSCSKならではの「SCSK WAF導入支援サービス」と併用いただくことで、サイトごとに適したポリシーチューニングも可能。より堅牢なWebシステムの構築をサポートします。

Webアプリケーションファイアウォール(WAF)を使えば、Webアプリケーションを狙った攻撃をブロックし、正規の通信だけを通すことができます。

Webアプリケーションへの脅威

実際にWebアプリケーションにはどのような脅威が存在するのか、以下代表的なハッキング手法をご紹介します。

SQLインジェクション

ユーザーからの入力値を元に行われるデータベース処理において、アプリケーションが想定しないSQL文を挿入することによりデータベースを不正に操作する。

SQLインジェクション イメージ
OSコマンドインジェクション

WebアプリケーションがサーバーのOSコマンドを呼び出す処理において、入力値に任意のOSコマンドを埋め込むことでサーバーに対する破壊・乗っ取りを行う。

OSコマンドインジェクション イメージ
ディレクトリトラバーサル

ユーザーからの入力値を元にサーバー上のファイルを参照させる処理において、入力値に親ディレクトリ参照表現(../等)や絶対パス名(/etc/passwd等)を埋め込むことで特定のファイルを取得する。

ディレクトリトラバーサル イメージ
その他の攻撃手法
攻撃の種類 攻撃方法 脅威
クロスサイトスクリプティング 悪意のあるスクリプトを標的サイトに仕掛け、不正なスクリプトをユーザーに実行させる。 標的にされたサイトの信頼性が損なわれるだけでなく、ユーザーが保持するデータや、個人情報が流出する可能性がある。
フォースフルブラウジング 本来、認証を必要とするページやファイルに直接アクセスを試みる。 サーバー上の機密情報やアクセス制御されたページにアクセスされてしまう可能性がある。
バッファーオーバーフロー アプリケーションの許容範囲を超えるデータを送りつける。 サーバー上で悪意のあるコードを実行されてしまう可能性がある。
Hiddenフィールドの改竄 クライアント側でHiddenフィールドの値を改竄する。 例えば商業サイトで、Hiddenフィールド内にある価格が改変されてしまう等の可能性がある。
メタキャラクタインジェクション 入力値にメタキャラクタを埋め込み、サーバーやデータベースの挙動に影響を与える。 誤動作やエラー画面の取得など OSやアプリケーションによって脅威は異なる。
ユニコード及び
URLの符号化(検知回避)
悪意のあるコードを隠すために、文字列をエンコードし難読化させる。 難読化された攻撃がIDSやIPSを通過してしまう。
脆弱性発見後の対策方法

脆弱性検査や不慮のセキュリティ事故などをきっかけに管理下のWebアプリケーションの脆弱性が明らかとなった場合、管理者がとるべき対策としてはシステムの停止、もしくは早急な改修 が求められることと思います。しかしながら多くの場合Webアプリケーションの改修には多大な費用と時間を要します。一方WAFを導入している場合、脆弱性に対して短時間で対応する事ができ、かつ改修にかかる費用よりも安価に済むケースが多いと考えられています。また新たな脅威に対しても、随時シグネチャがアップデートされるため、継続的に高いセキュリティを維持する事が可能です。

IPSとの違い

よく質問されるIPSとの違いですが、一般的にIPSがOSやミドルウェアを含むプラットフォームレイヤーの防御を対象としているのに対し、WAFはプラットフォーム上で稼動する固有のWebアプリケーションを防御対象としています。IPSの製品によってはWAFに類似する機能を実装しているものありますが、近年では攻撃コードの難読化や、アプリケーション固有の脆弱性を利用するなど、その手法が高度化されてきておりIPSだけでは対処が難しいというのが現状です。特に下記の機能はWAFならではのものです。

特定のURL、パラメータ毎のセキュリティポリシー設定

アプリケーションの画面ごとにセキュリティの強度を変えたり、特定の入力フィールドに対してより強固なセキュリティ設定を施すなど、Webアプリケーション毎の最適な設定が可能です。

Cookie改ざん防止機能

Cookieのやり取りを監視し、値が改ざんされている場合にブロックします。これによりセッションの乗っ取りや権限の昇格を未然に防止します。

パラメータ改ざん防止機能

パラメータ値のやり取りを監視し、改ざんされている場合にブロックします。これにより金額の改ざんや、なりすまし等を防止します。

カードのマスキング機能

万が一の情報流出に備え、サーバーからのレスポンスにクレジットカード番号が含まれている場合にマスキング処理を行います。クレジットカード番号には特定の採番ルールがあり、例えば4から始まる16桁の番号はVISAカードであるといった具合に判断します。

フロー制御機能

利用者の画面遷移を監視して不正な画面遷移をブロックします。これにより本来、認証を必要とするページやファイル等へ直接アクセスできないように制御します。

SSLアクセラレータ機能

暗号化された通信を紐解いた上で通信の内容を分析します。またSSLの複合化/暗号化処理をWAF上で行う事によりサーバー側の負荷が減少します。

まとめ
WAF/IPS/FWの役割
WAF IPS FW
機能概要 Webアプリケーションへのリクエストに対して、シグネチャ/ホワイトリストに基づき防御を行う。 多様なアプリケーション(プロトコル)へのリクエストに対して、シグネチャに基づき防御を行う。 リクエスト元・先のIPアドレス、ポート番号を検査して防御を行う。
HTTPリクエストに
対しての機能
TCPレベルで分割されたパケットを1件のデータとして組み立てて、さらにパラメータ名とパラメータ値等、HTTPリクエストとしての構文を認識してチェックを行う為、リクエストパラメータに不正な値が入っているか等のより詳細なチェックが可能。 TCPレベルで分割されたパケットを1件のデータとして組み立てて、チェックを行う。HTTPリクエストとしての構文を認識しない為、データ全体に不正な値が入っているかをチェックする。
WAFの必要性
SCSK WAF導入支援

● WAF導入支援の詳細説明は こちら
● 資料ダウンロードは こちら

お問い合わせ

お問い合わせはこちら

CONTACT

03-5166-1764

netXデータセンター事業本部 セキュリティサービス部
受付時間:9:30~18:00(土・日・祝日は除く)

page top