このレッスンではサイバー攻撃対策の1つとして、
WAFについて解説します。
WAF
「WAF」とは、Web Application Firewallの頭文字を取った言葉で、
Webアプリケーションの脆弱性への攻撃から防御する
セキュリティシステムです。
Lesson6-1で学んだような一般的なファイアウォールは、
正常を装った不正アクセスや、
ウイルスが添付されたメールなどを防ぐことはできません。
IDS/IPSは、ファイアウォールをすり抜けた通信に対して効果的で、
DDos攻撃やマルウェアに対しても一定の効果が期待できます。
しかし、IDS/IPSでも防げない攻撃もあり、
サイバー攻撃の手口としては、
クロスサイトスクリプティングやSQLインジェクション、
バッファオーバーフローなどがこれに該当します。
WAFはこれらの攻撃を監視します。
WAFのしくみ
WAFの検問でも、IDS/IPSと同じようにシグネチャが使われます。
次の2つの方式があります。
ブラックリスト方式
ブラックリスト方式は、
ブラックリストに不正な通信のシグネチャを定義しておき、
それをもとに疑わしい通信を全て遮断する方式です。
しかし、未知の手口で攻撃された場合には防御が遅れる可能性も否めず、
ブラックリストを定期的に更新する必要があります。
ホワイトリスト方式
ホワイトリスト方式は全ての通信をいったん留め、
ホワイトリストに定義された”許可する通信パターン”以外の通信を、
すべて遮断します。
そのため、未知の手口でも遮断することが可能です。
ホワイトリスト方式は不正な通信から確実に防御できますが、
ホワイトリストに無い正規の通信を遮断してしまうという可能性はあります。
またリストの作成には一定の手間がかかるというデメリットもあります。
WAFは攻撃を検知すると、
通信を破棄し、エラー処理を行います。
ログ機能があるため、検出日時や処理内容などがログとして記録されます。
WAFの種類
ファイアウォールやIDS/IPSをすり抜ける攻撃にも効果があるWAFですが、
導入する場合にはいくつか種類があり、
例えばクラウド型や、ソフトウェア型などがあります。
クラウド型はソフトウェアや新たな機器などを購入する必要がないため、
短期間で導入でき費用も比較的安価です。
更新などのメンテナンスをベンダー側が行うため、
社内の負担が少ないこともメリットです。
しかし、サービスの種類によって検知精度に差があるため、
導入時にはよく検討しましょう。
次のレッスンでは、脆弱性の検査について解説します。
