WAFとは?機能やIPS/IDSとの違い、JP-Secureホスト型WAF「SiteGuard Lite」の魅力を徹底調査

WAF(ワフ/ Web Application Firewall)とは、SQLインジェクションやクロスサイトスクリプティングのようなWebアプリケーションの脆弱性を悪用した攻撃から、Webサイトを守るソフトウェアやハードウェアです。WordPressなどのWebアプリケーションを運用する企業にとっては、WAFの導入が必須のセキュリティ対策となっています。

今回は、国内利用サイト数No.1(※)の純国産ソフトウェア型WAF製品「SiteGuard」シリーズを手掛ける株式会社ジェイピー・セキュアCTOの齊藤様に、Webアプリケーションの脆弱性を狙った攻撃による被害事例やWAFの概要、IDS/IPSとの違いについてくわしく伺いました。

※株式会社ジェイピー・セキュア様調べ

株式会社ジェイピー・セキュア様の事業内容

カゴヤ・ジャパン株式会社 森:
ジェイピー・セキュア様の事業内容と齊藤様が担当されている業務について教えてください。

株式会社ジェイピー・セキュア 齊藤様:
ジェイピー・セキュアは、2008年7月にWebサイトのセキュリティに貢献するために設立しました。今年(2017年) 10年目を迎えるまだまだ若い会社ですが、純国産のWAF製品「SiteGuard」シリーズのベンダーとして事業展開しています。

わたしは創業時からのメンバーで技術・開発の責任者であり、開発・サポート・営業支援を統括する立場です。カゴヤ様のようなサービスパートナー様向けの窓口も担当しています。

WAF の機能・役割と必要性

WAFの仕組みと役割

―WAFにはどのような機能があるのでしょうか。

齊藤様:
WAFとは、Web Application Firewallの略で、その名の通りWebアプリケーションに対するファイアーウォールです。Webアプリケーションの脆弱性を利用した攻撃からWebサイトを守ります。最近ではレンタルサーバーでもWAFを導入するケースが増えていますね。

―Webアプリケーションの脆弱性を利用した攻撃とは、具体的にはどんなものがありますか?

齊藤様:
WAFを語る上で一番多く登場する攻撃が『SQLインジェクション』です。WebサイトにSQLインジェクションの脆弱性があると、Webアプリケーションが想定していないSQLが実行されてしまい、サイトの改ざんやデータを奪われるなど、深刻な事態に陥る可能性があります。

ほかにも『ディレクトリトラバーサル』など、様々な攻撃があります。ディレクトリトラバーサルは、『../』でディレクトリをさかのぼり、ディレクトリやファイルにアクセスすることを試みる攻撃手法です。一例となりますが、WordPressのテーマやプラグインの脆弱性が悪用され、wp-config.phpのような本来外部からアクセスできないファイルが、不正に取得されてしまうといった攻撃が実際に起きています。

仮にwp-config.phpが奪われると、そこにはデータベースのIDとパスワードも記載されているため、WordPressを使用している方には、その危険性がすぐにイメージできると思います。

―いずれもWebサイトを運用する企業からするとおそろしい攻撃ですね。WAFはそのような攻撃から、どのようにWebサイトを守るのでしょうか。

齊藤様:
WAFの基本機能は、検査ルールを用いて、クライアントとWebサーバー間のHTTP/HTTPS通信を検査することです。
WAFという言葉が知られるようになった頃は、”正しい値、想定している通信内容を定義したルール”をもとに検査・防御するホワイトリスト型が多かったのですが、現在は、”不正な値や攻撃を判定するルール”を定義したブラックリスト型による検査を基本としたWAFが多くなっています。

―なるほど、アンチウイルスがシグネチャを使ってパターンマッチングするのと似ていますね。

Webアプリケーションの脆弱性が狙われた被害事例

―実際には、Webアプリケーションの脆弱性を狙ってどのような被害が起きているのでしょうか。具体的な事例を教えていただけますか?

齊藤様:
今年の事例としては、WordPressの脆弱性を狙ったコンテンツインジェクションによる被害があげられます。2月の初めにWordPressの脆弱性に関する情報公開がありましたが、攻撃が始まってから1週間ほどで150万を超えるWebページが改ざんされたという報道がありました。攻撃が容易であったことに加え、WordPressのシェアを考えると実際にはもっと多かったと考えられます。

また3月には、Apache Struts 2と呼ばれるWebアプリケーションフレームワークの脆弱性を狙った攻撃による被害が発生しています。

この攻撃により某納税サイトから60万強のクレジットカード情報が漏洩したり、某メガネ通信販売サイトでは約75万件の個人情報にアクセスされた可能性があったりなど複数の被害が報告されました。

このケースでは3月6日に脆弱性に関する情報が公開され、3月7日の時点で攻撃が増加、3月10日以降、多くの組織が被害を受けたという報道がありました。このように脆弱性が発見されてから、攻撃が開始されるまでの期間が短いのが最近の傾向です。被害を受けた某メガネ通信販売サイトでは3月22日に脆弱性に関する対応を完了しましたが、このスピード感では間に合いません。実際に過去にさかのぼって調査したところ、すでに述べた被害に関する不正アクセスの痕跡が確認されているわけです。

WAFの必要性

―脆弱性が見つかった場合はできるだけ速やかに対策をとる必要がありますね。

齊藤様:
はい。ですが、それはなかなか難しいのが現実だと思います。WordPressのコンテンツインジェクションにしてもApache Struts 2の脆弱性にしても、脆弱性に関する情報公開と一緒に、対策として最新バージョンへの更新が案内されました。しかしあらかじめ動作確認などをする必要から、企業としてはすぐにアップデートに踏み切れないですよね。

―IPAなどの注意喚起でも、事前に十分な動作確認をするようには言われていますね。

齊藤様:
WAFを導入しておくことで、アップデートをするより前に傷口をふさいでおけるというメリットがあります。たとえば今年3月のApache Struts 2の脆弱性に対する攻撃の事例において、当社のWAF『SiteGuard』では3月6日に情報公開された後、3月7日にはこれに対応した専用のシグネチャをリリースしています。さらに、初期の攻撃に関しては既存のシグネチャでも検出できていました。

―SiteGuardを導入しておけば、被害を受けずにすんだということですね。

齊藤様:
はい。もちろんWAFを導入しておけば何もしなくていいというわけではありません。別途脆弱性を修正するためのアップデートを実施する必要はありますが、Webサイトの運営者や管理者が対策を実施するよりも早い段階で、攻撃を防ぐ仕組みを用意することができます。

WAFの導入をおすすめする業種は?

―WAFの導入をおすすめする業種はありますか?

齊藤様:
いいえ、全ての業種のお客様にWAFはおすすめできます。仮にクレジットカードなどの個人情報を扱っていなくても、Webアプリケーションの脆弱性をついてコンテンツが改ざんされたり、スパムメールの踏み台にされてしまったりといった被害を受けることもあります。そのため、たとえば個人のブログのようなものでもWAFが不要ということはありません

―なるほど、どんな業種でもWordPressのようなWebアプリケーションを利用して何らかのWebページを公開しているなら、WAFの導入を検討した方がよさそうですね。

IPSとの違いは?

―WAFはIPSと比較されることが多いようです。IPSとはどのような違いがあるのでしょうか。

齊藤様:
確かにIPSではダメなのか聞かれることはありますね。被害の多いSQLインジェクションやクロスサイトスクリプティングなどは、IPSでも同じようなパターンマッチングがあり検出することもできます。

しかしIPS自体は、Webサイトを守ることに特化したソリューションではありません。もっと広くサーバーやネットワークへの侵入の検出を行うソリューションです。一方、Webアプリケーションの脆弱性を狙った攻撃は、パラメーターやリクエスト形式など高い精度の検出が必要となります。実際、IPSとWAFの両方を併用しているお客様からは、Webアプリケーションを標的にした攻撃に関し『IPSでもそこそこ止めているけど、最終的にはWAFが止めてくれているね』という声をいただくこともあります。

これは機能の優劣ではなく、それぞれ目的が異なっているということです。
カゴヤ様のサービスでは、IPSのオプションも用意されていますよね。お客様のシステムを保護するという観点で、とても良いことだと思います。

―多層的に対策を講じることで、セキュリティを高めることができますね。

ホスト型WAF/ゲートウェイ(ネットワーク)型WAF の違い

―WAFにはホスト型とゲートウェイ型があるようですね。その違いを説明していただけますか?

齊藤様:
まずホスト型とは、Webサーバーに直接インストールして利用するタイプです。ホスト型には、ネットワーク構成を変えず使えるメリットがあります。一方のゲートウェイ型は、Webサーバーとは独立したかたちでクライアントとWebサーバーの通信経路上に配置するタイプです。複数のウェブサーバーを集約して保護することができます。

―それぞれ用途が違うわけですね。

齊藤様:
はい、そうです。当社の『SiteGuard』もホスト型・ゲートウェイ型の両方を用意しており、お客様の用途にあった方をおえらびいただけます

このうち、当社の主力になっているのはホスト型の『SiteGuard Lite』です。パートナーの事業者様のレンタルサーバーにインストールされているのもこちらのタイプです。

ホスト型WAF「SiteGuard Lite」の魅力

―御社のSiteGuard Liteの魅力を教えていただけますか?

齊藤様:
防御性能の高さ、シンプルであること、三大Webサーバーのサポートです。Apache/IIS/Nginxのモジュールとして動作し、様々な攻撃からお客様のサイトを保護することができます。このほか、国産であるという点は、重要視されるお客様が多いですね。

―国産であることのメリットはどういうところにありますか?

齊藤様:
管理画面やマニュアルが日本語であるのはもちろんのこと、当社が自社内で開発しているため、テクニカルサポートの品質に定評があります。海外製品では問合せをしてから回答がもらえるまでに時間がかかることがありますが、当社では当日もしくは24時間以内のクローズを目指しています。

―お客様が安心して使えそうですね。防御性能の高さやシンプルといったのはどういったメリットでしょうか。

齊藤様:
まず防御性能に関してですが、現在はどれだけ良いシグネチャを、いかに早くだすかという点が重要になっています。その点、当社の場合は独自の情報システムをもっており、いち早く情報をつかんだ上で関係各所と連携してシグネチャを作成している点が強みですね。また特別な難しい設定なしでシンプルに導入できることも、お客様から好評いただいているメリットです。

SiteGuard Lite導入と設定について

SiteGuard Liteの導入

―SiteGuard Liteはどのようにすれは導入できますか?

齊藤様:
たとえばカゴヤ様の共用サーバーであれば、弊社のSiteGuard Liteがインストールされているので、機能をオンにするだけで利用開始できます。一方専用サーバーなどであれば、ライセンスを購入いただきモジュールをインストールした上で、機能をオンにすることにより利用可能です。ボタン一つで、とまではいきませんが、クイックスタートが可能なように配慮しています。

アラートの活用方法

―攻撃があった旨をアラートする機能はありますか?

齊藤様:
はい、通知間隔や通知日時をえらび、その間にあった攻撃の件数や内容のサマリーを、わかりやすいテキスト形式にしてメールでおくることができます。このほか、攻撃の検出状況を統計情報としてレポート化、PDFでダウンロードすることもできます。

シグネチャのカスタマイズ

―独自のCMSを使っている場合など、作りによってはWAFにより、想定しない検出が行なわれてしまうこともあるようです。その点、SiteGuard Liteではルールの編集のようなことが可能ですか?

齊藤様:
お客様独自のシグネチャを追加できるカスタム・シグネチャの機能があります。パスやパラメーター、接続元のIPアドレスなどを検査対象にして、検出条件を調整することが可能です。これによって、お客様の意図に合わない検出を修正できます。

ちなみにレンタルサーバー様向けに提供しているSiteGuard Liteでは、ユーザー様の不便にならないよう、当社であらかじめカスタムしたシグネチャのセットを提供しています。

カスタム・シグネチャは、不正なHostヘッダを含むリクエストを拒否したり、指定したページへの高頻度なアクセスを拒否するなど、様々な用途に活用することができます。

「SiteGuard」シリーズの展望・今後の開発

―最後に、「SiteGuard」シリーズの今後の展望について、近々予定していることなどあれば教えてください。

齊藤様:
シグネチャ検査の精度は今後も高めていきたいですね。先程のご質問にもありましたように、お客様の使うCMSによっては、お客様の意図しないかたちでWAFが攻撃と判断してブロックしてしまうことがあります。これを仕様として諦めるのではなく、そういったところも救っていけるように、検査機能の改良を続けていきます。

また、世界のどこからどのような攻撃がどの程度行われているかをビジュアル的にわかりやすい画面を開発したいと考えています。それによってWAFの効果がより分かりやすくなります。

まとめ

株式会社ジェイピー・セキュア 齊藤様にWAFについて分かりやすく説明いただきました。お話しの中にあったように、どんなWebサイトでもWebアプリケーションによって構成されていれば、改ざんやスパムの踏み台にされるなどの攻撃を受けてしまう可能性があります。Webアプリケーションの脆弱性を狙った攻撃から御社のWebサイトを守るために、WAFの導入を検討してみてはいかがでしょうか。

高速でセキュアな環境で運用できるWordpressユーザー向けに特化したWordPress専用サーバー

人気記事ランキングトップ10

カテゴリ一覧

新着記事Pick Up!