世界中でサイバー攻撃の脅威が高まる中、日本の企業も攻撃の標的となり深刻な被害を受けるケースが相次いでいます。その種類や手口は日々多様化・巧妙化しており、規模の大小に関係なくWebサイトを持つ企業が攻撃の対象となっています。

国立研究開発法人情報通信研究機構の調査によると、日本に向けられたサイバー攻撃は以下グラフに示すように過去5年間で急増し、2020年からは高止まり傾向にあります。

IPアドレス当たりの年間総観測パケット数(過去10年間)

出典:NICTER観測レポート2022 より

Webサイトを攻撃から守るWAF

Webサイトを攻撃から守る手段として、脆弱性のないサイトを作る( IPA / 安全なウェブサイトの作り方 )ことはもちろんのこと、加えて、新たな脅威に対応し続ける必要があります。その役に立つのが今回紹介する「WAF(ワフ)」です。

WAFは「Web Application Firewall」の略で、WebサイトやWebサービスを守るセキュリティシステムです。Webアプリケーションとインターネットアクセスとの間で発生する様々なデータに対して、監視、検知、遮断を行うことで、ネットワークを介したウィルスや不正アクセスなど、外部からの攻撃から守ってくれるものです。

 

WAFで防御できるサーバー攻撃

WAFで防御できるサーバー攻撃には、以下のようなものがあります。

パスワードリスト攻撃

複数サイトで同じID/パスワードが利用されている状況を悪用し、他のサイトで入手したログイン情報を利用して、不正ログインする攻撃

XSS(クロスサイトスクリプティング)攻撃

掲示板や入力フォームのあるサイトに、不正なスクリプトを挿入し、マルウェアに感染させるサイトに誘導する攻撃

SQLインジェクション攻撃

Webサービスの入力フィールドにSQL(データベースへの命令)を入力するなど特定のコマンドを実行させ、データの消去や改ざんや漏洩を起こす攻撃

ディレクトリ・トラバーサル(パストラバーサル)

Webサイトからファイル名を直接指定するようなWebアプリケーションを利用して、不正アクセスやファイルの改ざん、削除、個人情報や機密情報の窃盗などを行う攻撃

DoS攻撃、DDoS攻撃

標的のサーバーに許容量以上のデータを送り付け、アクセス集中により誤作動を起こさせる攻撃。長期間のサイト表示停止に追い込まれる危険もある。

OSコマンドインジェクション攻撃

SQLインジェクションと同様、Webサーバーへのリクエストに不正なOSへの命令文を紛れ込ませる攻撃。

WAFの構成と種類

WAFの検知の方法としてシグネチャ方式があります。これは「署名検査」と「振る舞い検査」の2つの技術で構成されています。

署名検査(ブラックリスト型)

事前に知られている攻撃パターンをデータと照合し、攻撃と判断した場合には通信を遮断します。未知の攻撃の防御が難しいというデメリットもあります。

振る舞い検査(ホワイトリスト型)

正常な通信の挙動から逸脱したアクセスを監視し、異常を検知します。未知の攻撃を防御できる一方、正常な通信パターンを定義することは難しいというデメリットもあります。

その他、スコアリングによる検知(通信のさまざまな要素を数値化し、基準値を超えた通信を攻撃と判定する方式)、AIによる検知(AIが独自に攻撃の判定を行う方式)もあります。

WAFの導入方法には3つの種類があります。

アプライアンス(ゲートウェイ)型

Webアプリケーションとインターネットとの間に専用の機器を配置します。サーバに負担がかからず、1台で複数のサーバを保護でき、自社に合わせた柔軟な設定ができますが、導入費用が高く、ネットワーク構成の変更が必要となることもあります。

ホスト(ソフトウェア)型

Webアプリケーションが稼働するサーバ自体に導入します。低予算かつ短期間で導入でき、自社に合わせた柔軟な設定ができる一方、サーバごとにソフトウェアのインストールが必要となります。

クラウド(サービス)型

クラウド上のWAFサービスを経由させることによりWebアプリケーションを保護します。短期間で導入でき、自社での運用と保守の負担が少ない一方、設定に制限があったり、対象数や通信量に比例して高額になる可能性もあります。

導入方法には上記に示すとおり一長一短がありますので、保護対象は1台なのか複数台なのか、柔軟な設定が必要か、導入までの期間や運用コストなどを検討し、導入方法を選択することになります。

まとめ

サイバー攻撃で被害を受けた場合の影響は、売り上げ機会の損失、企業イメージの低下、法的観点への影響(個人情報保護法やデータ保護規制など)など、過去に発生した被害事例が表すように、多岐に広がることを考慮しておく必要があります。
WAFは、Webアプリケーションを運営する多くの企業に必要とされるセキュリティ対策です。サイバー攻撃が無くなることはないため、自己防衛手段を持つことは不可欠です。なお、製品によってコスト、機能、サポート体制などに差があるため、現状を把握し、自社にあった製品を導入できるよう検討が必要になります。

 

※記載の製品名は、各社の商標または登録商標です。