5月13日に始まった「第6回 情報セキュリティEXPO」。インターネットからの攻撃はますます複雑化し、ターゲットもOSやWebサーバではなく、Webアプリケーションに絞られてきている。これに対抗するのが、WAF(Web Application Firewall)である。
Webサイト攻撃増加とPCI DSSで
注目を浴びるWAF
情報漏えい対策のような社内セキュリティに注目が集まる中、インターネットとLANの間に設置するゲートウェイ型セキュリティ製品もいくつか登場している。ファイアウォールやIPS、UTM製品も多いが、トレンドとなっているのは、やはりWAFである。
WAFは名前の通り、Webアプリケーションの防御に特化したHTTP・HTTPS専用のファイアウォールで、今から5年前くらいにアプライアンス型の製品が登場。当初は高価で、フィルタリング設定に融通が利かなかったため、なかなか普及しなかったが、SQLインジェクションやクロスサイトスクリプティングなどによるWebサイト攻撃の増加で需要が急増。さらにクレジットカード会社が規格化したセキュリティ実装のスタンダート規格「PCI DSS(Payment Card Industry Data Security Standard)」でWAFの実装が明記されたことで、大きな注目を集めるようになった。当初は、Webサービスや大企業など大手サイトが顧客であったが、現在はより安価な一般企業向けの製品が求められている。
フォーティネット初のWAFを初展示
UTMベンダーのフォーティネットは、今春に発表した同社初のWAF「FortiWeb-1000B」の実機とGUIを図研ネットウェイブブースで初公開した。先頃もFortiOS 4.0の発表により、WAN高速化やアプリケーション制御、情報漏えい対策、SSLトラフィック精査などの機能まで飲み込んだフォーティネットのUTMだが、FortiWebは単機能のアプライアンスとして提供される。
図研ネットウェイブのブースで展示された「FortiWeb」と「FortiDB」。両者の組み合わせでPCI DSSの要件を確保するインフラを構築
PCI DSS 1.2の要求事項を満たすほか、データベースセキュリティをアプライアンス単体で実現する「FortiDB」と連携することで、より強固なセキュリティを実現するという。すでに出荷中だが、既存のUTMとの販売ターゲットが異なっていることもあり、現状販売体制を整備しているとのこと。
ブラックリスト方式に行き着いたNECの「SiteShell」
NECシステムテクノロジーは昨年発売したWAF「SiteShell」を紹介した。SiteShellはアプライアンスではなく、Webアプリケーションサーバにインストールするソフトウェア型の製品。Webサービス事業者のように複数のサーバを保護する場合は、ハイパフォーマンスのWAFアプライアンスのほうがコストに見合う。しかし、数台のWebサーバしかない場合は、サーバごとにソフトウェア型の製品を導入したほうがコストを抑えられるというのが、同社の主張だ。現状では、WebOTX(NEC)やWebLogic(オラクル)、Tomcat、IISなど各種アプリケーションサーバに対応しており、Webアプリケーションの修正なしに、脆弱性対策を実現する。
SiteShellが展示されていたNECのブース。「リスクに強く、コストにも強く」をテーマにセキュリティの統合管理を打ち出した展示を行なっていた
SiteShellで特徴的なのは、通常のWAFが採用するホワイトリスト方式ではなく、ブラックリスト方式をフィルタリングに採用する点だ。ホワイトリストは、通過させて問題ないトラフィックを定義する方式で、ブラックリスト方式は防ぎたいトラフィックの条件を定義する方法。ブラックリスト方式はファイアウォールをはじめ、多くのセキュリティ機器が搭載する機能だが、サイトごとに保護対象が異なるWAFにおいては、ホワイトリストのほうが向いているといわれる。しかし、ホワイトリスト方式には、ユーザー自身が細かく定義をしなければならないという弱点があるため、SiteShellではブラックリスト方式を採用するという。具体的にはNECシステムテクノロジーが配信する脆弱性シグネチャをベースにフィルタリングを行なう。
ソリトンシステムズも100MbpsスループットのWAF「Net‘Attest Web Application Firewall」を参考出品した。SiteShellと同じく、メンテナンスの容易なブラックリスト方式を用い、面倒なポリシー設定なしにすぐ使える導入しやすさを売りとする。シグネチャは国内での脆弱性解析などで高い実績を誇るラックのものを採用しており、SQLインジェクションやクロスサイトスクリプティングなどのWebサイト攻撃に迅速に対応するという。また、GUI管理ツールの完全日本語化を実現しているのも珍しい。2009年の第2四半期中にリリースする予定だ。
ソリトンシステムズは同社初のWAF製品を参考出品。PCI DSSの普及などを見込んで、Webサービス事業者と金融系をターゲットにするという
ホワイトリストとブラックリストのいずれかがよいのかは、議論の分れるところである。設定の難しいホワイトリストベースの製品でも、最近では設定の自動化に取り組んでいることが多いので、スペックやスループットだけではなく、製品自体を十分に検証する必要があるだろう。
この連載の記事
-
第14回
TECH
情報セキュリティのプロが語る「PCI DSS、はじめの一歩」 -
第13回
TECH
管理者に優しいペンタのWAF「WAPPLES」を支える技術 -
第12回
TECH
RSAらしさ満載のPCI DSS導入支援サービス -
第11回
TECH
情報元を抑えよ!DBセキュリティを先導する「FortiDB」 -
第10回
TECH
セミナーでわかったバラクーダとアップルの意外な共通点 -
第9回
TECH
今度のインパーバは金庫番+パトロールでDBを守る -
第8回
TECH
脆弱性監査も試用可能!フォーティネット、FortiDBを強化 -
第7回
TECH
高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力 -
第6回
TECH
キヤノンIT、偽装ファイルの検出強化のWEBGUARDIAN -
第4回
ネットワーク
雲の中にWAFを設置するアカマイの新サービス - この連載の一覧へ
