9月2日、F5ネットワークスジャパンはサイバーセキュリティに関する記者説明会を行った。今年に入ってからもますます増加する公開サーバーに対するサイバー攻撃の現状、そしてF5ネットワークスが提供するソリューションなどが語られた。
サーバー攻撃の現状と対策
いまだ被害が続くOpenSSLのHeartbleed問題を始めとして、DDoS攻撃(DNSリフレクター攻撃やDNS Slow Drip攻撃)、Web改ざん、Webサーバーへの不正アクセス、パスワードリスト型攻撃など、外部公開サーバーを狙ったサイバー攻撃は日々激化している。
「つい最近話題になった米女優のヌード写真流出事件も、パスワードリストを使った攻撃が使われている。同攻撃では、フィッシングやSNS、Find My iPhoneサービス、そしてよく使われるパスワードのリストを組み合わせてiCloudのアカウントを乗っ取り、情報を盗み出したと推測される」。そう述べたF5ネットワークスジャパンの谷村透氏は、Webサーバーへの攻撃はますます深刻になっていると指摘する。
F5ネットワークスジャパン アジアパシフィック・ジャパン セキュリティアーキテクト 谷村透氏
谷村氏は、サイバー攻撃は大きく2つに分けられると述べる。1つは、外部公開サーバーに向けた攻撃で、先に述べた各種攻撃が該当。もう1つは企業のエンドポイントを狙った攻撃で、主に標的型攻撃が当てはまる。
企業のエンドポイントに対する攻撃(標的型攻撃など)と、外部公開サーバーに対する攻撃(DDoSやWebアプリケーションへの攻撃など)
「特に外部公開サーバーは、今後は人間のみならず、IoTデバイス含む非PCからの膨大なアクセスを受けることになる。F5ネットワークスでは、アプリケーションデリバリコントローラのBIG-IPを提供し、いつでも、どこからでも、快適にサービスを利用する、いわば可用性を重視した価値提供に取り組んできた。そして、それを脅かすサイバー攻撃に対しても、機能追加や強化で積極的に対策してきた」(谷村氏)。
IoTを、アプリケーションデリバリの新たな対象分野として取り組みを始めるF5ネットワークス
多層防御、SSLの工夫、インテリジェンスの活用
BIG-IPでは、外部公開サーバーに対して①多層防御の導入(WAF)、②SSL採用時の工夫、③インテリジェンスの活用という3つの対策を提供する。
1つめは、多層防御の1つとしてWAF(Web Application Firewall)機能を組み込んだ。入力パターンやパラメータの異常、レイヤー7の脆弱性を狙った攻撃などを検知、ブロックできるWAFは、脆弱性発見時に即時Webサービスを改修できないような場合、パッチ的な対応方法としても有効だ。
WAFを含む多層防御
2つめは、SSL暗号化通信時の工夫だ。SSL暗号化通信は、ユーザーとWebサーバー間で直通の土管を作るため、問題の通信であっても検出できない。これに対して、BIG-IPは、ユーザークライアントとの通信は最新のSSL暗号化技術などで保護し、Webサーバーに対しては従来の通信を行う、トランスレーター/プロキシとして動作する。
「これであれば、従来の環境や投資を保護しつつ、最新の暗号化技術を導入できる。さらに、通信はオフロードして可視化できるので、不正アクセスも遮断できる」(谷村氏)。
トランスレーター/プロキシを介したSSL通信の提供とオフロードによる可視化の実現
3つめは、IPレピュテーションを始めとするセキュリティインテリジェンスの活用だ。BIG-IPは、5分間隔で最新のIPレピュテーション情報をダウンロードし、ボットネットや攻撃者および踏み台などをIPベースで監査、ブロックする。
IPレピュテーションを採用した防御
「WAFは、不審なパターンは認識できても、一発でID/パスワードを入力してくるような、正常な通信に見える攻撃に弱い。それを補うのが、IPレピュテーションだ。通常のアクセスと区別つけにくい場合でも、ブラックリストにあるIPからのアクセスと分かれば遮断できる」(谷村氏)。
「今後は、IP以外の属性も相関的に加味した多層防御が登場するかもしれない」。谷村氏は、こう述べてWAFのさらなる進化に期待した。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
