キヤノンMJ/サイバーセキュリティ情報局
ウェブサイトを守るWAFの必要性
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「WAFとは?Webサイトのサイバー攻撃を防ぐ決定打となり得るのか?」を再編集したものです。
近年、さまざまな行為がオンライン上で可能となり、日常生活やビジネスにおいてウェブサイトの重要性は高まる一方だ。そうした背景から、相対的に価値が高まるウェブサイトを狙ったサイバー攻撃は激化する様相を呈している。この記事では、ウェブサイトをサイバー攻撃から守るWAFについて、その仕組みや利用するメリットを解説していく。
WAFとは? その役割と仕組み
WAF(Web Application Firewall)はウェブアプリケーションの脆弱性を狙うタイプの攻撃を防ぐための仕組みである。一般的に、定義されたシグネチャ*1を用いて、通信の内部までチェックすることによって不正な攻撃を検知し、通信を遮断する。ファイアウォールと混同されがちだが、ファイアウォールとの違いはウェブアプリケーションに特化し、検知可能な範囲が広いことだ。WAFで防御可能な攻撃として代表的なものを以下に挙げていく。
*1 過去に発生した不正な通信や攻撃手法などをもとに定義したルールのこと
・SQLインジェクション
ウェブの脆弱性に付け込み、想定外のSQLを実行させることで不正にデータベースへアクセスする攻撃。
・クロスサイトスクリプティング(XSS)
脆弱性を悪用し、悪意のあるスクリプトをウェブサイトに仕込み実行させることで個人情報などを窃取。
・ディレクトリトラバーサル
本来アクセスされるべきではない非公開ファイルへアクセスし、不正に情報を取得する攻撃。
・OSコマンドインジェクション
ウェブアプリケーションのパラメーター情報に不正なOSコマンドを注入(インジェクション)する攻撃。
・改行コードインジェクション(HTTPヘッダインジェクション)
改行コードの処理の脆弱性などを突き、HTTPヘッダやレスポンスに不正な文字列を注入する攻撃。
・ブルートフォース攻撃
総当たり攻撃とも呼ばれ、パスワードの組み合わせを機械的に何度も試行し、認証を突破する攻撃。
WAFが必要とされる背景
ウェブサイトの重要度が高まったことで、トラブルが生じた際の損失も相対的に大きくなっており、WAFの必要性も高まっている。その背景を詳しく解説していく。
1) スマホの普及に伴い、インフラ化するウェブサイトの存在
スマホの普及に伴ってインターネットの利用はもはや日常的だ。商品の購入やSNSでの交流など、あらゆることがウェブサイト上で行なえるようになった。銀行口座の入出金や保険の申し込みもウェブサイトで簡単に行なえるなど、日常生活に欠かせない存在となっている。
2) 企業の業務にウェブサイトが欠かせないものに
多様なクラウドサービスやVPNをはじめ、リモートワークで業務を遂行する上でウェブは欠かせない存在だ。資料作成やメッセージのやり取り、ビデオ会議など業務上でウェブを使わない日はないと言ってよいほどだろう。企業の情報発信や相互取引においてもウェブサイトは必要不可欠となっている。一方で、WordPressなどのCMS利用をはじめ、関連システムの多様化・複雑化により、ウェブサイト運営におけるセキュリティリスクは高まっている。
3) ウェブサイトの脆弱性を狙った攻撃が大きく増加
ユーザーや企業にとって、ウェブサイトの重要性が増すのに伴い、ウェブサイトの脆弱性を狙ったサイバー攻撃も増加している。JPCERT(一般社団法人JPCERTコーディネーションセンター)が2021年10月に発表しているインシデント報告対応レポートでは、2021年7月~9月のウェブサイト改ざんの報告件数は579件と、前四半期の251件から倍増している。
このような背景などもあり、ウェブ改ざんや不正アクセスを防止するため、WAFへの関心が高まっている。
ウェブ改ざんなどによる被害事例
では、ウェブ改ざんが行なわれるとどのような被害を受けるのか。2021年に発生した実際の事例を以下に紹介していく。
1) 大手出版社のウェブサイトが改ざん
2021年4月、大手出版社のウェブサイトが不正アクセスを受け、改ざんされた。ユーザーが同社のウェブサイトにアクセスすると、悪意ある外部サイトへ誘導される状態となっていた。同社の報告では個人情報の流出は確認されていないという。
2) ウェブマーケティング会社のウェブサイトが改ざん
2021年5月、ウェブマーケティング事業を展開する会社のウェブサイトが改ざんされた。同社のウェブサイトで使用されていたWordPressにおいて、適切なアップデートが実施されていなかったことで生じた脆弱性が原因とされる。改ざんされたウェブサイトには、外部ウェブサイトへ誘導するためのソースコードが埋め込まれていた状態だった。
3) 和食器のECサイトで情報漏えい
2021年6月、和食器専門のECサイトへの不正アクセスが発生。決済用アプリケーションが改ざんされ、クレジットカード情報が漏えいした可能性があるという。同社システムの脆弱性を突いた不正アクセスが要因だったとされている。
これら3つの事例からもわかるとおり、ウェブの脆弱性を突いて改ざんなどが行なわれることで、自社のウェブサイトを訪問したユーザーを危険に晒すことになる。個人情報漏えいやなりすまし詐欺に発展した場合は、損害賠償責任を負う可能性もある。また、システム改修などのコスト負担や一時的なシステムの停止による売上への影響など、事業活動に与える影響は甚大である。
WAFを導入するメリット
先述のとおり、ウェブアプリケーションの脆弱性を放置すると不正アクセスや改ざんなどのリスクが増す。結果的にそれらが事業活動へ悪影響を及ぼすこととなる。WAFの導入でそれらのリスクを低減できる。
1) ウェブアプリケーションの改ざんリスクを抑制できる
どのようなウェブアプリケーションであっても、脆弱性はつきものだ。WAFの導入でウェブアプリケーションの脆弱性を突いた攻撃を検知できるため、改ざんリスクを抑制できる。
2) 脆弱性を改修するための猶予を設けられる
アプリケーションやサーバーなどで脆弱性が発覚した際に、コストや影響範囲などの理由ですぐには改修できない場合もある。その際にWAFが導入されていれば、パッチ適用やシステム改修などの時間稼ぎができる。
3) 問題が発生した場合の事後対応
WAFに記録されたログなどをもとに、万が一不正アクセスを受けた場合の原因究明や一時対応、システムの改修などの対策を効率よく、適切に進めることができる。
WAFを選ぶ際のポイント
WAFには大きく、オーダーメイド型とクラウド型の2種類がある。それぞれのメリットとデメリットを紹介するので参考にしてほしい。
1) オーダーメイド型WAFのメリットとデメリット
オーダーメイド型とは導入する企業に合わせてシグネチャの再定義などを行なうタイプのWAFである。オーダーメイド型は自社用に機能をカスタマイズでき、安全面を高められる反面、導入や運用コストが相対的に高くなりがちだ。ただし、事業所が複数存在する場合など、対象となるウェブサーバーが多いケースではコストパフォーマンスが向上することもある。
2) クラウド型WAFのメリットとデメリット
クラウド型のWAFはSaaSで提供される。オーダーメイド型よりも導入コストや運用負荷を抑えられるものの、原則として機能のカスタマイズはできない。また、導入している間は継続的に費用が発生するため、中長期で見た際にオーダーメイド型よりも割高と評価される場合もある。
WAF導入だけでなく総合的なセキュリティ対策が必要
ウェブサイトは日常生活や企業活動において必要不可欠となっている。しかしながら利便性を追求しすぎるあまり、セキュリティがおろそかになってしまっては本末転倒である。ウェブサイトが不正アクセスなどを受け、個人情報や決済情報の漏えいが発生した際の事業への影響は計り知れない。
WAFはそのための対策のひとつになり得る。また、企業では従業員のセキュリティ意識や、端末の管理といった基本的な対策も重要である。下記のような対策も併せて検討してほしい。
・UTM
UTM(Unified Threat Management)は総合脅威管理と呼ばれる。ファイアウォールやアンチウイルス、IPS/IDSなど複数のセキュリティ機能を搭載した製品・サービスだ。DoS攻撃やポートスキャンなどの攻撃を検知・遮断できる。
・脆弱性診断、ペネトレーションテスト
脆弱性診断はウェブアプリケーションが抱える脆弱性を網羅的にチェックするためのサービスである。また、ペネトレーションテストは外部から社内システムへの侵入が可能かどうかをホワイトハッカーがテストするものだ。いずれもウェブアプリケーションやシステムが抱える脆弱性を検出できる。
・端末へのセキュリティソフトの導入
ウェブサイトの管理者や関係者の端末がマルウェアに感染し、不正アクセスにつながる場合もある。各端末へのセキュリティソフトの導入はもはや必須と言えるだろう。
・従業員への研修や啓蒙
従業員のずさんなパスワード管理、設定などを狙って不正アクセスやウェブ改ざんなどを企む攻撃者も存在する。ひとりひとりが情報漏えいのリスクを把握し、適切に対策を講じておきたい。
高度化・巧妙化するサイバー攻撃に対抗していくためには、複合的な対策が求められる。デジタル時代に事業を展開していくにあたって、もはやセキュリティ対策は企業の生命線のひとつと言える存在となりつつあるのではないだろうか。