クラウドWAFで「守れること」「守れないこと」と選び方のコツ

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

クラウドWAFで「守れること」「守れないこと」と
選び方のコツ

2016/12/05

 導入や運用に手間がかからないクラウドWAFは、小規模なサイトでも手軽に利用できるが、万能薬ではない。本稿ではクラウドWAFで「守れること」「守れないこと」を整理し、「選び方のコツ」を紹介する。

ネットワークセキュリティ

※「ネットワークセキュリティ/クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ネットワークセキュリティ/クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事全文がお読みいただけます。

会員登録はこちら(無料)


1WAFで守れること、守れないこと

  WAF(Web Application Firewall)とは、Webアプリケーションの脆弱(ぜいじゃく)性を悪用した攻撃を検知し、その攻撃からシステムを防御するためのものだ。これまで、セキュリティ対策としては、ファイアウォールやIPS(侵入防止システム:Intrusion Prevention System)、IDS(侵入検知システム:Intrusion Detection System)を導入してきた企業も多いだろう。一方のWAFはWebアプリケーションを守る部分に特化している。OSやネットワークなどを保護するセキュリティ対策機器の機能を補完し、通常の通信リクエストの中に潜む「攻撃」を検知、防御するものだと考えるべきだろう。  

 攻撃の中には、例えばWebアプリケーションに作られてしまったSQLインジェクションやクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)といった脆弱性を攻撃するものがある。これらの通信には特徴的なパターンが含まれることが多く、それらの特徴を検知することがWAFの目的だ。

図1 Scutumの事例
図1 Scutumの事例
■SQLインジェクションについて
データベースのSQLクエリのパラメータとなる入力に、攻撃者は不正な文字列を入力して(上図1)、不正なSQLクエリを実行させる(上図2、3)。上図は、不正な文字列により認証を回避するSQLインジェクション攻撃の例。Webサイトからの情報漏えい事件の原因は、ほとんどがこのケースだ。 Scutumを利用した場合、不正な値の入力をブロックすることで攻撃を回避できる(上図4)。 
 
■ドライブバイダウンロード攻撃について
ガンブラー(Gumblar)などでは、Web管理者のPCに侵入したウイルスによってFTPのアカウント情報が攻撃者に送られる(上図1)。攻撃者は、入手したFTPのアカウント情報(ID・パスワード)を悪用して、その管理者が管理するWebサイトを改ざんする(上図2)。サイトの利用者が、改ざんされた正規のWebサイトを閲覧した場合、ウイルスは利用者AのPCに侵入して、さらに被害が広がります(上図3)。Scutumを利用した場合、悪意あるJavaScriptを無害化し、安全な状態で利用者に表示することができる(上図4)。
資料提供:セキュアスカイ・テクノロジー

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

ネットワークセキュリティ/クラウドWAFで「守れること」「守れないこと」と選び方のコツ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ネットワークセキュリティ」関連情報をランダムに表示しています。

ネットワークセキュリティ」関連の製品

セキュリティレポート:各国担当者への調査で分かった「5つの推奨対策」 【シンガポールテレコム・ジャパン】 IT資産管理・情報漏えい対策 LanScope Cat 【エムオーテックス】 セキュリティ徹底分析:サイバー犯罪者がこれから狙ってくるものは? 【シンガポールテレコム・ジャパン】
検疫 IT資産管理 検疫
セキュリティレポート:各国担当者への調査で分かった「5つの推奨対策 IT資産管理、操作ログ管理、マルウェア対策、ファイル配布、各種レポートやリモートコントロールなど、セキュリティ対策やIT資産管理に必要な機能を網羅したパッケージ。 セキュリティ徹底分析:サイバー犯罪者がこれから狙ってくるものは?

ネットワークセキュリティ」関連の特集


 最終回の本号では、実際にSaaS型WAFサービスの導入手順を説明することで、具体的なイメージを持っ…



まるでSF映画に出てきそうな3次元仮想空間「ネットワークリアルタイム可視化技術」をご紹介!ネットワー…



来年4月に迫った個人情報保護法の完全施行。もはや対策はまったなしです。そこで今回は情報漏洩時にかかる…


ネットワークセキュリティ」関連のセミナー

CASB検証レポート発表会/評価ライセンス発券会 【日商エレクトロニクス/シマンテック】 締切間近 

開催日 3月27日(月)   開催地 東京都   参加費 無料

SaaSを使用する企業が急速に増加しています。これに伴い、SaaSをセキュアに利用するための対策としてCASB(Cloud Access Security Br…

Intel Security社公認 McAfee SIEMハンズオントレーニング 【マクニカネットワークス】  

開催日 5月30日(火)   開催地 東京都   参加費 無料

標的型攻撃やサイバー攻撃の高度化により、外部からの侵入をセキュリティ機器で防御する「予防的対策」だけでなく、侵入された場合にいち早く検知、調査、対処を行う「発見…

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】  

開催日 4月12日(水)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ネットワークセキュリティ/ クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ネットワークセキュリティ/ クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30009207


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ