クラウドWAFで「守れること」「守れないこと」と選び方のコツ

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

クラウドWAFで「守れること」「守れないこと」と
選び方のコツ

2016/12/05

 導入や運用に手間がかからないクラウドWAFは、小規模なサイトでも手軽に利用できるが、万能薬ではない。本稿ではクラウドWAFで「守れること」「守れないこと」を整理し、「選び方のコツ」を紹介する。

ネットワークセキュリティ

※「ネットワークセキュリティ/クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ネットワークセキュリティ/クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事全文がお読みいただけます。

会員登録はこちら(無料)


1WAFで守れること、守れないこと

  WAF(Web Application Firewall)とは、Webアプリケーションの脆弱(ぜいじゃく)性を悪用した攻撃を検知し、その攻撃からシステムを防御するためのものだ。これまで、セキュリティ対策としては、ファイアウォールやIPS(侵入防止システム:Intrusion Prevention System)、IDS(侵入検知システム:Intrusion Detection System)を導入してきた企業も多いだろう。一方のWAFはWebアプリケーションを守る部分に特化している。OSやネットワークなどを保護するセキュリティ対策機器の機能を補完し、通常の通信リクエストの中に潜む「攻撃」を検知、防御するものだと考えるべきだろう。  

 攻撃の中には、例えばWebアプリケーションに作られてしまったSQLインジェクションやクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)といった脆弱性を攻撃するものがある。これらの通信には特徴的なパターンが含まれることが多く、それらの特徴を検知することがWAFの目的だ。

図1 Scutumの事例
図1 Scutumの事例
■SQLインジェクションについて
データベースのSQLクエリのパラメータとなる入力に、攻撃者は不正な文字列を入力して(上図1)、不正なSQLクエリを実行させる(上図2、3)。上図は、不正な文字列により認証を回避するSQLインジェクション攻撃の例。Webサイトからの情報漏えい事件の原因は、ほとんどがこのケースだ。 Scutumを利用した場合、不正な値の入力をブロックすることで攻撃を回避できる(上図4)。 
 
■ドライブバイダウンロード攻撃について
ガンブラー(Gumblar)などでは、Web管理者のPCに侵入したウイルスによってFTPのアカウント情報が攻撃者に送られる(上図1)。攻撃者は、入手したFTPのアカウント情報(ID・パスワード)を悪用して、その管理者が管理するWebサイトを改ざんする(上図2)。サイトの利用者が、改ざんされた正規のWebサイトを閲覧した場合、ウイルスは利用者AのPCに侵入して、さらに被害が広がります(上図3)。Scutumを利用した場合、悪意あるJavaScriptを無害化し、安全な状態で利用者に表示することができる(上図4)。
資料提供:セキュアスカイ・テクノロジー

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

ネットワークセキュリティ/クラウドWAFで「守れること」「守れないこと」と選び方のコツ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ネットワークセキュリティ」関連情報をランダムに表示しています。

ネットワークセキュリティ」関連の製品

NextGen Firewall Fシリーズ(旧 NextG Firewall) 【バラクーダネットワークスジャパン】 クラウド型(SaaS型)WAFサービス Scutum(スキュータム) 【セキュアスカイ・テクノロジー】 クラウドストレージからの情報漏えいも防止、CASB搭載ネットワークDLPの実力は 【クロス・ヘッド】
ファイアウォール WAF 検疫
UTM同等の多彩なセキュリティ機能を搭載した次世代ファイアウォール。
L7アプリケーションコントロール機能を備え、アプリケーションレベルの脅威も遮断。
顧客情報流出や改ざんの防止、リスト型攻撃などユーザ認証や新たな脅威も適切に防御するクラウド型WAFサービス。導入後に必要な運用もすべてお任せ。 ファイルの重要度を制御「ネットワークDLP」 強固なデータ漏えい対策を実現

ネットワークセキュリティ」関連の特集


キーマンズネット会員1083名を対象に、企業におけるIT投資状況を調査。前編ではIT部門に対し、20…



尖閣問題やウィキリークスなど情報漏洩関連の話題から、再び脚光を浴びつつあるDLPツール。その基本機能…



2008年度の市場規模は数量で前年比18.8%増、金額で16.9%増と見込まれ、今後も拡大傾向の「フ…


ネットワークセキュリティ」関連のセミナー

【徹底解説】McAfeeの次世代エンドポイントセキュリティの全貌 【テクマトリックス/マカフィー】 注目 

開催日 4月18日(火),5月24日(水)   開催地 東京都   参加費 無料

サイバー犯罪の市場規模は今や約100兆円とも言われており、世界中で1日に数十万個のマルウェアが新たに出現しているというデータもあります。このような状況の中、被害…

標的型攻撃等に対する振る舞い検知(ADS)の有効性とは 【オリゾンシステムズ】 締切間近 

開催日 4月27日(木)   開催地 東京都   参加費 無料

オリゾンシステムズ(株)では、業界標準のトラフィック情報収集プロトコルNetFlowでトラフィック監視を効率化するFlowmonの無料紹介セミナーを、いつでも・…

GSX提供パネルディスカッションランチョンセキュリティセミナー 【主催:グローバルセキュリティエキスパート】 締切間近 

開催日 4月27日(木)   開催地 東京都   参加費 無料

 GSXが新年度のこの春贈るパネルディスカッションランチョンセキュリティセミナーでは、『 「ウチの社長…セキュリティを全く分かってない..」そんなセキュリティあ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ネットワークセキュリティ/ クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ネットワークセキュリティ/ クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30009207


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ