クラウドWAFで「守れること」「守れないこと」と選び方のコツ

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

クラウドWAFで「守れること」「守れないこと」と
選び方のコツ

2016/12/05

 導入や運用に手間がかからないクラウドWAFは、小規模なサイトでも手軽に利用できるが、万能薬ではない。本稿ではクラウドWAFで「守れること」「守れないこと」を整理し、「選び方のコツ」を紹介する。

ネットワークセキュリティ

※「ネットワークセキュリティ/クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ネットワークセキュリティ/クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事全文がお読みいただけます。

会員登録はこちら(無料)


1WAFで守れること、守れないこと

  WAF(Web Application Firewall)とは、Webアプリケーションの脆弱(ぜいじゃく)性を悪用した攻撃を検知し、その攻撃からシステムを防御するためのものだ。これまで、セキュリティ対策としては、ファイアウォールやIPS(侵入防止システム:Intrusion Prevention System)、IDS(侵入検知システム:Intrusion Detection System)を導入してきた企業も多いだろう。一方のWAFはWebアプリケーションを守る部分に特化している。OSやネットワークなどを保護するセキュリティ対策機器の機能を補完し、通常の通信リクエストの中に潜む「攻撃」を検知、防御するものだと考えるべきだろう。  

 攻撃の中には、例えばWebアプリケーションに作られてしまったSQLインジェクションやクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)といった脆弱性を攻撃するものがある。これらの通信には特徴的なパターンが含まれることが多く、それらの特徴を検知することがWAFの目的だ。

図1 Scutumの事例
図1 Scutumの事例
■SQLインジェクションについて
データベースのSQLクエリのパラメータとなる入力に、攻撃者は不正な文字列を入力して(上図1)、不正なSQLクエリを実行させる(上図2、3)。上図は、不正な文字列により認証を回避するSQLインジェクション攻撃の例。Webサイトからの情報漏えい事件の原因は、ほとんどがこのケースだ。 Scutumを利用した場合、不正な値の入力をブロックすることで攻撃を回避できる(上図4)。 
 
■ドライブバイダウンロード攻撃について
ガンブラー(Gumblar)などでは、Web管理者のPCに侵入したウイルスによってFTPのアカウント情報が攻撃者に送られる(上図1)。攻撃者は、入手したFTPのアカウント情報(ID・パスワード)を悪用して、その管理者が管理するWebサイトを改ざんする(上図2)。サイトの利用者が、改ざんされた正規のWebサイトを閲覧した場合、ウイルスは利用者AのPCに侵入して、さらに被害が広がります(上図3)。Scutumを利用した場合、悪意あるJavaScriptを無害化し、安全な状態で利用者に表示することができる(上図4)。
資料提供:セキュアスカイ・テクノロジー

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

ネットワークセキュリティ/クラウドWAFで「守れること」「守れないこと」と選び方のコツ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ネットワークセキュリティ」関連情報をランダムに表示しています。

ネットワークセキュリティ」関連の製品

ネットワーク分離ソリューション 【アクシオ】 特権ID管理 iDoperation(アイディーオペレーション) 【NTTソフトウェア】 検知できないマルウェアの侵入を防ぐ、エクスプロイト対策とは? 【ソフォス】
その他ネットワークセキュリティ関連 ID管理 検疫
二要素認証、操作ログ、標的型攻撃対策、ファイル共有、ネットワーク分離を構成する各プロダクトと構築サービス。 今求められるIT統制に対応でき、管理(ID貸出、パスワード変更、ログつきあわせ、ID棚卸等)を自動化できる特権ID管理製品。人手作業は利用申請・承認、点検結果確認となる 検知できないマルウェアの侵入も許さない「エクスプロイト対策」とは?

ネットワークセキュリティ」関連の特集


 今回から4回にわたってお伝えするのは、昨年の7月にキーマンズネットで連載された、特定非営利法人 日…



2014年度の市場規模は56億8000万円と見込まれているメールフィルタリング。占有率58.5%を獲…



 現在、多くの企業では支社間との音声通信やデータ通信にVoIP(Voice over Interne…


ネットワークセキュリティ」関連のセミナー

情報セキュリティ・危機管理セミナー 大阪:特別セミナー 【主催/共催:カコムス/富士通マーケティング/Sky/バラクーダネットワークスジャパン】  

開催日 2月16日(木)   開催地 大阪府   参加費 無料

最新の情報セキュリティとIT経営戦略としての危機管理がわかる「情報セキュリティ・危機管理セミナー」を、2017年2月16日(木)に株式会社富士通マーケティング …

Intel Security社公認 McAfee SIEMハンズオントレーニング 【マクニカネットワークス】  

開催日 3月2日(木)   開催地 東京都   参加費 無料

標的型攻撃やサイバー攻撃の高度化により、外部からの侵入をセキュリティ機器で防御する「予防的対策」だけでなく、侵入された場合にいち早く検知、調査、対処を行う「発見…

サイバーセキュリティ・ソリューションセミナー【大阪】 【NRIセキュアテクノロジーズ/テリロジー】 締切間近 

開催日 1月27日(金)   開催地 大阪府   参加費 無料

サイバーセキュリティ対策においては、標的型攻撃が一般化しつつある中、多層防御の有効性が改めて見直されています。今回のセミナーでは、従来の多層防御とはやや異なる新…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ネットワークセキュリティ/ クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ネットワークセキュリティ/ クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30009207


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ