クラウドWAFで「守れること」「守れないこと」と選び方のコツ

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

クラウドWAFで「守れること」「守れないこと」と
選び方のコツ

2016/12/05

 導入や運用に手間がかからないクラウドWAFは、小規模なサイトでも手軽に利用できるが、万能薬ではない。本稿ではクラウドWAFで「守れること」「守れないこと」を整理し、「選び方のコツ」を紹介する。

ネットワークセキュリティ

※「ネットワークセキュリティ/クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ネットワークセキュリティ/クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事全文がお読みいただけます。

会員登録はこちら(無料)


1WAFで守れること、守れないこと

  WAF(Web Application Firewall)とは、Webアプリケーションの脆弱(ぜいじゃく)性を悪用した攻撃を検知し、その攻撃からシステムを防御するためのものだ。これまで、セキュリティ対策としては、ファイアウォールやIPS(侵入防止システム:Intrusion Prevention System)、IDS(侵入検知システム:Intrusion Detection System)を導入してきた企業も多いだろう。一方のWAFはWebアプリケーションを守る部分に特化している。OSやネットワークなどを保護するセキュリティ対策機器の機能を補完し、通常の通信リクエストの中に潜む「攻撃」を検知、防御するものだと考えるべきだろう。  

 攻撃の中には、例えばWebアプリケーションに作られてしまったSQLインジェクションやクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)といった脆弱性を攻撃するものがある。これらの通信には特徴的なパターンが含まれることが多く、それらの特徴を検知することがWAFの目的だ。

図1 Scutumの事例
図1 Scutumの事例
■SQLインジェクションについて
データベースのSQLクエリのパラメータとなる入力に、攻撃者は不正な文字列を入力して(上図1)、不正なSQLクエリを実行させる(上図2、3)。上図は、不正な文字列により認証を回避するSQLインジェクション攻撃の例。Webサイトからの情報漏えい事件の原因は、ほとんどがこのケースだ。 Scutumを利用した場合、不正な値の入力をブロックすることで攻撃を回避できる(上図4)。 
 
■ドライブバイダウンロード攻撃について
ガンブラー(Gumblar)などでは、Web管理者のPCに侵入したウイルスによってFTPのアカウント情報が攻撃者に送られる(上図1)。攻撃者は、入手したFTPのアカウント情報(ID・パスワード)を悪用して、その管理者が管理するWebサイトを改ざんする(上図2)。サイトの利用者が、改ざんされた正規のWebサイトを閲覧した場合、ウイルスは利用者AのPCに侵入して、さらに被害が広がります(上図3)。Scutumを利用した場合、悪意あるJavaScriptを無害化し、安全な状態で利用者に表示することができる(上図4)。
資料提供:セキュアスカイ・テクノロジー

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

ネットワークセキュリティ/クラウドWAFで「守れること」「守れないこと」と選び方のコツ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ネットワークセキュリティ」関連情報をランダムに表示しています。

ネットワークセキュリティ」関連の製品

UTM/Firewall/Proxyログ一括管理 ManageEngine Firewall Analyzer 【ゾーホージャパン】 CLEARSWIFT SECURE Web Gateway 【日立ソリューションズ】 ネットワーク内のアプリケーションを柔軟に管理し、組織を守るソリューション 【パロアルトネットワークス】
UTM WAF ファイアウォール
分かりにくいUTM/ファイアウォール/プロキシの生ログをグラフィカルで見やすくレポート出力できるログ管理ツール。
Juniper、Ciscoなど30ベンダー以上の主要機器に対応。
Webセキュリティに必要なURLフィルタリング、ウイルス対策などの機能をオールインワンで提供。 ネットワーク内のアプリケーションを柔軟に管理し、組織を守るソリューション

ネットワークセキュリティ」関連の特集


 今回から4回にわたってお伝えするのは、昨年の7月にキーマンズネットで連載された、特定非営利法人 日…



最新の脅威への対策は従来のような外部からの攻撃を防御するだけでは不十分。大事なシステムを守るため注目…



中堅〜大企業では一般的な“データセンター活用”も、中小企業ではまだ進んでいないのが現実。一体ナゼなの…


ネットワークセキュリティ」関連のセミナー

セキュリティインシデントを紐解くと見える脆弱性管理の重要性 【セグエグループ/ジェイズ・コミュニケーション/グローバルセキュリティエキスパート】  

開催日 5月22日(火)   開催地 東京都   参加費 無料

この数年の海外/国内におけるセキュリティインシデントを紐解くと見えてくる、今、企業に必要なスタンスは何か例えば、ダークウェブから派生する外部脅威の元凶に、不正ア…

ISO/IEC 27005情報セキュリティリスクマネジメントコース 【BSIグループジャパン】  

開催日 4月25日(水),6月15日(金),8月1日(水)   開催地 東京都   参加費 有料 4万932円(税込)

本コースは、情報セキュリティマネジメントシステム(ISMS)において最も重要といわれているリスクアセスメント手法を理解し、分析したリスクをどう管理していくかを学…

ISO/IEC 27001 情報セキュリティマネジメントシステム基本コース 【BSI グループジャパン】  

開催日 4月16日(月)〜4月17日(火),6月11日(月)〜6月12日(火),7月12日(木)〜7月13日(金),9月10日(月)〜9月11日(火)   開催地 東京都   参加費 有料 8万6400円(税込み)

本コースでは、新たに情報セキュリティマネジメントシステムを学ぶ方を対象に、情報セキュリティマネジメントシステムの国際規格であるISO/IEC 27001の概要及…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ネットワークセキュリティ/ クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ネットワークセキュリティ/ クラウドWAFで「守れること」「守れないこと」と選び方のコツ」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3 | 4


30009207


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ