安心安全なWebサイトの作り方 〜WAFとIPS、Firewallの違い〜

IT・IT製品TOP > Key Conductors > 佐藤 栄治(バラクーダネットワークスジャパン株式会社) > 安心安全なWebサイトの作り方 〜WAFとIPS、Firewallの違い〜
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

安心安全なWebサイトの作り方 〜WAFとIPS、Firewallの違い〜

ネットワークセキュリティ 2013/10/29

 これまで、私のコラムでは、IPレピュテーションなりすましログイン対策強制ブラウジングスロークライアントアタックなどの攻撃手法について、ご説明してきました。これらの攻撃対策として、「Barracuda WAFが有効です」というご説明もしてきましたが、WAFと他のセキュリティ製品との区別が付きにくいかもしれません。今回は、その違いについてご説明します。

間違ったWebアプリの神話

 WAFの営業活動をしていますと、お客様から以下のようなお話をよく聞きます。

1.SSL/HTTPS通信だから大丈夫!
→SSLは通信を暗号化し、経路上で盗み見されないようにするだけです。攻撃通信も、SSL通信を利用します。

2.Firewallが入ってから大丈夫!
→ネットワークファイアウォールは、IPチェック、ポートの開け閉めがメインです。Webアプリケーションへの攻撃は、ポート80、443ポートを利用してきます。

3.ホスティング、ハウジングでISPに任しているから、クラウドだから大丈夫!
→Webセキュリティオプションなどは契約されていますか?サービス事業者は、顧客によって千差万別なWebアプリの脆弱性までは面倒を見てくれません。

4.ハッキングは大手企業しかされない!
ドメインを公開しており、サーチエンジンで検索結果が出てくるサイトであれば、攻撃は必ず来ています。

5.Webアプリは開発業者に任しているから!
通常、契約上の瑕疵担保責任は1年です。セキュリティに関する条項は、免責事項の場合もあります。
つまり、発注者が常に最新の脆弱性に気を配らないといけません。

Firewall、IPS、WAFは補完関係

 Barracudaもそうですが、WAFベンダの販売文句を見ると、WAFとその他の製品では、「防御レイヤーが違う、守備範囲が違う」と謳われています。では具体的にどう違うのか見ていきましょう。

 Firewall、IPS、WAFはそれぞれ分野の異なるレイヤーの攻撃を防御するシステムです。それぞれ得意としている攻撃が、異なっていることが下の図でご理解いただけると思います。
 ただし、1台で全てをまかなうことはできません。つまりシステム全体を守るという意味では、補完的関係なのです。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

FirewallとIPSの違い

 それでは、通信パケットのどこを見ているのでしょうか?
 まず単純なFirewallは、イーサネットパケット、IPパケットを確認します。ステートフルパケットインスペクションタイプのFirewallは、それに加えIPペイロードの中のTCPパケットまで確認し、セキュリティチェックを行います。そしてIPSは、ディープパケットインスペクション方式で、TCPペイロードまで確認します。このように、参照している情報がそれぞれの機器で異なるため、得意分野も変わってくるということになります。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

WAF機能付きIPSの検知の動き

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 ディープパケットインスペクションタイプのIPSでも、SQLインジェクション、クロスサイトスプリプティングを守れると、謳い文句がある製品が存在しています。もちろん、防御することは可能です。ただ問題は精度、つまり検知率があまり良くないと言われています。
 
 攻撃は誰でも見てわかる状態で来るわけではありません。攻撃者は「難読化」を行い、巧みにセキュリティ製品を回避しようと試みます。そして、「難読化」の手法は千差万別です。パケットの振る舞いを見て防御するIPSは、これらの難読化に対応するありとあらゆるパターンのシグネチャを用意しないといけませんが、どうしてもすり抜けが発生してしまいます。

WAFの検知の動き

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 では、WAFはどうでしょうか?WAFはProxyサーバのように通信を終端し、難読化を解除し、シグネチャマッチングできる状態にしてから防御を行います。そして、安全な通信だけを通過させていきます。つまり、いろいろな難読化を解読し、効率的にシグネチャマッチングが可能となります。

 ただし、WAFにもいろいろなタイプの製品が有ります。IPSと同じディープパケットインスペクションタイプのWAF(ミラーポートでの動作可能タイプのWAF)というのもの存在しており、IPSと同じ事が言えると言われています。
特に、FirewallもIPSも導入済みということとであれば、違う検査手段でブロックするという意味でもProxyタイプのWAFを選択すべきでしょう。  

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

WAFを選定するときのポイント

1.運用できるか?

 よく、WAFは運用が大変難しいと言われます。それは昔のWAFは、ホワイトリストを作るという作業を行わないといけませんでした。ホワイトリストとはWebアプリの動き(パラメータに入力されるべき文字、文字数、どんなクッキーが付くか、等々)を延々とWAFに設定していく作業です。そして、登録した以外の通信が通過したとき、WAFが遮断する…という方法です。これはかなり骨の折れる作業であり、Webアプリを改変する度に再設定を行わないといけません。

 一方、ブラックリストタイプのWAFでは、アンチウイルスソフトのようにシグネチャにより悪い通信だけをブロックしていくため、導入時の大変な作業も必要とせず、比較的導入コストも押さえることが可能です。もちろん、アンチウイルスで日々の管理が発生しないのと同様に、ブラックリストタイプのWAFは日々の運用も簡単です。実際Barracuda WAFのお客様の場合、WAF運用に割く時間は、1週間で“数分〜数時間”程度となっています。

2.細かい除外設定が可能か?

 除外設定とはシグネチャの誤検知への対処です。除外設定を細かく設定できることによって、セキュリティの穴を小さくすることが可能です。
例えば、http://www.example.com/contact.html のEmail入力パラメータで、誤検知が発生したと仮定します。Barracuda WAFの場合は、該当のURLの該当のパラメータだけ、特定のシグネチャを除外する事が可能です。しかし、他社のWAFや、IPSは「該当のWebアプリ単位での除外設定しかできない」、「シグネチャ除外ではなく、強中弱から選択する」といった大まかな除外設定しかできない物も存在しています。これではせっかくWAFを入れていても、抜け道となる「穴」が大きくなってします。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006826


IT・IT製品TOP > Key Conductors > 佐藤 栄治(バラクーダネットワークスジャパン株式会社) > 安心安全なWebサイトの作り方 〜WAFとIPS、Firewallの違い〜

このページの先頭へ

キーマンズネットとは
2009年 バラクーダネットワークスジャパン株式会社に入社。シニアプリセールスエンジニアとして、企業・ECサイト・銀行・ISP・官公庁や自治体などに多数のWebセキュリティ&アプリケーションデリバリソリューションを提案、導入。Webセキュリティに関する話題をわかりやすく解説します。

ページトップへ