ITpro Special ITpro EXPO 2015 review セキュリティ&ガバナンス 2015
ITpro EXPO 2015 review トップ

Security & Governance:バラクーダ

企業活動の窓口となるWebサイトに対し、不正ログインや顧客情報の窃取などの脅威が増している。バラクーダネットワークスではWebアプリケーションを保護するWAF(Web Application Firewall)製品を提供。Webへの攻撃手法とWAFによる防御策や、マイナンバーのセキュリティ対策を解説した。

バラクーダネットワークスジャパン株式会社
セールスエンジニア
澤入 俊和

 セキュリティ上の脅威は、衰えることを知らない。最近では、パスワードリスト攻撃による不正ログインの被害が広がっている。

 「手当たり次第にパスワードを入力して不正ログインを試みるブルートフォース攻撃に比べ、盗み取った正規のパスワードを悪用するパスワードリスト攻撃は効率的に不正ログインでき、成功率が高いのです」とバラクーダネットワークスジャパンの澤入俊和氏は指摘する。

 外部からの攻撃に対し、ファイアウォールやIPS(侵入防止システム)を導入しているからWAFは不要というIT管理者もいるかもしれない。だが、それぞれの製品は補完的関係にあり、単体ではシステムを保護することが難しくなっているのが現状だ。「パスワードリスト攻撃や、DDoS攻撃の一種であるスロークライアント攻撃など、Webサイトへの攻撃が多様化しています。Webアプリケーションを保護する専用製品であるWAF導入が企業のセキュリティ対策に欠かせません」と澤入氏は強調する。

WAFの導入・運用が容易なブラックリスト型を採用

 バラクーダネットワークスのWAFは、IPレピュテーション機能により発信元の国・地域の情報に基づくアクセス制御や、ボットネットなどの疑わしい発信元からの通信をブロックする。

 「当社はスパムファイアウォール製品で高レベルのIPレピュテーション技術を提供してきた実績があり、強みになっています」(澤入氏)

 同社のWAFは導入・運用が容易なブラックリスト型を採用。WAFを導入後、定義ファイルをダウンロードすることによりSQLインジェクションなどの攻撃に対応可能となる。定義ファイルは10~30分間隔で自動更新され、最新の攻撃にも対応可能だ。

 そして、IPSでは防御が困難なパスワードリスト攻撃にも、バラクーダネットワークスのWAFは対応可能だ。一定時間内の同じIPアドレスからのリクエスト数をカウントし、しきい値以上になった場合は、キャプチャ画像を表示させる。

 バラクーダネットワークスでは、アプライアンスのほか、仮想アプライアンスのWAFを用意。主要なパブリッククラウドにも対応し、Webアプリケーションを保護する。

 WAFをはじめ、Web Filter、Spam Firewall PLUSなどの同社のセキュリティ製品は、マイナンバーの運用で求められる不正アクセスの防止や情報漏洩の防止などにも役立つ。バラクーダネットワークスではこうした製品を通じ、企業のセキュリティを今後も積極的に支援していく。

■パスワードリスト攻撃の防御方法
パスワードリスト攻撃を排除しつつ、一般利用者はキャプチャ画像でパスさせる
[画像のクリックで拡大表示]
お問い合わせ