ITpro Special
週間WEEKLY ITpro Special ITpro

脆弱性とWebアプリ、攻撃側が狙う理由は?

バラクーダネットワークスジャパン

クラウドは「Webアプリ」が狙われる
WAFで不正なアクセスを遮断

クラウド環境の利用が拡大するにつれて、狙われやすいWebアプリに対する防御策の重要度が増している。Webアプリへの攻撃はIPS(侵入防止システム)だけでは防ぎ切れないため、Webアプリ防御に特化したWAF(Web Application Firewall)の導入が重要になってくる。さらに、WAFを次世代ファイアウォールと組み合わせ、より強固なセキュリティを実現する。
鈴木 啓之 氏
バラクーダネットワークスジャパン株式会社
SEディレクター
鈴木 啓之 氏

 情報システムの脆弱性を突く攻撃を遮断する機器としては、IPSが広く知られている。しかし「クラッカーは、Webアプリへの攻撃リクエストを難読化するためIPSでは検知することが困難です」とバラクーダネットワークスジャパンの鈴木啓之氏は警告する。また、脆弱なサイトから得たIDとパスワードの組み合わせを使って、他のサイトでログインを試みるパスワードリスト攻撃のような不正ログインにも、IPSだけでは対応できないという。

 一方で情報漏洩の様々な原因の中で、Webアプリに対する攻撃がきっかけとなっているケースが最大を占めるようになっている。「24時間攻撃が可能で、間口が広い」(鈴木氏)ためだ。しかもIoTを活用したビジネスが進む中、クラウドのシステムへより多くのデータが集まる傾向にあり、クラウドのセキュリティ強化は急務である。攻撃に対して、クラウド標準のセキュリティ機能だけではなくそれぞれのレイヤーでの詳細な防御が必要となり、次世代型ファイアウォールやWAFの存在が重要になっている。

外部からの攻撃を防御し
内部からの情報流出を防ぐ

 バラクーダのWAF製品「Barracuda Web Application Firewall」は、Amazon Web Services(AWS)やMicrosoft AzureなどのIaaS上で仮想マシンとして動作し、外部からの攻撃だけでなく内部からの情報流出も防げるのが特長だ。クラッカーの攻撃のヒントとなるような内部の重要情報隠蔽を行う「Webサイトクローキング」や、定義ファイルによる攻撃防御、短時間での同一IPアドレスからの連続ログイン防止とキャプチャー画像機能を併用したパスワードリスト攻撃の防御機能などを持つ。また、特定の国や、Tor/匿名プロキシーといった送信元を隠蔽するアクセスを拒否設定することで、海外や踏み台からのアクセスを防止する機能なども標準機能として提供している。

 同社はこれに加えて、次世代ファイアウォール「Barracuda NextGen Firewall Fシリーズ(NGF)」も用意する。その代表的な機能の一つが「Advanced Threat Detection(ATD)」で、怪しいプログラムをクラウド上のサンドボックスで動作させて検証した結果を共有する。その情報を活用して防御の精度をさらに高めていく仕組みだ。

 鈴木氏はNGFをフロントエンドに、WAFをDMZ(非武装地帯)領域に置く構成を推奨する。WAFはスケールアウト可能であり、アクセス数に応じて台数を増やしていくことが可能だ。

バラクーダのNGFとWAFの構成例 NGFをフロントエンドに、WAFをDMZでクラスタリングさせクラウドのセキュリティを確保する
[画像のクリックで拡大表示]
お問い合わせ