レイヤーと役割で考えるセキュリティ ~WAFの運用ポイント・OSI参照モデルなど~
はじめに
サイバー攻撃の高度化・巧妙化が進む中で、サイバーセキュリティ対策の手法・製品も多様化しています。皆様の中には、効果的なサイバーセキュリティ対策を実施したくても、具体的にどの手法・製品を活用したらよいか分からないと悩んでいる方も多くいらっしゃるのではないでしょうか。
そこで今回は、高度化・巧妙化するサイバー攻撃をレイヤーの観点から切り分け、その中でアプリケーション層に対する攻撃の有効な対策となるWAFについてご紹介します!
OSI参照モデルとは
サイバー攻撃をレイヤーの観点から切り分けるために、今回はOSI参照モデルを利用します。
OSI参照モデルとは、通信機能ごとに7つの階層に分け、それぞれの役割を分類・明確化するために国際標準化機構により策定されたモデルです。
低階層がハードウェア寄りの通信となり、高階層がソフトウェア寄りの通信となります。各層の名称と、対応する主なサイバー攻撃は下表の通りです。
| 階層 | OSI参照モデル | 主なサイバー攻撃 |
| 第7層 | アプリケーション層 | SQLインジェクションクロスサイトスクリプティング |
| 第6層 | プレゼンテーション層 | |
| 第5層 | セッション層 | IPアドレス偽装SYNフラッド攻撃 |
| 第4層 | トランスポート層 | |
| 第3層 | ネットワーク層 | IPアドレス偽装 |
| 第2層 | データリンク層 | MACアドレス偽装 |
| 第1層 | 物理層 | データセンター等への侵入 |
第7層と第6層は、主にSQLインジェクションやクロスサイトスクリプティングといった、Webアプリケーションを狙った攻撃に対して有効なレイヤーです。アプリの仕様、およびデータ表現のあり方について定義するプロトコルが実装されています。
第5層と第4層は、IPアドレス偽装やSYNフラッド攻撃に有効なレイヤーです。通信中のセッションを保護するセッション層、通信クオリティを担保するトランスポート層が、安全と品質を守ります。
第3層のIPアドレス偽装に強いネットワーク層です。IPをはじめとするプロトコルによって、適切な通信経路の確保を実現します。
第2層のデータリンク層は、機器同士の通信を管理する役目を果たします。HDLCをはじめとするプロトコルが、MACアドレスの偽装などから守れるレイヤーです。
第1層は、物理的な接続に関するプロトコルを実装するレイヤーです。フィジカルなデータセンターなどへの侵入といった脅威から守れます。
レイヤーごとに考えるセキュリティ対策
サイバー攻撃への効果的な対策への一歩として、ネットワークのどの箇所がどのように狙われる可能性があるのかを理解することが必要です。前述したOSI参照モデルを把握し、ネットワークを階層として捉えることで、適切なセキュリティ対策を検討する事が可能となります。
本記事のテーマであるWAFは、OSI参照モデルのアプリケーション層を狙ったサイバー攻撃に有効な対策となります。
アプリケーション層のプロトコルには、HTTPやSMTP通信が含まれ、Webサイトの閲覧等にも関わります。
Webサイト脆弱性対策の重要性
Webサイトを脆弱性から守ることは、企業にとって重要な意味を持ちます。
企業のWebサイトはその企業の顔となり、顧客や取引先との重要な接点となります。そのため、万が一Webサイトの脆弱性による被害が発生した場合、企業活動に重大な影響を及ぼしかねません。
Webサイトの脆弱性を狙った攻撃により、社内情報の流出や、重大なブランド毀損に発展する恐れがあります。また、流出した情報をもとに行われるさらなるサイバー攻撃で、二次被害がもたらされることもあるでしょう。
WAFを効果的に活用することで、Webサイトに関わるセキュリティリスクを低減し、より安全で安定的なWebサイト運用を行いましょう。
WAF(Web Application Firewall)とは?
それでは、いよいよWAFについて具体的に解説していきます。
WAF(ワフ)とは、Web Application Firewallの略称であり、Webアプリケーションに特化したセキュリティシステムの一種です。
WAF を導入することで、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを保護することが可能です。
WAFの種類
WAFを提供形態の観点から分類すると以下の3つに大別できます。
保護対象のネットワーク環境や運営方針に合わせてWAFを選択することが、より効果的なセキュリティ対策に欠かせません。
| 名称 | 特徴 |
| クラウドサービス型 | WAFサービス提供者より、クラウドサービスとして提供を受ける形態です。専用機器が不要であり、企業のネットワーク構成の変更も不要です。 |
| ソフトウェア型 | 保護対象とするWebサーバ自体に、ソフトウェアとしてWAFをインストールする形態です。こちらも専用機器が不要であり、企業のネットワーク構成の変更も不要です。 |
| アプライアンス型 | 各組織のネットワーク内に、専用機器としてWAFを設置する形態です。専用機器として独立して動作するため、Webサーバに負荷をかけることがありません。 |
クラウドサービス型は、その名の通りクラウド経由で提供されるWAFの事です。専用機器を導入する事なく、気軽に実装できます。
ソフトウェア型も、専用機器を使わずに導入できるソフトタイプのWAFです。ネットワーク構成を変える負担を排除しながら、WAFの効果を実感できるでしょう。
アプライアンス型は、専用機器を導入して組織のネットワークを広範囲に保護するWAFです。専用機器が独自にサービスを提供するので、Webサーバーの負担発生を抑え、恩恵を受けられます。
WAFで検知可能な攻撃① DDos攻撃
攻撃対象とするサーバーやWebサイトに対して、意図的に過剰なデータを送付、もしくはアクセスを行い負荷をかけるDoS攻撃(Denial of Service attack)を複数のマシンを利用して一斉に行う攻撃です。
WAFで検知可能な攻撃② SQLインジェクション
攻撃対象とするWebアプリケーションの脆弱性を利用して、データベースを不正に操作する攻撃です。入力フォーム等に不正な操作を目的としたSQL文を投入する等して実行されます。
WAFで検知可能な攻撃③ クロスサイトスクリプティング
Webサイトの脆弱性を利用し、サイトの閲覧者に対して、悪意のあるコードをスクリプトとして実行させる攻撃です。
WAFの監視対象外になる攻撃
一方で、WAFだけでは全ての脅威を排除することはできない点に注意が必要です。例えばSSHを使用した不正アクセス等は、一般的なWAFは監視対象としておりません。攻撃の監視対象としているプロトコルはHTTPとHTTPSのみとなります。
そのため、高度な防御環境を構築するためには、他のセキュリティ対策も併用することが必要です。複数のセキュリティ対策による多層防御で、脅威を排除しましょう。
WAFのメリット
続いて、WAFの導入により得られるメリットついてご説明します。当然ながらWebアプリケーションの脆弱性をつく攻撃サイバー攻撃を検知、防御することができる点が一番のメリットです。WAFで排除できる脅威の多くは、近年企業を悩ませている多くのサイバー攻撃が当てはまります。WAFを採用するだけでも、攻撃のリスクを小さくすることができるでしょう。
加えて、アクセスの解析と遮断もWAFによって実施が可能です。攻撃の内容を特定したり、不審なアクセスに対しては即座に遮断を行って被害の拡大を防いだりできます。
また、Webアプリケーションの脆弱性をつくサイバー攻撃は、近年増加傾向にあります。サイバー攻撃を一度受けてしまうと、対策が甘い場合は事業の継続が困難になるほどの被害にも発展しかねません。他のサイバーセキュリティ製品と組み合わせて利用することにより、強固なセキュリティ対策を実現するべきでしょう。
WAFのデメリット
デメリットとして真っ先に挙げられるのがコストの問題です。どの提供形態を選択するかにもよりますが、WAFの種類の項目でご説明したクラウトサービス型では、保護対象としたいWebサーバの台数に比例して運用費用が増加することが多いです。また、アプライアンス型では、専用機器の購入に高額な初期費用が掛かったりする可能性があります。
また、運用開始後もWAFのアップデートや検知設定の見直しなど、一定の運用負荷がかかるため、そのための人員の確保も必要となります。
WAFの導入・運用のポイント
では、WAFを実際に導入・運用していく際にどのような点に注意すればよいのでしょうか。それぞれについてポイントを解説します。
導入時のポイント
保護対象のネットワーク環境やWebサーバの台数に応じて適切な種類のWAFを選択することがポイントです。ネットワーク構成を変更できない場合は、WAFをクラウドサービスとして提供を受けるクラウドサービス型やWebサーバ自体に、ソフトウェアとしてWAFをインストールするソフトウェア型のWAFが選択肢となります。
一方、Webサーバの台数が多い等、保護対象の規模が大きい場合や、より詳細な検知条件の設定等を行いたい場合は、専用機器としてWAFを設置するアプライアンス型が選択肢となります。
運用のポイント
WAFを効果的に活用するために、運用フェーズでのWAFのアップデートや検出パターンの更新を小まめに実施することがポイントとなります。また、保護対象とするWebサイトの性質によっては、24時間365日の監視体制が必要な場合もあります。システムの安定稼働に必要なコストではあるものの、そのための設備投資や人件費の高騰も考えられるため、すぐに拡充することは難しいかもしれません。
各組織内でこれらの体制・人員を確保することが困難な場合は、比較的運用の負担が少ないクラウドサービス型のWAFを選択するか、WAFの運用自体をアウトソーシングすることも検討が必要です。
おわりに
今回は、WAFの特徴や運用のポイントについてご紹介しました。WAFのメリット・デメリットや導入に際して何に気を付けるべきかなどを知っていただき、WAF導入検討の一助となれば幸いです。
また、今回ご紹介したWAFの運用に関して、JIG-SAWでは、各種WAF製品の導入から運用代行までをカバーし、サイバー攻撃からのWebアプリケーション保護をワンストップで実現する「マネージドWAFサービス」を提供しております。
ご要望に合わせて最適なご提案をさせて頂く事も可能ですので、 こちらのサイト をご参照の上、お気軽にご相談ください。
この記事をシェア
