本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


図解でわかるIT製品入門
Webサイトへの攻撃に対抗!「WAF」即解!

「自分の担当分野しか知らない」なんてことはなかなか言えない情報システム担当者。まったく関係ない分野の製品も一応は押さえておきたい…でも、じっくり勉強する暇はない!というアナタのために、様々な分野の製品をアニメーションで簡単に解説。
 今回のテーマは「WAF」。Webアプリケーションの脆弱性対策に特化した「WAF」とは何か、簡単な動画で解説する。また、もっと詳しく知りたい場合は、製品購入ウラづけガイドの「アプリケーションファイアウォール」特集でWebアプリケーションの脆弱性を突いた代表的な攻撃や製品の基本機能をわかりやすく紹介している。そちらもぜひ参考にしていただきたい。

WAFとは何か?

WAF(Webアプリケーション・ファイアウォール)とは、Webサイトに設置されたアプリケーションサーバやデータベースへの攻撃に対抗する製品のことだ。Webアプリケーションやデータベースに仕掛ける攻撃は一見すると正当なパケットで、通常のファイアウォールやIDS/IPSではパケットの中身に危険なコードが含まれていても中身までは解析できない。しかし、WAFを導入することでこのパケットの中身までを解析し、危険なコードをブロックすることができる。例えば、Webアプリケーションと連携する入力フォームから送信されたデータに、普通は入力されるはずのない危険な文字形式があることをアプリケーションの処理に移る前に判断できれば、その攻撃を水際で防御することができるということだ。

POINT1 こんなときに便利!

  • ファイアウォールやIDSの力の及ばない「ポート80番」への攻撃が増加
     毎年増加の一途を辿るWebアプリケーションへの攻撃は代表的なもので、掲示板などに悪意のあるスクリプトを埋め込み閲覧者に被害を与えるクロスサイトスクリプティングや、HTTPリクエストのパラメータに不正なコードを含ませ、データベース内のデータを不正入手・改ざんするSQLインジェクションなどがある。これら悪意のある攻撃はWebサービスのポート80番を利用して行われる。こうした攻撃への有効な対策は、開発時点でWebアプリケーションの脆弱性をなくすことだが、セキュリティホールのない安全なアプリケーションを開発することは開発者のスキルに大きく依存する上、いくら綿密な対策を施しても攻撃手法の進化により無力化してしまう。そこで必要となってくるのがWAFである。Webアプリケーションの脆弱性をWAFが補うことで、攻撃される危険性を極めて低くすることができる。

POINT2 通信処理の種類!

  • ネガティブセキュリティ
     Webシステムへの不正リクエストなどをいわば「ブラックリスト」化し、リストに該当する入力などをブロックする手法。アンチウイルスツールや IDS/IPSで使われているパターンファイルやシグネチャとの照合による判断と同様の考え方で、既知の攻撃であればそのシグネチャをWAFに適用することで簡単に防衛することが可能だ。
  • ポジティブセキュリティ
     アプリケーションごとに本来の正当な“通信の形”を定義して、それに外れる通信を除外する方法。今まで行われたことのない形で攻撃されても、それが定義された通信の形にそぐわないものであれば排除できる。いわば「ホワイトリスト」を作ることになる。

掲載日:2009年2月 4日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2008年12月12日掲載分

検索

このページの先頭へ