WAFをきちんと理解・活用できていますか? - 大切なWEBサイトをインターネットの脅威から守る!
今や、企業の看板ともいえるWebサイトを介したセキュリティ事故が多発している。特に、問題となっているのがWebアプリケーションの脆弱性を標的とするサイバー攻撃だ。攻撃により、Webサイトの改ざん、サービス運用停止などの被害を受けるだけでなく、Webサーバーが攻撃者の踏み台にされれば、結果的に加害者となるケースすら起こり得る。こうした問題に焦点を当てるべく、レンタルサーバー「Zenlogicホスティング」で知られるファーストサーバは、3月19日に、Webサイトを取り巻く脅威と、その対策を解説するセミナーを大阪で開催した。
セミナーでは、多くのレンタルサーバーに搭載されているWAF(Web Application Firewall)「SiteGuardシリーズ」の開発元であるジェイピー・セキュアの齊藤氏も参加し、WAFの概要・必要性とレンタルサーバーにおけるセキュリティについて解説した。
プログラムのトップに登場したジェイピー・セキュアの取締役 CTOの齊藤和男氏は、初めにWebサイトを介したセキュリティ事故が多発している現状を説明し、「管理者は、直接的な損害だけでなく、企業としての信用失墜など間接的な被害の影響も考慮して対策を講じなければならないと警鐘を鳴らした。
最近、問題となったWebサイトを標的としたサイバー攻撃の動向を見ると、不正なSQL文を含めたリクエストを送信する「SQLインジェクション」、リスト型攻撃による「不正ログイン」、bashの脆弱性(通称: ShellShock)などがある。特に、SQLインジェクションは、「Webサイト経由の情報流出における割合が高く、不正ログイン、情報漏洩、データベースの改ざん、サーバーの乗っ取りといった被害を受ける。
踏み台として悪用されると、加害者にすらなりかねない」と齊藤氏はその深刻さを指摘する。実際、SQLインジェクションが原因で、オンラインショップから個人情報が流出した事故では、ショップ側が開発会社を相手取って損害賠償を請求。裁判では開発会社に責任を問う判決がでた。
「SQLインジェクション」や「XSS(クロスサイト・スクリプティング)」など、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するためのソリューションが「WAF」(Web Application Firewall)だ。ジェイピー・セキュアが提供する純国産ソフトWAFの「SiteGuard」シリーズは、高い防御性能と柔軟な運用性の両立が高く評価されている。複数Webを1台のWAFで保護する「ゲートウエイ型」と特定サーバーを保護する「ホスト型」をラインアップする。
防御機能では、世界初のトラステッド・シグネチャ(高品質・高性能なチューニング済み定義ファイル)を標準搭載し、多重防御機能と併用することで、高水準の攻撃防御を実現。その機能は、第三者による防御性能検証でも最高評価を受けている。
また、導入後すぐに使用できるようシンプル設定と直感的なWebベースの管理インタフェースを備える。
○WordPressのセキュリティ対策
次いで齊藤氏は、世界で圧倒的な人気を誇るブログ作成ツール「WordPress」のセキュリティ対策について触れた。WordPressはオープンソースのCMS(Content Management System)で、ホスティング環境で数多く利用されている。「それだけに、WordPressで作成されたウェブサイトはサイバー攻撃の標的になりやすい」わけだ。
WordPressのセキュリティ対策には、最新バージョンの利用、管理画面にアクセスできるIPアドレスの制限、ログインの保護・強化、SQLインジェクションやXSSを防御できる機能の併用が効果的だ。
ジェイピー・セキュアでは、WordPressにインストールするだけで、すぐに利用できる日本語セキュリティプラグイン「SiteGuard WP Plugin」を無償提供している。
「Webサーバーには、WordPress本体やプラグインのSQLインジェクション、XSSなどの脆弱性が数多く存在している。これらの脆弱性を悪用した攻撃には、WAFによるWordPressの保護が不可欠」とし、クラウド型ホスティング「Zenlogicホスティング」と「SiteGuard Lite」+「SiteGuard WP Plugin」でより確実なWebサイトの保護が実現できると強調して、講演を締めくくった。
●プログラム2 - レンタルサーバとセキュリティ
続くプログラムでは、ファーストサーバ営業部 部長の小島健司氏は「レンタルサーバとセキュリティ」と題して講演した。
初めに小島氏は、レンタルサーバーには専用、共用、クラウド、VPSなど、さまざまな種類があるが、「利用を検討する際には、価格や容量だけでなく、自由度と安全性を考慮して適切に選択しなければならない。特に、どこまでセキュリティ対策をおこなってくれるサービスであるかの見極めが重要」と強調した。
そして、一般的な共有サーバーとファーストサーバの「Zenlogicホスティング」の違いについて触れ、「もし、サイバー攻撃を受けた場合、一般的な共有サーバーでは、屋根裏伝いに次々に改ざんされる可能性もあるが、Zenlogicホスティングは個々のお客様領域に影響を与えることがない」とメリットを語った。
IPAの統計によると、Webサイトの改ざん件数は2012年との比較で現在は倍に増加している。これは届出ベースなので、実際はもっと多いという。こうした改ざんの手口はほとんどがスパムを送って踏み台とするもの。その目的は、愉快犯ではなく、金銭などのビジネスを目的としている。
それだけに巧妙化・悪質化していると小島氏は指摘する。
最近の主なターゲットはWordPressだ。世界トップ1,000万サイトのうち約4割はCMSを利用しており、そのCMSを利用するサイトでのWordPressシェアは6割強を占める。
○安心・安全、高可用性を備えた「Zenlogicホスティング」
では、被害に遭わないため、どう対応すべきなのか。その対策として、古いバージョンは使わない、テーマやプラグインは公式もしくは信頼できるところのものを使う、カスタマイズ情報は信頼できる人の情報を参照することを挙げる。
もし、改ざんされてしまった時には、どこに何を仕掛けられているかわからないため、改ざんされた領域だけでなく、全領域のチェックが必要とした。こうしたチェックを怠り、2度目の改ざん被害を受けたケースもかなり多い。
加えて、ユーザーが気を付けなければならない点として、利用しているパソコン環境への注意を挙げた。
ウイルス対策ソフトも完ぺきではなく、54%は検知できなかったというテスト結果を挙げウイルスソフトへの過信にも警鐘を鳴らす。「最近の攻撃は巧妙化していて、人事担当者に「履歴書」名のウイルスを添付したメールを送る例や、一般企業の公式ホームページが改ざんされ仕込まれたウイルスにより不正なサイトへ誘導も誘導されるケースもある。巧妙に仕掛けてくる広告バナーにも注意が必要だ」と注意点を語った。
最後に、小島氏は「Zenlogicホスティング」の特徴について説明した。「Zenlogicホスティングは、高いセキュリティ、大容量・高速ネットワーク、高可用性を誇るYahoo! JAPANのIaaS型クラウド基盤を採用し、WAF「SiteGuard」と「SiteGuard WP Plugin」を標準提供している。また、サービス稼働後のスケールアップ/ダウンが移行作業不要でおこなるため、業務のピークやシステムの利用状況に合わせて柔軟にサービスの見直しができる」とアピールした。
●プログラム3 - ユーザーの問い合わせをベースにWAF対策を考察
プログラムの最後は、WAF対策についてのユーザーからの質問をベースとしたケーススタディを実施。小島氏が聞き手となり、齊藤氏が疑問点に応えた。
「CMSを入れているが大幅改修できないため、バージョンアップしていない。WordPressのPluginをアップグレードできない」という場合でも、WAFは有効かという問いには、攻撃のパターンは多種多様であり、基本となる最新版の利用が重要であるとしたが、CMS本体やWordPressのプラグイン、テーマでは、XSSやSQLインジェクション、パストラバーサルといった脆弱性が報告されることも多い。これらの脆弱性を悪用した攻撃に対して、WAFは大きな効果を発揮するとした。ただし、次の「PCがウイルス感染し、ログイン情報が漏えいした結果、改ざんされた場合にも有効か」という問いには、「このケースをWAFで防ぐことはできない。クライアント側での対策のほか、管理アクセスを制限するなど、別の対策が必要になる。」と応えた。
「WAFを有効にしていても改ざんされるケースはあるか」との問いには、WAFですべての攻撃を防げるわけではない。WAFが対応するのはHTTPアクセスであり、FTP、SSHといったそれ以外の不正アクセスを検査することはできない。「そのためにもトータルのアクセス管理は大切。
脆弱性を悪用した攻撃を防ぐための対策、クライアント側での対策などと組み合わせることで、安全性を高めることができる。」と語った。
このほか、「WAFの有効化による誤検知などの弊害を避けるため、WAFを無効にした方が良いという情報を目にすることがある」という問いには、「管理者の設定、例えば、サイトのテーマ編集などによって、誤検知が発生することがある。このとき、単純にWAFを無効にしてしまうと脆弱性を悪用した攻撃に対して弱くなってしまう。誤検知を回避するための設定、機能が用意されているので有効に活用してほしい。」と語り、セミナーを終えた。
提供:
