WAFによるWebアプリケーションの保護

企業間のやりとりやホームページを活用した問合せや商品販売など、多くの企業がWebアプリケーションを利用していますが、インターネット上でアプリケーションを実行するということは、サイバー攻撃などのリスクが高まります。

こうした状況の中、Webアプリケーションの脆弱性を悪用した攻撃からWebアプリケーションを保護するセキュリティ対策の一つに、「WAF（ワフ：Web Application Firewall）」があります。
WAFは、ネットワークレベルのセキュリティ対策である「ファイアウォール」や、OSやミドルウェアなどプラットフォームレベルでの「IPS（侵入防止検知システム）」、「IDS（不正侵入検知システム）」などとは異なり、通信の中身までチェッ クするためにアプリケーションレベルにおいて、シグネチャに対してパターンマッチングをすることで攻撃を検知、あるいは防御を行います。

Webアプリケーションの脆弱性を突いた攻撃の例としては、「SQLインジェクション」や、「クロスサイトスクリプティング」などがあります。
SQLインジェクションは、Webアプリケーションに対して、作成者が想定していないデータベースを操作する命令のSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のことで、情報漏洩やデータの悪用につながり、過去には多くの企業でクレジットカード情報を含む個人情報の漏洩や、Webサイトの不正改ざんの被害に会っています。
クロスサイトスクリプティングは、脆弱性のある標的サイトにおいて、攻撃者が作成した悪意のあるスクリプトをそのサイトの閲覧者のブラウザで実行させる攻撃方法で、cookieなどが盗まれるような被害が多く、過去にはYouTubeのコメント欄の脆弱性を悪用してコメント表示できなくなったり、悪趣味な別サイトにリダイレクトされるなどの被害の例などがありました。また、悪意のあるスクリプトにより、パスワードやクレジットカード番号を入力するフォームをWebページに追加し情報を盗むフィッシング詐欺や、ユーザ端末を乗っ取るような被害もありました。

こうしたWebアプリケーションへの攻撃に対処するためにWAFは有効な手段なのですが、設定や日々のシグネチャの適用など、運用担当者の煩雑な作業を軽減するために、クラウド型のWAFのサービスの人気が高まっています。

---

[タグ]　サイバー 監視 用語

[関連]