近年、さまざまな行為がオンライン上で可能となり、日常生活やビジネスにおいてWebサイトの重要性は高まる一方だ。そうした背景から、相対的に価値が高まるWebサイトを狙ったサイバー攻撃は激化する様相を呈している。この記事では、Webサイトをサイバー攻撃から守るWAFについて、その仕組みや利用するメリットを解説していく。
WAFとは? その役割と仕組み
WAF(Web Application Firewall)はWebアプリケーションの脆弱性を狙うタイプの攻撃を防ぐための仕組みである。一般的に、定義されたシグネチャ*1を用いて、通信の内部までチェックすることによって不正な攻撃を検知し、通信を遮断する。ファイアウォールと混同されがちだが、ファイアウォールとの違いはWebアプリケーションに特化し、検知可能な範囲が広いことだ。WAFで防御可能な攻撃として代表的なものを以下に挙げていく。
*1 過去に発生した不正な通信や攻撃手法などをもとに定義したルールのこと
- SQLインジェクション
Webの脆弱性に付け込み、想定外のSQLを実行させることで不正にデータベースへアクセスする攻撃。 - クロスサイトスクリプティング(XSS)
脆弱性を悪用し、悪意のあるスクリプトをWebサイトに仕込み実行させることで個人情報などを窃取。 - ディレクトリトラバーサル
本来アクセスされるべきではない非公開ファイルへアクセスし、不正に情報を取得する攻撃。 - OSコマンドインジェクション
Webアプリケーションのパラメーター情報に不正なOSコマンドを注入(インジェクション)する攻撃。 - 改行コードインジェクション(HTTPヘッダインジェクション)
改行コードの処理の脆弱性などを突き、HTTPヘッダやレスポンスに不正な文字列を注入する攻撃。 - ブルートフォース攻撃
総当たり攻撃とも呼ばれ、パスワードの組み合わせを機械的に何度も試行し、認証を突破する攻撃。
WAFが必要とされる背景
Webサイトの重要度が高まったことで、トラブルが生じた際の損失も相対的に大きくなっており、WAFの必要性も高まっている。その背景を詳しく解説していく。
1)スマートフォンの普及に伴い、インフラ化するWebサイトの存在
スマートフォン(以下、スマホ)の普及に伴ってインターネットの利用はもはや日常的だ。商品の購入やSNSでの交流など、あらゆることがWebサイト上で行えるようになった。銀行口座の入出金や保険の申し込みもWebサイトで簡単に行えるなど、日常生活に欠かせない存在となっている。
2)企業の業務にWebサイトが欠かせないものに
多様なクラウドサービスやVPNをはじめ、リモートワークで業務を遂行する上でWebは欠かせない存在だ。資料作成やメッセージのやり取り、ビデオ会議など業務上でWebを使わない日はないと言ってよいほどだろう。企業の情報発信や相互取引においてもWebサイトは必要不可欠となっている。一方で、WordPressなどのCMS利用をはじめ、関連システムの多様化・複雑化により、Webサイト運営におけるセキュリティリスクは高まっている。
3)Webサイトの脆弱性を狙った攻撃が大きく増加
ユーザーや企業にとって、Webサイトの重要性が増すのに伴い、Webサイトの脆弱性を狙ったサイバー攻撃も増加している。JPCERT(一般社団法人JPCERTコーディネーションセンター)が2021年10月に発表しているインシデント報告対応レポートでは、2021年7月~9月のWebサイト改ざんの報告件数は579件と、前四半期の251件から倍増している。
このような背景などもあり、Web改ざんや不正アクセスを防止するため、WAFへの関心が高まっている。
Web改ざんなどによる被害事例
では、Web改ざんが行われるとどのような被害を受けるのか。2021年に発生した実際の事例を以下に紹介していく。
1)大手出版社のWebサイトが改ざん
2021年4月、大手出版社のWebサイトが不正アクセスを受け、改ざんされた。ユーザーが同社のWebサイトにアクセスすると、悪意ある外部サイトへ誘導される状態となっていた。同社の報告では個人情報の流出は確認されていないという。
2)Webマーケティング会社のWebサイトが改ざん
2021年5月、Webマーケティング事業を展開する会社のWebサイトが改ざんされた。同社のWebサイトで使用されていたWordPressにおいて、適切なアップデートが実施されていなかったことで生じた脆弱性が原因とされる。改ざんされたWebサイトには、外部Webサイトへ誘導するためのソースコードが埋め込まれていた状態だった。
3)和食器のECサイトで情報漏えい
2021年6月、和食器専門のECサイトへの不正アクセスが発生。決済用アプリケーションが改ざんされ、クレジットカード情報が漏えいした可能性があるという。同社システムの脆弱性を突いた不正アクセスが要因だったとされている。
これら3つの事例からもわかるとおり、Webの脆弱性を突いて改ざんなどが行われることで、自社のWebサイトを訪問したユーザーを危険に晒すことになる。個人情報漏えいやなりすまし詐欺に発展した場合は、損害賠償責任を負う可能性もある。また、システム改修などのコスト負担や一時的なシステムの停止による売上への影響など、事業活動に与える影響は甚大である。
WAFを導入するメリット
先述のとおり、Webアプリケーションの脆弱性を放置すると不正アクセスや改ざんなどのリスクが増す。結果的にそれらが事業活動へ悪影響を及ぼすこととなる。WAFの導入でそれらのリスクを低減できる。
1)Webアプリケーションの改ざんリスクを抑制できる
どのようなWebアプリケーションであっても、脆弱性はつきものだ。WAFの導入でWebアプリケーションの脆弱性を突いた攻撃を検知できるため、改ざんリスクを抑制できる。
2)脆弱性を改修するための猶予を設けられる
アプリケーションやサーバーなどで脆弱性が発覚した際に、コストや影響範囲などの理由ですぐには改修できない場合もある。その際にWAFが導入されていれば、パッチ適用やシステム改修などの時間稼ぎができる。
3)問題が発生した場合の事後対応
WAFに記録されたログなどをもとに、万が一不正アクセスを受けた場合の原因究明や一時対応、システムの改修などの対策を効率よく、適切に進めることができる。
WAFを選ぶ際のポイント
WAFには大きく、オーダーメイド型とクラウド型の2種類がある。それぞれのメリットとデメリットを紹介するので参考にしてほしい。
1)オーダーメイド型WAFのメリットとデメリット
オーダーメイド型とは導入する企業に合わせてシグネチャの再定義などを行うタイプのWAFである。オーダーメイド型は自社用に機能をカスタマイズでき、安全面を高められる反面、導入や運用コストが相対的に高くなりがちだ。ただし、事業所が複数存在する場合など、対象となるWebサーバーが多いケースではコストパフォーマンスが向上することもある。
2)クラウド型WAFのメリットとデメリット
クラウド型のWAFはSaaSで提供される。オーダーメイド型よりも導入コストや運用負荷を抑えられるものの、原則として機能のカスタマイズはできない。また、導入している間は継続的に費用が発生するため、中長期で見た際にオーダーメイド型よりも割高と評価される場合もある。
WAF導入だけでなく総合的なセキュリティ対策が必要
Webサイトは日常生活や企業活動において必要不可欠となっている。しかしながら利便性を追求しすぎるあまり、セキュリティがおろそかになってしまっては本末転倒である。Webサイトが不正アクセスなどを受け、個人情報や決済情報の漏えいが発生した際の事業への影響は計り知れない。
WAFはそのための対策の1つになり得る。また、企業では従業員のセキュリティ意識や、端末の管理といった基本的な対策も重要である。下記のような対策も併せて検討してほしい。
UTM
UTM(Unified Threat Management)は総合脅威管理と呼ばれる。ファイアウォールやアンチウイルス、IPS/IDSなど複数のセキュリティ機能を搭載した製品・サービスだ。DoS攻撃やポートスキャンなどの攻撃を検知・遮断できる。
脆弱性診断、ペネトレーションテスト
脆弱性診断はWebアプリケーションが抱える脆弱性を網羅的にチェックするためのサービスである。また、ペネトレーションテストは外部から社内システムへの侵入が可能かどうかをホワイトハッカーがテストするものだ。いずれもWebアプリケーションやシステムが抱える脆弱性を検出できる。
端末へのセキュリティソフトの導入
Webサイトの管理者や関係者の端末がマルウェアに感染し、不正アクセスにつながる場合もある。各端末へのセキュリティソフトの導入はもはや必須と言えるだろう。
従業員への研修や啓蒙
従業員のずさんなパスワード管理、設定などを狙って不正アクセスやWeb改ざんなどを企む攻撃者も存在する。一人ひとりが情報漏えいのリスクを把握し、適切に対策を講じておきたい。
高度化・巧妙化するサイバー攻撃に対抗していくためには、複合的な対策が求められる。デジタル時代に事業を展開していくにあたって、もはやセキュリティ対策は企業の生命線の1つと言える存在となりつつあるのではないだろうか。