導入・選定ガイド

<WAF最新動向>急増するWebアプリケーション攻撃からサイトを守れ

文◎村上麻里子(編集部) 2018.06.15

  • bookmark
  • Teitter
  • 印刷

企業にとってWebサイトは欠かせない存在。しかし、その脆弱性を狙った攻撃による被害が相次いでいる。Webサイトをサイバー攻撃から守るうえで必須の対策といえるWAFの最新動向を解説する。

 
企業のWebサイトを狙ったサイバー攻撃が後を絶たない。

ネットショップやインターネットバンキング、予約サイトなど企業が運営するWebサイトには、氏名や住所、電話番号、場合によってはクレジットカード番号などの個人情報を登録するものが多い。そのデータベースは重要情報の“宝庫”だ。

一方、こうしたWebアプリケーションには、SQLインジェクションをはじめ、様々な脆弱性が存在してきた。昨年から今年にかけては、オープンソースのCMS(コンテンツ・マネジメント・システム)「WordPress」やWebアプリケーションフレームワークの「Apache Struts2」などでも深刻な脆弱性が相次いで発見された。攻撃者にとって、脆弱性が放置されたままの企業Webサイトは格好の標的となっている。
図表1 Webサイトへの攻撃種別の分類(全体)
図表1 Webサイトへの攻撃種別の分類(全体)

Webサイトセキュリティ専門企業のジェイピー・セキュアが、Webサイトにおける攻撃・検出の状況を調べたところ、2017年10月1日から12月31日までの3カ月間の検出総数は4688万3944件、1日あたりの検出数は平均50万件を超えた。攻撃種別では、SQLインジェクションが39%、OSコマンドインジェクションが21%、バッファオーバーフローが14%などとなっている(図表1)。

これだけ攻撃が頻発しているにもかかわらず、Webアプリケーションの脆弱性に対する認識は低く、対策を講じていない企業が少なくない。

ネットワークやサーバー等を外部の攻撃から守る方法として、ファイアウォール(FW)、IDS/IPS(不正侵入検知・防御システム)、WAF(Web Application Firewall)がある。

FWは一般にインターネットの出入口に設置され、あらかじめ定義した規則(ルール)に基づいて不正な通信を遮断する。

IDS/IPSはネットワーク上やサーバー上の不審な動きを監視し、FWだけではブロックできない攻撃を検出・防御する。

WAFはFWの一種であり、Webアプリケーションの脆弱性を悪用した攻撃を防ぐ。具体的には、通信データの内容を機械的に解析することができ、FWやIDS/IPSでは守り切れない、ユーザからのリクエストに応えて動的なページを生成するタイプのWebサイトへの攻撃を防ぐ。Webサイトへの攻撃が増えるなか、WAFの必要性・重要性が高まっている。

それでは、WAFにはどのような製品があるのか。ここから、3つのポイントに分けて紹介する。
続きのページは「business network.jp」の会員の方のみに閲覧していただけます。ぜひ無料登録してご覧ください。また、すでに会員登録されている方はログインしてください。

スペシャルトピックスPR

comarch1806
bmtech1806
iijglobal1806

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】映像IoTが、来た!
●多様な業界に広がる映像IoT/●カメラとAIでスマート農業/●防犯カメラも新たな次元へ/●AI予測で混まないレジ/●映像IoTを支えるネットワーク構築のポイント

◆[インタビュー] NTT東日本 井上福造社長 ◆クラウド時代の企業音声システム ◆日本企業目線で“ヤマハ流”SD-WAN ◆富士通が産業向け新無線LAN ◆農業×IoTで「地方」を変える ◆MWC上海レポート

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

潜伏する脅威をAIが検知!
産業用制御システムやIoTも守備範囲

日商エレクトロニクスのセキュリティ対策が“新ステージ”に突入する!

リボン・コミュニケーションズTeamsの電話機能にいち早く対応
UCを狙ったサイバー攻撃対策も

Microsoft TeamsとPSTNをつなぐリボン・コミュニケーションズ

UNIVERGE Aspire WX電話やUC機能を全方位にカバー
中小企業の多様な働き方を強力支援

NECが5年ぶりの中小向けキーテレフォン「UNIVERGE Aspire WX」

F5ネットワークスセキュリティやGi-LAN仮想化など
モバイルインフラの強化に貢献

5G移行を控えた今、F5ネットワークスはどんな価値を提供できるのか?

moconavi今いる場所がオフィスになる!
moconaviで安全なモバイルワーク

場所を問わない新しい働き方の実現には、ICT環境の整備も不可欠だ。

サンテレホンサンテレホンがICT総合展示会
ビジネス伸ばす製品群が一堂に

東京ドームシティ・プリズムホールで7月18・19日開催!

インテル5Gをエンドツーエンドでカバー
新たな価値創出を目指すインテル

インテルは強みの仮想化技術で5G時代のネットワーク構築に貢献する。

コマーチキャリア向けOSS/BSSに強み
自動化やe-ヘルスで社会課題解決

自動化やe-ヘルスで多くの実績を持つコマーチが日本市場に参入した。

ブロードメディア・テクノロジーズ小森コーポレーションが
Aryakaで日中間通信を安定化!

日系企業の中国ビジネスに立ちはだかるのが通信環境の問題だ。

IIJグローバルソリューションズ日中間ネットワークの安定運用へ
VPN規制を乗り切る解決策提供

安定的な越境通信を実現するには何が必要か?

NTTコミュニケーションズIoTビジネスの種まきから結実まで
NTT Comの「次の一手」とは

自社発行型eSIMでの新サービス提供に期待!

SAS Institute Japanデータ分析の老舗、SASが提案するIoT時代のデータ活用

IoTのはじめの一歩を踏み出す前に考えるべきポイントは?

アクセスランキング

tc1807_b
ngn
compass

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2018 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます