ゼロからわかる「WAF」(Web Application Firewall)導入ガイド[前編]なぜWebサイトにセキュリティ対策が必要なのか?

企業活動に今や欠かすことのできないWebサイト。だが昨年猛威を奮ったGumblerが明らかにしたのは、セキュリティ対策を怠れば、大きなリスクともなり得るということだ。Webサイトのセキュリティを確保するWAF(Webアプリケーションファイアウォール)の仕組みと製品選びのポイントについて、全2回でレポートする。

WAF(Web Application Firewall:ワフ)とは、Webアプリケーションの脆弱性を悪用した攻撃からWebアプリケーションを保護するためのセキュリティツールのことだ。WAFの説明に入る前に、まず最近のWebアプリケーション攻撃の現状から紹介しよう。

Webアプリケーションへの攻撃の現状

図表1は、IPA(独立行政法人情報処理推進機構)とJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が発表した、2010年第1四半期(1月~3月)の脆弱性関連情報の届出状況だ。これを見ると、Webサイトに関する届出は、届出受付開始(2004年7月8日)から累計で5098件と全体の83%を占めており、2009年第3四半期以降は1四半期当たり130件前後の届出があることがわかる。

図表1 脆弱性関連情報の届出件数の四半期別推移
図表1 脆弱性関連情報の届出件数の四半期別推移
出典:IPA(http://www.ipa.go.jp/security/vuln/report/vuln2010q1.html

また、これらの脆弱性の種類の内訳は、クロスサイト・スクリプティングが70 件(53%)、SQLインジェクションが21件(16%)、HTTPS の不適切な利用が14件(11%)、セッション管理の不備が6件(5%)となっている(図表2)。

図表2 Webサイトの脆弱性の種類(2010年1Q)
Webサイトの脆弱性の種類
Webサイトの運営主体(2010年1Q) Webサイトの脆弱性の種類(2010年1Q)

出典:IPA

さらに、攻撃の現状を把握する実例として、IPAが無償で公開しているSQLインジェクション検出ツール「iLogScanner」で、IPAが公開している「脆弱性対策情報データベースJVN iPedia」の2009年1月から2010年3月末までのアクセスログを解析した様子を図表3に示す。この図から依然として攻撃が継続していることがわかる。2009年から2010年3月末までの期間で攻撃があったと思われる件数6692件のうち、SQLインジェクション攻撃が3068件(46%)、Webサーバーのパスワードファイルや環境設定ファイルの情報を狙ったディレクトリ・トラバーサル攻撃が2493件(37%)を占めている。

図表3 SQLインジェクション検出ツール「iLogScanner」の解析事例
SQLインジェクション検出ツール「iLogScanner」の解析事例
出典:IPA

続きのページは、会員の方のみ閲覧していただけます。

RELATED ARTICLE関連記事

SPECIAL TOPICスペシャルトピック

スペシャルトピック一覧

NEW ARTICLES新着記事

記事一覧

FEATURE特集

WHITE PAPERホワイトペーパー

ホワイトペーパー一覧
×
無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。