企業のWebサイトを狙ったサイバー攻撃が後を絶たない。
ネットショップやインターネットバンキング、予約サイトなど企業が運営するWebサイトには、氏名や住所、電話番号、場合によってはクレジットカード番号などの個人情報を登録するものが多い。そのデータベースは重要情報の“宝庫”だ。
一方、こうしたWebアプリケーションには、SQLインジェクションをはじめ、様々な脆弱性が存在してきた。昨年から今年にかけては、オープンソースのCMS(コンテンツ・マネジメント・システム)「WordPress」やWebアプリケーションフレームワークの「Apache Struts2」などでも深刻な脆弱性が相次いで発見された。攻撃者にとって、脆弱性が放置されたままの企業Webサイトは格好の標的となっている。
Webサイトセキュリティ専門企業のジェイピー・セキュアが、Webサイトにおける攻撃・検出の状況を調べたところ、2017年10月1日から12月31日までの3カ月間の検出総数は4688万3944件、1日あたりの検出数は平均50万件を超えた。攻撃種別では、SQLインジェクションが39%、OSコマンドインジェクションが21%、バッファオーバーフローが14%などとなっている(図表1)。
これだけ攻撃が頻発しているにもかかわらず、Webアプリケーションの脆弱性に対する認識は低く、対策を講じていない企業が少なくない。
ネットワークやサーバー等を外部の攻撃から守る方法として、ファイアウォール(FW)、IDS/IPS(不正侵入検知・防御システム)、WAF(Web Application Firewall)がある。
FWは一般にインターネットの出入口に設置され、あらかじめ定義した規則(ルール)に基づいて不正な通信を遮断する。
IDS/IPSはネットワーク上やサーバー上の不審な動きを監視し、FWだけではブロックできない攻撃を検出・防御する。
WAFはFWの一種であり、Webアプリケーションの脆弱性を悪用した攻撃を防ぐ。具体的には、通信データの内容を機械的に解析することができ、FWやIDS/IPSでは守り切れない、ユーザからのリクエストに応えて動的なページを生成するタイプのWebサイトへの攻撃を防ぐ。Webサイトへの攻撃が増えるなか、WAFの必要性・重要性が高まっている。
それでは、WAFにはどのような製品があるのか。ここから、3つのポイントに分けて紹介する。