〜Webアプリケーションの脅威に!〜
高度な防御、手軽な導入、自動運用、
3拍子そろったWAFとは?
Webアプリケーションへの攻撃は、従来のファイアウォールや不正侵入防止システム(IPS)では防げません。巧妙かつ高度化する脅威を防ぐために、いま「WAF(Web Application Firewall)」というソリューションが注目されています!
インターネットによるビジネスが活発になるとともに、ネットバンクやECサイトなどの商用Webサイトへの攻撃も増加しています。実際に下のグラフや図のように、多数のWebサイトで顧客情報の流出や改ざんなどの事件が発生しており、その被害は後を絶ちません。ひとたび事件が起こると、賠償や風評被害など、企業に与えるダメージも甚大になってしまいます。このようなWebアプリケーションへの脅威を防ぐために、新しい対策が緊急の課題になっています。
ますます増大するWebサイトへの脅威
| 最近のセキュリティ事件簿 | ||
|---|---|---|
| 2007年 | 某ECサイトの顧客データから、1万数千名の個人情報が漏えい。 | S |
| 2008年 | 某ECサイトで顧客のクレジットカード情報が2万7000件ほど流出。 | S |
| 2009年 | 某オンラインゲームのサイトにおいて、メンバーのアカウントに対する不正ログインが発生。 | ク |
| 2009年 | 某ECサイトでクレジットカード情報とメールアドレスが流出。情報流出の可能性がある顧客に対し、QUOカードを送付してお詫び。 | S |
| 2009年 | 某ECサイトで約5万件のクレジットカード番号と、約15万件のメールアドレスが流出。 | S |
S:SQLインジェクション/ク:クロスサイトスクリプティング
出典:各種記事より抜粋
特に多く発生しているWebアプリケーションへの攻撃の代表例として、SQLインジェクションとクロスサイトスクリプティングが挙げられます。
-
- ■SQLインジェクション
- Webサイトの入力フォームなどに、悪意のあるSQL文(データベースのコマンド)の一部を入力し、それによってデータベースを不正に操作する攻撃、あるいはその攻撃を可能にする入力値の未チェックの脆弱性のこと。データベース内に格納されている重要なデータを不正に閲覧したり、場合によっては認証情報をハッッキングされる危険があります。
-
- ■クロスサイトスクリプティング
- 動的なWebサイトのセキュリティ上の不備を意図的に利用し、サイト間を横断(クロスサイト)して、悪意のあるスクリプトを混入させること、またはそれを許す脆弱性のこと。スクリプトの内容により、Cookieデータの盗聴や改ざんが行えるため、本人になりすまして物品を購入したり、サイトに侵入するなど、広範かつ深刻な損害を与える危険があります。
Webアプリケーションを狙う攻撃に特化したWAF
Webアプリケーションへの攻撃は、パケットレベルの監視を行うセキュリティ機器では防げません。WAFは、より上位のレイヤーで情報をとらえ、その中身を精査。不正コードをブロックすることができるため、Webアプリケーションの脆弱性を突く攻撃を防御できます。
Net'Attest WAFならば、導入即稼働が可能!
Solitonが提供するNet'Attest WAFは、アプライアンスでWAFを実現したセキュリティ製品です。アプライアンス化することで、高度な防御技術を手軽に導入することができます。
-
シグネチャーベースの防御に加え、複数の防御技術を組み合わせることで、高い検出精度を実現しました。もちろん最新の攻撃にも自動的に対応できます。
-
既存ネットワークの変更は不要。Webサーバーの手前にインラインで設置すれば、最適化された標準設定で即時に運用を開始できます。Webアプリケーションに合わせてポリシーを設定する必要もありません。
-
ウイルス対策製品のように自動的にシグネチャーが更新されるので、運用コストがほとんどかかりません。一度導入すれば、あとはお任せ。ラクラク運用が可能です!
