機能

Webアプリケーションファイアウォール(WAF)

Webアプリケーションレベルのセキュリティ

エンドユーザーにサービスを提供するアプリケーションは多くの脅威に対して脆弱です。脅威の大半がアプリケーション開発者によって防止できるにもかかわらず、Web サイトの所有者に管理されていない場合も少なくありません。 Webアプリケーションファイアウォール(WAF)では、エンドユーザーとアプリケーションの間に制御層が提供されます。

WAFではすべてのアプリケーションアクセスがフィルタリングされ、Webアプリケーションに対するトラフィックとアプリケーションからの応答のトラフィックが検査されます。また、詳細なレベルの保護に対応していない従来のネットワークファイアウォールを補うため、アプリケーションインフラストラクチャーとアプリケーションユーザーも保護されます。

さまざまな脅威

アプリケーションは通常のネットワークファイアウォールでは検出されない多くの脅威に対して脆弱です。これらの攻撃は非常に深刻な影響を及ぼす可能性があります。Open Web Application Security Project(アプリケーションセキュリティプロジェクト:OWASP)では、多くのWebアプリケーションにとって脅威となる上位10 位のリスクのリストを作成しています1。2010 年の上位10 位は、実質的に最新の2013 年と同じです。最も一般的な攻撃は、長年の間に大きく変わっていません。
以下にその例をいくつか示します。

  • インジェクション:SQLインジェクション攻撃はWebのフォームなどのメカニズムを使用して、SQLコマンドやSQLの特殊文字を含むSQLコマンドを送信します。このようなSQLコマンドを送信することで、攻撃者はバックエンドのSQLデータベースに対して「注入」したコマンドを実行し、不正なユーザーがデータベースから機密情報を取得します。
  • クロスサイトスクリプティング(XSS):XSSは、他のサイトからのデータを検証しないWebサーバーの弱点を悪用する攻撃です。XSSによって攻撃者は機密情報を取得したり、Webサーバーのセキュリティを侵害します。
  • 機密データ漏えい:Webアプリケーションによってクレジットカード番号や社会保障番号(SSN)などの機密データが保護されないと、攻撃者はIDを盗用したり、クレジットカード詐欺などの犯罪行為を行うことができます。
  • クロスサイトリクエストフォージェリー(CSRF):CSRF攻撃では、偽造したHTTP要求をユーザーがそのセッションクッキーも含めて、脆弱なWebアプリケーションに送信させられます。その要求は、脆弱なWebアプリケーションにとっては、被害者のユーザーから送信された正当な要求と判断されます。

A10 WAFとセキュリティ

A10 Thunder シリーズとAX シリーズのWAF 機能は追加ライセンスなしで使用でき、企業を最も一般的な攻撃から保護し、アプリケーションを不正なトラフィックから防御するさまざまな機能を提供します。

WAF はA10 の他のセキュリティメカニズムと組み合わせることによって、Webアプリケーションの完全な防御とコードの脆弱性からの保護が可能になり、データ漏えいを防止できます。また、PCI-DSS(クレジットカード業界のデータセキュリティ基準)など、セキュリティに関する規制を遵守する上でも役立ちます。

A10 のWAF 機能は現在の多くの脅威を認識し、柔軟なカスタマイズによって新しい脅威にも対応するよう設計されています。また、A10 のACOS (Advanced Core Operating System)の他のセキュリティ機能とも緊密に統合されています。A10 のWAF は、他のベンダーのように第三者のWAFコードと統合するのではなく、ACOS に合わせて開発されています。このようなアプローチによって、A10 は設定が容易でありながら、高度な拡張性とパフォーマンスを備えたセキュリティソリューションを提供しています。

攻撃軽減の例

WAF モジュールでは、Webアプリケーションのデータフローを詳細に制御できます。また、さまざまな方法によって、Webアプリケーションを利用した脅威に対抗できます。

以下に2 つの使用例を示します。

  • WAFを使用したバッファオーバーフローの防御では、HTTP要求に対してしきい値の上限を設定し、その上限を超える要求をブロックします。
  • WAFでHTTP応答のヘッダーを取り除き、ハッカーがWebサーバーへの攻撃に利用するサーバー情報を「クローキング(覆い隠す)」します。たとえば、WAFでHTTP応答のヘッダーをクローキングして、サーバー上で実行しているオペレーティングシステムを隠します。HTTPヘッダーの情報を公開してしまうと、ハッカーはサーバーの標的をさらに絞って、サーバーのオペレーティングシステムを攻撃します。

A10 のWAFモジュールでは以下をはじめ、さまざまな機能が提供されます。

  • GET、POSTなど、HTTPキーワードの検証
  • SQLインジェクション攻撃(SQLIA)の検証
  • XSSの検証
  • CSRFの検証
  • ボットの検証
  • クレジットカード番号(CNN)のマスキング
  • 社会保障番号(SSN)のマスキング
  • Perl互換正規表現(PCRE)のマスキング
  • クッキーの検証
  • クッキーの暗号化
  • URIブラックリスト/ホワイトリストの検証
  • HTTPプロトコルのコンプライアンス検証
  • HTTPリファラーの検証
  • サーバーのレスポンス/エラーのステータスコードを隠すクローキング
  • 設定可能な拒否のアクション
  • パッシブ/ラーニング/アクティブの実装

製品に関するお問い合わせ

アプリケーション要求の確認

アプリケーション要求の確認

アプリケーションの応答確認

アプリケーションの応答確認

このエントリーをはてなブックマークに追加