(C)Macnica Networks Corp.
issue date: June 1,2008


特集

必読!WAFで対策!!
今求められる『アプリケーションセキュリティ』3つの要件



はじめに
 2005年に施行された個人情報保護法により情報資産の価値が見直され、今日においては情報そのものの価値が重要視されています。各企業でも、情報の取り扱いの対応に日々追われているのが現状ではないかと思います。企業が取り組んでいるISMSやプライバシーマークのような情報セキュリティ対策や個人情報保護対策についても一度は耳にしたことがある人も多いのではないでしょうか。

 一方で、Webシステムにおいてもクレジットカード情報および取引情報の安全な管理を目的に、国際カードブランドによりクレジットカード業界におけるセキュリティ基準「PCIDSS(Payment Card Industry Data Security Standard)」が策定されました。このPCIDSSに挙げられるように、今、Webシステム上でもセキュリティ対策が強く求められるようになってきています。ビジネスがWebを介して行われる今日では、Webシステムの脆弱性に対して、アプリケーションレベルへの攻撃が発生した際の被害が企業や社会に与える影響は深刻なものであり、そのリスクは見過ごして放置できないものとなっています。
アプリケーションセキュリティの最近の動向と
求められる要件
 毎年、Webアプリケーションの種類の増加に伴い、アプリケーションレベルへの攻撃も増えつつあります。一概にアプリケーションセキュリティといっても、その対策も多数存在しますが、今回は最近のアプリケーションレベルへの攻撃の傾向とその対策のなかで3つの要件に着目し、今求められるアプリケーションセキュリティソリューションをご紹介していきます。
アプリケーションレベルの攻撃の増加
1.SQLインジェクション
   SQLインジェクションはクロスサイト・スクリプティングと並んでアプリケーションレベルの攻撃で最も多い攻撃手法です。 SQLインジェクション自体は古くからある攻撃手法ですが、現在も未だにSQLインジェクションによるコンテンツ改ざんや、情報が漏えいの事件が後を絶ちません。2008年にも、あるサイトでSQLインジェクションにより大量の個人情報が漏えいし、顧客の信頼やビジネス機会を損失するといった被害報道があったばかりです。

 SQLインジェクションを代表としたアプリケーションレベルの攻撃の脅威は、SYN Attackなどの低レイヤーでの攻撃と全く異なります。例えばSYN Attackなどの攻撃はWebサーバに負荷をかけて、最終的にシステムダウンを招きますが、SYN Attackを多少ブロックできなくても、システムがすぐさまダウンし、ビジネスに影響を与えることはまずありません。SQLインジェクションはどうでしょうか?たったひとつのSQLインジェクションをブロックできなかっただけで、システム全体をのっとられ、機密情報を盗まれることがあります。SQLインジェクションの被害が与えるビジネスインパクトは非常に深刻なものと考えなければなりません。
 海外ではSQLインジェクションを子供でも簡単に扱えてしまうようなツールがネット上で配布されおり、悪意のある攻撃者に加え、興味本位でツールを使用するユーザによるWebサイトへの攻撃の危険性も増大しています。Webシステムは国境を越えて、海外から日本のWebサイトに攻撃が仕掛けられることも考えられ、SQLインジェクションについてはこれからも目が離せず、十分警戒して、セキュリティ対策を行っていく必要があるでしょう。

SQLインジェクション

2.堅牢なセキュリティモデル
   アプリケーションレベルの攻撃は、ファイアーウォールやIDS/IPSがブロックできないポート80番や443番を通過して、アプリケーションに攻撃を加えるものです。IDS/IPSでもシグネチャにより特定のアプリケーションへの攻撃をブロックするものもありますが、多種多様なアプリケーションレベルの攻撃を網羅することは難しいといわれています。特定のパターンの攻撃はブロックできても、日々進化する攻撃手法に対して対応していくことには限界があるからです。

 そこで、より高度なセキュリティモデルとして、Citrix Application Firewallのポジティブセキュリティモデルが今、注目されています。このポジティブセキュリティモデルは、特定のパターンの通信をブロックさせるのではなく、「正常な通信のみを通過させる」という方法を採用することで、アプリケーションに対する不正アクセス、及び未知の不正アクセスに対応します。ポジティブセキュリティモデルのイメージが沸かない方は、レイヤー4通信のファイアーウォールを想像してみると分かりやすいかもしれません。レイヤー4通信のファイアーウォールで80番や443番ポートのみ許可し、それ以外の通信を全てブロックする方法のセキュリティが高いのか、特定のポートのみ通信をブロックして、それ以外の通信は許可する方法のどちらのセキュリティが高いと言えるでしょうか。この場合、前者の方式の方が高いセキュリティを保つことができます。したがって、Citrix Application Firewallのポジティブセキュリティモデルが堅牢なセキュリティモデルであることもご理解頂けるのではないでしょうか。

堅牢なセキュリティモデル

3.PCIDSS
   電子商取引の拡大、各種社会インフラ(電気、水道、ガス、各種交通機関)等、クレジットカードを利用できる店舗、機会の拡大により、クレジットカードの取扱は増加傾向にあります。それに伴い、クレジットカード情報の偽造や不正利用等のリスクも高くなっており、クレジットカード情報や顧客情報等の管理面が重要視されています。 そこでクレジットカード情報および取引情報の安全な管理を目的に、国際カードブランドによりクレジットカード業界におけるセキュリティ基準「PCIDSS(Payment Card Industry Data Security Standard)」が策定されました。
 PCIDSSではクレジットカード情報を扱う全ての加盟店・決済代行事業者を対象としており、該当する全ての企業に対し準拠することを求めています。 オンラインショッピングサイトなどのWeb上で決済するようなサイトはこれまで以上のセキュリティ対策が求められることになるでしょう。このPCIDSSには、カード情報および取引情報を保護するために安全なネットワークの構築・維持や脆弱点を管理するプログラムの維持等の12要件が規定されています。この規定の中には、具体的にWeb Application Firewallの導入を推奨する項目があり、アプリケーションレベルの攻撃に対しては、アプリケーション用のファイアーウォールが有効であると考えられています。

PCIDSS
Citrix Application Firewallの特徴
 「SQLインジェクション」、「堅牢なセキュリティモデル」、「PCIDSS」Citrix Application Firewallはこれまでご紹介してきた3つの要件に代表される、今日のWebアプリケーションが抱える課題を解決します。

  アプリケーションレベルの攻撃への対策の1つに、脆弱性の全くないWebアプリケーションの開発が挙げられます。しかし、セキュリティホールのない、安全なアプリケーション開発は、高い人的スキルが求められますし、絶えず進化する攻撃手法により、完全な対策はやはり難しいでしょう。加えて、既に開発が完了したアプリケーションに対して脆弱性が発見された場合には、追加の修正のためのメンテナンス作業は困難を極めます。Citrix Application Firewallはセキュア・プログラミングで防ぎきれない部分を多彩な機能を使用して補うことでセキュリティを高め、アプリケーションレベルの攻撃を防ぎます。

1. SQLインジェクションを含め、多様なアプリケーションの脆弱性に対して、多彩な 防御機能を搭載しています。
 
SQLインジェクション
クロスサイト・スクリプティング
強制ブラウジング
クロスサイトリククエストフォージェリ
Cookie改ざん
クレジットカード情報漏えい
バッファオーバーフロー
その他 多数

Citrix Application Firewallの特徴

2. 堅牢なセキュリティモデルであるポジティブセキュリティモデルを採用しています。 さらにユーザの挙動を追跡し、ユーザ毎にそのアクセスが正当かどうか常に監視することで、これまでにない高いセキュリティを提供します。

3. クレジットカード情報漏洩対策などを搭載し、PCIDSSに適したネットワーク環境を構築することができます。各防御対策の適用をGUIの設定画面から簡単に行え、ホワイトリストの作成を支援する自動学習機能も搭載しています。

 昨今ビジネスや生活における重要なインフラとして定着したインターネットでは、様々なサービスがWebアプリケーションを用いて提供されています。皆様のWebアプリケーションのセキュリティは万全ですか?お困りの方は、弊社までお気軽にお問合せ下さい。



● お問い合わせ先
マクニカネットワークス株式会社 LANchBOX編集
E-mail:
TEL:045-476-1973
FAX:045-476-1976