セキュリティに関連するニュースが相次いでいます。Ponemon Instituteの調査レポートによると、過去12か月間でウェブアプリケーションに対してなんらかの侵害を受けた企業は98%。まさに人ごとではない数字です。
そんなウェブセキュリティの脅威に対応するソリューションとして注目集まっているのがウェブ・アプリケーション・ファイアウォール、通称WAFです。今回、CDNetworksでは今更聞けないWAFについて詳細に解説したホワイトペーパーを発行しました。この内容に沿って、WAFについて今一度おさらいをしてみたいと思います。
今更聞けない「WAF(ウェブ・アプリケーション・ファイアウォール)」ホワイトペーパーを公開中!
>> ホワイトペーパー「WAF(ウェブ・アプリケーション・ファイアウォール)」のダウンロードはこちらから
ハッキング、悪用・・・ウェブアプリケーションが直面する脅威とは?
企業が対策すべき一般的な脅威
WAFについて述べる前に、ウェブアプリケーションを保有する企業が対応すべき脅威について整理したいと思います。 企業が直面する脅威は、一般的に大きくは3つあります。ハッキング、悪用、サービスの妨害です。これらをにつながる攻撃手法について少し詳しく見てみましょう。 ハッキングにつながる典型的な攻撃手法は、SQLインジェクション(SQLi)、クロスサイトスクリプティング(XSS)、セッションハイジャックと主に3つあります。悪用についても、サイトスクレイピング、フォームスパム、アカウントなりすましと大きく3つあります。サービス妨害につながるのは、DoS/DDoS攻撃です。 それぞれ、攻撃者の動機は様々ですが、壊滅的な被害をもたらす場合もあります。企業は最新の情報を注視し、常に対策を施す必要があります。
攻撃の概要や、攻撃により発生しうる損害についても詳細に解説!
今更聞けない「WAF(ウェブ・アプリケーション・ファイアウォール)」ホワイトペーパーを公開中!
>> ホワイトペーパー「WAF(ウェブ・アプリケーション・ファイアウォール)」のダウンロードはこちらから
シグネチャベース、レピュテーションベース・・・手法から考えるWAFの違い
大きく4つに分類されるWAFのアプローチ手法
どんなWAFサービスも、「ウェブアプリケーションを守る」という共通の目的を持っていますが、そのアプローチには違いがあり、大きく4つに分類されます。シグネチャベースのポジティブセキュリティ、ネガティブセキュリティ、レピュテーションベース、ビヘイビアベースです。それぞれ弱点もありますので、選定に入る前に一度整理されることをお勧めします。
もっとも一般的で、これまでも多く採用されてきたのは「シグネチャベース」であり、そのほとんどが「ポジティブセキュリティ」を採用しています。一般に、既知の攻撃に対しては有効で、正常なアクセスに対する誤検知の可能性が低くなる一方、シグネチャを常に更新する必要があり、未知の脆弱性やゼロデイ攻撃への対応にも弱点があるとされています。
アプローチ手法の違いについても詳細に解説!
今更聞けない「WAF(ウェブ・アプリケーション・ファイアウォール)」ホワイトペーパーを公開中!
>> ホワイトペーパー「WAF(ウェブ・アプリケーション・ファイアウォール)」のダウンロードはこちらから
マルチレイヤの防御で各アプローチ手法の弱点を補完
CDNetworksの新サービス クラウド・セキュリティ WAF
理想的なウェブセキュリティ対策に必要とされることをまとめると、以下のようになります。
- 既知の脆弱性をついた攻撃と、未知の脆弱性をついた(ゼロデイ)攻撃の両方からウェブアプリケーションを守ることができる
- スパムやスクレイピングなどの悪用から防御することができる
- アプリケーションレイヤへのDDoS攻撃など、先進的な攻撃からも防御することができる
- 事業規模や業種に関係なくどんな事業者にも柔軟に適応し、管理工数がかからない
CDNetworksの新サービス、クラウド・セキュリティ WAF は、マルチレイヤ方式の防御によって上記4点をすべて満たすWAFサービスとなっています。
DDoS攻撃対策とWAFを兼ね備えたCDNetworksの「クラウド・セキュリティ」は、レイヤ3/4を対象としたDDoS攻撃対策とWAF、そしてグローバルCDNと24時間365日体制の監視を統合したサービスです。世界中に分散配置したプラットフォームを利用し、パフォーマンス最適化とセキュリティ強化を同時に実現します。
>> CDNetworksの新サービス「クラウド・セキュリティ WAF」について詳しくはこちら
>> 「クラウド・セキュリティ」サービス資料ダウンロードはこちら
