Nexsolution
サイト内検索
NECネクサソリューションズ
ソリューション

WAF 「SOLVDEFENCE OnSite (ソルブディフェンス・オンサイト)」

サイバーアタック対策に効果的すぐにできるサイバーアタック対策はネットワーク型WAFとホスト型WAFSOLVDEFENCE OnSite(ソルブディフェンス・オンサイト)とはFAQ
サイバーアタック対策に効果的!!  

今なぜWAF(Web Application FireWall)が注目されているのか?

サイバーアタック対策へのとりくみ  

企業活動が、高度技術および先行特許等に依存して構成される場合、サイバーアタックやウイルスによって引き起こされる情報漏えいは経営にとって致命的ダメージとなります。
サイバーアタック以外にも、物理的な盗難・紛失を始め、パソコン上のハードディスクからの漏洩、印刷した紙面からの漏洩など様々な状況・場面で起こる危険性があり、これらの一連のリスク対策は多岐に渡ります。しかしながら、情報管理統制はその膨大な量のトラフィックに対して適切な管理レベルを設定して運用する必要があり、また限られたリソースを配分しなければなりません。

実際、不正アクセスによる情報漏洩事件は全体の件数の中では0.9%(*)に過ぎませんが、1件当たりに漏洩する個人情報の件数や、経営リソースへのインパクトは、その他の盗難や置忘れ・紛失と比較しても無視できないレベルにあるといえます。

* 2006年度情報セキュリティインシデントに関する調査報告書 JNSA調べ

安全と引換えの利便性  

攻撃者が、外部からの情報奪取を考えたとき、もっとも狙いやすいのはアクセスしやすい外部公開サーバであることは明白です。ここで、WEBサーバを狙った攻撃について考えてみましょう。

通常のファイアウォールはHTTPアクセスについて基本的に何の防御も行いません。インターネットに接続されていれば、自由にWEBサイトを閲覧することができます(SSL通信も含む)。
オープンなポートを通過したHTTPリクエストは、そのままWEBサーバへと到達し、WEBアプリケーションに処理が渡されます。

WEBアプリケーションは、様々なスキルレベルのプログラマによって開発されています。開発ツールの発達により、ほとんどプログラム開発に携わったことのない初心者でも、一連の処理を実装したWEBアプリケーションを開発することができるようになりました。

しかし、簡単に開発できるようになった事と引き換えに、大量生産されるWEBアプリケーションに多くの脆弱性が抱え込まれた状態になるという深刻な問題が顕在化するようになりました。
開発ツールそのもの、あるいは開発のための参考書、開発者向けWebチュートリアル、入手可能なサンプル。インターネット黎明期は、これらのコンテンツにセキュリティ上の問題が隠れていることが目立って指摘されることはありませんでした。またそれを可視化できるスキルも、業界全体に不足していたといわざるを得ません。
こうした流れが、いわゆるSQLインジェクション脆弱性や、クロスサイトスクリプティング脆弱性をサイトに埋め込まれてしまう、最大の原因となっていました。

オリジナルのWEBアプリケーションが狙われる  

数年前までは、IISやApacheといったWEBサーバや、OS本体の脆弱性をついた攻撃が一般的でした。しかし、ここ数年は個別開発されたWEBアプリケーションに内在する脆弱性をついた攻撃が著しく増加しています。
SQLインジェクションやクロスサイトスクリプティングといったよく聞かれるキーワードは、いずれもWEBアプリケーションの脆弱性を狙った攻撃です。

「たいした情報は扱っていないから」「改竄されてもあまりユーザは多くないから」と、対策を先送りする経営者や管理者のコメントを拝見することも少なくありません。しかし、攻撃者は、一連の攻撃でデータベース上の情報を取得・改竄するばかりか、サーバのOSを乗っ取り、そこを踏み台にしてさらに外部の第三者の攻撃に使用することがあります。
踏み台にされて第三者攻撃が行われた場合は、高い確率で踏み台になったサーバの管理責任が問われることになるのです。

外部にサーバを公開して事業を行うことの重要性と責任を、再考する必要があるかもしれません。

WEBアプリケーション脆弱性診断の薦め  

SQLインジェクションやクロスサイトスクリプティングという言葉は知っていても、それがどのようなアプリケーション上に存在する脆弱性なのか、どんな被害を受けるのか。といった具体的な話になると、明確に説明できないシステム管理者の方を多く見かけます。
漠然とした不安を抱えながらも、「実際に運用しているサイトがどんな不正アクセスを受けているか分からない。」 ので 「どんな対策を、どこまでしたらいいのか分からない。」というお話も耳にします。

個人情報や購買履歴、企業の秘密に関する情報を取り扱っているようなWEBシステムである場合、NECネクサソリューションズでは、WEBアプリケーションのソースをセキュリティエンジニアが診断し、さらに既存のログからどういった攻撃を実際に受けているかの解析も行った上で、そのサイトに適切なセキュリティ対策をレポートするサービスを提供しております。
「いきなりWAFを導入するのはちょっと・・・」と、思われているシステム管理者の方も、まずはアプリケーションの診断を行うことで、セキュリティ対策の傾向と対策を明確にしていただくことができます。

 

ページトップへ
お問い合わせ 著作権・リンクについて 個人情報保護について 情報セキュリティ基本方針 サイトマップ
Copyright (c) 2002-2005 NEC Nexsolutions, Ltd.