はじめまして、WAF担当の下田です。
2011年はサイバー攻撃による大規模な情報漏えい事故が多発しました。特に深刻な攻撃として注意が必要なのが、SQLインジェクション等のWebアプリケーションの脆弱性を突いて、ID、パスワード、電話番号、クレジットカード番号などの情報を抜き取ろうとする攻撃です。
BIGLOBEクラウドホスティングでは、こういった攻撃を検知・防御するセキュリティオプションとして「WAF」を提供しています。今回はこのWAFについて詳しく説明します。
WAFとは?
WAFとはWebアプリケーションファイアウォール(Web Application Firewall) の略で、SQLインジェクション等のWebアプリケーションの脆弱性を利用した攻撃を検知し、防御するセキュリティ製品です。一般的なファイアウォール(またはIDS/IPS)はネットワークレベルで通信を監視しますが、WAFはアプリケーションレベルで通信を監視します。
Webアプリケーションに渡される入力内容を直接検査することによって、ネットワークレベルでの検査では分からなかった攻撃に対して、アプリケーションレベルで検出が可能です。これによってSQLインジェクションやクロスサイトスクリプティング、強制ブラウジングといった、従来のファイアウォール(またはIDS/IPS)では検知/遮断することができなかった攻撃を検知/遮断できます。
近年、複雑/巧妙化する攻撃に対抗する手段として、WAFは有効なセキュリティ対策となっています。
※BIGLOBEクラウドホスティング WAFは、NEC製の「InfoCage SiteShell」を活用したサービスです。
WAF試用版で攻撃状況を把握してみよう ~事前準備~
BIGLOBEクラウドホスティングではWAF試用版を無償で提供しています。
WAF試用版によって運営中のWebサイトにどんなサイバー攻撃(Webアプリケーション脆弱性攻撃)が来ているのか確認できます。※試用版では攻撃検知のみで防御機能はありません。
利用方法はとても簡単。10分程度の設定作業でOKです。
具体的な手順は以下の通りです。
1.WAFのインストール(←自動)
BIGLOBEクラウドホスティングのサーバ作成時、WAFのチェックボックスにチェックが入っていることを確認。
これだけで自動的にWAFをインストールしたサーバが提供されます。
※サーバ作成後にWAF試用版を試してみたい場合、後からインストールパッケージをダウンロードし、自分でインストールすることもできます。
2.運用管理コンソールへのログイン
ご利用のクラウドホスティング上のWebサーバに接続できるPCからWAFの運用管理コンソールにログインします。ログインに成功すると、運用コンソールの画面が表示されます。
※ログイン方法は後述の「BIGLOBEクラウドホスティング WAF 試用版操作ガイド」をご参照ください。
3.Webサーバの登録
運用管理コンソールにWebサーバを登録します。
まず、メニュー画面から、「メンテナンス」にマウスを合わせ、「ノード管理」をクリックします。
「ノード管理」をクリックするとノード管理画面が表示されるので、「追加」をクリックします。
ノード追加画面が開くので以下の情報を入力し、「追加」をクリックします。
・ノードグループ : GRP1
・SiteShell Type : Apache
・管理サーバアドレス: ご使用のWebサーバのIPアドレス
4.ログの取得
ログの取得にはメニュー画面から登録したWebサーバを選択し、「ログサマリ」をクリックします。ログサマリから、「更新」ボタンをクリックすることでログを取得できます。
これで運用管理コンソールに攻撃状況ログ(監査ログ)が取り込まれました。
WAF試用版で攻撃状況を把握してみよう ~グラフで視覚的に攻撃状況を確認~
1.攻撃状況をグラフで確認
グラフで表示する場合は、メニュー画面で表示したいWebサーバを選択し、「統計情報」をクリックします。すると下図のようなグラフが表示されます。
攻撃種類の円グラフについて、詳しく見てみましょう。下図は、とあるサイトのサンプル円グラフです。
この例を見ると、SQLとXSSの項目が大部分を占めているのがわかります。SQLはSQLインジェクション、XSSはクロスサイトスクリプティングという攻撃を表しています。特にSQLインジェクションは、機密情報流出に繋がる重大な被害をもたらす場合がありますので、このサイトでは早急なセキュリティ対策が必要と考えられます。
2.月毎に確認
月毎に表示する場合は、メニュー画面で表示したいWebサーバを選択し、「月間レポート」をクリックします。するとレポートの画面が表示され、月毎の攻撃状況を確認できます。
レポート内容を詳しく見てみましょう。
これを見ると、5/10と14にSQLインジェクション攻撃を多く検知していることがわかります。
何か組織的な攻撃があったのでしょうか。昨今では自動攻撃ツールを用いて極めて短期間に集中して攻撃が行われる傾向があるため、しばらく攻撃がなかったとしても再び攻撃を受ける可能性があります。
3.ログの詳細を確認
メニュー画面で表示したいWebサーバを選択し「監査ログ一覧」をクリックすると、ログの詳細をみることができます。
ログを詳しく見てみましょう。
このログの意味は「2012年1月30日に10.58.10.146というIPアドレスから/TestSite/post.aspというページにSQLインジェクションという攻撃が行われた」ことを意味しています。ここではWAFは評価版を使用しているため、攻撃を検知したのみで、防御は行っていません。「forward(noaction)」とは、本来リクエストを別のページへ飛ばす防御動作(forward)を行うところを、評価版のため行っていない(noaction)という意味です。
以上で攻撃状況の確認は終わりです。
ここまでの操作・設定では、WAFは試用版で動作しており、攻撃検知はしていますが実際の防御動作を行っていないことにご注意ください。コントロールパネルから、ライセンスIDを購入し登録することで、すぐに防御を開始することができます。
WAFは、Webアプリケーションの脆弱性を悪用した攻撃からWebアプリケーションを保護する対策の一つです。Webアプリケーションの実装面での根本的な対策ではなく、攻撃による影響を低減する運用面での対策となります。そのためWebシステム全体のセキュリティ対策としては、ネットワークファイアウォールの設置やOSのパッチ適用、セキュア開発の推進も並行してご検討いただくことをお奨めいたします。
WAFについてさらに詳しく
WAFの詳しい操作・設定方法については以下もご参照ください。
BIGLOBEクラウドホスティング WAF 試用版操作ガイド
WAF試用版のインストール方法と設定方法、攻撃を確認する手順を記載してあります。
BIGLOBEクラウドホスティング WAF 設定・運用ガイド
WAFライセンスを購入して、WAFを運用する手順を記載してあります。
BIGLOBEクラウドホスティング WAF ユーザマニュアル
ガイドでは紹介されていないWAFの詳細な使い方が記載してあります。
