WAFが実現するセキュリティ対策について

「WAF」と呼ばれるセキュリティ製品をご存じでしょうか？WAFは「Web Application Firewall」の略であり、Webサイトのセキュリティ対策を強化するために存在します。

今やWebサイトを所有していない企業は皆無というほど一般に普及しています。単に会社情報を掲載するサイトからマーケティングの一環として運営するサイト、オンラインショッピングのサイトなど、さまざまな種類があります。

それらのWebサイトに共通して言えるのは「常にサイバー攻撃の脅威にさらされている」ということです。Webサイトの不正アクセスによる情報漏えい事件がよく取り沙汰されていますが、皆さんのWebサイトは多数の脅威から個人情報などを守るための対策を実施できているでしょうか？

本稿ではIPA（情報処理推進機構）が発表している『安全なウェブサイトの運用管理に向けての20ヶ条 ～セキュリティ対策のチェックポイント～』をもとにしながら、WAFが実現するセキュリティ対策についてご紹介します。

Webサイトのセキュリティ対策20ヶ条

＜Webアプリケーションのセキュリティ対策＞

1. 公開すべきでないファイルを公開していないこと

Webサイトの設定ファイルや個人情報などの重要情報を格納したファイルを公開するのは言語道断です。そうしたファイルは、Webサイトで公開するファイルとは別にインターネット上からアクセスできない場所に保管しましょう。

2. 不要になったページやWebサイトを公開したままにしないこと

期間限定のページなど不要になったサイトを公開したままにしていると、脆弱性が発覚しても管理が届かず、サイバー攻撃を許してしまう可能性があります。テスト用に作成したサイトがそのまま放置されてしまい、踏み台などに悪用されるといったことも多発していますので、不要になったページやサイトは必ず閉鎖しましょう。

3. 脆弱性への対策を実施していること

Webサイトで利用しているOSやソフトウェア、フレームワークなどの環境を把握しましょう。そして、脆弱性データベースなどを利用して、発生件数の多い脆弱性を把握した上で、それらの脆弱性対策が確実に実施されていることを確認しましょう。特にSQLインジェクションやクロスサイトスクリプティングなど、ウェブアプリケーションの脆弱性への警戒が必要です。

4. ソフトウェアの脆弱性対策を定期的に実施していること

Webアプリケーションはさまざまなソフトウェアから構成されているため、各ソフトウェアのバージョンアップがリリースされた際は、即座に対応して脆弱性を無くすことが大切です。

5. 不必要なエラーメッセージを返さないこと

Webサイトのエラーメッセージから設定情報が漏えいし、悪用される可能性があります。余計な情報を与えないためにも、エラーメッセージは最小限に留めましょう。

6. Webアプリケーションのログを保管し、定期的に確認すること

Webアプリケーションログは、事故や故障、不正通信など不振な動きがあった際に、原因を追究するための大切な情報源です。 

7. インターネットを介して送受信する通信内容を暗号化すること

インターネット経由の通信内容を暗号化（HTTPS化）し、盗聴などによる被害を抑止することも重要です。

8. 不正ログインへの対策を実施すること

不正ログインを防ぐためには、複雑かつ推測されにくいパスワードの設定が基本となります。他サイトで漏えいしたIDやパスワードを悪用した不正ログインに備え、パスワードを使いまわさないことのアナウンスも大切です。

＜Webサーバーのセキュリティ対策＞

9. OSやサーバーソフトウェア、ミドルウェアを更新していること

セキュリティ修正プログラムが公表された際は、即座に対応して脆弱性を解消します。

10. 不要なサービスやアプリケーションが存在しないこと

Webサーバー上で不要なサービスが起動している場合、それが悪用される可能性があります。最低限必要なもの以外は停止し、不要になったアプリケーションは削除します。

11. 不要なアカウントが登録されていないこと

管理用端末に不要なアカウントが登録されていると、悪用される可能性が高まるのでアカウントを見直し、不要なものは削除します。

12. 推測されにくい複雑なパスワードを使用すること

簡単に推測されやすいパスワードを設定している場合、悪用される可能性があります。推測されにくい複雑なパスワードを設定しましょう。

13. ファイル、ディレクトリへの適切なアクセス制御を実施すること

Webサーバー上のファイル、ディレクトリに適切なアクセス制御がされていない場合、第三者に非公開のファイルを見られたり、プログラムが実行されたりします。適切なアクセス制御を実施しましょう。

14. Webサーバーのログを保管し、定期的に確認すること

Webサーバーのログは、事故や故障、不正通信など不振な動きがあった際に、原因を追究するための大切な情報源です。適切なログ保管と確認を実施しましょう。

＜ネットワークのセキュリティ対策＞

15. ルーターなどを使ってネットワークの境界線で不正通信を遮断すること

境界ルーターなどのネットワーク機器を使って、外部から内部ネットワークへの不要な通信を遮断します。

16. ファイアウォールを使って通信をフィルタリングすること

ファイアウォールを設置してもフィルタリングのルールが適切でなければ意味がありません。対象となるサーバーや通信方向など、どのようにアクセスを許可するのかを把握し、適切なルールを設定します。

17. Webサーバーへの不正通信を検知または遮断すること

不正通信の検知/遮断を実施するために、WAFやIDS/IPSといったセキュリティ製品を導入します。

18. ネットワーク機器のログを保管し、定期的に確認すること

ネットワーク機器ログは、事故や故障、不正通信など不振な動きがあった際に、原因を追究するための大切な情報源です。適切なログ保管と確認を実施しましょう。

＜その他のセキュリティ対策＞

19. クラウドなどのサービス利用において、組織の責任範囲を把握して必要な対策を実施すること

クラウドやその他のホスティングサービスを利用してWebサイトを運営している場合、1～18のセキュリティ対策をサービス事業者が提供していることが多いため、不足のセキュリティ対策を把握して独自に対応することを検討しましょう。

20. 定期的にセキュリティ診断や監査を受けること

組織内で1～18のセキュリティ対策を実施しているかを確認した上で、外部サービスのセキュリティ検査や監査を受けることで対策漏れを洗い出すことができます。

【解説】Webセキュリティ ～Webサイトを取り巻く脅威と対策～

安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。

WebサイトセキュリティにおけるWAFの重要性

ファイアウォールやIDS/IPSは有効なセキュリティ対策ではありますが、アプリケーション層の保護はできない、または適していません。そのため、SQLインジェクションやクロスサイトスクリプティングなどウェブアプリケーションの脆弱性を悪用する攻撃に対応できず、サイバー攻撃を許してしまうケースがあります。

WAFはウェブアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するためのセキュリティ製品であり、Webアクセスの内容を1つ1つ検査しながらWebサイトを保護するため、前述した脆弱性にも有効です。個人情報を保有している・保有していないに関係なく、サイトが改ざんされたり、踏み台に悪用されてしまうケースなど、Webを介した不正アクセスの被害はさまざまです。

いかがでしょうか？この機会に「Webサイトのセキュリティ対策20ヶ条」の対応状況をチェックしてみてください。また、Webサイトのセキュリティを強化するWAFについてもぜひご検討ください。

WAFとは

Webアプリケーションファイアウォール（WAF：Web Application Firewall）は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。