2014年5月版

ホワイト・ペーパー：
次世代型ファイアウォールに足りないモノ(抄訳)
Web Application を保護するための 6 つの要件
株式会社 Imperva Japan
目次
第 1 章：Web アプリケーション・セキュリティ概論
3
第 2 章：アプリケーションに対する脅威動向
3
第 3 章：次世代型ファイアウォールはなぜ、最新の脅威に対して十分とは言えないのか
4
第 4 章：Web アプリケーションを保護するための 6 つの要件
4
第 5 章：まとめ
9
Web アプリケーション・セキュリティ概論
SQL インジェクション攻撃、DDoS 攻撃、Man-in-the Browser 攻撃などといった Web を狙った攻撃は、Web を活
用するほぼすべての組織の Web の安全性を脅かしています。ほとんどの Web サイトが継続的且つ集中的な攻
撃 –2 分毎に 1 回 1- を受けており、驚くべき数の攻撃が成功しています。実際にこの 1 年間で半分以上の組織が、
Web アプリケーションの侵害を受けており、これらの事故の多くにより深刻な経済的損失がもたらされました 2。
アプリケーション･セキュリティ・ソリューションを導入することで、Web アプリケーションへの侵害のリスクは軽減し
ます。次世代型ファイアウォール・ベンダーのいくつかは自社製品がアプリケーションを狙った攻撃を阻止すると主
張していますが、Web ベースの脅威を阻止するための防御においては、的確性や精度および守備範囲は十分と
は言えません。Web アプリケーションを保護するために、企業は次世代型ファイアウォールに囚われることなく、正
確に Web を狙った攻撃を特定し、アプリケーションへの脅威を阻止することが可能なソリューションを探し、評価を
行うべきです。
アプリケーションに対する脅威動向
ハッカーはデータを盗んだり、アクセスを妨害したり、不正を実行するために Web サイトを攻撃しています。Web
を狙った攻撃は、データ侵害において、規模でもコストでも大きな割合を占めています。数字は嘘を言いません。
SQL インジェクション、リモート･ファイル・インクルードやブルート・フォースといった攻撃に代表されるハッキングは、
データ侵害の 81%および侵害された記録の 99%の原因となっています 3。米ベライゾン・ビジネス社によると、デ
ータ盗難において、ハッキングは不正プログラム、ソーシャル･エンジニアリング、物理的盗難といった他の攻撃手
法より多用されています。
統計から
なぜ、Web を狙った攻撃は一般的なのでしょうか？
Web サイトのほとんどに脆弱性が存在 9 し、脆弱な
侵害された記録の 99%は、ハッキングが原因 4
サイトのほとんどに、クレジットカード番号、顧客情報
といった機密データが保管されています。公開されて
サイバー攻撃全体の
いる Web サイトは、インターネットから容易にアクセ
ンを標的に 5
スができるため、攻撃に対しても広く門戸が開かれて
しまっています。そのため、ハッカーは、機密データを
見つけ出すために、企業ネットワークに侵入する必要
75%が Web アプリケーショ
Web サイトあたり平均 79 の深刻な脆弱性が存
在6
55%が忙しすぎて、Web
がないのです。アプリケーションの脆弱性が蔓延し、
セキュリティ担当者の
これらの脆弱性が容易に悪用できることから、Web
セキュリティへの対応がおろそかに７
サイトは最も攻撃の標的になりやすいのです。
データ侵害に対する平均費用は 550 万ドル 8
次世代型ファイアウォールはなぜ、最新の脅威に対して十分とは言えないのか
ビジネスのオーナーは、次世代型ファイアウォールや IPS が Web ベースの脅威に対応していると、誤って思い込んでい
るのかもしれません。これらのソリューションはネットワークやユーザを保護しますが、Web サイトを狙った攻撃を阻止す
るには機能が十分であるとは言えません。次世代型ファイアウォールは、“アプリケーションに対応” -フィッシングサイト
へのアクセスや HTTP プロトコルでのアプリケーションのトンネリングを防ぐことができると言う意味で- していると言えま
すが、Web アプリケーションを保護することを目的に設計されていません。結果として、これらのソリューションはアプリ
ケーション防御において抜け穴を残してしまいます。 Web アプリケーションに特化したファイアウォール（WAF）だけが
防御できるのです。
米ガートナー社「Magic Quadrant for Enterprise Network Firewall, 2013」
“ほとんどの次世代型ファイアウォール・ベンダーのアプリケーションの制御アプローチは…Facebook、P2P ファイル共
有といった外部アプリケーションを制御する方法とほぼ同じです。WAF は違います：[それら]･･･.カスタマイズされた内部
の Web アプリケーションに注意を払っています”
次世代型ファイアウォールに足りないモノ：
Web アプリケーションを保護するための 6 つの要件
Webアプリケーションを狙った攻撃がデータ侵害の大半を占める中、組織はそれらを阻止することが可能なあらゆる手段
を講じなければいけません。Webアプリケーションの動作や、攻撃の自動化といった新たな脅威を巧みに悪用する高度な
攻撃の存在により、企業はWebを狙った攻撃の阻止に必要な防御を導入しているか、確認する必要があります。残念なが
ら、次世代型ファイアウォールは、Webサイトを無防備な状態のままにしてしまう6つの重要な機能を欠いています。
1. 入力検証
2. 相関分析
3. クッキーとセッションの保護
4. アンチ･オートメーション
5. 不正行為防止
6. アラートおよびポリシー
1. 入力検証
既知およびカスタマイズされたWebを狙った攻撃を阻止するために、セキュリティ・ソリューションは保護対象となるアプリケ
ーションの構造と使用状況を理解する必要があります。アプリケーションを理解することは、パラメータの改ざんや偵察とい
った攻撃の検出に役立ちます。また、SQLインジェクションやクロスサイト・スクリプティングなどの攻撃を特定する精度も向
上します。
入力を検証するために、セキュリティ・ソリューションはパラメータ、アポストロフィや括弧などの特殊文字のためのフォーム
フィールドの値を検証しなければなりません。そして、セキュリティ・ソリューションは、これら文字が正常か攻撃を示すもの
であるかを知る必要があります。入力検証は、攻撃シグニチャを出し抜くためにハッカーによって悪用される回避技術を捕
らえます。
OWASP「Top Ten Suggestion for preventing XSS」
ポジティブまたはホワイトリストでの入力検証は・・・クロスサイト・スクリプティングに対する防御をサポートするため推奨さ
れています・・・これらの検証は、可能な限り、長さ、文字、フォーマットおよびビジネスルールのインプットを受けいれる以
前に検証する必要があります。
次世代型ファイアウォールは、異なるアプリケーションを特定し、特徴を捉える、という意味において “アプリケーションに対
応” している一方、アプリケーションの要素を検査したり、異常な動作を検出したりしません。結果として、パラメータの改ざ
んといったアプリケーションの悪用を見逃してしまいます。
入力を検証することは、Webサイトのパラメータの長さ、文字、形式を検証することを意味するだけではなく、保護対象のア
プリケーションのロジックを理解することでもあります。パラメータの改ざんを阻止するため、入力を検証するセキュリティ･ソ
リューションは、どのパラメータ値がエンドユーザによって変更可能か不可かを理解しておく必要があります。パラメータの
改ざんで注目すべき出来事として、2011年の後半、フォーチュン100にリストされた銀行が、ハッカーによりURLパラメータ
内のクリアテキストで記載されているアカウント番号を改ざんされたことにより、危険にさらされたことがありました。そのあ
とハッカーは他のお客さまのアカウントにアクセスし、資金を振り替えることが可能になりました。
パラメータの改ざんは、一般的な攻撃で；ハッカーはオンライン番号、割引コード、ユーザ権限、またはアプリケーション内
の“隠された”設定を変更するために、パラメータ値を操作します。次世代型ファイアウォールは、読取専用のパラメータ値
を追跡できないため、このタイプの攻撃を阻止することができません。一般的に、次世代型ファイアウォールはアプリケーシ
ョンの入力を検証することができないため、Webアプリケーションの入力検証における弱点を突く攻撃を防ぐことが不可能
です。
Web アプリケーション･ファイアウォールは入力を検証
Webアプリケーション･ファイアウォールは、入力を検証することでパ
ラメータの改ざんのようなアプリケーションの悪用を検出します。
Webアプリケーション・ファイアウォールは予期される入力値の基準
値を築いていることから、SQLインジェクションやクロスサイト・スクリ
プティングといった攻撃をより的確に阻止することができるのです。
Webアプリケーションの動作をプロファイリングすることで、Webア
プリケーション・ファイアウォールは、例えば、登録ページ上の郵便
番号フィールドに括弧やセミコロンをどのユーザが追加できないか
だけでなく、コメント欄にこれらの文字を入力できるかを決定できま
す。入力を検証することで、攻撃か正当なリクエストかを区別するた
めに必要となるコンテクストを提供します。
Web アプリケーション・ファイアウォールは、入力を検
証するために、自動的にアプリケーション構造を学習
し、ユーザの振る舞いを予期します。
2. 相関分析
組織は正当なトラフィックをブロックせずに、Webを狙った攻撃を阻止しなければなりません。単純なことに思えるかもしれ
ませんが、解決策は存在しません。次世代型ファイアウォールは、既知の攻撃シグニチャとWebリクエストを比較すること
でこの課題に対処しています。これらシグニチャは、高スループットと低遅延を維持しながら、可能性のあるすべての攻撃
をカバーするべく努めています。
残念ながら、JavaScriptやSQLはリッチ且つ複雑であるため、攻撃者は無数の異なる攻撃を作り出すことができます。
SQLインジェクション攻撃を阻止するため、次世代型ファイアウォール・ベンダーは、“SELECT”や“UNION”のようなSQL
キーワード、アポストロフィやセミコロンといった演算子を検出するシグニチャを開発する必要があります。しかし、それらシ
グニチャは、同じ言葉や文字を伴う正当なリクエストをブロックしてはいけません。例えば、オンライン・ユーザが“O’Reilly
Union High School”で働いていることを示す登録フォームを送信する場合、フォーム欄にアポストロフィとSQLキーワード
が含まれるため、このリクエストはしばしばブロックされてしまいます。
誤検出だけでなく、シグニチャは非常に多くの攻撃パターンを処理しなければならないといった困難を伴います。結果とし
て、ハッカーはシグニチャを回避した攻撃に成功するのです。この課題の解決策は、不審なWebリクエストを調べるための
高度な相関エンジンを利用することです。
Webアプリケーション・ファイアウォールは的確に攻撃を特定するために、不審な特性を相関分析
多くのWebアプリケーション・ファイアウォールは、的確に攻撃を阻止するため、リクエストの複数の特性や複数のリクエス
トを検査する相関分析エンジンを搭載しています。相関分析エンジンは不審な文字、署名違反、攻撃キーワード、プロファ
イル違反およびプロトコル違反に基づいたリスクスコアを構築し、正規表現と危険性の高いリクエストの更なる分析を行い
ます。バックエンドのデータベースによりどのようにコンテンツが解釈されたかを評価するべく、正規表現により不審な文字
の有無および同じ順番かを調べることができます -SQLインジェクションを検出するため– またはWebブラウザで - クロス
サイト・スクリプティングを検出するために。
高度な相関分析エンジンでリクエストを分析することで、静的な攻撃シグニチャだけに頼るよりも、Webアプリケーション・フ
ァイアウォールは正規のトラフィックの邪魔をすることなく、攻撃を阻止することが可能です。
3. クッキーとセッションの保護
アプリケーションのコンテンツへの不正アクセスを確保するため、ハッカーはWebのセッションを乗っ取ったり、クッキーを操
作します。一般的な攻撃では、クッキー・インジェクション、クッキー改ざん、セッション・リプレイやセッションの乗っ取りが行
われます。これらWebベースの攻撃によって、ハッカーはデータを盗むために有効なユーザのアカウントへのアクセスが可
能になるのです。
次世代型ファイアウォールはセッションやクッキーを追跡しないため、セッション・ベースの攻撃からWebアプリケーションを
保護することはできません。
Webアプリケーション・ファイアウォールはクッキーとセッションを保護
一方、Webアプリケーション・ファイアウォールはセッションを保護するため、さまざまな手法を用います。Webサーバによっ
てクッキーが設定されてからの追跡を行い、クッキーへのあらゆる変化を監視しています。ハッカーが「Man-in-the-middle
攻撃11」を通じて、アクティブなセッションを盗用する場合、Webアプリケーション・ファイアウォールは攻撃を検出し、疑わし
いユーザをブロックします。もし、リバース・プロキシもしくは透過型リバース・プロキシで導入された場合、Webアプリケー
ション・ファイアウォールはクッキーを暗号化して署名することができます。
したがって、クッキーやセッション攻撃を懸念する組織は、次世代型ファ
イアウォールではなく、Webアプリケーション・ファイアウォールのような
Webアプリケーションに特化したセキュリティ製品を検討する必要があ
ります。
4. アンチ･オートメーション
サイバー犯罪はアプリケーションDDoS攻撃のような大規模な攻撃を行ったり、Webサイトの脆弱性を探索するために大規
模なボットネットを利用しています。サイバー犯罪の脅威において、競合他社によるWebコンテンツの抜き出し、オンライン
上の掲示板やメッセージ・ボードなどへの広告を大量に投稿するコメント・スパムのような自動化された攻撃に、企業は対
処しなければなりません。
サイト・スクレイピングやHTTPフラッドのような多くの自動化された攻撃は、標準的なシグネチャ・ベースの防御を回避しま
す。次世代型ファイアウォールはレピュテーションおよびジオロケーション・サービスにより、既知の“悪者”を検出できるの
ですが、人とボットの区別がつきません。自動化された攻撃を無効にするためには、多くのことが求められます：自動化さ
れたクライアントや自動化された攻撃の振る舞いを識別しなければなりません。次世代型ファイアウォールは自動と手動の
区別をつけることができないため、アプリケーションDDoS攻撃のような自動化された脅威に完全に対抗することはできま
せん。
Webアプリケーション・ファイアウォールは自動化された攻撃に対抗
Webアプリケーション・ファイアウォールは自動化された攻撃を阻止するために必要な防御を搭載しています。スクリプト・
ベースのボットであるかを判断するためにクライアントのWebブラウザを透過的にテストすることで、ボットを検出すること
が可能です。さらに、短時間で過剰な数のWebページを要求するユーザ -ボットの特徴- を検出することが可能です。また、
大きなサイズのファイルを繰り返しダウンロードするような不審な使用状況を特定します。結果として、Webアプリケーショ
ン・ファイアウォールはWebサイトを危険にさらしたり、改ざんしたり、弱体化させる様々な自動化された攻撃を阻止します。
5. 不正行為防止
不正プログラムや取引詐欺のようなWeb上の不正行為は、銀行や小売業にとって天敵といえます。オンラインビジネスで
は不正行為が行われた際の復旧費用、支払い取り消しに掛かるコスト、お客様離れにより、多額の資金を失います。次世
代型ファイアウォールはWeb上の不正行為を阻止することができません。UTMアプライアンスのいくつかは、ウィルス検出
のためにアプリケーション・トラフィックをスキャンしますが、不正プログラムに感染したユーザを検出したり、不正なデバイ
スを特定することは不可能です。
Webアプリケーション・ファイアウォールはオンラインでの不正行為に対抗
「SecureSphere Web Application Firewall」のようなソリューションは、オンラインでの不正行為を防ぐことが可能です。
Webユーザとアプリケーションの間に位置し、L7 トランザクションに対する可視性を確保することで、Webアプリケーショ
ン・ファイアウォールは、ユーザ特性、不正プログラムへの感染の兆候を示すWebトラフィックのパターンを分析することが
できます。不正なデバイスを検出するために、主要な不正行為対策ソリューションと統合することができます。
不正なデバイスや不正プログラムに感染したクライアントが特定されると、Web アプリケーション・ファイアウォールはトラン
ザクションをブロックしたり、特定期間、ユーザを監視したり、アラートの発行あるいは、外部の不正行為管理ソリューション
を統合するなど様々なアクションを実行します。また、Web アプリケーション・ファイアウォールは保護対象となる Web アプ
リケーションへの変更を、一切必要とせず、不正行為を特定して阻止します。
6. アラートおよびポリシー
Webアプリケーションを保護するために、組織はきめ細かい可視性と制御が必要となります。組織は攻撃と犯人の両方を
深く理解するためにセキュリティ・インシデントを検証する必要があります。アプリケーションのユーザ名、異常なヘッダー値、
ブラウザの吐き出すエージェントのようなイベント詳細をキャプチャすることで、セキュリティ担当者は、精度の高い新しいポ
リシーを策定することができます。
次世代型ファイアウォールは、多くの場合、送信元IPアドレス、攻撃タイプや対応攻撃シグニチャ12などの要約情報を記録
していますが、Webリクエストやサーバのレスポンス・コードをキャプチャしません。次世代型ファイアウォールはリクエスト
のヘッダーや本文 -フォレンジックのために必要不可欠となる情報- を記録せず、また、攻撃を分析するために必要となる
可視性を確保できません。
次世代型ファイアウォールは、しばしば、Webを狙った攻撃に対抗するためにハイレベルのルールのみを適用します。クッ
キーの有無、HTTPリファラ、またはWebサーバのレスポンス時間といった特性に基づいてリクエストをブロックすることが
できません。次世代型ファイアウォールは、ネットワークレベルの脅威を阻止するために設計されているため、Webを狙っ
た攻撃を阻止するために必要となる緻密なポリシーを持っていません。
Webアプリケーション・ファイアウォールはアプリケーション・レベルでの可視性と制御を可能に
ほとんどのWebアプリケーション・ファイアウォールは、管理者が攻撃をブロックするために特別なポリシーを作成すること
ができる柔軟なカスタムメイドのWebアプリケーション・ポリシーを搭載しています。アプリケーション・ポリシーは数十もの
基準から構築可能です：ポリシーは、一定の期間内のリクエストを分析することも可能です。Webアプリケーション・ファイア
ウォールにより、企業はリアルタイムでポリシーを適用することができ、正当なトラフィックをブロックすることなく、Webを狙
った攻撃への対抗に必要となる防御を可能にする、きめ細かいポリシーの構築が可能になります。
Web アプリケーション・ファイアウォールがセキュリティ・イベントを記録する際、Webリクエスト全体とWebサーバのレスポ
ンス・コードをセキュリティ・アラート内にキャプチャします。Webアプリケーション・ファイアウォールは、アプリケーションの
ユーザ名、リクエスト・ヘッダーのような重要な情報も記録すると共に、違反を引き起こすリクエストの文字列の識別を行い、
管理者のイベント分析を容易にします。
まとめ
Webアプリケーションを狙った攻撃は、今日、組織が直面しているセキュリティ上の最大の課題のひとつです。ハクティビス
トがどこからともなく現われ、数多くの組織の重要なWebサイトを危険にさらし、大きな脅威となっています。サイバー犯罪
は不正操作を順番に最適化しながら、データを盗むための自動化ツールを使用することで産業化してきています。政府が
後援するハッカーは軍事機密を越えて、商業的知的財産へと対象範囲を広げてきました。
次世代型ファイアウォールはネットワーク、外部アプリケーションや脅威からユーザを守るために必要不可欠ではあります
が、お客さまが所有するWebアプリケーションを保護するための防御とはなり得ません。
ビジネスを守るために、組織は、Webアプリケーションとアプリケーション・データを保護する必要があります。そのために、
組織はWebアプリケーション・ファイアウォールが必要となるのです。
1 Web Application Attack Report, Edition #3, July 2012, Imperva
2 Infosecurity Magazine, “Web Developers’ Application Security Sorely Lacking,” citing Forrester Consulting
3 “2012 Data Breach Investigations Report,” Verizon Business, 2012
4 “2012 Data Breach Investigations Report,” Verizon Business, 2012
5 Gartner Research
6 “WhiteHat Website Security Statistic Report,” WhiteHat Security, 12th Edition
7 “State of Web Security,” Ponemon Institute
8 “US Cost of a Data Breach,” Ponemon Institute, 2012
9 WhiteHat Website Security Statistic Report,” WhiteHat Security, 12th Edition
10 Magic Quadrant for Enterprise Network Firewalls, 2013, Gartner
11 Not to be confused with a Man-in-the-Browser Trojan attack, described in section # 6.
12 Some next generation firewalls may be able to record traffic for the purposes of debugging, but are not designed for
security incident response.

Download Report