Webアプリケーションファイアウォールは鉄壁か?~脆弱性診断の必要性~
1. 概要
SSK 総合セキュリティサービスではWebアプリケーションの脆弱性診断サービスをご提供しています。この脆弱性診断を実施していく中で、近年は機密情報を扱うWebサイトではWebアプリケーションファイアウォール(以下、「WAF」)の導入が急増していることを実感しています。実際に、市場規模は毎年18.9%で増加しているというレポートもあります※1。Amazon Web Serviceなどのクラウド上でWebサイトを構築する際にはWAFをシームレスに導入できることも急増している要因と思われます。
そのためか、脆弱性診断を行った後にお客さまから「本番リリース時はWAFがあるので大丈夫だと考えています」というお話や、専門学校で脆弱性診断に関して講義した際に学生から、「WAFを導入した場合でも脆弱性診断が必要なのか?」という質問をいただくことがあります。
そこで今回は、WAFの有効性についての考察とWAF導入システムでも注意点しなければならない点をご説明します。
(※1 「Webアプリケーションファイアウォールの世界市場」グローバルインフォメーション社、2022年)
2. Webアプリケーションファイアウォール(WAF)とは
まずWAFの基本的な仕組みについて説明します。
WAFは、攻撃から守りたいWebサーバと外部通信の間に介在して通信を監視し、事前に準備した定義ファイルに基づいて悪意ある通信であると判断した通信を遮断します。監視している通信は主にアプリケーションレベルであり、それが「Webアプリケーション」のファイアウォールと呼ばれる所以です。
定義ファイルには、通信に含まれる文字列や通信挙動が定義されています。例えば、OSのコマンドが利用可能な脆弱性「OSコマンドインジェクション」の存否確認の際によく用いられる文字列「echo」(前後の具体的な文字列は省略)が含まれた通信を遮断する定義ファイルなどがあります。
遮断方式には大きく分けて「ブラックリスト形式」と「ホワイトリスト形式」の2種類があります。ブラックリスト形式は定義ファイルに適合した通信を遮断し、ホワイトリスト形式は定義ファイルに適合しない全通信を遮断します。ホワイトリスト形式はその性格上、極めて限られたサイトでのみ利用可能なため、一般的にはブラックリスト形式を採っており、これ以下のWAFについてもブラックリスト形式のWAFを対象として説明します。
3. WAFが有効な場合
通信と定義ファイルとの適合による遮断がWAFの基本的な仕組みのため、下記のような攻撃に対しては防御が可能となります。
1)定義ファイルが存在する一般的によく知られている攻撃
2)機械的に短時間で連続送信を行う攻撃
3)許可されていない箇所への直接参照など、仕様で禁止が明記されている操作
攻撃者の中には、インターネット上で脆弱なWebアプリケーションを網羅的に探索するために、様々なWebサイトに対して攻撃リクエストを機械的に送信して取得したレスポンスを自動分析するという調査行動を行う者もいます。このような無作為に行われる調査行動では、一般的に知られている攻撃パターンが使用されることが多いため、自分のサイトに仮に脆弱性があったとしてもWAFが通信遮断することで脆弱性が発見される可能性は低く、WAFによる防御は有効であると言えます。
4. WAF導入でも防御できない場合
WAFは確かに有効な防御策の一つですが、WAFを導入していたにもかかわらずWebアプリケーションの脆弱性を悪用された下記のような例も存在します(固有名詞や実際のパターンなどは全て省略します)。
1)攻撃文字列が定義パターンに適合しなかったため、通信が遮断されなかった。
2)特定製品の新しく見つかった脆弱性に対して、定義パターンが作られる前に攻撃された。
3)WAFの設定ミスが原因で、通信が遮断されなかった。
上記のうち1)について、特定のWAFのデフォルト設定やデフォルトの定義ファイルでは検知されない攻撃パターンは、攻撃手法が共有されるコミュニティでは知られており、標的とされたWebサイトの攻撃に利用されています。デフォルトとしていない理由には、正常な通信の遮断が増加することや通信のレスポンスが遅くなるなどがありますが、その理由からすると、今後もデフォルトとして定義ファイルに追加されない可能性は高いように思えます。
弊社では通常のWebアプリケーション脆弱性診断をWAFの設置前に行い、検出した脆弱性に対する攻撃に対してWAF設置後に通信遮断可否を確認する場合や、WAFで通過することの多い文字列パターンの通信を集中的に実施して検知状況を確認する「WAF診断」を行いますが、このようなターゲットを決めた悪意ある通信の場合、WAFで遮断されないケースが存在します。
また、攻撃者は攻撃の難しい箇所から敢えて攻撃は行わず、攻撃対象システムの比較的脆弱な箇所を探して攻撃を試みるのが一般的です。従って「強固なWAFなら回避する」という思考も併せ持っており、標的型のマルウェアのように、システム内部にアクセス可能な関係者を「踏み台」にすることでWAFを回避して、攻撃対象サーバの持つ脆弱性を悪用する攻撃を行うこともあります。
5. まとめ ~WAF導入システムでも脆弱性診断は必要~
以上のようなWAF導入後の脆弱性悪用方法を鑑みると、冒頭に挙げたお客さまのお話や学生からの質問に対する答えも自ずと出てきます。つまり、攻撃の標的と定められたWebアプリケーションに脆弱性がある場合には、当該脆弱性の悪用がWAFによって原理的に不可能となるとは言えないということです。WAFは、存在する脆弱性の対症療法として有効なのであり、原因療法として不十分であります。
脆弱な箇所を減らすことはセキュリティの大原則です。その意味でも、すでに認識している脆弱性がWebアプリケーションに存在するのであれば、まずはその脆弱性を改修して脆弱な箇所を一つでも減らすことが根本的なリスク低減策であり、重要であると考えます。
6. 総合セキュリティサービス e-Gateの監視サービスおよび脆弱性診断サービスについて
セキュリティ機器運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行い、通信が攻撃かどうかの分析、判断をして、セキュリティインシデント発生時に適切に対処できるようにすることが重要です。e-Gateのセキュリティ監視サービスをご活用いただきますと、迅速なセキュリティインシデント対応が可能となります。
また、脆弱性診断サービスでは、お客様のシステムを診断し、検出された脆弱性への対策をご提案させていただいております。テレワークの常態化やIoT等のデバイスの多様化が進む昨今、特定の攻撃経路だけを想定した「境界防御」に加えて、脆弱性を把握・管理・対処する『本質防御』も必須となっています。脆弱性診断サービスをご活用いただきますと、お客様のシステムにおける脆弱性の存否が明らかになります。
監視サービスや脆弱性診断サービスをご活用いただき、セキュリティインシデントの発生を予防、また発生時にも迅速な対処が可能なため、対策コストや被害を抑えることができます。
■総合セキュリティサービス 「e-Gate」
SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきた「IT運用のノウハウ」と最新のメソッドで構築した「次世代SOC “e-Gateセンター“」。この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの“e-Gate”サービスです。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】
https://www.ssk-kan.co.jp/e-gate