1. HOME>
  2. ソリューション>
  3. 日本版SOX法で企業のITシステムはどう変わるのか

第4回 Webアプリケーションの脆弱性は大きなリスク「日本版SOX法対象の重要情報を守るWAF」

Webアプリケーションへの攻撃で 相次ぐ重要情報の流出・漏えい

現在、様々な企業でWebアプリケーションの利用が拡大している。Webアプリケーションとは、Webブラウザからの入力に応じて情報を提供、あるいは情報の入出力を行うための仕組み。Webブラウザさえあればアクセスできる利便性の高さから、多くの企業システムで用いられるようになった。

しかし、便利さの裏側にはリスクも存在する。最近、Webアプリケーションの脆弱性を狙った攻撃がしばしば発生している。SQLインジェクションやバッファオーバーフローと呼ばれる手法によって、深刻な個人情報漏えいを引き起こしたケースも少なくない。その原因はアプリケーションのプログラムそのものにある。多くの企業が急速にWebアプリケーションを拡充していることもあり、そのセキュリティ品質が追いついていないのである。

その結果、Webアプリケーションの脆弱性を衝いた攻撃者に、アクセス権の範囲で任意の動作を許してしまうだけでなく、場合によっては管理者権限を奪われることもあり得る。例えば、Webベースの受発注システムを運用している場合、データの改ざんによって会計情報に影響が出る可能性があれば、その情報システムは日本版SOX法の観点からも何らかの対策が必要になる。

本来であれば、根本的な対策としてプログラムの品質を高めるべきであろうが、そのためには多大なコストがかかる。既存のWebアプリケーションの脆弱性をチェックするだけでも大変な作業だ。セキュリティ上の重大リスクだが、現在のところ「分かってはいるが、対処できていない」という企業も少なくないだろう。

現実的な対策の1つに、WAF(Webアプリケーション・ファイアウォール)がある。WAFは従来のセキュリティ対策の死角となっていた、アプリケーション・レイヤーを守るための手法。最近の攻撃の多くは、Webアプリケーションのために開放されているポート80番もしくは443番を狙ったものである。この攻撃には、既存のファイアウォールやIDS、アンチウイルスソフトでは対処できない。そこで、アプリケーション・レイヤーに特化した対策としてWAFが登場した。

原則すべてのトラフィックを遮断し、ポリシーで許可したトラフィックだけをアクセスさせるのがWAFのアプローチ。外部からの攻撃があった場合でも、 Webアプリケーションに到達する前に防御してしまう。特に、プログラムの修正に膨大な手間がかかる場合、あるいは頻繁に追加している場合など、プログラムをすぐに改修できないときに効果的な手法といえる。このWAF機能を持つ製品として、F5ネットワークスは「BIG-IP Application Security Manager(ASM)」を提供している。

WAF機能を提供するBIG-IP ASM BIG-IP LTMに追加して統合管理が可能

BIG-IP ASMにはWAF機能を備えたアプライアンス製品と、F5ネットワークスの「BIG-IP Local Traffic Manager(LTM)」上に追加して統合管理が可能なソフトウェア・モジュールがある。BIG-IPは負荷分散やトラフィック管理などを行う統合プラットフォームで、この分野の製品としては世界、そして日本でNo.1のシェアを持っている(2005年度富士キメラ総研調べ)。ソフトウェア・モジュールとして追加すれば、このプラットフォームの高速処理性能を活用し、WAF機能でも高いパフォーマンスを得ることができる。

BIG-IP ASMのWAF機能は、ポジティブ・セキュリティと呼ばれるホワイトリスト方式とネガティブ・セキュリティと呼ばれるブラックリスト方式の双方をセキュリティポリシーとして定義することで高い防御能力を実現している。

ホワイトリスト方式とは、ポリシーによって正しいと定義されたトラフィックのみに、Webアプリケーションへのアクセスを許可する方式。一方、ブラックリスト方式とはIDS(不正侵入検知システム)やIDP(不正侵入防御システム)と同様に不正なアクセスをデータベース化し、Webアプリケーションへアクセスするトラフィックをデータベースと参照/照合する事で検知/防御を実施する方式である。

また、BIG-IP ASMはクライアントからサーバーへのアクセスだけでなく、逆向きのトラフィックについても、その内容を厳しくチェックすることで、不正な情報流出を防止することができる。加えて、ポリシー作成を容易にし、管理者のミスを防ぎながらポリシー設定を支援する自動学習機能も備えている。

先に触れたようなメリットから、いまWAFへの注目度は高まりつつある。日本版SOX法への対応をWebアプリケーションの分野で検討する際、WAFが重要な要素の1つであることは間違いない。

ただし、その前に行うべきは、自社のWebアプリケーションのリスクを正しく把握することだろう。プログラムの内容を精査することが難しい場合でも、そのアプリケーションが扱っている情報の重要性を評価することはできる。顧客情報や会計情報などの重要なデータがあるのなら、WAFを含めてリスクの大きさに応じた対応策が必要だ。

このページのトップへ