第4回 セキュリティを支えるテクノロジー フォーティネットのエキスパートが語る

「WAFを設置すれば大丈夫」はもう古い

企業サイトを狙う「巧妙で防ぎにくい攻撃」のリスク。いま選ぶべき“守り方”は?

文●大谷イビサ 編集●ASCII 写真●曽根田元

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

 いまや企業にとって、Webサイトは「ただの情報発信の場」ではない。ブランドの信頼、顧客との接点、そして事業の成否すら左右する“顔”として機能しているケースも多いだろう。

 ボット、DDoS、標的型の脆弱性攻撃……Webサイトの重要性が増すにつれて、それを狙う攻撃も巧妙化している。「WAF(Webアプリケーションファイアウォール)を設置しておけば大丈夫」。そんな常識は、すでに通用し無くなっている。

 いまどきの企業に求められる“統合的”なWeb防御の再設計のために、どのような考え方が求められるのだろうか。フォーティネットジャパンで、Webサイトを統合的に防御するソリューション「FortiAppSec」を担当するシニアシステムエンジニア 竹森 慎悟氏に、最新のWebサイトセキュリティについて聞いた。

ビジネスでますます重要になるWebサイト でも、Webセキュリティは変わらない?

 竹森氏は、外資系IT企業でWebやアプリケーションのセキュリティ分野で実績を積んできた。2017年にフォーティネットジャパンに入社し、エンタープライズユーザーを担当。5年ほど前から特定領域のソリューションの立ち上げや啓蒙を担当している。現在はパブリッククラウドやアプリケーションセキュリティ、SASEといったソリューションを手がけており、おもに企業のセキュリティ運用担当者に提案することが多いという。

 竹森氏が問題意識を持っているのは、Webサイトのセキュリティ対策が攻撃に追いつかないという点だ。ご存じの通り、ニュースサイトで日々ひっきりなしにWebサイトの障害事件が報道されている。シンプルにサイトがダウンしてしまうことでビジネスが止まってしまうこともあるが、情報漏えいやマルウェア拡散サイトへの改ざんなどにつながることも多い。「現在のWebサイトは単なる会社や事業紹介だけではなく、ECサイトや顧客管理サイトのポータルとして機能しているので、障害が起こった際の影響がきわめて大きい」と竹森氏は指摘する。

フォーティネットジャパン 技術統括本部 セキュリティファブリック技術本部 シニアシステムエンジニア 竹森 慎吾氏

 こうしたWebサイトへの攻撃は多種多様だ。大量のトラフィックを発生させ、Webサイトを停止させてしまうDDoS攻撃が代表的だが、Webアプリケーションの脆弱性を突くことで、サイトで管理している顧客情報を詐取したり、Webサイト管理者権限を剥奪して、サイトを改ざんしてしまうという攻撃も多い。「たとえばWordPressやTomCatなどWebサイト構築で用いられるツールやサービスは、日々新しい脆弱性が出てきます。安定的かつセキュアにWebサイトを構築するのは至難の業と言えます」と竹森氏は語る。

 Webセキュリティに関わっているエンジニアであれば、この課題は10~30年間あまり改善されてこなかったという事実に気づくだろう。この1つの原因は、セキュリティ対策も進化しているが、攻撃もどんどん進化しているという点に起因する。「昔は物量攻撃とも言えるDDoS攻撃が主流でしたが、最近はアプリケーションの脆弱性を狙った攻撃にシフトしています。攻撃ツールをカジュアルに利用できるようになったり、AIを利用するようになり、攻撃の敷居が低くなっています」と竹森氏は指摘する。

レガシーなWAFではもはやWebサイトは守れない

 激化するWebサイトの攻撃に対しては、当然さまざまなジャンルのセキュリティ製品が多くのベンダーから展開されてきた。しかし、運用にはプロフェッショナルのスキルが必要で、効果を出すのはなかなか難しかったのも事実だ。

 たとえば、既存のWebサイトのセキュリティ対策として古くから用いられているWAF。HTTPやHTTPSなどWebアクセスで必要なプロトコルにフォーカスしたWAFでは、トラフィックと攻撃パターンをデータベース化したシグネチャを照らし合わせることで、Webアプリケーションに特化した攻撃を検知することができる。

 しかし、シグネチャーに依存するWAFは定期的な更新が必要で、公開された脆弱性を迅速に突く「ゼロデイ攻撃」には対応できない。正常な通信を攻撃と見なしてしまう誤検知も多く、大量のアラートをチェックするのも骨が折れる。効果を得るために人手をかけなければならず、アラートを読み解くプロフェッショナルのスキルも必要になる。

 また、多くのユーザー企業が導入するアプライアンス型のWAFの場合、Webサイトにあわせた細かいチューニングが可能というメリットはあるが、高価で拡張が難しい。サイトの規模が拡大した場合には、新しいアプライアンスを購入しなければならない。

 なにより多様化する攻撃に対しては、すでにWAFだけでは対応できない。Webサイトを不正に書き換えたり、マルウェアを拡散させるボットには専用のボット対策が必要。DDoSに対しては、大量のトラフィックを吸収するためのCDN(Contents Delivery Network)が採用されることが多い。

 これからは異なる脅威に対して、異なる対策を漏れなく適応していくことが、Webサイトのセキュリティ防御には重要となる。竹森氏も「特定の課題のみに対応した製品だけでは、もはやWebサイトのセキュリティは確保できません」と主張する。

Webサイトのセキュリティをワンストップで提供

 こうした課題に対して、Webサイトセキュリティに必要な機能をまとめて提供してくれるのがフォーティネットの「FortiAppSec Cloud」になる。

 FortiAppSecでは、実績あるフォーティネット製品をワンストップで利用できるという点が他社製品との差別化要因になる。WAF、DDoS攻撃対策、ボット対策、グローバルロードバランシングのほか、DAST(Dynamic Application Security Testing)と呼ばれるWebサイトの脆弱性診断機能まで用意している。ここまで統合された製品はなかなか見当たらない。

包括的なアプリケーション保護「FortiAppSec Cloud」

 もちろん、単なる寄せ集めというわけではなく、最新の技術と統合型の管理画面を持っている。たとえば、Forti WAFでは「OWASPトップ10」と呼ばれる最新の脆弱性リストを用いたリアルタイムな脅威検知も可能。「Threat Analytics」という機能で、膨大なアラートを機械学習で分析し、最新の攻撃状況や対応のアドバイスを行なう。「なにか起きたときの対応まで1つのサービスで完結できます」と竹森氏は語る。

 最新のゼロデイ攻撃への対応も万全。AIを用いた攻撃検知では、トラフィックを分析し、通信が正常か、異常かを判断できる。数理モデルをダイナミックに作成し、逸脱したトラフィックを抽出して、FortiGuard Labのクラウド型インテリジェンスと比較し、攻撃を抽出できる。「未知の攻撃を抽出し、それらに対応するためのシグネチャーもどんどん更新します。運用の負荷をかけずに最新の攻撃に対応できます」と竹森氏は語る。

 また、クラウドサービスなので、アプライアンスに比べて拡張性も高く、導入も容易。コストや運用面でも大きなメリットがある。「Webサイトを安定的にセキュアに運用するための機能がほぼ含まれています。SaaS型なので、高いセキュリティを容易に実現できます」と竹森氏は語る。

 竹森氏から見たFortiAppSec Cloudのアピールポイントについて聞くと、「昨今のWebサイトへの攻撃は複雑です。その点、FortiAppSec Cloudはどのパラメーターが標準から逸脱しているのか、なぜ攻撃だと判断したのかをわかりやすく説明してくれます。WAF以外のボットやDDoS攻撃まで1つで済むのは、大きなメリットだと思います」と説明してくれた。

■関連サイト

Fortinet トップへ