日々深刻化する標的型攻撃の中でもWebサイト改ざんによる被害が増加しています。水飲み場攻撃はひとつの例であり、インターネットが普及した現代において、これほどの脅威はないでしょう。
もしも自社Webサイトを改ざんされたとしたら、気付かない間に被害者にも加害者にもなるのです。
そんな標的型攻撃に対して有効的なセキュリティ対策がWAF(Web Application Firewall)と改ざん検知システムです。
どちらもWebサイトの不正改ざんに対し強力なセキュリティを敷くことができます。
しかし、結局のところどちらを導入すればいいのか?迷っている方も多いのではないでしょうか。
そこで今回はWAFと改ざん検知システムを比較しつつ、標的型攻撃に最適なセキュリティソリューションを決定したいと思います。
WAFはWebアプリケーション単位で侵入をブロックする
前述したようにWebサイトというのは攻撃対象になりやすく、攻撃者は主にWebサーバを狙って侵入を試みます。
主な方法としてはポートスキャンで組織ネットワークへの侵入を試みる、DDoS攻撃※1による不正アクセス、そしてWebアプリケーションの脆弱性を利用した3つです。
ポートスキャンによる不正侵入とDDoS攻撃はファイアウォールやIPSで防御することができます。
しかし、3つめのWebアプリケーションの脆弱性をついた攻撃は防ぐことができません。
これを防御できるのはWebアプリケーション単位で侵入をブロックするWAFだけなのです。
※1:DDoS攻撃とは複数のネットワークに存在する大量のコンピュータから、1つのWebサイトへ集中的にアクセス負荷をかけサービス停止へと追い込むこと。稀にDDoS攻撃を起点としてネットワーク内への侵入が試みられる。
WAFの仕組み
WAFは基本的にWebサイトへのアクセス元(ユーザ)とWebサーバの間に介在し、通信を検査することでWebアプリケーションに対する攻撃を検出しています。
検出のベースとなるのはシグネチャ※2であり、防御能力はシグネチャの品質によると言っても過言ではありません。
※2:シグネチャとはウイルスや不正通信などの攻撃パターンをまとめたファイルであり、シグネチャと通信を照合することで攻撃を検出するために用いる。
WAFの有効性
WAFはWebアプリケーションに脆弱性が発見されてもすぐに対応できない時に効果的です。
脆弱性をWAFでカバーすることにより不正改ざんを回避してWebサイトを守ることができます。また、複数のWebアプリケーションを稼働している場合、WAFの導入によりセキュリティを均一化することも可能です。
改ざん検知システムはWAFよりもセキュリティ性が高い?
同じくWebアプリケーションを不正改ざんから守ることができる改ざん検知システムは、まったく異なるアーキテクチャを持っています。
WAFが「不正攻撃をブロックする」というセキュリティならば、改ざん検知システムは「不正攻撃による改ざんを検知する」といったところでしょう。
故に改ざん検知システムでは対処が遅れるのでは?という不安を持つ方が少なくありません。
しかしどちらが標的型攻撃に対して有効的かと言えば、改ざん検知システムに分があると考えられます。
改ざん検知システムは“不正改ざん”を見逃さない
セキュリティ対策に絶対はありません。Webサイトに対する攻撃手法は日々進化しており、攻撃者とセキュリティ会社でいたちごっこが続いているという状態です。
つまりどんなに攻撃を“ブロック”しようと、100%の防御ではないため侵入されてしまう可能性は大いにあります。
そこで少し視点を変え、改ざん検知システムを導入することで有効的なセキュリティ対策を講じることができます。
それは攻撃者による“不正改ざん”を検知して対処するという方法です。
Webサイト改ざんにしろ、他のサイバー攻撃にしろ、つまるところ攻撃者の目的は“不正改ざん”です。
秘密裏にプログラムの変更をしたりバックドア※3を設置することで初めて情報を搾取することができます。
つまり、“不正改ざん”を見抜くことができれば如何なる攻撃にも対処することが可能になります。
改ざん検知システムは「不正攻撃をブロックする」という視点ではなく、「不正攻撃による改ざんを検知する」というあくまで攻撃されることを前提としたセキュリティ対策なのです。
標的型攻撃を完全にブロックしようと考えるよりも、攻撃されることを前提とした対策の方が、改ざん/変化をキャッチするので、ブロックせずにその後スルーさせて何の認識もなく何事もなかったかの状態、起きていることを認知していない状態よりも、遥かにセキュリティ的に強力と言えます。
※3:バックドアとは攻撃者がシステムを自由にリモート操作できるよう、侵入のために作られる「裏口」のこと。
WAFでは他の標的型攻撃に対応できない
WAFはあくまでWebアプリケーションへの脆弱性攻撃を防ぐものであって、その他の攻撃を防御することができません。OSやミドルウェアなどのプラットフォームの脆弱性に対する攻撃は多くの場合WAFの守備範囲外です。
マルウェアに感染されたメール、外部からの侵入による社内システムの操作などもWAFではカバーできません。つまり標的型攻撃へのセキュリティを強化するためには、WAF以外のセキュリティソリューションも同時に導入する必要があります。
となるとシステム運用の煩雑化やコストの肥大化は避けられないでしょう。
改ざん検知システムなら企業システム全体を防御できる
一方、改ざん検知システムはWebアプリケーションに限らずサーバ、OS、デスクトップ、ネットワーク機器などあらゆる攻撃対象の不正改ざんを検知することができます。
Webアプリケーションが稼動しているプラットフォームを一括して監視可能であり、攻撃者が不正なファイルをサーバに保存し水のみ場攻撃を仕掛けることや、標的型メール攻撃、内部犯行による不正改ざんも検知し、同時に防御することができるのです。
そして改ざん検知システムの中でもおすすめなのがTripwire(トリップワイヤ) の製品です。Tripwireは、約20年間に渡って改ざん検知システムを提供するリーディングカンパニーです。
検知後の対処を自動設定できる
もう一つ改ざん検知システムのメリットを上げておくと、不正改ざんを検知した後は設定により任意のアクションを実行できる点です。
予め対応プログラムを設定しておけば、検知後の対処を自動化することができます。
従って攻撃をただ検知するだけではなくしっかりと防御することもできるのです。
Tripwire Enterpriseではこの検知後の対処を簡単に設定することができるので、セキュリティ専門家がいなくとも効果的な対策を取ることができるでしょう。
まとめ
いかがでしょうか?標的型攻撃(特にWebサイトの不正改ざん)が深刻化している現代において、WAFは確かに魅力的なセキュリティソリューションです。しかし完全ではありません。
また、シグネチャのルール設計に左右されるので選定や運用が難しいという部分があります。
これに対し改ざん検知システム(Tripwire Enterprise)では企業システム全体を守るセキュリティ対策を講じることができ、システムの複雑化もコストの肥大化もありません。
また、多くのセキュリティ専門家が「100%のセキュリティはない」とコメントしているように、今後は攻撃されることを前提としたセキュリティ対策が重要視されていくでしょう。
そんなセキュリティ対策を実現するソリューションこそ改ざん検知システムです。
皆さんはWebアプリケーションに限定されたセキュリティと、企業システムを守るセキュリティならどちらを導入しますか?
