WAF/メールゲートウェイ――特定の攻撃を「検知」「防止」する技術の基礎(その2)セキュリティ・テクノロジー・マップ(5)

典型的な社内システムを想定し、セキュリティ技術の基礎をおさらいする本連載。第5回では、「Webサイトを狙う攻撃」や「メールを使った攻撃」を検知、防御する技術を紹介します。

» 2016年08月09日 05時00分 公開

対象を特化した「検知」「防御」

 前回、「対象を特化した検知」の例として、マルウェアに特化した「サンドボックス型セキュリティ機能」「マルウェア対策機能」を解説しました。続きとなる今回は、Webサービスやメールサービスへの攻撃に特化した「検知」「防御」の技術を紹介します。

Webサービスへの攻撃に特化した「検知」「防御」

 Webサービスへの攻撃に特化した検知・防御を行う機能を実装したのが、「Webアプリケーションファイアウォール(WAF)」です。

 WAFが対象とするのは、Webサービスと利用者との間のやりとりです。Webサービスは、コンテンツ管理システム(CMS)やデータベースなどを利用して、利用者と情報のやりとりをしながら、利用者ごとに動的に変化するコンテンツを提供するのが一般的です。

 こうしたWebサービスは外部に対して公開されていることが多く、またセキュリティ上の弱点である脆弱(ぜいじゃく)性が生まれやすいことから、攻撃者にとって主なターゲットの1つになっています。この脅威に対して、通信内容を「検知」「防御」する技術を使ってあらかじめ選別してからWebサービスに処理させることなどにより、Webサービスに対する攻撃のリスクを減らすのがWAFの役割です。

 WAFには、第3回で取り上げた「侵入検知システム(IDS)」や「侵入防止システム(IPS)」と同様に、ネットワーク型WAFとホスト型WAFがあります。ネットワーク型WAFは、ネットワーク上に設置することにより、複数サーバを対象に、広範囲の通信を一度に監視できるのが特徴です。一方のホスト型WAFは、個々のWebサーバ上に導入する必要がある代わりに、コンテンツ管理システムが操作するファイルなど、より詳細な情報を基に監視ができるところに特徴があります。

WAFのイメージ WAFのイメージ

 実際の製品を見ると、ネットワーク型WAFではアプライアンス製品が多く、中にはサービス停止(DoS)攻撃対策の機能と組み合わせたような製品もあります。一方のサーバ型製品は、クラウド上の仮想マシンとして利用できるように、クラウドサービス化したものなどが存在します。また、WAFの利用には検知のための情報(シグネチャなど)が必要ですので、その情報源や更新の頻度、更新に掛かる手間などの点を工夫した製品が多いようです。

メールサービスへの攻撃に特化した「検知」「防御」

 メールサービスへの攻撃に特化した検知・防御を行う機能を実装したのが、「メールゲートウェイ」です。

 メールサービスの利用に当たっては、“悪意ある添付ファイルが含まれるメール”や、“悪意あるURLに誘導しようとするメール”といった外部からの脅威があります。電子メールを利用した脅威は人間の「うっかり」を狙ったものであるため、大規模な組織になるほどリスクが増します。

 メールゲートウェイは、こうした脅威を防ぐために、メールの配送経路に割り込み、組織のメールサービスが外部からメールを受信する前に“門番”としてチェックする役割を果たします。これにより、外部からの脅威を含むメールを廃棄あるいは無害化して、ユーザーのところに届かないようにします。

メールゲートウェイのイメージ メールゲートウェイのイメージ

 実際の製品では、アンチウイルス機能やコンテンツフィルタ機能などをベースに、メールゲートウェイの機能を実現しているものが多く見受けられます。また、「迷惑メール」や「社内情報を含むファイルの漏えい」など、対応する脅威の種類を増やして、門番としての役割を強化している製品もあります。「メールの配送経路に割り込む」という設置箇所の柔軟性から、クラウドとの相性も良く、クラウド型のサービスも多数存在しています。

対象を特化した「検知」「防御」が防ぐ脅威

 それでは最後に、今回説明した対象を特化した検知・防御の仕組みが、具体的にどのように攻撃を防ぐのかを見ていきましょう。

 例えば、攻撃者がある組織を標的にして攻撃しようとして、外部に公開されているWebサービスに狙いを定めたとしましょう。このとき、Webサービスの「SQLインジェクション」脆弱性を狙われれば、攻撃者によって、Webサービスに悪意のある内容を含んだ通信が行われてしまいます(参考記事)。ここでWAFの登場です。WAFは、Webサービスの手前で、通信に含まれる悪意のある内容を検知して、「遮断する」「無害化を施した上でWebサービスに渡す」などの対応をします。

 では、攻撃者がメールでの攻撃を試みた場合どうなるでしょうか? 方法としては、メール経由で「製品サポート係宛てに、壊れた製品の画像ファイルを含むメールを送る」など、相手が開きたくなる、あるいは開かざるを得ないような悪意のあるファイルを添付したり、「思わずクリックしたくなるような、マルウェア感染につながるURL」を本文内に記載したりしたメールを送信します。

 このときメールゲートウェイは、「メールに添付されたマルウェアを検知し廃棄する」もしくは「メール本文から不正なURLを除去する」といった対応を行います。これにより、マルウェア感染のリスクを減らすことができます。

 以上、今回は「対象を特化した検知」の中でも特に、「Webサービスへの攻撃」と「メールサービスへの攻撃」に特化した検知・防御機能について解説しました。実際にどのような製品を選定するかは、企業の立場やセキュリティに対する考え方によりさまざまです。しかし、Webサービスもメールサービスも、外部に対して公開する性格のものであるため、攻撃者に狙われやすく、過去の情報漏えい事件などでも、被害のきっかけになっているため注意が必要です。こうしたセキュリティ製品は「設置するだけでよい」というものではありませんが、これらの製品を活用して、少しでもリスクを軽減することを考慮してみてください。

著者プロフィール

▼三浦 史也(みうら ふみや)

株式会社ラック

ラック入社後、セキュリティ診断業務に従事。官公庁や金融インフラなど数多くの顧客環境を診断し、顧客の抱えるリスク低減に努める。また、診断経験を生かして、企業のプロフェッショナル向けセミナーの講師や、NPO日本ネットワークセキュリティ協会(JNSA)の教育WGにおいて情報セキュリティに関する講師を勤めるなど、設計・構築段階からの安全性向上を目指している。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。