無料会員登録
Cloud Days 2016セミナーレポート第2回目の本日は“複雑なITシステムをより簡単に”という企業理念の元、セキュリティアプライアンス及びバックアップソリューションを数多く展開するバラクーダネットワークスジャパンの講演です。
パブリッククラウドでのWeb攻撃対策~WAFがないと守れない最新攻撃手法~
サイバー攻撃の進化に伴い、防御側の対策も機能強化が行われている現在においてもなお、Webサイトの約80%には何らかの脆弱性があると言われています。情報漏洩や、マルウェア・ランサムウェアの感染による通信障害は、企業にとってかなり高い確率で起こり得る経営リスクなのです。
2013年、海外用データ通信機器レンタル会社のWebサーバが「SQLインジェクション攻撃」を受け、約11万件のクレジットカード情報、セキュリティコードが流出しました。
SQLインジェクション攻撃とは
SQLインジェクション攻撃とは、Webアプリケーションに対する攻撃手法の1つで、データベースを不正に操作する事が可能となります。現在Webサイトで一般的に使用されている“ユーザー名とパスワードを入力しログイン”という処理の一部で「OR ‘A’=’A」の入力が行われることで、ORの後が常に真の状態となり、パスワードが異なるにもかかわらず認証されてしまうという現象が起きる仕組みです。
また、一度盗み出されたパスワードをリスト化し、その情報を基に別サイトへの攻撃が行われる「パスワードリスト攻撃」や、30秒~2分毎の低速で行われる「Slow Client Attack(スロークライエントアタック)」という新手のDDoS攻撃など、Webサイトを対象とするサイバー攻撃は驚異的なスピードでその手法を進化させているのです。
企業が行うべきセキュリティ対策とは
これら進化するサイバー攻撃に対し、企業が行うべき最低限のセキュリティ対策が下記3項目です。
- F/W(IPアドレス、ポート制御)
- IPS(OS脆弱性対策)
- WAF(Webアプリケーション対策)
注意点として、これらはそれぞれ防御の対象が異なるため、どれか1つの対策を行ったからと言ってセキュリティ環境が確保できるわけではないという事を忘れてはいけません。3項目を併用することで、セキュリティレベルを高める事が大切なのです。
Webアプリケーションに特化したファイアウォール「WAF」の強み
企業に多く見られる“ソースコードに手を入れる事は現実問題不可能だが、システムは生かさなければならない”というケースの場合「Web Application Firewall(WAF)」の導入が効果的です。
WAFは、クライアントからWebサーバに向けて送信されるデータ及び入力のチェックを行います。
そして、不正な入力が発生した場合、通信を遮断し、内部のWebアプリケーションを防御するのです。
Barracuda WAFでは、SQLインジェクションやCookieなどF/WやIPSで対応する事が出来ないWebアプリケーション特有の攻撃に対して効果を発揮します。
また、「Microsoft」「Amazon web services(AWS)」「VMware」の3つのパブリッククラウドに対応しており、クラウド上に“持ち込み”することで、最新のセキュリティリスクからアプリケーションを保護するのです。
また、日本語対応化されたGUIもBarracuda WAFの強みの1つです。見やすく理解しやすいインターフェースにより、直観的な操作が可能です。
国内シェア№1を誇るバラクーダソリューション
2002年アメリカカリフォルニア州にて設立したバラクーダ社は、現在世界15万社のユーザーにセキュリティアプライアンス・バックアップソリューションを提供しています。そしてバックアップ専用アプライアンス市場において、出荷台数世界第1位を記録するなど目覚ましい飛躍を遂げているのです。
“複雑なITシステムをより簡単に”という企業理念通り、操作性の高いソリューションを提供することで、企業のセキュリティとビジネスの継続性を確保しています。
まとめ
難しい設定は不要で、Webアプリケーションへの高度なセキュリティ対策を行う事のできるWAFは、費用対効果の高いソリューションだと感じました!
特に今回ご紹介のあったバラクーダ社の製品においては、パブリッククラウド対応という点で、オンプレミスからの移行が進む企業にとって好相性な製品だと思います。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
