【データセンターコンファレンス2015 Winter】ジェイピー・セキュア：セキュアなWebサイトの実現に必須　自社に最適なWAFを導入するには？

留まることを知らない　Webサイトへの攻撃

ECサイトやオンラインショップ等の基盤として、Webサイトはますます重要性を増している。だが、情報漏えいやコンテンツの改ざん、アクセスしたユーザーがマルウェアに感染させられるなど、Webサイトを経由したセキュリティ事故はいまだ留まることを知らず、多くの企業が被害にあっている。

株式会社ジェイピー・セキュア 取締役 CTO 齊藤 和男 氏

Webサイトへの侵入や攻撃を行う手法は、大きく「認証経路への不正アクセス」「Webアプリケーションの脆弱性を突いた攻撃」の2つに大別される。登壇したジェイピー・セキュア 取締役CTOの齊藤和男氏は、「特に脆弱性を突いた攻撃ですが、以前から知られていた『クロスサイトスクリプティング（XSS）』や『SQLインジェクション』の割合が依然として高く、いまだ、深刻な状況が続いています」と強調する。また、近年では、Webアプリケーションフレームワークである「Apache Struts」の脆弱性や、Unix系OSで広く使われているシェル「bash」の脆弱性を突いた攻撃も頻発、さらに2015年にはWindowsのHTTP.sysの脆弱性を悪用し、OSを強制停止させる攻撃が問題になったことも記憶に新しい。「Webサイトのセキュリティ対策の基本は“とにかくサイトをセキュアに構築する”、これに限ります。しかし、対策の網羅性や運用上の問題から、脆弱性をゼロにすることが困難であるのも確かです」と、齊藤氏は訴える。

「まずは定期的に脆弱性診断を実施して現状を把握し、適切な対策を講じていくことが必要です。そして、Webサイトのセキュリティ強化の有効策の1つとなるのが、Web Application Firewall（WAF）の活用です」（齊藤氏）

自社サイトの要件の応じて　適切なWAFの選択が重要

WAFとは、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するソリューションであり、Webサイトを狙った攻撃への事前対策、および事後対応の両面で大きな効果を発揮する。「例えば事前対策では、セキュリティ診断の結果、脆弱性が発見され修正が必要となった場合でも、運用中のWebサイトを即座に停止できないケースが多々あります。対して、WAFを導入することで、攻撃を防ぎながら対策の検討・計画を進めることができます。一方、攻撃で被害を受けてしまった場合、原因究明や対策が求められますが、事業継続の観点からサイトの長期停止などが許されない場合があります。早期の復旧と脆弱性の修正に向け、WAFが事後対策に活用されるケースもあります」と齊藤氏は説明する。

現在、WAFの提供形態は大きく、①ネットワーク/ゲートウェイ型、②ホスト型、③サービス型（SaaS、クラウド型）に分類される（図）。齊藤氏は「オンプレミス環境でWebサイトを運用しており、インライン構成で配置するという要件の場合は、ハードウェアの①が有効です。また、Webサーバー上にインストール場合は②。ネットワーク構成の変更が不要なほか、仮想環境上に構築されたWebサーバーへの導入も容易です。迅速な導入を行いたいなら③が適しているでしょう。それぞれの特徴を理解したうえで、自社Webサイトの構成や運用形態に応じた製品を選定することが重要です」と話す。

図　WAFの種類

対してジェイピーセキュアが開発、提供する「SiteGuardシリーズ」はソフトウェア型のWAFであり、HTTPのリバースプロキシとして動作するゲートウェイ型の「SiteGuard」と、Apacheのモジュールとして動作するホスト型の「SiteGuard Lite」をラインナップに揃える。

SiteGuardシリーズの特徴は、シンプルな操作性に加え、迅速なシグネチャの提供による高い防御性能にある。「先に述べたようなApache Strutsやbash、HTTP.sysの脆弱性の問題についても、迅速なシグネチャリリースに定評があります」と齊藤氏は説明する。また、国産製品ならではの迅速かつ柔軟な製品サポートも優位点で、多くの企業から評価されているという。

SiteGuardシリーズは大手金融機関をはじめとした多くの企業で活用されているほか、最近では、共用ホスティングサービスの標準機能、または専用ホスティングやクラウドサービスにおける有償のオプション機能として採用が進んでいるという。齊藤氏は、「ロリポップ！レンタルサーバーをはじめ、ファーストサーバーのクラウド型レンタルサーバー『Zenlogic』でSiteGuardシリーズが標準のWAF機能として用いられているほか、さくらインターネットの『さくらの専用サーバ』の一部OSにも標準搭載されています」と話す。なお、そうしたクラウドサービス／データセンター事業者がSiteGuardシリーズを付加サービスとして利用できるようよう、サービス体系に応じてライセンス料金をカスタマイズ可能な「サービスパートナープログラム」も用意されている。

WordPressの脆弱性対策にも　無償のプラグインを提供

一方、Webサイトのみならず、CMSを標的とした攻撃も増加しており、不正ログインやコメントスパム、管理ページへの不正アクセスに悩まされているシステム管理者は少なくない。特に日本国内の場合、オープンソースのCMSであり、Webサイト構築で多くの実績を保有する「WordPress」について、その脆弱性や攻撃が話題に上ることが増えている。

このような課題に対してジェイピー・セキュアでは、WordPress用セキュリティプラグイン『SiteGuard WP Plugin』を開発、2014年から無償提供を開始した。SiteGuard WP Pluginは、ログインページ名の変更や、ログイン失敗を繰り返す接続元IPのブロック、画像認証によるコメントスパムへの対策といった機能を通じて、CMSに対するセキュリティ攻撃を遮断する。

「高度なセキュリティ対策を実現できる多機能型など、WordPress用のキュリティプラグインは他にも多数存在していますが、操作画面がすべて英語であったりするなど、簡単には使いこなせいという課題がありました。対して、SiteGuard WP Pluginはシンプルで簡単な操作に加え、日本語に対応したことが評価され、2015年内には10万を超えるダウンロード数が見込まれています」（齊藤氏）

先に述べたロリポップ！レンタルサーバーやZenlogicホスティングにおいて、SiteGuard WP PluginがCMSのセキュリティプラグインとして活用されているという。齊藤氏は、「CMSのセキュリティ強化についても、ジェイピー・セキュアはこのような取り組みを進めています。WordPressのセキュリティ対策に悩んでいるならば、ぜひ一度、SiteGuard WP Pluginを試して頂きたいと思います」と訴えた。