ニュース
F5、アプリケーションレイヤの暗号化やボット対策を実現する「Advanced WAF」を発表
2018年5月25日 12:13
F5ネットワークスジャパン株式会社(以下、F5)は23日、包括的なWebアプリケーション保護を実現する「Advanced Web Application Firewall(WAF)ソリューション」の提供を開始した。
同社の既存Webアプリケーションファイアウォール(WAF)の機能を拡張し、アプリケーションレイヤでの暗号化、ボット対策、クレデンシャルスタッフィング(パスワードリスト攻撃)対策など、高度化する脅威に対抗するための機能が新たに提供される。
新製品発表会において代表執行役員社長 権田裕一氏は、「F5のソリューションは、マルチクラウドを前提としている。オンプレミス、プライベート/パブリッククラウドに加え、SalesforceなどのSaaS利用もマルチクラウドの一部としてとらえている。マルチクラウド環境において、それぞれのアプリケーションを個別に運用するのではなく、サービスを抽象化して運用を共通化するため、ADC(Application Delivery Controller)や、アプリケーションセキュリティのサービスを提供している。Advanced WAFも、そうしたセキュリティサービスの一部だ」と説明した。
F5はこれまでも、WAFソリューションにおいて、「OWASP Top 10」に列挙されているセキュリティリスクの防御、SSL/TLSで暗号化された通信の検査、スクリプティングによるアプリケーション攻撃の防御といった機能を提供してきた。
しかし今回“Advanced”WAFを提供するのは、Webアプリケーションを取り巻く環境の変化にあるという。
セキュリティソリューションアーキテクトの谷村透氏は、「情報漏えい事故の38%はWebアプリケーションの脆弱性が原因となっており、Webアプリケーションを狙うサイバー攻撃も高度化している。さらに、マルチクラウド化やモバイルデバイスの普及などによってアプリケーションの利用環境も多様化しているため、新たなセキュリティ対策が必要になっている」と説明した。
従来のWAFの機能に加えてF5のAdvanced WAFには、ボット対策、クレデンシャルスタッフィング対策、アプリケーションレイヤの暗号化、レイヤ7 DDoS攻撃検知、API攻撃への防御といった機能が追加されている。
ボットの目的を「見分けて」「ふるい分ける」多角的な対策を実現
谷村氏はこれらのAdvanced WAFの機能の中でも、ボット対策およびクレデンシャルスタッフィングについて、具体的な機能を説明した。
悪意あるボットは、DDoS攻撃、インジェクション攻撃、クレデンシャルスタッフィング、スクレイピングなどのサイバー攻撃の手段として用いられる。攻撃を受けた側は、サービス停止や情報漏えいなどさまざまな被害を受けるため、エンドポイントのセキュリティを強化したり、実際に攻撃された場合にはアクセスをブロックしたり、といった対策を講じている。
しかし、そもそもボットは特定の目的のために繰り返し同じタスクを実行するソフトウェアであり、例えば価格調査など商用利用のための情報を収集するクローラや、サーチエンジンのクローラ、システム運用のための死活監視サービスなど、悪意のないボットからのアクセスもある。
谷村氏は「ブラック(悪意のある)ボットと、ホワイト(問題のない)ボットのほかにも、どちらともいえないグレーなボットもある。どこまでを許容するかはビジネスの判断であり、これらのボットを見分けるとふるい分ける機能が必要」と述べる。
これに対してAdvanced WAFのボット対策機能では、ボットシグネチャやクロスドメインのチェック、相手にJavaScriptを送るJSチャレンジ、キャプチャ送信、マウスやキーボードなど人の操作を確認するヒューマンチェックなど多角的な視野から、ボットの目的や悪意の有無を見分け、その種類によってどのように対応するかを判断してふるい分けることができる。
ふるい分けの方法としては、アクセスのブロックやドロップ、レート制限、キャプチャの提示、別サーバーへの転送といった細かい対応を実行可能。もちろん、正しいアクセスであれば影響はない。
谷村氏はAdvanced WAFでの成功事例として、海外の航空会社におけるボット対応の例を紹介した。この航空会社のサイトでは、航空券価格比較購入サービスなどのボットによる過剰なアクセスが過負荷となり、正規ユーザーに対するレスポンスが低下していたという。
しかしIPブラックリストなどの対策では状況が改善しなかったため、Advanced WAFによるプロアクティブなボット対策を実施したところ、不要なボットからのリクエストを遮断大幅に遮断し、トラフィックを30%以上削減できたとのこと。また、通常の“クリーンな”アクセスに対するレスポンスも改善したという。
クレデンシャルスタッフィング対策は「盗まれない技術」と「使わせない技術」
クレデンシャルスタッフィングとは、不正に取得したクレデンシャル(ID/パスワードなどの認証情報)を悪用する一連のサイバー攻撃で、パスワードリスト攻撃やリスト型攻撃と呼ばれることもある。Advanced WAFのクレデンシャルスタッフィング対策機能は、クレデンシャルを「盗まれない対策」と、盗まれたクレデンシャルを「使わせない対策」の両方を提供する。
盗まれない対策としては、アプリケーションレイヤで通信を暗号化することで、MiTM(Man-in-the-Middle attack)やMiTB(Man-in-the-Browser attack)といった中間者攻撃を受けた場合でも通信内容の漏えいを防止する、などの機能が提供されている。
谷村氏は「SSL通信を行っていれば中間者攻撃への対策が十分と思われがちだが、実際にはマルウェア感染などにより、情報が暗号化される前に盗まれることもある」と説明する。
Advanced WAFによるアプリケーションレイヤの暗号化は、事前に指定したURLに「DataSafe」と呼ばれるJavaScriptを自動で挿入し、ID、パスワード、その他のパラメータなどを暗号化する。ブラウザから入力したデータがリアルタイムで暗号化されるため、マルウェアやキーロガーからもクレデンシャルを守ることができる。また、暗号化したデータはAdvanced WAF内で復号化されるため、Webアプリケーションに対する変更は一切必要ない。
盗まれたクレデンシャルを使わせない対策としては、前述のボット対策機能に加え、クレデンシャルスタッフィングDBによる振り分け機能が提供される。ダークWebに流通しているクレデンシャルリストなど、F5のリサーチチームが独自に収集した「辞書」(サブスクリプションで提供)を利用してなりすましを検知し、アクセスのブロックや別サーバーへの転送といった振り分けを行うことができる。
行動分析やAPIプロトコルセキュリティの機能も提供
そのほかにもAdvanced WAFでは、マルチクラウド環境のアプリケーション利用を包括的に保護する機能を提供する。サーバーの状態と負荷は継続的にモニタリングしており、レイヤ7を目標としたDDoS攻撃の検出と防御を自動的に行う。攻撃のパターンは機械学習と行動分析から動的に判定され、チューニングも状況に応じて自動的に実行されるという。
また、APIを狙った攻撃の防御として、REST APIやJSON、SOAP、AJAX、XML、WSDLAPIなどのAPIに対するブルートフォースやDoS攻撃に対応する。
オンプレミス、仮想アプライアンス、クラウドサービスで同じ機能を提供
なおAdvanced WAFは、オンプレミスに設置する物理アプライアンス、プライベート/パブリッククラウドで利用する仮想アプライアンス、そしてクラウドベースのサービスである「WAFaaS(WAF-as-a-Service)」から提供される。
これらはすべて同じエンジンで提供されており、どの環境でも同じセキュリティ機能が提供できるようになっている。
Advanced WAFのライセンスは既存のWAFとは異なるため、WAFのユーザーがAdvanced WAFを導入する際にはライセンスの切り替えが必要になる。なお、ライセンスはパーペチュアル(買い切り)、サブスクリプションなど提供形態に応じた利用ができるという。
なお、Advanced WAFの提供開始に伴うビジネス目標について権田氏は、「来年度のWAF売上を現状の2倍にしたい」と意気込みを示した。