Webサイトの脆弱性を狙ったサイバー攻撃が後を絶たない。攻撃者は、定番から最新まで多種多様な手法で仕掛けてくる。現在のWebセキュリティの脅威を整理するとともに、本当に有用な防御策とは何かを探る。
2008年ごろから、Webサイトを狙った情報漏えい事件・改ざん事件が増え、現在はネットワークを介したサイバー攻撃の8割以上がWebアプリケーションを狙ったものであるという。またWebサイト側に目を向けると、98%が何らかの脆弱性を持ち、危険度が“高”に分類されるサイトが7割近いという調査結果がある。企業がこうした状況を放置していれば、いずれ甚大な損害を被ることは、数々のニュースで報道されている通りだ。
Webサイトの脆弱性への対策は、非常に高度な技術力が必要であり、時間もコストも掛かる。そのため、多くのWebサイトで迅速な対応ができていないのが現状だ。そこで、Webサイトを保護する仕組みとして、従来の「ファイアウォール」や「侵入防止システム(IPS)」などでは防御できない攻撃を高い精度でブロックできる「Webアプリケーションファイアウォール(WAF)」が注目されている。
ところが従来のアプライアンス型WAFは、多くの企業で敬遠されがちだ。というのも、導入や運用には非常に高度なセキュリティ技術が必要で、管理者への負担が大きいためである。また、専用ハードウェアを備えるアプライアンスは、非常に高価になりがちという問題もある。
そこで注目されているのが、クラウドサービスとしてWAF機能を利用する方法だ。クラウドサービスであるため、安価で手軽、かつ迅速に利用を開始でき、運用保守は専門のセキュリティ技術者に任せることができる。本稿では、2013年に目立った攻撃手法を紹介するとともに、今後のサイバー攻撃にはWAFが効果的である理由と、クラウド型WAFの利点を解説する。
提供:合同会社シマンテック・ウェブサイトセキュリティ(旧 日本ベリサイン株式会社)
アイティメディア営業企画/制作:TechTarget編集部
ITmediaはアイティメディア株式会社の登録商標です。
