Webアプリケーションの安全性を確保するために 必要なのは東西・南北の2軸によるアプローチ

近年はWebアプリケーションを利用する企業が増えています。これと比例するように、Webアプリケーションを狙ったサイバー犯罪も増加し、その手法も高度化しています。

 最近のケースで記憶に新しいのは、2015年7月に報道された、金融機関へのDDoS攻撃でしょう。これは日本国内の複数の金融機関に対してDDoS攻撃が行われ、攻撃を止める条件としてビットコインによる金銭支払が要求されたというものです。またこれとほぼ同時期に、スマートフォン用ケース販売会社のサーバーにDDoS攻撃を行ったとして、日本国内で初となる逮捕者も出ています。DDoS攻撃の脅威は企業規模の大小や業種・業態に関わらず、決して他人事ではない問題なのです。

多様化する攻撃手法、水際での防止が困難なケースも

 攻撃で使用される手法はDDoSだけではありません。アプリケーションの脆弱性を狙ったSQLインジェクションやクロスサイト スクリプティング、OpenSSLの脆弱性(ハートブリード)を狙った攻撃、リストを用いた総当り型のパスワード クラッキング等、実に多岐にわたります。これら全ての攻撃に対し、一般的なユーザー企業が独力で対応するのは限界があります。

 さらに問題を複雑にしているのが、企業システムのクラウドシフトです。企業アプリケーションの配置場所は、もはや自社のデータセンターだけにとどまりません。社外のデータセンターを活用したプライベートクラウドや、パブリッククラウドにアプリケーションが配置されることも、すでに珍しいことではなくなっています。このようなハイブリッド環境におけるWebアプリケーションを、すべて同一レベルで守り切るには、極めて高度な技術力が求められます。

 必要なのは、外部からの攻撃(インバウンド型攻撃)を水際で回避することだけではありません。社内ユーザーが不適切なサイトにアクセスすることでマルウェアに感染する「アウトバウンド型攻撃」への対応も不可欠です。しかし標的型メールを利用したこの種のアウトバンド型攻撃の防止は、現実的にはほぼ不可能です。2015年6月に公表された日本年金機構からの大規模な情報漏洩事件を見れば、このことは容易に理解できるはずです。そこで重要になるのが、「感染することを前提にした」システム内部での感染拡大防止策です。

 外部からの攻撃防止策を「南北方向」の対策であると位置づければ、内部における感染拡大防止策は「東西方向」の対策だと言えます。

 上の図で示すように、セキュリティ対策は「東西・南北の2軸」で考えるべきであり、これらは緊密に連携する必要があるのです。

南北方向の防御をハイブリッド環境で実現するには

 それでは具体的に、どのような対策が考えられるのでしょうか。まずは南北方向について見て行きましょう。ここで重要なのは「アプリケーションに対する攻撃を水際で防止する」ことと、「オンプレミス/クラウドのいずれに対しても同レベルの対応を実現すること」です。これを可能にするのが、F5 Silverlineサービスです。

F5はこれまでもBIG-IPの機能として、DDoS攻撃対策とWAF※1機能をオンプレミスで実現するBIG-IP ASM※2を提供しています。BIG-IP ASMは、米国大手独立系のセキュリティ製品テスト/研究機関であるNSS LabsのWAF製品比較試験において最高レベル(推奨)の評価を獲得しており、すでに数多くの実績を持っています。このBIG-IP ASMと同じエンジンをクラウドに実装し、DDoS攻撃対策とWAF機能をサービスとして提供しているのが、F5 Silverlineです。

(脚注)

※1:Web Application Firewall、Webアプリケーションへの各種攻撃を防止するファイアウォール。

※2:Application Security Manager。

F5 Silverlineは、保護対象となるWebアプリケーションのフロントエンドに配置され、DDoS攻撃やWebアプリケーションへの攻撃を防御します。日本国内でもすでに、2015年2月にDDoS攻撃対策機能、2015年5月にWAF機能の提供が始まっています。クラウド型で提供されているため、保護対象となるWebアプリケーションの配置場所は、オンプレミス/プライベートクラウド/パブリッククラウドのいずれでも構いません。

DDoS攻撃対策で大きな課題になるのが、処理能力の確保です。最近ではトラフィック量が数G~数十Gbpsの攻撃は珍しくなくなっており、数百Gbpsの攻撃も確認されています。このような攻撃に対応するため、F5 Silverlineはアジア、北米西海岸、北米東海岸、ヨーロッパの4拠点に攻撃防御用のスクラビングセンターを設置、これらをIX(Internet Exchange)に直接接続して分散処理可能な仕組みを構築することで、高い処理能力を確保しています。

このような「DDoS攻撃に対して自動的にアクセスを分散させる機能」の必要性は、2015年2月に改正された金融庁のガイドライン3にも明記されています。すでに各金融機関は、オンプレミス型から分散処理可能なスクラビング型へと、対策方法の移行を検討し始めています。一般企業でも今後は、スクラビング型の利用が一般的になっていくはずです。

またコンテンツ キャッシングによってDDoS攻撃を緩和するのではなく、DDoS攻撃のトラフィックそのものをネットワークの最上流で防御している点も、注目すべき特徴です。そのため、コンテンツ キャッシングが利用できない動的コンテンツでも、有効に機能します。

(脚注)

※3:http://www.fsa.go.jp/news/26/20150213-1/12.pdf

WAFにおいては、シグネチャを利用した「ブラックリスト」、パラメーター チェックによる「ホワイトリスト」、挙動を監視する「ボット検知(アノマリ検知)」を組み合わせることで、高い精度の防御を実現しています。またWebアプリケーションの脆弱性を動的にテストする他社の動的診断ツールDAST※4製品と連携し、仮想的なパッチ適用を行うことも可能です。

(脚注)

※4:Dynamic Application Security Testing。

 これらに加え、本社シアトルのセキュリティオペレーションセンター (SOC)では、24x7の監視体制とエキスパートによるサポートを提供しています。さらにお客さま向けコンソール「AttackViewポータル」も用意されており、攻撃状況やSOC対応内容を可視化できる点も、他社にはない大きな特徴になっています。

このようにSilverlineは、南北方向の脅威に対してオンプレミスのBIG-IP ASMと同等、もしくはそれ以上の対策を提供します。また近い将来には、オンプレミス システムに設置されたBIG-IP ASMと連携し、ポリシーやブラックリストの共有も実現される予定です。

東西方向の防御は「ナノ セグメンテーション」で対応可能

 それでは東西方向の対策はどうすればいいのでしょうか。実はシステム内部にBIG-IPを設置することで、これも実現可能になります。基本となる考え方は「ナノ セグメンテーション」です。つまりデータセンター内部のネットワークを、アプリケーション環境毎に細かく分断(セグメント化)し、セグメントの境界で脅威を防御するのです。これによってマルウェア感染による影響を、最小限にとどめることが可能になります。

 このアプローチを実現するには、(1)アプリケーション環境毎のネットワークのセグメント化、(2)トラフィック監視による脅威の検出、(3)セグメント間通信の動的な制御、という3つの機能が必要です。F5は(1)と(3)にBIG-IP、(2)に最近パートナーシップを組んだIllumio ASP※5活用し、これらを連携させることで東西方向の防御を実現しています。Illumioとは2013年に米国・カルフォルニア州で設立されたスタートアップ企業であり、アプリケーションの物理的な所在に依存しない「仮想セキュリティ」を実現するためのテクノロジー製品を提供しています。

(脚注)

※5:Adaptive Security Platform。

その具体的なイメージを示したのが下の図です。

 まずアプリケーションのセキュリティ レベルによって、データセンター内のネットワークをBIG-IPでセグメント化します。正規のトラフィックであればセグメント間でも通信が可能であるため、アプリケーションはセグメンテーションを意識する必要はありません。トラフィックは全てBIG-IPによって収集・監視されており、その情報はリアルタイムでIllumio ASPへと送られます。Illumio ASPはこの情報を元にトラフィックを分析、ポリシーに違反した異常な通信を検知した場合にはBIG-IPのAPI経由でiRules(振り分けルールを記述するスクリプト言語)を使用し、異常な通信をブロックします。

重要なのはシンプルな形で対策を実現すること

 ここで重要なことは、F5のテクノロジーを活用することで、アプリケーション通信の東西・南北両方の対策がシンプルな形で実現できるということです。それぞれ個別ベンダーのテクノロジーを利用した場合には、システム構成が複雑になり運用負担も増大しますが、ここで述べた方法であればその心配はありません。また同一テクノロジーをベースにすれば、東西・南北の防御を緊密に連携させることも容易になります。

 ハイブリッド環境におけるセキュリティ対策として、理想的なアプローチといえるのではないでしょうか。

Published Aug 13, 2015
Version 1.0
No CommentsBe the first to comment