公開Webサーバーのセキュリティ対策

サイバートラスト x シトリックスによる脆弱性診断と効果的な対策

個人情報の漏えいやカード番号の盗み出し、不正なプログラムのダウンロードやサービスの停止など、公開Webサイトを狙った悪質な攻撃は、その被害が拡大しています。例えば、IPAによるWebサイト運営者のための脆弱性ガイドラインによれば、ウェブサイトのシステムがコンピュータウイルスに感染してしまうと、個人情報などの重要情報が詐取されるケース、Webサイトを悪用できるように改造される、といった危険が指摘されています。

こうした被害から、ビジネスで運営している公開Webサイトの安全を守るために、サイバートラスト株式会社による脆弱性診断と、Citrix NetScalerによるセキュリティ対策が注目されています。

脆弱性診断の紹介とその意義

サイバートラスト株式会社でパートナーストラテジー本部の金子一哉部長は、企業が公開Webサイトにおいて取り組むべき脆弱性診断の必要性について、次のように説明します。

サイバートラスト株式会社 パートナーストラテジー本部 部長 金子一哉氏

サイバートラスト株式会社
パートナーストラテジー本部
部長 金子一哉氏

「例えば、会員向けのサービスを提供していて、Webサイトから個人情報を入力したり、決済などでカード番号を入力するページを用意していると、そのためのWebアプリケーションが、犯罪者からの攻撃の対象となってしまいます。ここ数年の傾向で、公開Webサイトを狙った攻撃の多くが、そのサイトのWebアプリケーションを改ざんして、個人情報やクレジットカードの番号を盗み出そうとするものです。こうした被害からWebサイトを守るためには、Webアプリケーションの脆弱性診断が不可欠なのです」

CTJ_image001
サイバートラスト Webアプリケーション脆弱性診断サービス 「診断イメージ」

Webアプリケーションの脆弱性とは、Webページに内在するセキュリティ上の問題点です。悪意をもった第三者に、Webブラウザやツールからの攻撃や侵入を可能としてしまう脆弱性があると、データの破壊や盗み出し、金銭的な被害やサーバーの停止、さらには他のサイトを攻撃のための踏み台になる、といった危険性があります。同社の技術本部でセキュリティコンサルティング部の寺崎利文部長は、その詳細と対応について解説します。

サイバートラスト株式会社 技術本部 セキュリティコンサルティング部 部長 寺崎利文氏

サイバートラスト株式会社
技術本部 セキュリティコンサルティング部
部長 寺崎利文氏

「代表的なWebアプリケーションの脆弱性としては、クロスサイト・スクリプティング、SQLインジェクション、osコマンドインジェクション、フィッシング詐欺サイトへの誘導などがあります。個人情報の漏洩、あるいはサイトが改ざんされると、ネット上で瞬く間に情報が拡散し、社会的信用が即座に失われるため、十分な対策が必要です。当社の診断サービスでは、事前にお客様のシステム状況についてヒアリングを行います。また、診断対象となる動的ページ数については、当社の技術エンジニアが実際にサイトをクローリングにすることで、正確なリストを作成し、お客様にご提示させて頂いてから診断サービスを提供しております。なお、診断サービスでは、危険度が高い脆弱性が発見されたときには、即日に報告するサービスを提供しており、お客様のサイトの安全性の確保を強力にサポートしています。」

CTJ_image002_1
サイバートラスト Webアプリケーション脆弱性診断サービス

「主な診断項目」

CTJ_image002_2
サイバートラスト Webアプリケーション脆弱性診断サービス

「診断の流れ」

プラットフォームに起因する問題とアプリケーションのコーディングに起因する問題

同社の技術本部でプロダクトマネジメント部の田上利博部長は、Webアプリケーション診断の特長と発生する問題の原因について、以下のように説明します。

サイバートラスト株式会社 技術本部 プロダクトマネジメント部 部長 田上利博氏

サイバートラスト株式会社
技術本部 プロダクトマネジメント部
部長 田上利博氏

「当社のサービスの特長は、セキュリティ対策に精通したエンジニアが、ツールによる解析結果と豊富な知見を組み合わせて、総合的にお客様のWebアプリケーションに潜む脆弱性を診断する点にあります。当社は、1995年に国内認証市場の先駆けとして事業を開始し、ネットワーク社会におけるお客様の多様なセキュリティニーズに応えてきました。その豊富な経験と技術から、お客様のWebアプリケーションを的確に診断できるのです。また、Webアプリケーションの脆弱性には、アプリケーションのコーディングが原因となって、攻撃の対象になる問題があるだけではなく、プラットフォームに起因する問題もあります」

田上氏が指摘するプラットフォームに起因する問題とは、代表的なWebアプリケーションへの攻撃に対して、FirewallやIPSなどでは防ぎきれないというネットワーク環境そのものの脆弱性を意味するものです。その脆弱性について、シトリックス・システムズ・ジャパン株式会社のシステムエンジニアリング本部 ネットワーククラウドSE部の犬塚昌利部長は、次のように解説します。

「当社の分析によれば、被害が報告されたWebサイトの脆弱性を種類別に分類してみると、その約7割がクロスサイト・スクリプティングとSQLインジェクションでした。ところが、こうした攻撃に対して、その対応にはかなりの時間を要するのです。なぜなら、Webアプリケーションの開発では、セキュリティ品質の維持よりも、アプリケーションとしての動作検証が優先されてしまうケースがよく見られるためです。そのため、定期的なログの監査を行っていても、膨大なログに埋もれてしまい、怪しいアプリケーションの挙動を見落としてしまうなど、プラットフォームとしての運用そのものに、課題を抱えている例が多いのです」

プラットフォームに起因する問題は、WAFでの対策も可能

シトリックス・システムズ・ジャパン株式会社 システムエンジニアリング本部 ネットワーククラウドSE部 部長 犬塚昌利氏

シトリックス・システムズ・ジャパン株式会社
システムエンジニアリング本部 ネットワーククラウドSE部
部長 犬塚昌利氏

「クロスサイト・スクリプティングやSQLインジェクションだけではなく、Webアプリケーションに対する攻撃の多くは、従来からあるFirewallやIPSでは、防ぐことができません。こうした脅威に対して、継続的な防御を行っていくためには、WAF(Web Application Firewall)が必須なのです」と犬塚氏は指摘します。

CTJ_image003

WAFとは、Webアプリケーションのやり取りを把握し管理することで、不正侵入を防御するファイアウォールです。従来のファイアウォールでは、ネットワークレベルでのセキュリティ対策までですが、WAFはWebアプリケーションのレベルで管理を行います。WAFを導入することによって、Webアプリケーションへのセキュリティ対策は軽減されるので、開発や改修のコスト削減につながると期待されています。

NetScalerの紹介

「Citrix NetScalerは、Application Delivery Controllerとして、そのセキュリティ機能の中にWAFを備えています。また、そのWAF性能は2013年にはTechTargetからBest for WAFとして評価されています」と犬塚氏はNetScalerを紹介します。

CTJ_image004

「Citrix NetScalerによるWAFの特長は、ホワイトリストとブラックリストを組み合わせて利用できるハイブリッド対応にあります。一般的に、ブラックリスト型は既知の脆弱性への対応に効果的で、ホワイトリスト型はゼロデイ攻撃への対応に適しています。この両方のセキュリティモデルに対応することで、より安全なWAFとして機能します」と犬塚氏は説明します。

CTJ_image005

NetScalerの付加価値(ICAプロキシなど)

「例えば、SQLインジェクションを使った攻撃に対しては、SQLパターンを検出して、遮断や無害化で対応します。また、クロスサイト・スクリプティングでは、XSSパターンを検出して、遮断や無害化を実行します」と犬塚氏はCitrix NetScalerのWAF機能について解説します。

CTJ_image006

この他にも、Citrix NetScalerには、数多くの特長が備わっています。

・高パフォーマンス、Pay-As-You-Growによる柔軟なパフォーマンス拡張

・NetScaler MPX,VPX,SDXの機能の一つとして、ロードバランシングやSSLアクセラレーションと共にWAFを使用可能

・WAF機能のみの専用機も提供(既にロードバランサーをお持ちの場合など)

CTJ_image007

・高度な適用学習によって自動化された動的なホワイトリストの作成と検査による容易な導入・運用・管理

CTJ_image008

・ブラウザベースの容易なポリシーマネジメント、ウィザードを使用した設定

・HTMLとXMLアプリケーションへの対応

「さらにCitrix NetScalerは、WAFの他にも、ICA通信に特化したICA Proxy機能を備えているため、XenDesktopやXenAppのゲートウェイ機能としての利用にも最適です」と犬塚氏は補足します。

サイバートラストの証明書との連携

CTJ_image009

「Citrix NetScalerは、企業および組織が許可した端末のみをネットワークに接続させるための端末認証を実現するサイバートラスト デバイスIDと連携できます。そのため、WAFとしての活用だけではなく、不正な端末や個人の持ち込み端末に、許可されていない端末からのネットワークアクセスを防ぎます。そして、企業および組織のネットワーク全体のセキュリティの確保も実現します」と田上氏はサイバートラストの証明書との連携によるメリットも訴求します。

CTJ_image010