こんにちは、Webプログラマの篠田(@shino_alaki)です。
Webシステム開発を行う中で、セキュリティの問題は常に付きまとってきます。
今回は、Webサービスを守る3つの仕組みについて、ご紹介します。
この記事の目次
ファイアウォール(F/W)で通信を遮断しよう
Webサービスを守る、第1の防御が「ファイアウォール(F/W)」です。
「ファイアウォール」の役割は、WebサーバーやDBサーバーなどで構成された「内部ネットワーク」を外部ネットワークからのアクセスから守る「壁」としての役割を果たします。
ファイアウォールがあることにより、不正なアクセスは「遮断」し、必要なアクセスを「許可」することで「内部ネットワーク」へのアクセスを制御します。
IPSで、不正侵入を監視・遮断しよう
Webサービスを守る、第2の防御が「IPS(Intrusion Prevention System)」です。
第1の防御であった「ファイアウォール」は、内部と外部のネットワークを通る通信に対して、壁として存在しています。
ですが、httpやhttpsなどの通信の中には、様々な脆弱性を狙った通信やDoSなどの大量のリクエストを送ることでサーバを通信不能な状態にするなどの攻撃を判別することが出来ません。
そういった、ファイアウォールの苦手とする不正アクセスに対して「監視」と「遮断」を行うのが「IPS」になります。
言い換えると、ファイアウォールの壁に設置された「監視カメラ」的な存在といえます。
WAFでWebサービスを守る
Webサービスを守る、最後の砦が「WAF(Web Application Firewall)」です。
「ファイアウォール」や「IPS」といったセキュリティの壁は、優秀ではありますがWebサービス自体に対する防御は得意ではありません。
Webサービス自体が内包する「SQLインジェクション」や「クロスサイトスクリプティング」といった脆弱性に対する攻撃は、正常な通信の中に潜んでいます。
そういった、Webサービス自体の脆弱性に対する攻撃を防御するのが「WAF」になります。
「WAF」では、一例ではありますが下記のような攻撃を防ぐことが期待されます。
DDoS攻撃
サーバーに対して大量の処理負荷を与え、機能停止に追い込む攻撃手法
バファオーバーフロー
サーバーに対して許容量以上のデータを送り込むことで、サーバーの誤作動を誘発させ乗っ取る攻撃手法
インジェクション攻撃
SQLインジェクションやOSインジェクションなどの種類があり、アプリケーションが想定していないSQLを外部から動作実行したり、OSの脆弱性を突いた攻撃手法
Webサービスにおいては、特に「WAF」による防御が高く効果があります。
どれかだけでなく、どれも重要
今回ご紹介した「ファイアウォール」「IPS」「WAF」は、それぞれの得意分野と不得意分野があり、相互で補いながら悪意のある攻撃に対して防御を行っています。
得意な分野が違うため、1つだけでは最大限の効果を期待することはできません。
一度、運用されているコーポレーションサイトを含めて、自社のサーバーがどういった防御策をなされているか、確認してみてはいかがでしょうか?
もし、予算と折り合いが付くのであれば、足りない部分を補填して、より強固なセキュリティの向上を行っていきましょう。
