2014年7月25日、「マイナビニュースITサミット - 大規模サイト管理者に学ぶ、セキュリティの極意-」がベルサール神田(東京都千代田区)で開催される。当日は、F5ネットワークスジャパンのワールドワイドチャネルアンドアライアンス ビジネスディベロップメントマネージャ、兼松大地氏による講演「事例に学ぶ。多様化するWebアプリケーションへの攻撃を守る秘訣」などが予定されている。当日は、B2CのWebサイトならではの脅威と、その具体的な対策法について、事例を交えながら解説が行われる予定だ。本稿では、講演に先立って、同氏に企業のWebサイトに潜むリスクとその軽減のための秘訣を示してもらった。

大規模サイト管理者に学ぶ、セキュリティの極意」の参加申し込みはこちら(7月25日(金)開催、会場: ベルサール神田(東京都千代田区)、開場13:30~)、参加費無料

リスクが大きい、手作業による不正通信のブロック

F5ネットワークスジャパン ワールドワイドチャネルアンドアライアンス ビジネスディベロップメントマネージャ 兼松大地氏

「企業のWebサイトは広く公開されているため、格好の攻撃対象になります。B2Bのサイトであればアクセスする相手が決まっているので比較的対策も講じやすいのですが、B2Cの場合は不特定多数の人々からのアクセスを受けること大前提となるので対策が難しい。さらに、たとえばキャンペーンなどで、特定の期間だけ大量のトラフィックが発生するなど、状況が不規則に変化する点もより事情を複雑にしています」 ― 開口一番、兼松氏は企業のB2C-Webサイトならではのセキュリティ対策の困難さを強調した。

Webサイトのセキュリティ対策を強化するには、ファイアウォールなどのログを相関分析して怪しい通信を見つけ出し、該当するIPアドレスからの通信をブロックするというのが一般的だ。しかし一般のユーザーの場合、ISPなどから割り振られた非固定のIPアドレスを用いることが多く、同じIPアドレスを長期間ブロックし続けることには問題がある。そうなると、ブラックリストやホワイトリストを頻繁に変更しなければならず、作業の負荷が膨大となってしまう。そして何よりも通すべき通信を誤って止めてしまうリスクも高まるのだ。

「ただでさえ膨大なアクセスを処理しなければならないファイアウォールに、それまで以上の負荷を与えることになってしまってはパフォーマンス低下が避けられません。特にeコマースサイトの場合は事業の生命線なのでサーバダウンなどあってはならないことです。ハイエンドのファイアウォールにリプレースすることを考慮すべきですが、当然ながらコスト面での問題が発生します」と兼松氏は指摘する。

例えば、ネットでの決済サービスを提供するペイパルがアノニマスから攻撃を受けた際は、ボットからのアクセスが集中しファイアウォールが最初にダウンしたという。

大規模サイト管理者に学ぶ、セキュリティの極意」の参加申し込みはこちら(7月25日(金)開催、会場: ベルサール神田(東京都千代田区)、開場13:30~)、参加費無料

「大規模Webサイトの場合はユーザー数が桁違いなので、正規のユーザーからのアクセス集中でもネットワーク負荷的にはDOS攻撃を受けているのと同じことになります。正しいユーザーによる通信をさばきながらセキュリティを担保しなければならないのです」(兼松氏)

さらに、昨今ではネットワークの複数レイヤーにまたがった対策が求められている。例えば、基本的な攻撃手法であるSYN Flood攻撃の場合はネットワーク層とトランスポート層で対策が必要であり、昨今話題のパスワードリスト攻撃はアプリケーション層での対策が要求される。

こうしたことから、IPSやIDSを用いて不正なアクセスを自動的に検知する仕組みを多くの企業が取り入れている。ただし、ここでの問題はIPS/IDSの性能がネットワーク・パフォーマンスのボトルネックとならないよう、ほとんどの場合インラインで設置されていないことだ。こうなると不正アクセスを検知することはできても攻撃を止めることはできない。だからといって、IPS/IDSが検知した不正な通信をいちいち人の手で止めていたのでは時間がかかってしまい、迅速な対応が行えないばかりか、IPアドレスの手入力による作業ミスも発生しやすい。アクセスを許可すべきユーザーをブロックしてしまうことのリスクは前述の通りだ。

これらの課題に対する有効打となるのが、F5ネットワークスが提供する「BIG-IP Advanced Firewall Manager(BIG-IP AFM)」および「BIG-IP Local Traffic Manager(BIG-IP LTM)」とIPSを連携した対策である。簡単に言うと、BIG-IP AFMおよびLTMがネットワークの中核でファイアウォール機能と負荷分散機能を提供することでIPSをスケールアウトする仕組みを構築し、IPSが不正を検知した場合にはBIG-IPが自動的にそのトラフィックを遮断することが可能になるというものだ。

「IPSが不正な通信を検知すると自動的にBIG-IPと連携し、不正アクセスをブロックすることが出来るため、人手を介さずリアルタイムな対策が行え、ミスも防止できるのがポイントです。自動的にブロックを解除するまでの時間も設定可能です」と兼松氏は強調する。

さらに「BIG-IP Application Security Manager」(BIG-IP ASM)を用いれば、単にアクセス元のIPアドレスをブロックするだけでは効果が薄いとされるパスワードリスト型攻撃に対しても、有効な対策が施せるという。その具体的な手法については、7月25日に開催する「マイナビニュースITサミット - 大規模サイト管理者に学ぶ、セキュリティの極意-」の兼松氏の講演で明らかにされる予定だ。企業のWebサイトに求められるセキュリティをいかに最小限のコストで実現するか ── その答えのヒントが当日示されることだろう。