Webアプリケーションは、インターネットを通じて様々なサービスや情報を提供する重要なツールですが、企業、重要インフラ事業者や政府機関などの組織では、業務やサービスを遂行するために必要となる能力を提供するインフラの一部となっています。しかし、Webアプリケーションは、サイバー空間からの攻撃の標的となりやすく、データの漏洩やサービスの停止などの重大な被害を受ける可能性があります。そのため、Webアプリケーションのセキュリティ対策は、組織の事業継続や信頼性の確保にとって欠かせないものです。
この記事では、Webアプリケーションのセキュリティ対策の一つとして、Webアプリケーションファイアーウォール(WAF)の運用における脅威インテリジェンスの活用方法について紹介します。脅威インテリジェンスとは、サイバー空間からの攻撃の動向や脆弱性の情報を収集・分析・共有することで、セキュリティ対策の効果を高めることを目的とした情報です。脅威インテリジェンスを活用することで、WAFの防御・検知能力や対応速度を向上させることができます。
1. WAFの市場と組織要望
WAFの市場は急速に拡大しています。FORTUNE BUSINESS INSIGHTS のWAF市場規模調査*1によると、2022年には54億3,000万ドルと評価され、2023年から2030年までに197億5千万ドルに成長すると予測されています。この成長は、デジタルトランスフォーメーションの取り組み、クラウドシフトの増加や新型コロナウイルス感染症の影響によるリモートワークの普及などが主な要因とされています。
組織が着実に任務を遂行するためには、Webアプリケーションとインターネット間のHTTPトラフィックのアクセス制御とモニタリングを実施し、Webアプリケーションを保護することが求められます。特に、クロスサイトスクリプティング(XSS)、SQLインジェクション、コマンドインジェクションなどのさまざまな攻撃からWebアプリケーションを保護する能力が重要です。また、ISO/IEC27001を取得している組織は、2022年の改訂に伴い、組織に脅威インテリジェンスの構築が求められています*2。
2.脅威インテリジェンスを活用していないWAFの課題と問題点
現在、脅威インテリジェンスを活用していないWAFの運用には、いくつかの課題と問題点が存在します。1つは、新たな脅威や攻撃手法に対応する能力が不十分であることが考えられます。WAFは、既知の攻撃パターンやシグネチャーに基づいて防御・検知を行うことが多いため、未知の攻撃やゼロデイ攻撃に対しては有効でない場合があります。もう1つは、攻撃者は、WAFの防御・検知を回避するために、攻撃パターンやペイロードを変化させたり、暗号化やパケット分割などの技術を用いたりすることがあります。これらの攻撃に対して、WAFは適切に検知や防御を行うことができない可能性があります。
3.脅威インテリジェンスの活用による課題解決
脅威インテリジェンスは、既存の防御戦略を強化するための情報を提供し、サイバー空間からの攻撃から組織を保護するための重要な取り組みの1つです。脅威インテリジェンスを活用することで、組織は脅威の兆候を早期に識別し、効果的なセキュリティ対策を講じることが可能になります。
脅威インテリジェンスの活用方法には、以下のようなものがあります。
脅威インテリジェンスサービスの導入:脅威インテリジェンスサービスとは、複数の情報源から脅威インテリジェンスを収集・分析・共有するための統合的なソリューションです。脅威インテリジェンスサービスを導入することで、WAFは、最新の脅威情報や攻撃手法に関する知識を得ることができます。ニューリジェンセキュリティでは、株式会社ラックが提供する脅威情報提供サービス「JLIST®」*3を活用しています。
脅威インテリジェンスサービスは、APIなど連携機能を提供しています。そのためWAFと連携することで、自動的に検知・防御ルールを更新することができます。これによりWAFは、新たな脅威や攻撃手法に対応する能力をメンテナンスフリーで向上させることができます。
脅威インテリジェンスを採用する際、パフォーマンスの低下、脅威インテリジェンスの効果測定、誤検知などのリスクも伴います。そのため、脅威インテリジェンスを導入する際には、脅威インテリジェンスの品質やデータセット仕様、使用条件を明確に定め、適切なセキュリティ運用方針を設定することが重要です。
4.Cloudscortの脅威インテリジェンスの取り組み
Cloudscortでは従来から、脅威インテリジェンスを提供し、企業や組織において活用が進むパブリッククラウドサービスを保護してきましたが、昨今、日本で普及率が高いWebアプリケーションや日本国内でのみ流通するWebアプリケーションを標的としたサイバー脅威に対応するため、株式会社ラックのセキュリティ監視サービスで活用される「JSIG®」を基に、ニューリジェンセキュリティのクラウドセキュリティアナリストチームが独自に開発した検知・防御用ルールセットを開発しました。この新たな取り組みにより、日本特有のサイバー脅威への対応や影響範囲の大きな脆弱性に対する攻撃に対して検知・遮断能力を向上することが実現し、Cloudscort導入組織が運用するサービスやサイトの保護をより一層強化することが可能となりました。*4
5.まとめ
WAFの市場は急速に拡大しており、その運用における課題や問題点も明らかになってきました。また、ISO/IEC 27001:2022の準拠において、脅威インテリジェンスの取り組みが要求事項の1つとして規定されたため、レギュレーション対応が求められています。オンプレミス・クラウド問わず、Webアプリケーションの保護を行う際、組織の任務遂行能力を確保する必要が求められるため、持続性と強靭さを保護・保証するプロセスの確保について責任を持たなければなりません。
脅威インテリジェンスを活用することで、これらの課題を解決し、より安心・安全なWebアプリケーション環境を提供することが可能となります。ニューリジェンセキュリティは、これからも脅威インテリジェンスの活用方法をさらに深化させていき、より効果的なセキュリティ対策をお客様に提供できる取り組みを行っていきます。