F5 BIG-IP Application Security Manager(旧TrafficShield)
Application Security Manager (旧 TrafficShield) 詳細
Application Firewallとは?
FirewallとApplication Firewallの違い
- Firewallの長所
- Firewallは社内のネットワークとインターネット等の社外のネットワークとの境界に設置し、これらのネットワーク間の通信を管理者が設定したセキュリティポリシーに従って全て制御します。これにより、社外ネットワークからの攻撃や、社内からの情報漏えいをある程度防ぐことが出来ます。
Firewallの設置目的はネットワークを悪意ある者から守ることです。ネットワークを守るためにパケットフィルタリングで通信の制御を行っています。このパケットフィルタリングでは通信の送信元と宛先を見て制御を行うため、非常に高速に処理することが出来ます。また、Firewallで一括したセキュリティ対策の一部が行えますので、運用管理のコストを低減することが出来ます。
FirewallはApplication Firewallと比べ、安価なものが多く存在します。また、2000年に発生した官庁のWebページの書き換え事件により、その名前が一般化し多くの企業、組織で導入されています。
- Firewallの短所
- Firewallはパケットフィルタリングによる通信の制御を行っているため、許可されている送信元、宛先間の通信であれば、内容を確認せずに通信を許可してしまいます。この為、提供しているサービスの通信は不正アクセスのためのものであっても通過してしまいます。この結果、提供しているサービスにセキュリティホールがあった場合、侵入、情報漏えい等の被害を受けることになります。
; "Firewallの短所")
図1 クリックすると拡大図が表示されます
- Application Firewallの長所
- Application FirewallはWebアプリケーションを悪意ある者から守ることを目的としています。Webアプリケーションを守るためにApplication FirewallではHTTPリクエストを確認して攻撃か通常のリクエストかを判断し、通常のリクエストのみWebサーバに送信します。
Webアプリケーションは開発者の技術レベルに依存したセキュリティレベルとなります。Application Firewallを導入することでWebアプリケーションに送信される前にリクエストを検証し、攻撃であればWebアプリケーションに送信しないため、開発者の技術レベルに依存しない均一なセキュリティレベルのWebサービスを提供することが可能となります。また、Application Firewallでは未知の攻撃に対する防御が可能なため、0 day Attackと呼ばれる脆弱性情報が公表される前に行われる攻撃に対しても有効に働きます。
; "Application Firewallの長所")
図2 クリックすると拡大図が表示されます
- Application Firewallの短所
- Application FirewallではHTTPリクエストの検証を行うため、Firewallと比べパフォーマンスの低下が発生します。BIG-IP ASMはこの問題をデュアルプロセッサマザーボードと革新的なアーキテクチャの組み合わせを用いることで解決しています。また、SSLアクセラレーターが標準で組み込まれているため、パフォーマンスの低下をもたらす復号化、暗号化処理も高速に行うことが出来ます。
Application Firewallはその仕組み上Webアプリケーションの仕様の詳細を理解していないと適切な設定を行うことが出来ません。この為、Firewallと比べ運用に専門の知識とコストがかかります。各社からApplication Firewallが出ていますが、運用コストを下げるための機能があります。BIG-IP ASMではアプリケーションフローモデル等を利用してより安全な設定を簡単に行えるようになっています。
Application Firewallの必要性
インターネットの利用が一般的になってきた昨今、多くのビジネスでWebアプリケーションが利用されています。それに伴い不正アクセスにより個人情報が漏えいしたり、Webページが改竄されるといったニュースが頻繁に報道されるようになっています。これらのうちの多くはWebアプリケーションにあるセキュリティホールにより情報漏えい等の被害にあっています。この為、Webアプリケーションのセキュリティ対策が急務となっていますが、その対策はコストや時間がかかることから多くの組織では遅れているのが現状です。
この問題は開発者の技術レベル、短い開発期間による不十分なテスト、セキュアな開発手法の未成熟といったことが原因です。この原因を解決するには多くのコストと時間がかかり、十分なセキュリティを持つWebアプリケーションを提供できるベンダーも限られているのが現状です。
Application Firewallはこの問題を短期間で解決できる対策のひとつです。Application Firewallを導入することにより、以下のメリットがあります。
この問題は開発者の技術レベル、短い開発期間による不十分なテスト、セキュアな開発手法の未成熟といったことが原因です。この原因を解決するには多くのコストと時間がかかり、十分なセキュリティを持つWebアプリケーションを提供できるベンダーも限られているのが現状です。
Application Firewallはこの問題を短期間で解決できる対策のひとつです。Application Firewallを導入することにより、以下のメリットがあります。
- アプリケーションで発見されたセキュリティホールに対する修正コストの低下
- Application Firewallで不正なデータを排除できるため、大きなリスク以外についてはリスクを許容することが出来ます。これにより修正のコストを下げることが可能です。また、修正が完了するまでの間も、Application Firewallで攻撃を防ぐことが可能なため、適切に設定することで被害を防ぐことが可能です。
- アプリケーションの一定水準のセキュリティレベルを比較的安易に提供可能
- Webアプリケーションの開発は多人数で行うことが多くなっています。また、アプリケーションのセキュリティレベルは技術者のレベルに依存します。最も低い技術者が基本的な対策を怠っていた場合、Webアプリケーションは情報漏えいの問題などを引き起こすこととなります。この結果、Webアプリケーションのセキュリティレベルは最も低い技術者のレベルになります。
Application Firewallを導入することで、Webアプリケーションに必要最低限な対策を強制することが出来ます。この結果全体として攻撃に強いWebサービスを提供することが可能となります。
Application Security Manager (旧 TrafficShield)の特徴
不正アクセス検知ロジック
Application Security Manager (旧 TrafficShield)では不正アクセスの検知をPositive Security Logicで行います。また、検知精度を高めるためにNegative Security Logicによる不正アクセスの検知を行うことが出来ます。
Application Security Manager (旧 TrafficShield)では不正アクセスの検知をPositive Security Logicで行います。また、検知精度を高めるためにNegative Security Logicによる不正アクセスの検知を行うことが出来ます。
- Positive Security Logic
- Positive Security Logicとは、ホワイトリスト(許可されたデータのリスト)によるデータの検証を行うロジックです。httpリクエストにホワイトリストに存在しないデータが含まれていた場合、それを不正アクセスとみなし防御します。
Webアプリケーションの脆弱性は開発者が想定していないデータを入力されたために発生します。Positive Security Logicではホワイトリストによるチェックを行うため、開発者が想定していないデータをWebアプリケーションが受け取ることはありません。この結果、 Webアプリケーションが不正アクセスの被害にあう可能性が非常に低くなります。
Positive Security LogicはWebアプリケーションを不正アクセスから守る最良の方法のひとつです。
- Negative Security Logic
- Negative Security Logicとは、ブラックリスト(不正アクセスのパターンのリスト)によるデータの検証を行うロジックです。httpリクエストにブラックリストに存在するデータが含まれていた場合、それを不正アクセスとみなし防御します。Negative Security Logicでは、ブラックリストを元に不正アクセスかどうかを判断するため、ブラックリストでは不正アクセスのパターンを網羅しておく必要があります。全ての不正アクセスのパターンを網羅したリストを作成するのは非常に困難です。また設定漏れや、未知の攻撃の危険性があるため、Negative Security Logicのみによる不正アクセス検知手法は十分な対策とは言えません。
一方、Positive Security Logicだけでは、ホワイトリストにあるデータだけで構成された攻撃を防ぐことは出来ません。これは、Positive Security LogicがホワイトリストにあるデータだけでHTTPリクエストが構成されているかをどうかで判断しており、不正アクセスかどうかについては判断していないためです。
Negative Security LogicではHTTPリクエストを構成するデータが不正アクセスかどうかという判断を行っているためブラックリストにある不正アクセスのパターンについては検出することが出来ます。
このようにApplication Security Manager (旧 TrafficShield)ではPositive Security LogicとNegative Security Logicの両方で不正アクセスを検出することが出来るため、より正確に不正アクセスを検出し、防ぐことが可能です。
選択できるセキュリティレベル
Application Security Manager (旧 TrafficShield) では、メンテナンス性や技術者の技術レベルに応じて以下の3つのセキュリティレベルが存在します。
- Standard Implementation
-
プロトコル準拠Webサーバへの攻撃を防ぐために、RFCに準拠したリクエストか、許可されたメソッドであるかを確認します。
-
オブジェクトタイプWebサーバの設定不備等によりアンケート収集したデータ等が漏えいしないようにするため公開できるファイルオブジェクトを指定します。
-
ディレクトリ公開するファイルの種類をディレクトリ毎に指定することで、情報漏えい対策とすることが出来ます。
-
長さURL、クッキー、クエリーストリングの長さを指定し、バッファオーバーフロー等の被害を防ぐことが出来ます。
-
文字ヘッダー、オブジェクト、パラメータ名、パラメータ値に使用できる文字種を一律指定することで、Webアプリケーションが開発者の予期しない動きをしないようにすることが出来ます。これによりWebアプリケーションに対する不正アクセスの一部を防ぐことが出来ます。
-
クッキークッキーの改竄によるセッションハイジャック攻撃等を防ぐために、クッキーをハッシュ化したものを追加してクライアントに送信します。これによりクライアントから送られたクッキーが、サーバから送信したクッキーと同じものであることを証明することが出来ます。
-
攻撃のシグネチャNegative Security Logicを用いて不正アクセスを検出します。これにより、他の方法で検出できない不正アクセスを検知し、防ぐことが出来ます。
-
- Policy Tightening: APC Phase 1
- Standard Implimentの設定に加え、Webアプリケーションが構成する全てのページ、パラメータ毎に許可する文字種を指定することでより正確に不正アクセスを検知し、防ぐことが出来ます。この設定を適切に行うことで、Webアプリケーションを不正アクセスの脅威から防ぐことが可能となりますが、メンテナンス・設定にコストがかかります。また、防御するWebアプリケーションの仕様とWebアプリケーションセキュリティに対する深い理解と経験が必要となります。
- Policy Tightening: Enhanced Standard
- Standard Implimentに加え、Webアプリケーションが構成するページ、パラメータのうちリスクが高いものに対して許可する文字種を指定することで、不正アクセスの脅威からWebアプリケーションを妥当なレベルで守った上で、メンテナンス性や設定コスト、運用管理の要求技術レベルを妥当なレベルで行えるようにするものです。
これによりAPC Phase 1では非常にコストがかかる運用管理の部分を簡略化することが可能となります。
Traffic Shieldの導入のメリット
Application Security Manager (旧 TrafficShield) を導入することで技術的視点、ISMSからの視点でのメリットは以下のようになります。
- 技術的視点
- Webアプリケーションに限らず、全てのアプリケーションは、以下の3つの要素に分けることが出来ます。
- 入力
- プロセス
- 出力
;)
図3 クリックすると拡大図が表示されます
攻撃者は入力データを操作することでプロセスに誤動作を生じさせ、機密情報を入手したり、サーバに侵入したりします。この為、入力データを確実かつ適切に検証することが重要となっています。しかし、この入力データの検証は開発者の技術レベルに依存し、不適切な検証を行っていることが多々あります。
Application Security Manager (旧 TrafficShield) を導入することで、開発者の技術レベルに依存しない安全なWebアプリケーションを提供することが可能となります。
また、万が一Webアプリケーションにセキュリティホールが存在していたとしても、従来であればプログラムの修正が必要であった対応も、 Application Security Manager (旧 TrafficShield) を導入することで、設定の変更で対応することが可能となり、その結果対応コストを大幅に下げることが可能です。
Application Security Manager (旧 TrafficShield) を導入することで、開発者の技術レベルに依存しない安全なWebアプリケーションを提供することが可能となります。
また、万が一Webアプリケーションにセキュリティホールが存在していたとしても、従来であればプログラムの修正が必要であった対応も、 Application Security Manager (旧 TrafficShield) を導入することで、設定の変更で対応することが可能となり、その結果対応コストを大幅に下げることが可能です。
- ISMSからの視点
- Webアプリケーションに限らず、全てのアプリケーションは、以下の3つの要素に分けることが出来ます。
ISMSでは、組織的対策だけでなく、技術的対策も管理策として規定しています。ISMSの詳細管理策10項「システムの開発及び保守」についての項目があり、この中の10.2.1項に「入力データの妥当性確認」についての要求事項で以下のように記述されています。
業務用システムに入力されるデータは、正確で適切であることを確実にするために、その妥当性を確認することが望ましい。
具体的には、以下のものが必要となります。
- 範囲外の値
- データフィールド中の無効文字
- 入力漏れデータ又は不完全なデータ
- データ量の上限及び加減からの超過
- 認可されていない又は一貫していない制御データ
これらはApplication Security Manager (旧 TrafficShield) を導入することで画一的に適用することが可能となります。これにより、ISMSの要求事項の技術的対策の一部を行うことが出来ます。
BIG-IP製品、FirePass、ARX、WANJet およびF5は、F5 Networks, Inc の商標、または登録商標です。
本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。 製品仕様は予告なしに変更される場合があります。
本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。 製品仕様は予告なしに変更される場合があります。