情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

6.ネットワークセキュリティ > 6.2 WAF

1.WAF(Web Application Firewall)
WAFとは、Web Application Firewallという言葉通り、Webアプリ用のファイアウォールである。通常のファイアウォールでは、レイヤ4までのヘッダのチェックがほとんどで、IPアドレスやポート番号でのアクセス制御を行っていた。よって、悪意のある攻撃であっても、80番のWebアクセスであればすべて通過させてしまう。
これにたいし、WAFはレイヤ4以上、つまりヘッダだけでなくデータの中身もチェックする。これにより、SQLインジェクションやクロスサイトスクリプティングなどをも防御することができる。まさしく、Webアプリ用のファイアウォールである。
情報セキュリティスペシャリスト試験を目指す女性SE

でも、IPSがあればいいのでは?
最近はWebサーバに特化した高度な攻撃が増えています。SQLインジェクションやクロスサイトスクリプティングなどがその代表ですが、IPSでは止められないものがたくさんあるのです。
waf_情報セキュリティスペシャリスト試験
また、WAFに関して過去問(H23AP秋午前問40)では、「クライアントとWebサーバの間において、クライアントがWebサーバに送信するデータを検査して、SQLインジェクションなどの攻撃を遮断するためのもの」と述べられています。

2.WAFのデメリット
デメリットは、データの中身もチェックするので、スループットが低下すること、SSL通信の検査は工夫がいること、ネットワークのインライン上に置くのでWAFがボトルネックになる可能性があること、故障ポイントが増えることなどがあります。

3.WAFの機能
WAFの製品としては、ImpervaやF5、Citrixなどがある。負荷分散装置のオプション機能として実現しているものもある。
同じWAFといっても、製品によってその充実度は違うであろう。
構成としては、インラインで入れられる製品がいいかもしれない。フェールオープン機能があれば、WAFの障害時でも、システム全体としての停止がなくなる。まあ、冗長化するのが理想ではあるが。
また、HTTPSのSSL通信であれば、暗号化されているため、セキュリティチェックができないという疑問もわくだろう。それはその通りで、WAFでSSLを終端する場合が多いだろう。これは過去問でも問われた。(H22秋SC午後1)
H22SC秋午後Ⅰ問3には、「Q氏が提案したWAFの主な機能」として次の表がある。
機能の名称
機能の概要
シグネチャによる通信検査機能HTTPによる通信をシグネチャと比較し、一致した場合には攻撃として検知する。シグネチャには、脆弱性を悪用する攻撃に含まれる可能性の高い文字列が定義されている。シグネチャの更新情報は、WAFの開発元から定期的に配信される。シグネチャごとに有効化、無効化の選択ができ、有効化したシグネチャに対しては、検知時に通信を遮断するか、遮断は行わず通知だけを行うかを設定できる。独自のシグネチャも作成が可能である。
クッキーの暗号化機能Webアプリケーションがブラウザに対してクッキーを発行した際、クッキーの値を暗号化して引き渡す。ブラウザからクッキーを受信した際、値を復号して、Webアプリケーションに引き渡す。
SSLアクセラレーション機能SSL通信の暗号化と復号を行う。
負荷分散機能販売システムで利用中のLBと同等性能の負荷分散機能を有する。

4.WAFのブラックリストとホワイトリスト
過去問を解いてみましょう。この問題を解くことで、WAFの検知の仕組みを再確認することができることでしょう。
問16 WAF(Web Application Firewall)のブラックリスト又はホワイトリストの説明のうち、適切なものはどれか。
ア ブラックリストは、脆弱性のあるサイトのIPアドレスを登録したものであり、該当する通信を遮断する。
イ ブラックリストは、問題のある通信データパターンを定義したものであり、該当する通信を遮断するか又は無害化する。
ウ ホワイトリストは、脆弱性のないサイトのFQDNを登録したものであり、該当する通信を遮断する。
エ ホワイトリストは、問題のある送信データをどのように無害化するかを定義したものであり、該当するデータを無害化する。
(H22秋SC午前2)
この問題も、正解の選択肢だけでなく、なぜ他がダメなのかを丁寧に確認したい。

この問題は、WAFのブラックリスト、ホワイトリストに特化した内容です。URLフィルタやファイアウォールのIPアドレスベースでのブラックリストなど、他の機能のものとは区別して考える必要があります。

では、順に見て行きましょう。
アは不正解です。WAFの場合、FWやIPSでは防げない攻撃を検知します。IPアドレスでの単純なブラックリストではありません。
イは正解です。WAFの場合、データの中身をチェックします。
ウは不正解です。イが正解とありますように、FQDNレベルで制御するのではなく、データの中身を見ます。FQDNも不正なサイトの判断基準の一つかもしれませんが、それが全てではありません。
エは不正解です。WAFのホワイトリストでは、無害化するかの定義をしていません。単純に、ホワイトリストで記載された通信は、許可されます。

【正解】


5.過去問(H22春FE午前)を解いてみましょう
問44 WAF(Web Application Firewall)を利用する目的はどれか。
ア Webサーバ及びアプリケーションに起因する脆弱性への攻撃を遮断する。
イ Webサーバ内でワームの侵入を検知し、ワームの自動駆除を行う。
ウ Webサーバのコンテンツ開発の結合テスト時にアプリケーションの脆弱性や不整合を検知する。
エ Webサーバのセキュリティホールを発見し、OSのセキュリティパッチを適用する。
FEの問題はわりと素直な問題なので、解きやすいですね。正解はアです。

WAFの導入の際には, Webサーバヘの負荷分散にWAFの負荷分散機能を利用することで,利用中のLBをWAFで置き換える方針とした。また,WAFのSSLアクセラレーション機能を利用し、⑥ブラウザからのSSL通信は、WAFで終端されることにした

設問4 本文中の下線⑥について,この措置を行う理由を55字以内で述べよ。(H22秋SC午後1問3)
WAFの設置場所に関する問題である。
後半に書いた図を照らし合わせながら見ていただきたい。
通常は、PC→WAF→Webサーバという並びで構成される。
WAFが無い場合、PCとWebサーバ間でSSL通信をする。ところが、SSLによる暗号化はPCとWAF間にとどめることが多い。これはなぜかという問題である。
d18680c9 
うーん。
難しいですね。
ということは、PCとWebサーバ間でSSL通信をすると何か問題があるということでしょうか。
知っていれば簡単な問題だ。httpsで暗号化されていると、通信をチェックできないからだ。
試験センターの解答例は、「WebサーバまでSSLで暗号化したままだと、WAFがトラフィックの内容を検査してシグネチャと照合できないため」である。
3
以下の過去問(H25SC春午前2問4)も見てみよう。
問4 図のような構成と通信サービスのシステムにおいて, Webアプリケーションの脆弱性対策としてネットワークのパケットをキャプチャしてWAFによる検査を行うとき,WAFの設置場所として最も適切な箇所はどこか。ここで,  WAFには通信を暗号化したり,復号したりする機能はないものとする。
情報セキュリティスペシャリストwaf
ア a    イ b   ウ c   工 d
正解はcである。HTTPSの通信は暗号化されているので、WAFが効力を発揮できない。
最近のWAFのほとんどは、SSLを終端して復号化する機能を持っている。しかし、処理性能は高くない。やはり、専用のSSLアクセラレータ(多くはLBとの一体型)を入れるのがいいと思う。

このページのトップヘ