ASCII.jp 玄人も満足!ガンブラー攻撃を無力化するFortiWeb

ASCII.jp 玄人も満足!ガンブラー攻撃を無力化するFortiWeb

  • 沿って huawei
  • 24/04/2022

9月9日、フォーティネットのWAF(Web Application Firewall)アプライアンスである「FortiWeb」がバージョンアップ。防御だけではなく、診断と復旧まで可能になったほか、製品ラインナップも拡充したという。フォーティネットジャパンのお二方に製品の魅力を聞いた。

防御だけじゃない。診断も復旧も1台で済む

フォーティネットジャパン セールスエンジニアリング部 シニアコンサルティングSE 成田泰彦、マーケティング プロダクトマネージメントディレクター 根岸正人氏

WAFはWebアプリケーションに対する攻撃を防ぐ専用ファイアウォールで、昨今猛威を振るうSQLインジェクションやクロスサイトスクリプティングなどの攻撃からWebサイトを防ぐことが可能だ。また、クレジットカード会社のセキュリティ基準「PCI DSS」で導入が義務化されていることからも注目を集めている。

FortiWebも、こうしたWAF製品の1つで、フォーティネットから提供されるシグネチャとユーザー定義のフィルターにより、IPAで届けられているWeb攻撃の約8割を攻撃を防ぐという。「Webサイト自体のセキュアコーディングがコストや時間の面で難しかったり、脆弱性があってもサイトを止められないという方々がWAFを検討しています」(フォーティネットジャパン マーケティング プロダクトマネージメントディレクター 根岸正人氏)という。このFortiWebに搭載されているソフトウェアが、先頃4.0MR1にバージョンアップされ、防御をメインとしたいままでのWAFを超えるような機能拡張が行なわれた。

まずWebアプリケーションの診断機能機能が追加された。前述したPCI DSSでは、システムの脆弱性を定期的に検査することが求められる。これに対し、FortiWebでは脆弱性診断を定期的に実行し、脆弱性の状態をレポートすることができる。

脆弱性の状態を定期的にレポートしてくれる

ASCII.jp 玄人も満足!ガンブラー攻撃を無力化するFortiWeb

改ざん検知は保護するサイトをあらかじめ登録しておく

また、Webコンテンツの改ざん検知が可能になったのも大きな改良点。これはTripwireのようにファイルの状態を定期的にモニタするもの。「Webサーバーの管理者権限を剥奪し、改ざんを加えるガンブラーのような攻撃を完全に遮断するのは難しいです。ですから、保護したいWebサイトをあらかじめ登録し、ファイルの改ざんが行なわれているかを定期的にチェックしたほうが現実的です」(セールスエンジニアリング部 シニアコンサルティングSE 成田泰彦氏)とのことで、ガンブラー対策としても有効。変更が加えられた場合に、自動的に元のファイルに戻すこともできる。

このように防御だけではなく、診断や復旧まで可能になったのが、FortiWeb 4.0MR1の大きな改良点だ。

さらにポリシー設定にも工夫が加えられた。専門家じゃないユーザーでも設定ができるよう、チェックボックスをメインにしたウィザードが用意されたほか、自動学習モードも用意された。逆に専門家向けのカスタマイズも非常に細かくできるようになった。「WAFの設定や運用を行なうMSSP(Managed Security Service Provider)の方々がお持ちになっている独自ノウハウをシグネチャに盛り込んでいただけます」(成田氏)とのことで、入力値の種類や桁数を詳細に設定するほか、正規表現まで使えるという。

カスタムシグネチャを生成し、MSSP独自のノウハウを盛り込める

1Gbpsを誇るハイエンド機種も投入

あわせて新しいハードウェアプラットフォームも1Uの「FortiWeb-1000C」、2Uの「FortiWeb-3000C」の2機種を投入した。

最大6TBのストレージを標準搭載するFortiWeb-3000C

エントリモデルのFortiWeb-400Bでは100Mbpsというスループットだったが、新モデルはいずれも「CP7」というFortiGateでも用いられているコンテンツ精査用プロセッサーを搭載し、スループットが大幅に向上した。3000Cでは1Gbpsスループット、HTTPで4万トランザクション/秒を実現した。また、障害時のバイパス機構のほか、SSLアクセラレータを標準搭載した。200万円台の400Bはエントリユーザーに使ってもらい、1200万円台の3000CはMSSPでの導入を想定しているという。

一覧へ

表示形式: PC ⁄ スマホ