「企業はWebアプリケーションの脆弱性を認識していない」――ネットワーク・ファイアウォールだけでは攻撃は防御できない
同社が発行した「Webアプリケーション・ファイアウォール予測:2007~2010年」と題した調査リポートは、「ほとんどの企業は、従来のネットワーク・ファイアウォールが(アプリケーション・レイヤーの)攻撃を防衛できないという認識すら持っていない」と警告する。
また、Symantecが発行したインターネット・セキュリティ脅威に関する2006年下半期の報告書も、Webアプリケーションには弱点が多く、企業による認識の欠如が問題を引き起こす可能性があると指摘している。
「Symantec インターネット・セキュリティ脅威報告2006年7~12月」と題したホワイトペーパーは、「この期間に開示された脆弱性の66%がWebアプリケーションに影響を与える」と報告する。
さらに同ホワイトペーパーは、容易に悪用できる脆弱性の77%がWebアプリケーションに影響を与えるとしている。
Forresterは、パケットを検査する従来のファイアウォールと、Webサーバとのセッションの一部であるパケット・フローを検査するWAFとを明確に区別している。「多くの企業が理解していないのは、WAFと従来のネットワーク・ファイアウォールとがまったく異なるものであるということだ」と、調査リポートは指摘する。
Forresterによると、企業の多くがクレジットカード・チェックおよびオンライン・トランザクション処理中に転送されるクレジットカード番号などの個人データを保護するPCI(Payment Card Industry)データ・セキュリティ標準への準拠が進むにしたがって、Webアプリケーションの脅威に対する認識が高まる可能性があるという。
実はこれらの標準は、Webアプリケーションへの未知の攻撃を防衛する2つの選択肢の1つであるWAFを必要とする。ちなみに、もう1つの選択肢とは、Webアプリケーションそのもののセキュリティを見直して欠陥を修正するというものだ。
Forresterでは、米国の多くの企業は、PCI標準への準拠期限が2008年半ばに迫っており、Webアプリケーション・セキュリティとWAFに関する情報が広まるにしたがって、WAFの売上げも伸びると予測する。しかし、その後、クレジットカードに依存してビジネスを行う小売業者が準拠を完了するのに伴って、WAFの売上げは低下すると見ている。
同社は、企業が防衛手段をIP層の上位に移すと、個人データを盗み取ろうとする者もそれに対抗するようになると指摘する。「攻撃者も階層の上位に攻撃の焦点を移し、アプリケーション・レイヤやセッション・レイヤへの攻撃の頻度が高まり、破壊力も大きくなるに違いない。そうなると、従来のネットワーク・ファイアウォールは役に立たなくなる」
また、多くの企業は、2008年半ばまでにこれらの脅威に対抗するため、スタンドアロン型のWAF機器を購入するが、これらの機器の機能は徐々にアプリケーション・アクセラレーション・プラットフォーム、汎用セキュリティ・アプライアンスなどの機器に吸収されていくと、Forresterは見ている。
さらに同社は、一部のWAFベンダーがより大きなネットワーキング・ベンダーに買収されると予想する。「この統合で、WAFがパッケージ型のネットワーク・セキュリティまたはアプリケーション提供サービスの一部に組み込まれるようになり、さらに価格が下がるだろう」とリポートには書かれている。
Forresterは、主要WAFベンダーとして、ブリーチ・セキュリティ、シトリックス・システムズ、F5ネットワークス、インパーバ、ネットコンティニュアム、プロテグリティを挙げている。
(ティム・グリーン/Network World 米国版)
米国Forrester Research
http://www.forrester.com/
提供:Computerworld.jp