［米国］【フォレスター調査】
「企業はWebアプリケーションの脆弱性を認識していない」

ネットワーク・ファイアウォールだけでは攻撃は防御できない

（2007年03月22日）

　米国フォレスター・リサーチは、ほとんどの企業が自社のネットワークにアプリケーション・レイヤの攻撃をはね返す防御手段が十分でないという認識を持っておらず、知らず知らずのうちに攻撃を受けている可能性がある、とするリポートをこのほどまとめた。

　同社が発行した「Webアプリケーション・ファイアウォール予測：2007～2010年」と題した調査リポートは、「ほとんどの企業は、従来のネットワーク・ファイアウォールが（アプリケーション・レイヤーの）攻撃を防衛できないという認識すら持っていない」と警告する。

　また、シマンテックが発行したインターネット・セキュリティ脅威に関する2006年下半期の報告書も、Webアプリケーションには弱点が多く、企業による認識の欠如が問題を引き起こす可能性があると指摘している。

　「シマンテック・インターネット・セキュリティ脅威報告2006年7～12月」と題したホワイトペーパーは、「この期間に開示された脆弱性の66％がWebアプリケーションに影響を与える」と報告する。

　さらに同ホワイトペーパーは、容易に悪用できる脆弱性の77％がWebアプリケーションに影響を与えるとしている。

　フォレスターは、パケットを検査する従来のファイアウォールと、Webサーバとのセッションの一部であるパケット・フローを検査するWAFとを明確に区別している。「多くの企業が理解していないのは、WAFと従来のネットワーク・ファイアウォールとがまったく異なるものであるということだ」と、調査リポートは指摘する。

　フォレスターによると、企業の多くがクレジットカード・チェックおよびオンライン・トランザクション処理中に転送されるクレジットカード番号などの個人データを保護するPCI（Payment Card Industry）データ・セキュリティ標準への準拠が進むにしたがって、Webアプリケーションの脅威に対する認識が高まる可能性があるという。

　実はこれらの標準は、Webアプリケーションへの未知の攻撃を防衛する2つの選択肢の1つであるWAFを必要とする。ちなみに、もう1つの選択肢とは、Webアプリケーションそのもののセキュリティを見直して欠陥を修正するというものだ。

　フォレスターでは、米国の多くの企業は、PCI標準への準拠期限が2008年半ばに迫っており、Webアプリケーション・セキュリティとWAFに関する情報が広まるにしたがって、WAFの売上げも伸びると予測する。しかし、その後、クレジットカードに依存してビジネスを行う小売業者が準拠を完了するのに伴って、WAFの売上げは低下すると見ている。

　同社は、企業が防衛手段をIP層の上位に移すと、個人データを盗み取ろうとする者もそれに対抗するようになると指摘する。「攻撃者も階層の上位に攻撃の焦点を移し、アプリケーション・レイヤやセッション・レイヤへの攻撃の頻度が高まり、破壊力も大きくなるに違いない。そうなると、従来のネットワーク・ファイアウォールは役に立たなくなる」

　また、多くの企業は、2008年半ばまでにこれらの脅威に対抗するため、スタンドアロン型のWAF機器を購入するが、これらの機器の機能は徐々にアプリケーション・アクセラレーション・プラットフォーム、汎用セキュリティ・アプライアンスなどの機器に吸収されていくと、フォレスターは見ている。

　さらに同社は、一部のWAFベンダーがより大きなネットワーキング・ベンダーに買収されると予想する。「この統合で、WAFがパッケージ型のネットワーク・セキュリティまたはアプリケーション提供サービスの一部に組み込まれるようになり、さらに価格が下がるだろう」とリポートには書かれている。

　フォレスターは、主要WAFベンダーとして、ブリーチ・セキュリティ、シトリックス・システムズ、F5ネットワークス、インパーバ、ネットコンティニュアム、プロテグリティを挙げている。

(ティム・グリーン／Network World 米国版)