Q&A
ご回答ありがとうございます。
事例の提示ありがとうございます。IPSやWAFだけではダメな理由がよくわかりました。
Webアプリケーションのセキュリティについてご教示ください。
極端な話、IPSやWAFを導入すれば、アプリケーション側のプログラムはセキュリティを気にせず作っても大丈夫なのでしょうか?
回答3件
0
ベストアンサー
極端な話、IPSやWAFを導入すれば、アプリケーション側のプログラムはセキュリティを気にせず作っても大丈夫なのでしょうか?
全くそんなことはありません。とりわけ、権限まわりのバグ(アクセスできるはずのない他人のデータにアクセスできてしまったなど)については、誰がログインしているかを除いてアクセスパターンは同じなので、アプリケーション外での対策はほぼ無力です。
また、SQLインジェクションやXSSなどについても、典型的なパターンはIPSやWAFで防いでくれるかもしれませんが、複雑に凝った攻撃を仕組めばそれらを回避できることもありうるわけなので、元から断たないと安全性は確保できません。
あと、「URLパラメータやhidden引数に秘密の情報を入れてしまって、ユーザーが書き換え可能になる」とか「フリー入力欄としてHTMLを通したけれど、メチャクチャなスタイルを当てることで画面表示を混乱させることができた」など、機能として組み込むところに隙があれば、それを利用した攻撃を組み立てることができますので、やはりアプリケーション設計段階で「何も考えない」というのは危険です。
投稿2017/11/07 07:27
編集2017/11/07 07:41
総合スコア145183
0
ここは事実をもって語るのがよいと思いますが、
まず、日本テレビサイトに対する個人情報漏えい事件ですが、調査報告書にIPSがあったが遮断できなかった旨が記載されています。
また、GMOペイメントゲートウェイのカード情報漏えい事件ですが、WAFが導入されていたが、事故を防げなかったことが分かります。
2017年3月10日の「不正アクセスに関するご報告と情報流出のお詫び」について | GMOペイメントゲートウェイ株式会社
IPSやWAF等のセキュリティソリューションがうまく使えばそれなりの効果はありますが、基本はアプリケーションの脆弱性をなくしておくことであり、IPSやWAFはあくまでも保険的な対策、緩和策であることに気をつける必要があります。maisumakunさんも指摘されているとおり、そもそもIPSやWAFでは防げないタイプの攻撃もあります。
投稿2017/11/07 08:03
総合スコア11701
0
IPS や WAF で危険な通信がすべて止められるというのは妄想です。
WAF でホワイトリスト方式を採用することで、かなりの制限をかけることは可能ですが、結果としてアプリケーション側の作りが適切でない場合、抜けることはそれほどスキルを必要としません。
*そもそもホワイトリスト方式で制限を掛ける場合、アプリケーションの作りを精緻に知っておく必要があります。
IPS や WAF は、アプリケーションとは別のレイヤーで通信を制限するツールであることを認識して使用すべきです。
投稿2017/11/07 08:04
退会済みユーザー
総合スコア0
ご回答ありがとうございます。
アプリケーション側のセキュリティ対策が基本で、IPS や WAFはセキュリティをより高めるためのものといた感じでしょうか。
回答にも書きましたが、制限するレイヤーを一つ増やすイメージが分かりやすいと思います。
(実際にはもう少し複雑ですが)IDS/IPS は TCP/IP、WAF は HTTP に対して制限を加えることになります。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2017/11/07 07:58
2017/11/07 08:37
退会済みユーザー
2017/11/07 09:43 編集