あまたのWebアプリ攻撃に鉄壁の防御を〜「TrafficShield」
　エンドポイントセキュリティを強化〜「FirePass」

　F5ネットワークスが主催するイベント「F5 Tech Tour 2005」の2日目となった2月9日は、前日とは打って変わってSSL-VPNゲートウェイ「FirePass」や、アプリケーションファイアウォール製品「TrafficShield」といったセキュリティ製品の解説がメインとなった。

　中でも注目は、2004年12月に国内での販売が開始されたばかりのTrafficShieldに関する解説だ。これまであまり日本国内で詳細が語られてこなかったTrafficShieldについて、今回のセミナーではなぜTrafficShieldが必要とされるのか、また具体的にはどのような機能を搭載しているのかといった点について技術的な面から詳細な説明が行われた。

　昨年来、多くのWebサイトから顧客名簿が漏えいする事件が発生しているほか、いわゆるクロスサイトスクリプティング（XSS）やSQLインジェクションなどといった脆弱性を抱えるWebサイトの問題が数多く報告されている。今やWebアプリケーションのセキュリティをどのように確保するかはWebサイトの管理者にとっては最重要課題の1つとなってきている。

　しかしWebアプリケーションの脆弱性に対する攻撃は一般的にPort 80（SSLならPort 443）に対して「正当かつ完全なWebアクセス」の形を取って行われるためにファイアウォールでそれを防ぐことはできないし、いわゆるIDS（Intrusion Detection System）でもあらかじめ攻撃パターンに対応したシグネチャが用意されているものにしか防御できない。

　そのため、そのような攻撃に対してはプログラマが１つ１つコードを精査して原因となるバグをつぶしていくしか方法がない。しかし現実にはそのような形でバグをつぶすには多くの労力と時間・予算が必要となるうえ、そもそもWebアプリケーションを業務で利用している企業の中にはコードに対する保守体制の構築がなされていない企業も少なくなく、脆弱性を取り除くには非常に困難を伴うケースが多い。

草薙伸氏

　TrafficShieldを導入すれば、そのようなWebアプリケーションの脆弱性などに起因する問題の多くをフィルタリングし、怪しいトラフィックの大半をブロックしてくれる。今回はその仕組みの概要についてF5ネットワークスジャパンのエンジニアリングマネージャである草薙伸氏が解説を行った。

　まずTrafficShieldの最大の特徴は「ポジティブセキュリティロジック」にあると草薙氏は語る。同氏は従来のIDS製品を「こういう動きをするものは正しくない」、つまり「ネガティブ」なトラフィックをあらかじめ登録してブロックし、それ以外のトラフィックを全てスルーする「ネガティブセキュリティロジック」と表現する。それに対してTrafficShieldは「Webアプリケーションの開発者が『このアプリはこう動くべき』と想定した正しい動き」、つまり「ポジティブ」なトラフィックを事前に登録しておき、ユーザーがそれ以外の動きを行った全てのトラフィックをブロックする「ポジティブセキュリティロジック」であると説明した。

　そのためには事前にユーザーがWebサイト内部でどのような動きを取るかといった情報（アプリケーションフローモデル）を収集したうえで、ユーザーに対してどのような行動を許可するかという点を設定しなければならない。TrafficShieldではこれを実現するために自動クロール機能が実装されており、TrafficShield内部のクローラーが自動的にWebサーバ内のコンテンツにアクセスを行い、リンクに従ってアクセスを行った場合の正しいユーザーのフローやWebフォームに入力される値として想定される範囲などの情報を収集する。管理者は、多くの場合このクローラーが集めてきた情報を元にWebフォームのパラメータなどの微調整を行う程度の作業で「正しいアクセス形態」に関するポリシーを設定することが可能になる、と草薙氏は語った。

Webアプリケーションにおけるユーザーの流れをモデル化してあらかじめ登録しておく

　このような仕組みによりTrafficShieldを導入したWebサイトでは、例えばWebフォームにSQL文を入力してSQLインジェクションを試みたり、JavaScriptを入力してXSSの脆弱性の利用を狙ったりしても、それらの入力は「不正な入力」であるとしてTrafficShieldの段階でアクセスがブロックされる。つまりWebアプリケーションにSQLインジェクションやXSSの脆弱性があった場合でも、そもそも入力がWebアプリケーションに渡されず、その脆弱性が発現しようがないのでWebアプリケーションのセキュリティが保たれる。

　またURLをWebブラウザに直打ちするなど、正しいリンクを辿っていないと思われるアクセスについてもブロックを行うため、顧客名簿のファイルをWebサーバのDocumentRoot以下に置いているようなケースでもそれが漏えいする可能性が大幅に低減する。

　TrafficShieldにはこれ以外にも、攻撃者が万が一前述のアクセスブロック機能を突破した場合でも重要な情報が外部に漏れださないように、あらかじめ登録したパターン（例：クレジットカード番号なら「数字16桁」）に当てはまるようなデータがWebサーバからのレスポンスに含まれる場合には、それを自動的にフィルタリングしてユーザーに見せないようにする「コンテンツスクライビング」機能や、攻撃者がWebサーバやプラグインなどのバージョンを知るために事前に行うプロービングに対し、バージョンを特定されるようなFingerPrintを隠す「アプリケーションクローキング」機能などが搭載されている。

TrafficShieldの実機が展示されたデモコーナーで情報収集

　またハード面でも、TrafficShieldのハードウェアはFirePass 4100と全く同じものを使用しているということで、SSLアクセラレーション機能などもFirePass同様非常に高い性能を発揮するというから、これ１台あればWebアプリケーションの脆弱性に関する問題の大半は解決するといっても過言ではない。

　現時点では、TrafficShieldはまだ英語版のみが販売されている。日本語を始めとするマルチバイト文字入力による攻撃などへの対応に関しては、今年第2四半期を目処に日本語版の開発が進められている。マルチバイト文字への対応や管理画面などUIの日本語化なども日本語版では問題なく行える予定だというので日本語版の早期リリースに期待したい。

　一方FirePassについても草薙氏から、2月3日に日本でのリリースが発表されたばかりの「FirePass 5.4」に関する解説が行われた。FirePass 5.4では、FirePass 4100の1台あたりの同時接続数が最大1000から最大2000までに拡張され、新たにクイックセットアップウィザードが追加されるなど多くの拡張が行われているが、その中でも特に草薙氏は「エンドポイントセキュリティ」の強化について時間を割いて説明を行った。

　「エンドポイントセキュリティ」と言っても多くの読者はいまいちピンとこないと思うが、「ユーザー端末がFirePassに接続した際に、ユーザーID／パスワードの入力ページにたどり着く前に行われる各種セキュリティチェックが強化された」といえば、その意味がお分かりいただけるだろう。

　草薙氏によれば、従来のFirePassでもログイン画面表示前のセキュリティチェックは一部行われていたが、FirePass 5.4ではログイン画面表示前のチェックが可能となり、例えばアンチウィルスソフトのチェック（リアルタイムモニタ機能の動作状況、パターンファイルの日付など）について、マカフィー製品にしか対応してなかったものを、シマンテックやトレンドマイクロなど一般的なアンチウィルス製品全般に対象を広げたという。

　またクライアント端末でWindowsXPのパーソナルファイアウォール機能などが動作しているかどうかをチェックする機能も追加されたほか、クライアント側の起動プロセスやレジストリ、セキュリティパッチの適用状況のチェックなども行うということで、最近流行の「検疫ネットワーク」機能でチェックされるような部分はだいたいチェックされると考えてよいだろう。

　またこれらのチェックについて、ユーザーの使用する環境ごとにどのようなチェックを行うかを簡単に設定できるようにする「ビジュアルポリシーエディタ」もFirePass 5.4では追加された。これによりWindowsやLinux、MacOS XなどといったPC環境はもちろん、PDAや携帯電話などからのアクセスの場合も含めて、どのようなアクセス制御を行うかを一元的に管理することが可能になるということで、これはかなり管理面で有効な機能だといえるだろう。

ビジュアルポリシーエディタ

柳澤典宏氏

　この後のセッションでは、F5製品の一次代理店である伊藤忠テクノサイエンス（CTC）の柳澤典宏氏は、「インターネットカフェのPCなど、不特定多数の方が利用するPC端末からのリモートアクセスを許可した場合、情報漏えいを防ぐためには、SSL-VPN側でそれに対応した機能を持っていないとセキュリティは確保できない。FirePassはプロテクテッドワークスペースやバーチャルキーボードなどの機能を持っており情報漏えい対策という点で充実している」と製品の評価ポイントを語り、さらにCTCの提供するFirePassソリューションとして、「認証強化」「ネットワーク認証」「検疫ネットワーク」「情報漏えい対策」といった各種セキュリティ要素を考慮したシステム導入の提案例を紹介した。

FirePassの設計、構築、サポートに加え、トータル的な対応を行うセキュアインテグレータからの各種のソリューション例を聞き、F5製品の強みは、製品そのものが持つ高い機能面だけでなく、提案力、販売力を持つパートナーとの協力体制であると感じた。

　東京会場に続き、2月15日にはガーデンシティクラブ大阪、17日には名古屋クレストンホテルでもセミナーが開催された。そちらでは主にSSL-VPN製品の「FirePass」の導入事例の紹介が行われた。はたしてユーザーやSIerの目から見て、ほかのSSL-VPN製品と比べFirePassはどういった点が優れていると評価されたのか。東京でのセミナーではあまりFirePassの具体的な事例については紹介されなかったため、ここで補足する形でその内容をご紹介したい。

●SANNETがFirePassを全面採用するに至った2つの理由

　まず大阪では、インターネットプロバイダ「SANNET」の運営などで知られるNTTデータ三洋システムの浜田明宏氏が壇上に立った。同社では2004年12月より提供を開始した法人向けサービス「マネージドSSL-VPNプラス」において、FirePassをそのゲートウェイ機器として採用した。数あるSSL-VPN機器の中でなぜFirePassを採用したのかという疑問に対し、浜田氏は大きく2つの理由を挙げた。

　1つ目の理由が「TCP／IPアプリケーションが何でも使える」という点。元々SSL自体がWebアクセスにおける暗号化などのセキュリティ保護のために作られたプロトコルということから、Webアプリケーション以外のソフトウェア（グループウェア、従来のクライアント／サーバシステムなど）との相性に問題を抱えるSSL-VPN機器が多いことはよく知られている。

　実際に同社が複数のSSL-VPN製品を評価したところ、「TCP／IPアプリケーションに対する透過的なアクセスが可能なのはFirePassともう1社の製品のみだった。しかし、もう1社の製品ではその部分の機能がオプションとなっているのに対し、FirePassでは『ネットワークアクセス機能（VPNコネクタ）』としてその機能が標準装備されている」という結論に至った。

　もう1つの大きな理由が「さまざまな認証方式との組み合わせに実績がある」という点だ。同社では同サービスでFirePassと組み合わせる認証方式として、ファルコンシステムコンサルティングが開発した「WisePoint」というマトリクス認証型のワンタイムパスワードを採用している。前述したもう1社の製品は外部の認証製品との連携に独自プロトコルを使用しているため利用できる認証製品に制限があるのに対し、FirePassはRADIUS認証などの汎用プロトコルが利用でき、WisePointとの連携についても既に実績があった。そのためFirePass自体が持つID・パスワード認証とWisePointを組み合わせることで、容易に二要素認証を実現することが可能になった。

　この2点に加え、製品ロードマップが明示されておりクライアントセキュリティが強化される予定があったこと（これはFirePass 5.4で実現済み）なども決め手となり新サービス「マネージドSSL-VPNプラス」においてもFirePassを全面的に採用することとなった。

　同社ではFirePassによる透過的なTCP／IPアプリケーションの利用、WisePointによるマトリクスコード認証に加え、ウイルス対策ゲートウェイとしてFortiGateを採用している。他社の同種のサービスに比べはるかに高いレベルでネットワーク利用の柔軟性とセキュリティを両立させたSSL-VPNサービスを提供できるとして、その優位性を参加者に訴えていた。

●専用ソフトなしに透過的なTCP／IPアプリケーションの利用が可能な点を高く評価

　名古屋では東京エレクトロンの斎藤雅人氏が、ホンダ系の樹脂・ゴム部品メーカーであるクミ化成におけるFirePassの導入事例を紹介した。

　クミ化成でもやはり大きなポイントとなったのは「アプリケーションシームレスな環境構築」だと斎藤氏は語る。クミ化成ではLotus Notesを始めとするTCP／IPネイティブなクライアント／サーバアプリケーションが社内で多数利用されているとのことで、一般的なSSL-VPN製品ではそれらのアプリケーションを利用するためには、個々のクライアント端末に専用のVPNソフトをインストールする必要がある。クミ化成からは「専用ソフトを利用する方式はインストールの手間がかかるほか、教育などの手間もバカにならないため、できれば専用ソフトはインストールしたくない」との強い要望があったそうで、そこでFirePassの「専用ソフトなしに透過的なTCP／IPアプリケーションの利用が可能」という特徴が大きくクローズアップされた。

　それ以外にも、自社の特許技術などを中心とする営業機密を守るために、USBキーに証明書をインポートしてその証明書なしでは接続できないようにしたり、アクセスログを詳細に記録したりといった要求があった。また、日本語などのマルチバイト文字への対応、UIの日本語化などについても希望があった。このような要求に対してFirePassは問題なく対応でき、しかも価格面でも低価格（同社の要求は最エントリ機種でも対応が可能だった）ということが決め手となり、FirePassの導入が決まった。

　FirePassは2004年4月に同社のデータセンターに導入され、全国9カ所にある同社のNotesサーバと連携する形で現在稼動を続けているとのことで、導入後の同社における評判も上々だという。