外部からの攻撃を可視化
インターネット通販がまだ黎明期だった1999年に創業し、2000年からギャザリングによるインターネット通販を手がけるネットプライス。そのビジネスは当然ながら数多くのウェブサーバーで支えられている。06年からロードバランサとしてBIG-IP Local Traffic Manager(LTM)を採用していたが、リプレース時期が近づいてきたこともあり、未知の脅威からアプリケーションやデータを保護するウェブアプリケーションファイアウォール(WAF)のBIG-IP Application Security Manager(ASM)の導入を決めた。
【今回の事例内容】
<導入企業>ネットプライス
2000年からギャザリング(共同購入)によるインターネット通販を手がける。同社が運営するオンラインショップ「net price」では仕入れ商品やプライベートブランド商品を販売する。17年9月現在の会員数は250万人。
<決断した人>
高橋啓輔
テクノロジー本部
マネージャー
<課題>
ECサイト運営に必要なウェブアプリケーションをサイバー攻撃から保護するため、ウェブアプリケーションファイアウォール(WAF)の導入を検討。しかし、WAF導入により運用負荷が増えることが課題だった。
<対策>
F5ネットワークスのBIG-IP ASMを導入することで、運用負荷を抑えることができた。さらに、東京エレクトロンデバイス(TED)のサポートを受け、スムーズな運用開始ができた。
<効果>
攻撃を可視化するとともに、運用上の安心感も向上。攻撃がウェブサーバに届く前に遮断することで、ウェブサーバの負荷軽減にも貢献している。
<今回の事例から学ぶポイント>
ネットワークの再構築の必要がなく、運用負担の増加を抑えながら、セキュリティを高めることができた。
強固なセキュリティ対策が必須
インターネットの通販事業では、セキュリティの担保は重要だ。ぜい弱性判断をいち早く取り入れるなど、ネットプライスは対策を行ってきた。高橋啓輔・テクノロジー本部マネージャーは、「09年からWAFの導入を検討していた。ウェブサーバーの前段で攻撃をブロックすることで、より安全性を高めたかった」と話す。とくに、従来型携帯電話向けの通販を行っていた頃から、ユーザーからのアクセスが多く、より強固なセキュリティ対策が必要だった。
しかし、当時はまだー般的な機能ではなく、導入コストも高かったため、「導入には至らなかった」(高橋マネージャー)という。幸いにもウェブアプリケーションにセキュアコーディングを施すことで、これまでアプリケーション攻撃による実被害はなかった。
WAF導入のきっかけとなったのが、これまで使ってきたBIG-IP LTMのリプレース時期が近づき、さらにBIG-IP上で稼働していたTMOSのバージョンが古くなり、最新モデルへの移行が必要となったことだ。そこで15年12月、BIG-IP LTMのマイグレーションに合わせたWAF導入の検討に着手。パートナーである東京エレクトロンデバイス(TED)と相談の末、BIG-IP ASMの採用を決めた。
WAFとしてASMを選んだ理由は2点ある。一つは、これまで使ってきたBIG-IP LTMと同じプラットフォーム上でBIG-IP ASM機能を有効化するだけで利用できることだ。機器の数を増やす必要がなく、導入コストを抑えることができる。
もう一つの採用理由は、BIG-IP LTMと同じ管理画面で一緒に管理できることだ。運用・管理負荷の増加は極力減らすことがポイントで、現在は高橋マネージャー一人が管理を担当している。「導入しただけでは使えない。ところが、WAFを利用するのはこれが初めて」と高橋マネージャーは語る。導入を実現した要因としてTEDのきめ細かいサポートが見逃せない。「導入前には一日かけてBIG-IP ASMについての個別講習を受けた。資料のほか、実際の管理画面を見ながらの操作確認なども行った。運用開始後も、メールや電話で丁寧なサポートを受けている」(高橋マネージャー)という。
運用とウェブサーバー負荷が軽減
BIG-IP ASMの運用は、16年4月から開始した。その後、BIG-IP ASMの機能を有効化し、ロギングモードでの運用を16年5月にスタートした。ロギングモードでのBIG-IP ASM運用を始めてわかったのが、外部からのアプリケーション攻撃が想定以上に多かったことだ。「1日数万回の攻撃は日常的に起きていた。攻撃元は中国や米国をはじめとする海外が多く、日本国内からの攻撃は少ないことが意外だった」と高橋マネージャーは話す。攻撃内容はWordPressなどのOSSのぜい弱性を狙うもの、SQLインジェクション、クロスサイトスクリプティング(XSS)が目立ったという。なかでもSQLインジェクション、XSSは、「バラバラなリクエストでくるので判別が難しい。振り分け作業はログを確認したり、ツールやエクセルのフィルターを使って確認したりするので、この作業に時間がかかる。だいたい1回につき1~2時間、これが週に1度の頻度で起こる。多いと週に2度あった」(高橋マネージャー)という。
その後、TEDの支援のもと、シグネチャのチューニングを数回実施し、ウェブサーバーの負担を軽減するため、17年6月にブロッキングモードへと切り替えた。ブロッキングモードに切り替えてからは、ウェブサーバーの負荷が軽減した。1日数万回という膨大な攻撃由来のアクセスが、BIG-IP ASMで遮断されたからだ。
また、ウェブサーバーが出力するログの量も安定化した。以前はログの量が急増するケースがあったが、その主な理由が攻撃の増大だったことがわかった。
「攻撃由来のログはBIG-IP ASM、その他のログはウェブサーバーに記録されるので、問題発生時の切り分けも以前より容易になった」と高橋マネージャーは話し、管理の負荷が大幅に軽減されたという。
現在、WAFはシグネチャにもとづく攻撃検知を採用しており、そのチューニングも行っている。これによって、おおむね攻撃系リクエストを遮断できるが、すべてを遮断できているわけではないようだ。「正常アクセスにみせかけた攻撃はシグネチャでは対処できない。例えば、リスト型パスワードアタックやブルートフォース攻撃は、われわれのアプリケーションからすると正しい挙動に見えるので防ぐことが難しい」と高橋マネージャーは語る。今後は事前に遮断できるよう、BIG-IP ASMが提供するシグニチャ以外の手法の採用を検討していくという。(山下彰子)
