ディレクターズは、2007年に設立されたホスティングサービス企業。ホスティング事業を中心に、サーバ証明書取得代行事業、メディア事業などをてがけ、現在の社員数は22名。オフィスには会員制フリースペース『Re::Boot』も併設されている。同社の新たなセキュリティ対策として、Barracuda Web Application Firewall(以下 Barracuda WAF)を導入した経緯とその効果について、ディレクターズ 代表取締役 加藤慶氏、アシスタントエンジニア 末留雄介氏に詳しく伺った。
ホームページ改ざんへの緊急対策としてBarracuda WAFを活用
Q:ディレクターズではBarracuda WAFをどのように活用されていますか。
数ヶ月前に新規のお客様(以下 A社)から「ホームページ改ざんが発生したので、セ キュリティ対応の支援を求めたい」と依頼があり、その対策に際しBarracuda WAFを主力アプリケーションとして活用しました。 A社からの問い合わせ内容は「自社管理していたコーポレートサイトがハッキング され、異様なWebページに書き換えられた。ホスティング企業に問いあわせたが問題は解決しない。知人の紹介を通じてディレクターズなら解決能力があると知り、相談することに決めた」というものでした。まずA社のサーバを実地調査したところ、管理者ログインに厳重な制限をかけるなどセキュリティ対策は一定水準施さ れていました。しかし、アプリケーションのソースコードを見たところ、構造上セキュリティ面で脆弱性が散見されたため、弊社としてはアプリケーションの脆弱性をつかれたのだと判断しました。
WAFが有効だと判断した理由
Q:具体的にプログラムのどんな脆弱性が狙われたとお考えですか。
実際にどんな脆弱性が悪用されたのかは、Webサーバのログを調査すればある程度の判定が可能です。しかし、この件ではWebサーバに1ヶ月分のログしか残されておらず、最初にどのアプリケーションが攻撃されたのか、特定するための情報が不足していました。ただ、特定には至らないまでも「プログラムレベル、アプリケーションレベルでの脆弱性が悪用された」ことはほぼ確実でした。ということは改ざん再発を防ぐ対策として、Webアプリケーションファイアウォール(以下 WAF) を導入し、システムを使って主要な脆弱性すべてを塞ぐのが有効といえます。お客様にその旨を提案して了承を得たのち、WAFの本格的な比較検討に入りました。
続きはこちらから(PDFダウンロード)