ホワイトペーパー

Akamai によるセキュリティ対策強化で OWASP トップ 10 リスクを緩和する

Akamai によるセキュリティ対策強化で OWASP トップ 10 リスクを緩和する 2

はじめにOWASP トップ 10 は、ウェブアプリケーションによくある最も一般的なタイプの脆弱性をまとめたものです。セキュリティベンダーによって固定化されている誤解を打破するために、OWASP トップ 10 はウェブ・アプリケーション・ファイアウォール（WAF）で簡単に阻止できる攻撃ベクトルのチェックリストを提示していません。代わりに目指しているのは、アプリケーション開発者が考慮すべき一般的なセキュリティ上の脆弱性について注意を喚起し、その注意を開発業務全体に向けさせ、セキュアな開発の文化を定着させることです。

OWASP トップ 10 に対処するためには、ウェブアプリケーションのセキュリティ確保に際してセキュリティベンダーとお客様組織の双方が担う役割を理解する必要があります。リスク領域によってはアプリケーション開発者しか対処できないものもあります。多くのセキュリティベンダーは、いくつかの領域でお客様を支援できても、脆弱性に対して完全な、あるいは非常に広範に適用できる対策を講じられないことがあります。より効果的なソリューションでは社員、プロセス、技術を組み合わせて、トップ 10 に関するリスクを緩和します。

OWASP トップ 10 を最大限に活用するためには、お客様の開発業務に対して、セキュリティベンダーがどの領域でどのように、どれくらいの費用で改善をご支援できるか、把握する必要があります。本資料では、Akamai がエッジ・セキュリティ・ソリューション 1、マネージドサービス 2、セキュアなインテリジェント・エッジ・プラットフォーム 3 を通じてお客様のセキュリティ対策のためにどのような役割を果たすのかを説明します。

DDoS

DNS

脅威の状況

ボット

API

Prolexic 分析 Fast DNS

Akamai IntelligentEdge PlatformTM

API

プライベートクラウド パブリッククラウド

マルウェ

ア

Web

Edge セキュリティ Bot Manager KSD

WAP

EAA

ETP

Akamai によるセキュリティ対策強化で OWASP トップ 10 リスクを緩和する 3

A1：インジェクション

影響：深刻 蔓延度：中 悪用のしやすさ：容易

SQL、NoSQL、OS、LDAP インジェクションなどのインジェクション欠陥は、信頼されていないデータがコマンドまたはクエリの一部としてインタープリターに送信される際に発生します。攻撃者の悪意のあるデータは、インタープリターを騙して、意図しないコマンドの実行や適切な権限のないデータへのアクセスを可能にします。

Akamai の役割インジェクション欠陥に対して、お客様組織は WAF セキュリティソリューションを利用してウェブアプリケーションと API を保護できます。しかしながら、組織は開発ライフサイクルに基づき、常にウェブアプリケーションにパッチを適用して新しく発見された脆弱性に対応しなくてはなりません。

• Akamai WAF4 は、そのまま適用できる既存のルールに基づいて、インジェクション攻撃から広範に保護します。

• カスタマイズされた WAF ルールに基づく仮想パッチは、アプリケーションにパッチが適用されるまでの間、新たなインジェクション脆弱性やアプリケーションの変更によって生じた脆弱性に対する迅速な対応を支援します。また、仮想パッチの自動化や DevSecOps プロセスへの統合も可能であり、Akamai のオープン API 機能を活用できます。

• Client Reputation5 は、ウェブ攻撃者カテゴリーにおける非常にアクティブな悪意あるクライアントについてリスクスコアを提供し、インジェクションベースの攻撃の特定と阻止を支援します。

• ペナルティー・ボックス・アラート・モードを備える WAF により、インジェクションベースの攻撃の詳細な分析も可能です。

A2：認証の不備

影響：深刻 蔓延度：中 悪用のしやすさ：容易

認証とセッション管理に関連するアプリケーション機能は、適切に実装されていないことも多いため、攻撃者はパスワード、キー、またはセッショントークンを漏洩させたり、他の実装の不備を悪用したりして、一時的または永続的に、他のユーザー ID になりすますことができます。

Akamai の役割お客様組織において認証プロセスの不備を修正してこの脆弱性への対応を万全にする必要がありますが、一方で

Akamai は、悪用を企てる攻撃ベクトルの検出と攻撃からの保護をご支援します。

• Akamai WAF はレート制御機能を備えており、認証、ログインの総当たり攻撃に対処できます。

• ボット管理ソリューション 6 により、Credential Stuffing で利用される自動化された攻撃の検出、管理が可能になります。

• Akamai プラットフォーム 7 では HTTP cookie を暗号化できるため、cookie の改ざんや変更を防ぎ、認証プロセスを強化できます。

• Enterprise Application Access（EAA）8 は「最小権限アクセスモデル」に基づくアプリケーションへのプロキシアクセスを可能にすることで、アプリケーションのアタックサーフェス（攻撃の対象となり得る領域）を減らし、 2 要素認証（2FA）や多要素認証（MFA）機能によってアクセスを強化します。

Akamai によるセキュリティ対策強化で OWASP トップ 10 リスクを緩和する 4

A3：機微な情報の露出

影響：深刻 蔓延度：広く蔓延 悪用のしやすさ：普通

多くのウェブアプリケーションおよび API は、金融やヘルスケアに関する個人情報（PII）や個人を特定できる情報などの機微な情報を適切に保護していません。攻撃者は、これらの保護が脆弱なデータを窃取または改変して、クレジットカード詐欺や個人情報盗難などの犯罪を犯します。機微な情報に、保存時や転送時の暗号化などの追加の保護策を講じないと、データが漏洩する恐れがあります。また、ブラウザーとデータを送受信する際にも特別な予防策が必要です。

Akamai の役割機微な情報の露出は、データの送信、保存、共有方法の多くの側面に関連しており、保護されていないウェブページからの不測のデータ露出も含まれます。単体のセキュリティソリューションだけでは完全に保護することはできません。ただし、さまざまなソリューションを利用すれば、この脆弱性のいくつかの側面に対応できます。

以下に例を挙げます。

• Akamai は転送時に機微な情報を暗号化して保護するとともに、物理的に容易にアクセスができないようケージに護られたサーバー群によるサービスの提供、すべての主要 SSL 認証への対応、お客様の秘密鍵の保護を通じて PCI

コンプライアンスの順守をご支援します。

• Enterprise Application Access は、通信を暗号化して機微な情報をネットワーク上の盗聴者から守ることで、リモートアクセスを保護します。

• また Enterprise Application Access は、ICAP を使用してデータ漏えい防止（DLP）ソリューションと連携することで、機微な情報をさらに強力に露出から保護できます。

• Enterprise Threat Protector（ETP）9 が機微な情報露出の対策を支援します。

A4：XML 外部エンティティ参照（XXE）

影響：深刻 蔓延度：中 悪用のしやすさ：普通

旧式、あるいは設定に不備がある XML プロセッサーの多くは、XML 文書内の外部エンティティ参照を評価します。外部エンティティは、ファイル URI ハンドラー、内部ファイル共有、内部ポートスキャニング、リモートコード実行、そしてサービス妨害攻撃を通じて内部ファイルの公開に利用される可能性があります。

Akamai の役割• Akamai WAF には、XML パーサーが危険な外部エンティティを処理する前に XXE 攻撃を検出して阻止するルール

が含まれています。

• Akamai WAF は、API リクエストの制約により API を保護する機能を備えています。API リクエストの制約は、定義済みフォーマットに対して XML と JSON を検証して XXE 攻撃を阻止するために使用されます。

Akamai によるセキュリティ対策強化で OWASP トップ 10 リスクを緩和する 5

A5：アクセス制御の不備

影響：深刻 蔓延度：中 悪用のしやすさ：普通

認証されたユーザーが実行を許可されている内容について、適切に制限されていないケースがしばしば見受けられます。攻撃者はこのような欠陥を悪用して、権限のない機能やデータにアクセスし、他のユーザーアカウントへのアクセス、機密ファイルの閲覧、他のユーザーのデータの改ざん、アクセス権の変更などができます。

Akamai の役割お客様組織においてアクセス制御モデルを修正してこの脆弱性への対応を万全にする必要がありますが、一方で

Akamai は、悪用を企てる攻撃ベクトルの一部について、検出と攻撃からの保護をご支援します。

• Enterprise Application Access により、エンタープライズのユーザーには最小権限アクセスモデルが適用され、認証されたユーザーは権限のあるアプリケーションに限って表示とアクセスが許されることになり、ゼロトラスト・セキュリティ・モデルをサポートします。

• API ゲートウェイ 10 は API に対して認証を実施し、アクセス制御を強化します。

• Akamai WAF はリファラーチェックにより、強力なブラウザー攻撃の阻止を支援します。

• Akamai プラットフォーム上で HTTP cookie は暗号化され、アクセス制御を強化します。

A6：不適切なセキュリティ設定

影響：中程度 蔓延度：広く蔓延 悪用のしやすさ：容易

不適切なセキュリティ設定は最も頻繁に見られる問題です。多くの場合その原因は、安全ではないデフォルト設定、不完全または場当たり的な設定、オープンなクラウドストレージ、不適切な設定の HTTP ヘッダー、そして機微な情報を含む詳細なエラーメッセージにあります。すべてのオペレーティングシステム、フレームワーク、ライブラリー、アプリケーションをセキュアに設定するだけでなく、パッチの適用とアップグレードもタイムリーに行う必要があり ます。

Akamai の役割当然のことですが、不適切なセキュリティ設定は（a.）アプリケーションセキュリティの複数の側面に関連し、（b.）お客様組織はセキュリティ制御を適切に設定しなくてはなりません。適切な設定に代わるものではありませんが、Akamai はデータ漏えいからの保護をご支援します。

• Akamai WAF にはアウトバウンド・アノーマリ・アタック・グループが含まれており、不適切なセキュリティ設定が原因で漏えいするソースコードだけでなくエラーコードによる情報漏えいを、追加設定なしですぐに検出します。

• カスタマイズされたルールに基づく仮想パッチは、アプリケーションにパッチが適用されるまでの間、検出されたデータ漏えいに対する迅速な対応を支援します。

• レート制御により、デフォルトの認証情報を利用した総当たり攻撃を防ぎます。

• Content-Security-Policy ヘッダーの脆弱なセキュリティ設定を、Akamai プラットフォーム上で強化することが可能です。

Akamai によるセキュリティ対策強化で OWASP トップ 10 リスクを緩和する 6

A7：クロスサイトスクリプティング（XSS）

影響：中程度 蔓延度：広く蔓延 悪用のしやすさ：容易

XSS 欠陥は、アプリケーションが、（a.）適切な検証やエスケープを怠ったために、信頼できないデータがウェブページに含まれてしまう場合、あるいは（b.）HTML や JavaScript を作成できるブラウザー API を使用して、ユーザーが指定するデータで既存のウェブページを更新する場合に発生します。XSS により、攻撃者は被害者のブラウザーでスクリプトを実行することが可能となり、ユーザーセッションのハイジャックやウェブサイトの改ざんを行ったり、ユーザーを悪意のあるサイトにリダイレクトしたりできます。

Akamai の役割XSS 欠陥に対抗するため、お客様組織は WAF セキュリティソリューションを利用してウェブアプリケーションを保護できます。しかしながら、組織は開発ライフサイクルに基づき、常にウェブアプリケーションにパッチを適用して新しく発見された脆弱性に対応しなくてはなりません。

• Akamai WAF 製品は既存の XSS WAF ルールを備えており、追加設定なしですぐに XSS 攻撃を特定して阻止することが可能です。

• カスタマイズされたルールに基づく仮想パッチは、アプリケーションにパッチが適用されるまでの間、新しい XSS

脆弱性やアプリケーションの変更によって生じた脆弱性に対する迅速な対応を支援します。

• Client Reputation は、ウェブ攻撃者カテゴリーにおける悪意あるクライアントについてリスクスコアを提供し、XSS ベースの攻撃の阻止を支援します。

• Akamai プラットフォームは、Content-Security-Policy ヘッダーを利用することで XSS 攻撃から保護します。

A8：安全でないデシリアライゼーション

影響：深刻 蔓延度：中 悪用のしやすさ：困難

安全でないデシリアライゼーションは、リモートコード実行を引き起こしてしまうことがあります。リモートコード実行に至らないとしても、デシリアライゼーション欠陥は、リプレイ攻撃、インジェクション攻撃、権限昇格攻撃などの攻撃に利用される可能性があります。

Akamai の役割安全でないデシリアライゼーション欠陥に対して、お客様組織は WAF セキュリティソリューションを利用してウェブアプリケーションと API を保護できます。しかしながら、組織は開発ライフサイクルに基づき、常にウェブアプリケーションにパッチを適用して新しく発見された脆弱性に対応しなくてはなりません。

• Akamai WAF のルールはデシリアライゼーション攻撃を検出します。

• カスタマイズされたルールに基づく仮想パッチは、アプリケーションにパッチが適用されるまでの間、新しいデシリアライゼーション欠陥に対する迅速な対応を支援します。

• Akamai WAF は、ポジティブ・セキュリティ・モデルにより API を保護する機能を備えています。ポジティブ・セキュリティ・モデルは、受け入れ可能な XML と JSON オブジェクトフォーマットを定義して、悪意を持って作られた XML と JSON を除去します。

Akamai によるセキュリティ対策強化で OWASP トップ 10 リスクを緩和する 7

A9：既知の脆弱性のあるコンポーネントの使用

影響：中程度 蔓延度：広く蔓延 悪用のしやすさ：普通

ライブラリー、フレームワーク、および他のソフトウェアモジュールなどのコンポーネントは、アプリケーションと同じ権限で実行されます。脆弱なコンポーネントが悪用されると、このような攻撃は深刻なデータ漏えいやサーバーの乗っ取りを引き起こす可能性があります。既知の脆弱性を持つコンポーネントを使用するアプリケーションおよび

API によって、アプリケーションの防御が弱体化し、さまざまな攻撃と影響が起こる可能性があります。

Akamai の役割サードパーティーのコンポーネントは、開発時間とコストを削減するために広く使用され普及していますが、一方で、それを経由してお客様組織の独自アプリケーションに脆弱性がもたらされるケースが非常に多く発生しています。そのリスクは深刻です。どのようなサードパーティーのコンポーネントが組織内のアプリケーションで使用されているかを追跡できている組織は少なく、セキュリティチームが全く認識していないことも多々あります。さらに、新たに発見された脆弱性に対してサードパーティー側がどの程度速やかに対応するか、またその時期について、お客様組織は関与することができません。その結果、アプリケーションにタイムリーに直接パッチを適用することは困難あるいは不可能となり、WAF などのセキュリティソリューションの使用が必要となります。

• Akamai WAF には既知の脆弱性向けに設計されたルールが複数含まれており、お客様独自のアプリケーション内、サードパーティーのコンポーネント内のどちらの脆弱性にも対応できます。

• カスタマイズされたルールに基づく仮想パッチは、アプリケーションにパッチが適用されるまでの間、新しい脆弱性やアプリケーションの変更によって生じた脆弱性に対する迅速な対応を支援します。

• Akamai WAF は API 保護機能を備えており、サードパーティーのコンポーネント向け API を既知の脆弱性を悪用する攻撃から守ります。

• Client Reputation は、ウェブ・スキャニング・カテゴリーにおける悪意あるクライアントについてリスクスコアを提供し、新しい脆弱性の悪用からの保護を支援します。

A10：不十分なロギングとモニタリング

影響：中程度 蔓延度：広く蔓延 悪用のしやすさ：普通

不十分なロギングとモニタリングは、インシデント対応が統合されていない、あるいは統合が不適切であるという問題点とも結びついて、攻撃者にさらなるシステム攻撃の機会を与え、攻撃の持続や他のシステムへの展開、データの改ざん、抽出、破壊を許してしまいます。多くの調査報告書によれば、侵害を検出するまでに通常 200 日以上かかっており、内部プロセスやモニタリングではなく、むしろ外部団体によって発見されるのが典型例となっています。

Akamai の役割不十分なロギングとモニタリングはそれ自体が脆弱性というわけではありませんが、脆弱性の対処にあたり、組織の能力にギャップがある場合、それらを悪用しようとします。Akamai は、攻撃を可視化するための組織の能力を大幅に強化する機能を、以下を含め複数ご用意しています。

• Akamai の Luna Control Center11 のグラフィカル・ユーザー・インターフェース上で、ダッシュボードとレポートツールを提供します。

Akamai によるセキュリティ対策強化で OWASP トップ 10 リスクを緩和する 8

• Akamai はお客様が既にお持ちの SIEM インフラストラクチャを統合して、Akamai が検出したイベントを他のセキュリティベンダーが検出したイベントと関連付けることができます。

• Akamai マネージド・セキュリティ・サービスは 24 時間体制で分析と対応の機能を提供します。

• Akamai WAF はペナルティーボックス機能を備えており、疑わしいセッションのロギング増加に対して詳細な分析が可能です。

• Akamai Enterprise Application Access は統合的なアイデンティティ管理ソリューションを提供し、すべてのエンタープライズアプリケーションに対するアクセスの認証と制御を可能にします。アイデンティティ認識によるプロキシ機能と組み合わせることで、お客様組織はユーザーの操作に対するきめ細かい可視性（すべての GET/POST アクションに対する可視性を含む）を得ることができます。

• Akamai Enterprise Threat Protector により、悪意の有無にかかわらずエンタープライズからの外部 DNS リクエストのすべてを、完全に認識できるようになります。

結論OWASP トップ 10 の脆弱性への最善の対策は、お客様組織とセキュリティベンダーが協力して、社員、プロセス、技術を連携することで実現します。Akamai は業界をリードする技術と経験豊富なスタッフを提供し、お客様のプロセスに適応します。Akamai のエッジ・セキュリティ・ポートフォリオの詳細については、当社ウェブサイトの情報をご覧ください。パートナーとして当社がどのようにお客様のビジネスを最も効果的に保護できるか、ご検討されたい場合は、是非 Akamai の営業担当者にお問い合わせください。

出典1. Edge セキュリティ

2. サービス & サポート

3. Akamai Intelligent Edge Platform™

4. Kona Site Defender（KSD）と Web Application Protector（WAP）

5. Client Reputation

6. Bot Manager

7. Secure CDN

8. Enterprise Application Access

9. Enterprise Threat Protector

10. API ゲートウェイ

11. Luna Control Center

Akamai は世界中の企業に安全で快適なデジタル体験を提供しています。Akamai のインテリジェントなエッジプラットフォームは、企業のデータセンターからクラウドプロバイダーのデータセンターまで全てを物理的に網羅し、企業とそのビジネスを高速、スマート、そしてセキュアなものにします。マルチクラウドアーキテクチャの力を拡大させる、俊敏性に優れたソリューションを活用して競争優位を確立するため、世界中のトップブランドが

Akamai を利用しています。Akamai は、意思決定、アプリケーション、体験を、ユーザーの最も近くで提供すると同時に、攻撃や脅威は遠ざけます。また、エッジセキュリティ、ウェブ／モバイルパフォーマンス、エンタープライズアクセス、ビデオデリバリーによって構成される Akamai のソリューションポートフォリオは、比類のないカスタマーサービスと分析、365 日 /24 時間体制のモニタリングによって支えられています。世界中のトップブランドが Akamai を信頼する理由について、www.akamai.com/jp/ja/、blogs.akamai.com/jp/、および Twitter の @Akamai_jp でご紹介しています。全事業所の連絡先情報は、www.akamai.com/jp/ja/locations.jsp をご覧ください。公開日：2018 年 11 月。