ホワイト ペーパー

F5 BIG-IP ASMとIBM InfoSphere Guardiumによるアプリケーションとデータベースのセキュリティ

Updated August 07, 2014
  • Share via AddThis

はじめに

情報技術では、多層防御はシステム保護のベスト プラクティスであると考えられています。多層防御では、階層化されたセキュリティ アプローチによりインフラストラクチャとシステムのセキュリティを強化します。ネットワークのエッジにファイアウォールを配置し、通常はすべてのセグメントにセキュリティ メカニズムを導入します。攻撃者が最初のレイヤーを回避しても、次のレイヤーが攻撃者を捉えます。

ITにおいて、多層防御戦略を採用すること、つまり攻撃者の攻撃経路に防御メカニズムをいくつも繰り返し配置することで冗長性が確保されます。ファイアウォール機能は重要な防御コンポーネントですが、本当に安全なシステムを実現するには、防御対策もコンテキストに基づいたものでなければなりません。コンテキストに基づいたシステムは、イベントを取り巻く環境や条件を考慮し、セキュリティの適用方法を情報に基づいて判断します。これは、データベースを保護する上で特に重要です。

F5とIBMは、これらの原則に基づいて、長年のパートナーシップを拡大し、Webベースのデータベース アプリケーションのセキュリティを強化しました。F5® BIG-IP® Application Security Manager™(ASM)とIBM InfoSphere Guardiumが統合され、相関レポートを通じて、アプリケーションのセキュリティとデータベース攻撃(SQLインジェクションやその他のOWASP Top 10攻撃など)に関する詳細なフォレンジック情報を提供します。

コンテキストに応じたデータベース セキュリティ

企業のデータベースは、重要なデータの主要なリポジトリであり、データを取得するメカニズムであるため、その保護は非常に重要です。Web上を移動するアプリケーション トラフィックは増え続け、機密データがセキュリティ上の新たな脆弱性や攻撃にさらされています。Web攻撃やデータベース攻撃から保護するスタンドアロンのテクノロジもありますが、これらは互いに独立しているため、コンテキスト情報が不足しています。組織は、データ、顧客、そして最終的にはビジネスを保護するために、Webアプリケーションとデータベースのエンドツーエンドのセキュリティ ソリューションを必要としています。

SQLインジェクション攻撃では、攻撃者は悪意のあるコードを文字列に埋め込み、それをデータベースに渡して実行させます。これは通常、パスワード フィールドなどのユーザー入力フィールドにSQLクエリやコマンド スクリプトを入力することで行われます。攻撃者は、データベースを直接操作するためにアプリケーション サーバーを基本的にバイパスしようとします。攻撃が成功すると、不正なエントリが作成されたり、ユーザー名やパスワードなどの機密情報を含むデータベースの情報全体が返されたりする可能性があります。一般的なデータベース セキュリティ ソリューションは、このような攻撃からは保護できても、攻撃者のホスト名、ユーザー名、クライアントIP、ブラウザなどの情報を収集するための可視性を備えていません。特定のSQLクエリが無効であることは識別できても、誰がその要求を行ったかを解読することができません。

エンドツーエンドのセキュリティ

この共同ソリューションでは、BIG-IP ASMがアプリケーションのフロントエンドからセキュリティ データを提供し、InfoSphere Guardiumがそのデータをバックエンド データベース内の独自のデータと関連付けて、今日の企業がセキュリティを維持するために必要なレポートと可視性を提供します。

一方、Webアプリケーション ファイアウォール(WAF)は、ユーザー側の情報を収集するため、ユーザーのコンテキストに基づいてポリシーを決定できます。WAFは、ブラウザからWebアプリケーションへの要求と応答をすべて監視し、ポリシーを参照して、アクションとデータを許可するかどうかを決定します。また、ユーザー、セッション、Cookie、その他のコンテキスト データなどの情報を使用して、その要求が有効かどうかを判断します。WAFは主にHTTPおよびHTTPS攻撃に注目し、それらの悪意のあるトラフィックを阻止するために活躍します。また、ブラウザを介して開始される、データベースを標的としたほとんどの攻撃も阻止できます。ただし、Webアプリケーション層でのSQLインジェクション攻撃の検出は複雑であるため(つまり、SQL関連のコンテキストの欠如や、SQLプロトコルの理解)、WAFが確実に信頼できるSQLインジェクション防止ソリューションであるとは言えません。誤検出や攻撃の見落としの可能性があります。

それに対する答えが、Webアプリケーション ファイアウォールとデータベース セキュリティ ソリューションを連携させるF5とIBMの共同ソリューションです。BIG-IP ASMとIBM InfoSphere Guardiumの統合により、定評のあるIBMのデータベース保護と、すべてのF5ソリューションに組み込まれているコンテキスト インテリジェンスが提供されます。BIG-IP ASMは、アプリケーションのフロントエンドからのデータを提供します。InfoSphere Guardiumは、そのデータをバックエンド データベースからの独自のデータと関連付けることで、今日の企業がセキュリティを維持するために必要なレポートと可視性を提供します。

BIG-IP ASMとInfoSphere Guardiumを連携させることで生まれるメリットとして、攻撃に関する統合レポートと、データベース層で調整されるポリシーをWebアプリケーション層に設定できることが挙げられます。F5とIBMにより、データベースのセキュリティ問題に関して情報に基づいたインテリジェントな判断を下すために必要なコンテキスト情報に裏打ちされ、階層化された多層防御アーキテクチャによって、企業のデータベースが保護されます。これは、変化する脅威に企業が迅速に対応することを可能にし、監査およびコンプライアンス規制を満たすために必要なロギング機能とレポート機能を備えた、包括的なアプローチです。

二層構造でエンドツーエンドの保護

F5とIBMのパートナーシップには、統合ソリューションを構築してきた長い歴史があります。例えば、BIG-IP ASMは、以前はアプリケーションの脆弱性を調べるRational製品であったIBMのSecurity AppScanを長い間サポートしてきました。BIG-IP ASMは、さまざまなWebベースの攻撃に対する包括的なネットワーク エッジ保護を提供するAdvanced WAFです。各HTTP/HTTPS要求を分析し、潜在的な攻撃がWebアプリケーション サーバーに到達する前にブロックします。IBM InfoSphere Guardiumは、データベースの最前線の防御対策であり、ネットワーク上のデータベース アクティビティをリアルタイムで監視します。SQL構文ベースの高精度な技術が、不正なトランザクションをブロックし、攻撃がデータベースに到達するのを防ぎます。InfoSphere Guardiumは、Webアプリケーション サーバーとデータベースの間に導入されます。ネットワークの内外から発生する攻撃から保護し、データベースに送信されるSQLステートメントの意図を分析することによって機能します。セキュリティ上の既知の脅威の構文を認識する必要がないため、これまでなかった攻撃もブロックすることができます。また、既存のアプリケーションやデータベースに変更を加える必要がないため、簡単に導入できます。

BIG-IP ASMとInfoSphere Guardiumの連携

BIG-IP ASMとIBM InfoSphere Guardiumは連携して、侵害を報告し、データ漏洩を阻止し、コンプライアンスに必要なガバナンスを監査人に提供します。

連携して違反を検出し、報告する

データに対する脅威が検出されると、この共同ソリューションは脅威を監視、警告、またはブロックし、そのユーザーのアイデンティティがBIG-IP ASMとInfoSphere Guardiumの間で共有されます。悪意のあるSQLインジェクションの場合、InfoSphere Guardiumはインジェクションを即座にブロックし、そのアクションをログに記録しますが、誰が侵害を試みたかを判別することはできません。BIG-IP ASMは、ユーザー名、クライアント、ブラウザ、セッション情報、時刻、Cookie、URL、SQLステートメントなどを収集します。次に、IBMレポート エンジンが、BIG-IP ASMデータを独自のデータと関連付け、侵害が試みられたことを示すレポートを生成します。これには、トリガーの原因を特定するために必要な重要なデータが含まれます。トリガーされたアラートとそれに付随する詳細なレポートにより、脅威の種類と重大度が即座に通知されます。

BIG-IP ASMとIBM InfoSphere Guardiumの2つの情報ソースを使用することで、結果として詳細な相関データが得られ、ポリシー作成の精度を高め、より詳細な調整が可能になります。この詳細度を実現することで、悪意のあるユーザーや侵害されたユーザーを隔離し、再認証を強制し、アプリケーションへのアクセスをリアルタイムで阻止することが可能になります。それ以降に同じユーザーから攻撃されても、F5とIBMのソリューションが攻撃を阻止し、迂回させ、可視化することができます。

F5 BIG-IP ASMとIBM InfoSphere Guardiumがセキュリティ イベントを相互に関連付けてレポートする。
図1:F5 BIG-IP ASMとIBM InfoSphere Guardiumがセキュリティ イベントを相互に関連付けてレポートする。

連携してデータ漏洩を防ぐ

万が一、情報が漏洩しても、BIG-IP ASMが応答時に問題に対処します。BIG-IP ASMのデータ マスク機能は、機密データがユーザーに送信されるときに自動的にスクラビングし、データ漏洩を防ぎます。

例えば、悪意のあるユーザーがシステムを迂回して、データベースへのクレジット カード情報要求を生成した場合、BIG-IP ASMはその要求をブロックするか、あるいはクレジット カード番号をアスタリスクに置き換えて出力をスクラビングします。

コンプライアンスを得るために共同でレポートを作成

BIG-IP ASMのデータ漏えい防止および侵害検出機能をIBM InfoSphere Guardiumのレポート作成ツールと組み合わせて使用することで、規制コンプライアンスを獲得し、維持するのに役立ちます。レポートと監査は、ペイメント カード業界(PCI)基準、Health Insurance Portability and Accountability Act(HIPAA)、サーベンス・オクスリー法(SOX)など、現在施行されている多くの規制における最高基準です。このソリューションは、企業が最も詳細なコンプライアンス情報を確実に入手するのに役立ちます。

最後に、このソリューションの最も重要な利点の1つは、IBM DB2、MySQL、PostgreSQL、Hadoop、Netezza、Oracle Database、Microsoft SQL Server、Sybaseデータベースなど、SQLベースのあらゆるデータベースを保護できることです。

BIG-IP ASMはWebトラフィックを保護し、IBM InfoSphere Guardiumはデータベーストラフィックを保護します。BIG-IP ASMは、ユーザーのログイン情報をInfoSphere Guardiumに渡します。SQLインジェクションが発生すると、BIG-IP ASMは攻撃のすべてのコンテキストをInfoSphere Guardiumに送ります。これにより、ユーザーのアイデンティティはセッションとBIG-IP ASMのセッションCookieに基づいて、レポート内で攻撃に関連付けられます。

最後に、このソリューションの最も重要な利点の1つは、IBM DB2、MySQL、PostgreSQL、Hadoop、Netezza、Oracle Database、Microsoft SQL Server、Sybaseデータベースなど、SQLベースのあらゆるデータベースを保護できることです。

まとめ

F5 BIG-IP ASMとIBM InfoSphere Guardiumの統合により、Webベースのデータベース アプリケーションのセキュリティが強化されます。この2つのソリューションを組み合わせることで、セキュリティ専門家がベスト プラクティスとして挙げている階層型の防御対策に加え、攻撃が試みられたときどのようなアクションを取るべきかについてインテリジェントな判断を下すために必要なコンテキスト情報が企業に提供されます。これらのソリューションの統合により、F5のお客様はSQLインジェクション対策を強化し、IBMデータベースのお客様はSQLインジェクション攻撃に関する詳細なフォレンジック情報の相関レポートを入手することができます。

F5とIBMはそのパートナーシップにより、組織がビジネス ニーズに沿った俊敏性の高いITインフラストラクチャを構築することのできるソリューションを開発しました。F5とIBMを利用することで、企業は常に機密データベース情報の安全性と可用性を保ち、迅速に提供することができます。