全2411文字
PR

 WebアプリケーションやWebサイトを狙ったサイバー攻撃の対策として、WAF(Web Application Firewall)が注目を集めている。WAFはWebサーバーに不具合を引き起こさせるSQLインジェクション攻撃のようなアクセスを遮断するセキュリティー機器だ。

 このWAFを自分たちで構築する専門学校・高等専門学校の学生向けのコンテストが都内で開催された。三井物産セキュアディレクションが12月16日に主催した「MBSD Cybersecurity Challenges 2019」である。大手セキュリティーベンダーが既にWAFを製品化しているなか、あえて自作させる風変わりなコンテストを開いた狙いとは。

 同コンテストはセキュリティーへの興味喚起や現実味のあるセキュリティー課題へのチャレンジを目的に三井物産セキュアディレクションが毎年開催している。2019年で4回目の開催であり、29校から76チームの応募があったという。

 WebアプリケーションやWebサイトを狙ったサイバー攻撃は激化の一途をたどっている。情報処理推進機構(IPA)は2019年12月25日、オープンソースソフトウエア「EC-CUBE」で構築したECサイトで情報漏洩が増加していると注意喚起を促した。EC-CUBEの開発元であるイーシーキューブは決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が日本国内で増加しているという。

IPAの注意喚起
IPAの注意喚起
(出所:情報処理推進機構)
[画像のクリックで拡大表示]

 フォームジャッキングは攻撃者がECサイトの脆弱性を突いてWebサイトを改ざんし、利用者が入力したクレジットカード情報などを攻撃者のサーバーに送らせて不正に入手する。こうした手法は利用者が気づきにくく、システム側で対策を施さなくてはならない。

 こうしたサイバー攻撃に有効なセキュリティー対策の1つがWAFである。ただ、市販品を買ってきて設定するだけでは、手法が日々進化するサイバー攻撃に対応しきれない。具体的な仕組みを理解し使いこなせるようにする目的で、WAFを一から構築させるコンテストを開いた。コンテスト形式を取ることで、学生にチャレンジ精神を養ってもらう狙いもある。

営業担当になりきってプレゼン

 コンテストは1次審査と最終審査がある。1次審査はサーバーにWAFの機能を構築・カスタマイズし、説明資料を作成するというもの。守る対象のWebサイトはWebアプリケーションのセキュリティー向上のためのコミュニティー「OWASP(The Open Web Application Security Project)」の「OWASP Juice Shop」を利用する。このサイトはあらかじめSQLインジェクションなどの脆弱性を含んでいる。構築したWAFでどれだけ攻撃からWebサイト守れるかがポイントになる。

 最終審査に残ったのは10チーム。最終審査は構築したWAFの有効性とプレゼンテーションで評価する。ここでいう有効性は攻撃を正しくブロックできているか、または正常な通信を遮断していないかといったものだ。実際に構築したWAFを設置し、正しくWebサイトを防御できているかを採点する。誤って正常な通信をブロックしてしまうと大きく減点となる。