BLOG

2020/01/10

OSI参照モデルの7層を守る WAF

【目次】

1. はじめに
  a) OSI参照モデルとは?
2. OSI参照モデルで考えるセキュリティ
  a) OSI参照モデル各層の防御
  b) WAFの重要性
3. まとめ

 

  1. 1. はじめに
    OSI参照モデルの7層を守るWAFの役割について詳しく解説していきます。その前に、OSI参照モデルとは何なのか、そしてなぜWAFが必要なのかについて詳しく解説していきます。

    1. a) OSI参照モデルとは?
      OSI参照モデルとは、ネットワークについてわかりやすく理解をするために、国際的に決められたネットワークの型(モデル)のことです。昔は各ネットワーク機器メーカーが、自由にネットワークの型を決めていたため、違うメーカーの機器と通信できないことが多く、問題になっていました。なので、国際的にネットワークの型を統一しようという動きがあり、OSI参照モデルがつくられました。現在はTCP/IPという、OSI参照モデルに似たネットワークの型が広く利用されていますが、OSI参照モデルを理解するとネットワークやセキュリティについて、各層でどういう機器やサービスがあり、どういう役割をしているのか、理解がしやすいです。

      どのような階層があるのか、実際に見ていきましょう。
       

      階層 階層の名前(別名)
      第7層 アプリケーション層、L7、レイヤ7
      第6層 プレゼンテーション層、L6、レイヤ6
      第5層 セッション層、L5、レイヤ5
      第4層 トランスポート層、L4、レイヤ4
      第3層 ネットワーク層、L3、レイヤ3
      第2層 データリンク層、L2、レイヤ2
      第1層 物理層、L1、レイヤ1

       

      例えば、ネットワーク層で動作するネットワーク機器をL3スイッチと言うのはこのOSI参照モデルが由来になっています。

      また、各層がどのような役割なのか、見ていきましょう。
       

      階層 役割
      第7層、アプリケーション層 アプリケーションのやり取りを行う層になります。たとえば、Web画面上のボタンをクリックすると、アプリケーション層の働きで「ボタンがクリックされました」という情報がWebサーバーに伝わるようになっています。
      第6層、プレゼンテーション層 文字やデータの型を判別する層になります。たとえば、通信されているデータが圧縮ファイルかどうか、といった判断はこの層で行われます。
      第5層、セッション層 通信の開始、終了をきめるための通信を行う層になります。
      第4層、トランスポート層 通信がきちんと届いているかを確認するための層になります。通信中のデータが壊れることがないように、通信がどこまで届いたか、都度確認を行っています。
      第3層、ネットワーク層 IPアドレスと呼ばれる、ネットワーク上の住所のようなものが利用され、通信が行われる層になります。
      第2層、データリンク層 通信相手がどの機械なのかを判断するために使われる層です。機器固有のアドレス(MACアドレス)が利用される層になります。
      第1層、物理層 通信を行うための電子信号や、利用する電波について取り決めを行う層になります。

       

      このように、OSI参照モデルは、各階層で、相手と通信するための重要な働きをしています。OSI参照モデルを理解することで、ネットワークやセキュリティを分解して理解することができるので、セキュリティ対策を考えるうえで大きな役に立ちます。

     

  2. 2. OSI参照モデルで考えるセキュリティ
    では実際に、OSI参照モデルを用いて、各層でどのようなセキュリティ対策を行えばいいのか見ていきましょう。そして、OSI参照モデルの7層を守るWAFの重要性についても記載していきます。

    1. a) OSI参照モデル各層の防御
      OSI参照モデルについて、各層にはそれぞれ攻撃方法が異なります。したがって、各層に特有のセキュリティ対策が存在します。それぞれどのような攻撃があり、どのようなセキュリティ対策が存在するのかを見ていきます。
       

      階層 階層の名前 セキュリティ対策の内容
      第7層 アプリケーション層 攻撃:SQLインジェクションやクロスサイトスクリプティング攻撃。
      対策:セキュアプログラミング、WAF(WebApplicationFirewall)を使用する。
      第6層 プレゼンテーション層 攻撃:SQLインジェクションやクロスサイトスクリプティング攻撃。
      対策:セキュアプログラミング、WAF(WebApplicationFirewall)を使用する。
      第5層 セッション層 攻撃:盗聴、IPアドレスなりすまし、通信確認の仕組みを利用したDDos攻撃など。
      対策:暗号化、FW(FireWall)、IPS/IDSの導入。
      第4層 トランスポート層 攻撃:盗聴、IPアドレスなりすまし、通信確認の仕組みを利用したDDos攻撃など。
      対策:暗号化、FW(FireWall)、IPS/IDSの導入。
      第3層 ネットワーク層 攻撃:盗聴、IPアドレスなりすまし、DDos攻撃など。
      対策:暗号化、FW(FireWall)、IPS/IDSの導入。
      第2層 データリンク層 攻撃:盗聴、MACアドレスなりすまし、DDos攻撃など。
      対策:暗号化、FW(FireWall)の導入。
      第1層 物理層 攻撃:データセンターなどへの侵入
      対策:データセンターや専用のセキュリティルームに専用のゲートや警備員を配置する。

       

      このように、OSI参照モデルの各階層によって、それぞれ必要なセキュリティ対策が分かれていることがわかります。各層に関して、必要なセキュリティ対策を行っていきましょう。
       

    2. b) WAFの重要性
      a) にて、各階層のセキュリティ対策について見てきました。すると、6層や7層では、セキュアプログラミングかWAFしか対策がないことがわかります。しかしながら、セキュアプログラミングでの防御は限界があります。例えば、一生懸命セキュアプログラミングを心がけても、ミドルウェアやプログラミング言語の脆弱性は日々発見されていきます。その都度、プログラムをセキュアに書き換え、継続的にアップデートしていく作業は非常に大変です。

      WAFであれば、脆弱性が発見されても、シグネチャのアップデートを行うだけで、プログラムの変更を行わずに済みます。安全に、簡単に、確実にOSI参照モデルの7層を守るには、WAFの導入がおすすめです。

      また、アプリケーション層への攻撃は非常に簡単です。アプリケーションの知識さえあればSQLインジェクション攻撃はできてしまいますし、脆弱性が公表されれば攻撃も可能です。簡単に攻撃の対象になってしまうからこそ、WAFのような製品でアプリケーションを防御し、アプリケーションを破壊・改ざん・不正アクセスがなされないようにする必要があります。

     

  3. 3. まとめ
    OSI参照モデルの各階層の役割について詳しく見ていき、各階層の役割を理解することでネットワークやセキュリティをよりわかりやすく理解できることがわかりました。また、各階層について必要なセキュリティ対策も確認しました。その中でも、WAFは、OSI参照モデルの第7層を守るツールとして、安全かつ簡単に導入できます。WAFを導入することで、アプリケーションに対する攻撃を削減し、より安全にWebアプリケーションを運用することができます。

 

※下記のブログもご覧ください。
1. S3 のセキュリティの落とし穴