WAF 製品が IT と OT セキュリティのカギになる、その理由とは？

IT と OT ネットワークの共通点

OT（Operational Technology）ネットワークとは、工場の製造ラインやガス・電気・水度などのプラントのインフラ設備を制御する ICS（Industrial Control System：産業用制御システム）・SCADA（SCADA：Supervisory Control And Data Acquisition：監視制御システム）・PLC （Programmable Logic Controller：プログラム可能論理制御装置）などへの物理的なアクセスを管理するネットワークです。

従来、企業の IT と OT ネットワークはあまり接点のない環境でした。OT ネットワークがエアギャップなどで隔離されて、インターネットどころか、企業 LAN にさえ接続することができないことが多かったからです。

しかし最近では、Industry 4.0 の台頭により、OT ネットワークの複雑化やサプライチェーン管理のニーズに合わせて、IT ネットワークと接点を持ったり、融合したりするようになるケースが増えています。
その結果、IIOT デバイスや OT ネットワークデバイスを通じて、DDoS 攻撃やマルウェア感染が一般化し、場合によってそのインパクトが IT ネットワークをはるかに超えるものとなっています。

Web アプリケーションファイアウォールの重要性

近ごろは、 IT ネットワークに設置される Web アプリケーションファイアウォールなしでは、DDoS 攻撃や SQL インジェクション、クロスサイトスクリプティングをはじめ最新のゼロデイ攻撃によって、脆弱な Web アプリケーションが簡単に突破されることがあります。その後、Web アプリケーションの背後にある機密データを保存したデータベースがアクセスされてしまうだけでなく、場合によっては Web アプリケーションを起点として、ハッカーがネットワーク内を横移動することもあり得ます。

結果として、IT と OT ネットワークが混在する環境において、かつ十分なセキュリティ対策が施されていない場合、製造ラインやプラント設備が侵入されてしまいます。そのため、企業ネットワークにおける重要な Web アプリケーションとデータベースはもちろん、OT ネットワークのデバイスやデータを守るためにも、ネットワークへの入り口である Web サイトの前に、Web アプリケーションファイアウォールを立てる必要があります。

Web アプリケーションに求められること

Web アプリケーションファイアウォールには、3つの主要機能が求められると言えるでしょう。随時更新されるシグネチャ、堅牢な DDoS 対策、そしてボット防止機能です。Imperva App Protect では、この3つの要件を確実に満たし、ネットワーク全体のセキュリティレベルを高めることができます。

1.専門セキュリティ部隊によるシグネチャ更新

Imperva Research Labs は、セキュリティ専門の研究開発部隊です。24時間365日体制で Imperva のグローバルネットワークにおける Web アプリケーション攻撃・DDoS 攻撃・ボット攻撃などを調査し、新しい脆弱性や攻撃手法を見つけた場合に、Imperva App Protect に随時新しいシグネチャを記録します。2021年7月だけでも22もの新しい脆弱性に対応し、かつそのうち2つは Imperva が独自に見つけた攻撃手法となります。

2.堅牢な DDoS 対策で大規模攻撃も阻止

Imperva App Protect は、グローバル CDN から構成されるネットワークバックボーンによって、大規模な DDoS 攻撃も阻止することができます。2021年7月には、1.02Tbps（テラビット/秒）に及んだ40分以上続いた巨大な DDoS 攻撃を阻止しました。また、Web ベースの DDoS だけではなく、DNS サーバ向け DDoS や低い OSI レイヤに対するインフラ DDoS 攻撃も確実に防ぐことができます。

3.悪性ボット防止機能を標準で提供

Imperva App Protect には、良性・悪性・疑わしいボットを振り分けて防止する標準機能が備わっています。これによって、多くのボットを振り分けてブロックすることができます。加えて、200以上のデータ属性から独自のボットフィンガープリントを作成し、Web サイト、Web API およびモバイルアプリと言ったあらゆる攻撃元から悪性ボットを阻止する機能もあります。