インターネット社会が世界的に加速して進んでいるのですが、それに合わせてインターネット上で他者を攻撃するようなサイバー攻撃なども増加しています。
そのため、それらを防ぐ手段も日々進化しています。
そこでここではそういったものの一つである「WAF(ウェブアプリケーションファイアウォール)」について、それがどういったものなのか、ファイアウォールとはどう違うのか、導入するとどういったメリットがあるのかについて紹介していきたいと思います。
また、WAFに関連する資料もまとめましたので、気になる資料がありましたら是非ダウンロードしてみてください。
AWS WAF運用最適化を実現「Cloudbric WMS for AWS」 | ペンタセキュリティシステムズ株式会社
【AWS WAF運用の最適化実現の最も効率的かつ安全な方法をご提案】
Cloudbric WMS (WAF Managed Service) for AWSは、適切なルール作成と反映、新規脆弱性の対応、誤検知の対応などAWS WAFの導入から利用までの一連のサイクルをセキュリティ専門家にてサポートする「AWS WAFに特化した運用サービス」です。
現在、多くの企業で利用されるAWS WAF。しかし複雑なルールを自社で運用する必要があるため、専門知識やリソースがない企業では運用の難しさが課題となっています。
Cloudbric WMS for AWSは ユーザ環境に最適化されたルールを反映し、脅威インテリジェンス基盤の高度化された攻撃検出性能と分析により、セキュリティ専門家がいないお客様のWAF運用をサポートします。
【こんなお悩みはございませんか?】
・ルール作成の不安 ⇒ 制限されているキャパシティー内で最適なルール構成が必要!
・脆弱性対応の不安 ⇒ 新規脆弱性の早期発見と制御の対応が必要!
・運用・管理不在の不安 ⇒ 誤検知の適切な対応ができる管理者が必要!
・設定ミス・不備の不安 ⇒ 導入・運用時設定の変更と追加の対応が必要!
Cloudbric WMS for AWSがお悩みを解決します。高度化されたカスタムルール、脅威インテリジェンスに対しての専門性、またコンサルティングサポートまでAWS運用はCloudbric WMSにお任せください。
【Cloudbric WMSの導入効果】
1.マネージドセキュリティ運用支援
2.リソース・コストの削減
3.管理負担の軽減
4.企業イメージ向上に貢献
【まずは30日無償トライアルから!】
複雑な手続きや面倒な設定は一切不要です。まずは30日無償トライアルをお試しください。
4,000円で始められるWebサイトハッキング防止! 「アイオンクラウドWAF」 | 株式会社モニタラップ
Webサイトのセキュリティ対策を実施しなかった結果と影響範囲は、企業の経済的損失にとどまらず、信頼やブランドイメージ損失まで及びます。アプリケーションレベルで行われる攻撃がメインである昨今、 Webサイトのセキュリティ対策にWAFが必須です。
1.運用実績15000台の高機能WAFアプライアンスをクラウドサービス化
2.月4000円から、サイト詰め放題の導入しやすい価格設定
3.プロユースでも安心のサイト/URL単位の細やかなポリシー設定
リバースプロキシ型のクラウドWAFサービス
4.月間通信量20GBまで4000円という、超破格値でサイト数無制限。
柔軟なポリシー設定で本格WAFの機能をフル実装
WAF(ウェブアプリケーションファイアウォール)の種類
まずは「WAF(ウェブアプリケーションファイアウォール)」とはどういったものなのか、どういった種類があるのかということについて紹介していきます。
WAF(ウェブアプリケーションファイアウォール)とは
WAFとは、「Web Application Firewall(ウェブアプリケーションファイアウォール)」の略称です。
こちらは悪意のある攻撃者からwebアプリケーションへの不正な攻撃を防ぐための防御ツールです。
こうした防御ツールとしてはファイアウォールなどがありますが、それらでは防げない部分を守るということが可能となっているものです。
より多角的に防御することができるツールだと考えておけば良いでしょう。
WAF(ウェブアプリケーションファイアウォール)の種類、仕組みとは
WAFでは「シグネチャ」というものを使って不正なアクセスを防止するようになっています。
この「シグネチャ」とは攻撃アクセスのパターン、通信の方法、ウイルスといったデータをまとめたものです。
これらのパターンに一致するようなアクセスがあると、通信の可否について判断が行われます。
この「シグネチャ」を使ったWAFの不正アクセス検知方式には大きく2つの種類があります。
「ブラックリスト方式」と「ホワイトリスト方式」の2種類となっています。
それぞれの方法について簡単に紹介していきます。
・ブラックリスト方式
こちらは不正なアクセスをしてくる攻撃パターンを「悪意のあるもの」としてシグネチャに定義してしまう方法です。
そのリストに一致する通信を拒否することで不正なアクセスを防止することが可能となります。
ただ、まだ登録されていない未知の攻撃については対応しにくいという特徴があります。
新しいタイプの攻撃に対しては定期的にシグネチャをアップデートしておくことが重要となります。
・ホワイトリスト方式
ホワイトリスト方式とはブラックリストとは逆に許可すべき正常な通信をシグネチャに定義し、その定義に合わない通信を拒否することで不正なアクセスを防ぐというものです。
未知の攻撃も防ぐことができるという特徴があるのですが、この方式を利用するにはシグネチャをwebアプリケーションに合わせて定義できるということがベースとなります。
そのため、この操作ができる専門家が必要となるという特徴があります。
WAF(ウェブアプリケーションファイアウォール)とファイアウォールの違い
セキュリティ対策のツールとしては「ファイアウォール」が有名です。
こちらは直訳すると「防火壁」となり、ネットワークを保護してくれるものなのですが、ファイアウォールは「インフラ・ネットワーク層」しか防御することができません。
そのため、インターネット回線やIPアドレスの通信を制限して、社内のシステムなどに侵入してくる攻撃に対して有効なものとなっています。
まさに外部からの攻撃に対して防火壁のような働きをしてくれるものとなっています。
しかし、ファイアウォールは「インフラ・ネットワーク層」は保護することができるのですが、「ソフトウェア・OS層」「webアプリケーション層」については保護することができません。
そのため、こういった別の層を守るためには「webアプリケーション層」を保護するための「WAF」や「ソフトウェア・OS層」を保護するための「IDS・IPS」などが必要となるのです。
こうしたさまざまな防御ツールを組み合わせて利用することで、どういった形のサイバー攻撃に対しても防御することが可能となっています。
WAF(ウェブアプリケーションファイアウォール)を導入する際のメリット
WAFはこれまでのファイアウォールやIDS・IPSなどでは防ぐことができない攻撃を防ぐことができるというメリットがあります。
Webサイト全体のセキュリティを向上させるという意味では絶対的に必要なものと言えるでしょう。
一般的に「Webアプリケーション層」を保護するためには、脆弱性のないWebサイトを作成し、その後もそこに脆弱性が発見される度に改善・改修を行うことが理想とされています。
しかし実際には脆弱性情報を毎日チェックして脆弱性が発見された場合にすぐに改修できる体制を整えるのは困難なものとなっています。
こうした際にWAFを導入していると、ここでWebアプリケーションへの通信をチェックし、不審な通信はサーバに届かないように遮断することが可能となります。
また、WAFには3つのタイプがありますので、それぞれにメリットとデメリットがあります。
それぞれについて簡単に説明とメリットを紹介していきます。
・アプライアンス型WAF
こちらはWAFの機能を持った専用のハードウェアです。
外部ネットワークとwebサーバとの間に設置して使用するようになっています。
そのメリットとしては、
「大規模な環境ではコスト削減が可能」ということがあります。
こちらはwebサーバやwebアプリケーションの台数に依存することがないので、多くのwebサーバやwebアプリケーションを利用するという場合にはコスト削減効果が期待できます。
また、「webアプリケーションを劣化させない」ということもあります。
このタイプでは独立した機器で稼働するため、WebサーバやWebアプリケーションサーバの性能に対して影響を及ぼすということがありません。
・ソフトウェア(ホスト)型WAF
こちらは社内の既存のWebサーバやWebアプリケーションサーバにインストールして使用するものです。
そのため、専用の大型機器やサーバを購入、設置する必要がないため「導入コストが安い」というメリットがあります。
また、新しくネットワークを構築したり、設置したりする時間も必要ないので「短期間で導入することが可能」というメリットもあります。
・クラウド型WAF
こちらはセキュリティ運営サービス会社が提供しているWAFのツールをインターネット上で使用するというものです。
サーバの購入や設置、構築、インストールなどが必要ないので、申し込み手続きを行えばすぐに利用することが可能というメリットがあります。
また、運用、アップデート、ツールのセキュリティなどは運営サービス会社が行ってくれるので「コストが安い」というメリットがあります。
WAF(ウェブアプリケーションファイアウォール)を導入する際のデメリット
こちらも3つのタイプそれぞれの導入デメリットを紹介していきます。
・アプライアンス型WAF
こちらのデメリットとしては「導入や運用にコストがかかる」ということがあります。
高価な専用のハードウェアを購入して設置するため、導入に多くの費用がかかります。
また、初期設定が運用も操作が複雑なため、専門の知識を持つスタッフが必須となるため、人的コストもかかるということになります。
・ソフトウェア(ホスト)型WAF
社内で稼働しているすべてのWebサーバ、Webアプリケーションサーバにツールを導入する必要があるので、こういったシステムが多い会社であれば導入コストが高くなる可能性があります。
また、WAFが多くの容量を利用してしまうことで、webサービスの性能に影響が起こる可能性があります。
・クラウド型WAF
こちらのツールの性能、精度は運営サービス会社に完全に依存することになるため、どのサービスを選ぶかが重要となってきます。
また、システムのセキュリティ体制などについても運営サービス会社次第ということになりますので、そちらも合わせて注意しなければいけません。
WAF(ウェブアプリケーションファイアウォール)選定時のポイント
WAFを選ぶ際にはいくつか注意する点があります。
それぞれのポイントを踏まえて自社に合ったシステムを選ぶようにしましょう。
導入や運用についての費用
WAFを導入する際には費用がかかることとなります。
特にアプライアンス型の場合は多額の費用がかかるので注意が必要です。
ただ、近年はクラウド型のものが主流となってきており、導入時の費用は抑えられるようになっています。
ただしクラウド型のものも幅広い範囲で利用する際にはコストが高くなっていくため、そちらも確認しておきましょう。
ネットワークを新たに構築しなければならないアプライアンス型などはそういった初期費用もかかってくることとなります。
そして運用費用がかかってくることとなります。
アプライアンス型の場合はシステムの保守運用・監視を24時間365日行うための運用コストがかかってきます。
クラウド型の場合は、そうした保守運用については運営会社が行いますが、別に月額使用料がかかってくることとなります。
このようにシステムを選ぶ際には導入コスト、運用コストを考えることが重要です。
システムのアップデートやセキュリティ体制について
システムを導入するとそのシステムに対してのセキュリティ体制も整える必要があります。
自社で行う場合はそれも気にしなければいけません。
クラウド型を利用する場合はそれぞれの運営会社によってセキュリティ体制が違っているので、それらも選ぶポイントとなります。
また、それはアップデートについても同様となります。
WAF(ウェブアプリケーションファイアウォール)のまとめ
WAFはWebアプリケーションを利用することが一般的となっている昨今では、必要不可欠なセキュリティツールだと言えます。
そのため、多くの企業が利用するものとなっており、まだ導入していないという場合にはぜひ導入を検討してほしいものです。
自社に合ったシステムを見つけるためには、それぞれのシステムの特徴を踏まえた上で、無料体験版やトライアル版を利用してみると良いでしょう。