Webアプリケーションファイアウォール (WAF) とは 2

前回に引き続き、セキュリティ対策でWebアプリケーションに特化したファイアウォールである「WAF」についてご紹介します。

WAFは、一般的に大きく分けて3つのタイプに分類できます。アプライアンス型、ソフトウェア型、クラウド型で、導入や運用方法がそれぞれ違います。

アプライアンス型
セキュリティに必要な専用機器(ハードウェアアプライアンス)をネットワーク上に設置し、ソフトウェアを利用する方法です。アプライアンスの購入と設置、それに加えて運用も自社で行います。トータルコストは他のWAFと比較すると高くなります。しかし、ネットワーク上で構築するタイプですから、大規模でも高いコストパフォーマンスが期待できます。

ソフトウェア型
既存のサーバーにソフトウェアをインストールするタイプのWAFです。専用機器の設置が不要のため、アプライアンス型より導入コストが手ごろで、短期間での導入が可能です。デメリットとして、ソフトウェアのインストールはサーバーごとに行うので、規模とコストが比例するという点があります。ですから、システム規模によっては、運用コストが膨らみ続けることもあり、導入する場合には十分な検討が必要になります。アプライアンス型と同じく運用は、自社で行います。

クラウド型
クラウド型WAFは、サーバーの構築や機器の購入などが不要です。ネットワークの設定変更を行えば、簡単に導入できるタイプとなります。費用面や導入期間などを比較すると、アプライアンス型やソフトウェア型に比べて効率的な運用が行える、というのがクラウド型のメリットです。またアプライアンス型やソフトウェア型とは違い、自社で運用しないので予算の見通しが立てやすい点も特徴です。近年は、メリットを考えてクラウド型を選択する企業が増えています。

セキュリティ市場で急成長を遂げている「WAF」をタイプごとにご紹介しましたが、1つに絞ることが難しい場合もあります。前回からご紹介しているシングテルの子会社である「Trustwave」のWAFは、オンプレミス・アプライアンス(ハードウェアまたは仮想)として導入しても柔軟に対応することができます。

WAFの防御

近年のWebアプリケーションへの攻撃には、DDoS攻撃、SQLインジェクション(SQL文を実行させてデータベースシステムを不正に操作する攻撃)、クロスサイトスクリプティング(Webアクセス時に表示内容が生成される「動的Webページ」の脆弱性、またはその脆弱性を利用した攻撃)など、多様化しています。しかし、前回もご紹介したように、調査によると現在ほとんどのWebアプリケーションには、脆弱性が存在しています。WAFは、Webアプリケーションへの攻撃を前提として、その攻撃に対抗できるよう設計されています。そのために、一般的なファイアウォールでは防御できない攻撃に対応しています。また、WAFを提供している企業は、最新の攻撃にも迅速に対応する仕組みが整備されています。例えば、TrustwaveのWAFは、保護対象のアプリケーションを継続的に評価して、アプリケーションのセキュリティ、機能、可用性に影響する問題(プログラミングの誤り、アプリケーション・エラーや障害、危険なコードなど)を検出します。
他のセキュリティツールと同様に、WAFも継続的な効果が発揮されるように、有効的な導入・管理・運用が行われる必要があります。この点に関しては、TrustwaveのWAFをより効果的に発揮できるよう、Trustwaveのトップエキスパートがベストプラクティスのアイデアをご紹介している「ホワイトペーパー」をご参照ください。

WAF導入のメリット

前回と今回のブログでご紹介しましたが、WAFはWebアプリケーションのセキュリティを得意とします。WAFの導入により、監視しているWebアプリケーションの攻撃を未然に防ぐことができます。もしWebアプリケーションへの攻撃を受けてしまった場合でも、WAFは直ぐにその原因調査と問題の解消に向けて働きます。ですから、Webアプリケーションの被害を最小限に抑えられるメリットがあります。

WAFの導入と運用の煩雑さを感じて、WAFの導入を躊躇しておられる方も多いように思います。しかしWebアプリケーションへの攻撃は急増しています。また、提供されているWebアプリケーションのほとんどに脆弱性が見られます。加えて、これまでのように単純にPCのWebブラウザでアクセスするWebページだけでなく、WebAPI(Webサービスを操作するインターフェイス)も増えていて、WAFが必要とされる領域は広がり続けています。Webオンラインサービスを提供する企業だけでなく、以前よりWAFの導入は一般化し、企業に浸透してきています。ぜひ、Webアプリケーションの保護のために導入をご検討ください。その際は、Trustwaveのホワイトペーパー、「Webアプリケーションファイアウォール管理のベストプラクティス」の資料もご参照ください。