JPCERT/CC(JPCERTコーディネーションセンター)が2019年10月17日に発表した『インシデント報告対応レポート』
によると、7月~9月にかけて同機関に寄せられたセキュリティインシデントの件数は4,618件となっています。前年同時期と比較すると約600件増となっており、企業を取り巻くセキュリティ情勢は依然として深刻です。
メディアでは日夜情報漏えいなどのセキュリティ事件が報道されており、情報セキュリティとサイバー犯罪者の「いたちごっこ」が繰り広げられているようにも感じます。
そんな中、多くのサイバー犯罪者の標的になっているのが企業のWebサイトです。脆弱性を抱えているWebサイトは非常に多いといわれており、かつデータベースに機密情報が格納されているなど、標的になりやすい傾向にあります。
そうしたサイバー攻撃を効果的に防ぐセキュリティ製品が「WAF(Web Application Firewall)」です。一般的なファイアウォールのWebサイト版とイメージすると分かりやすいかもしれません。
仕組みを簡単に説明します。クライアントとWebサイトの間に介在し、HTTP/HTTPSでやり取りされる通信内容を1つ1つ確認することで、不正通信や脆弱性を悪用する攻撃が無いかを監視します。危険があれば即座にアクセスを遮断・ブロックし、管理者に通知することもできます。
WAFの導入形態として「クラウド型」と「サーバー(ホスト)型」が比較されることがありますので、本稿ではこれからWAFを導入しようと検討段階にある方に向けて、どちらのタイプが最適なのか?のヒントを提示していきたいと思います。
クラウド型とサーバー(ホスト)型の違い
クラウド型WAF
クラウドサービスとして提供されるWAFです。WAFを導入するにあたり「新たにインフラを整備する必要がない」のが特徴です。サービスはインターネット経由で提供されるため、ソフトウェアをインストールしたり、ハードウェアを新たに設置するような作業は不要で、サービス契約後からすぐに利用できます。同時にサーバーメンテナンスも不要なので、一定の運用負荷軽減効果があります。
クラウド型は複雑な設定が不要なものが多く、サービス事業者によって定義されたシグネチャ(攻撃パターンを定義したルール)との照合で不正通信を遮断します。シグネチャの更新も自動的に行われるので、ほぼノータッチでWebサイトセキュリティを強化することも可能です。
一方でWebサイトの数や通信量などによってコストが変動する場合があるほか、組織外(クラウドサービス側)の通信障害などの影響を受ける場合があります。
サーバー(ホスト)型WAF
WebサーバーにソフトウェアのWAFをインストールする構成をサーバー(ホスト)型と呼びます。インストール作業やその後の運用管理が必要となりますので、クラウド型に比べると一般的に運用負荷は高くなりますが、製品仕様の範囲でユーザー自身が自由に設定することができるようになっているため、個々のWebサイトに合わせたポリシー設計、セキュリティ対策を実施できるのが魅力です。
また、ライセンス数はインストールするサーバーの台数とイコールになることが一般的で、バーチャルホスト等によって多数のWebサイトを運用していたり、通信量が多い場合であってもコストの変動はなく、環境によってはクラウド型よりも低いコストでWebサイトセキュリティを実施できることがあります。
WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~
EG セキュアソリューションズが提供するソリューションである WAF(Web Application Firewall) の概要、WAFの選定・導⼊のポイントについて解説しています。
シリーズ累計100万サイト超を保護する「SiteGuardシリーズ」が選ばれる理由についても紹介しています。
どちらのWAFが最適か?
クラウド型もサーバー(ホスト)型も、どちらも一長一短があるため一概にこちらとは言えないのが実情です。そこで大切になるのは「どのようなWebサイトを保護し、何に比重を置くのか?」「Webサイトの特性と運用方針」を明確にすることです。
たとえば、Webサーバーの台数、通信量ともにそれほど多くないが、専任の管理者不在のため運用管理の手間を低減したいという場合は、初期費用やランニングコストの面からクラウド型が最初の選択肢になると考えられます。
会員向けWebサイトなど多数のサイトが稼働しているWebサーバーで、繁忙期には通信量が増大するという場合には、サイト数や通信量によるコストの変動がなく、サイト毎に柔軟な設定ができるサーバー(ホスト)型がおすすめです。定期的にチューニングを実施することで、セキュリティ状況を常に最適なものに保ち、効果的にWebサイトを保護できます。
運用方針についても考えてみましょう。「インストールしたり、新たな環境を用意したくない」「とにかく運用管理の負担を無くしたい」という場合はクラウド型がおすすめですし、「管理を内製化したい」「通信データ等の情報を外部に出すことはできない」という場合はサーバー(ホスト)型がおすすめです。
現時点の環境や運用状況、Webサイトセキュリティに何を求めるかによって導入すべきWAFのタイプが異なりますので、慎重に検討していきましょう。
おすすめのWAF「SiteGuardシリーズ」
「SiteGuardシリーズ」は、シンプルかつ高性能な国産ソフトウェアWAFです。特に以下のような要件、課題のあるウェブサイトへの導入に適しています。
ドメイン毎に詳細かつ柔軟な設定をしたい
「SiteGuardシリーズ」は、URLやIPアドレスによるホワイトリストの登録だけでなく、要求メソッドやパラメータの名前・パラメータの値など、様々な条件を組み合わせた検査ポリシーを作成することができます。特定の入力値に限定したい場合やURL・パラメータの値が変動するときも詳細な設定ができます。「SiteGuardシリーズ」であれば、ウェブサイトの特性に合った柔軟な設定が可能です。
保護対象のFQDNの数や通信量を気にしたくない
「SiteGuardシリーズ」は、インストールするOSの数でライセンスをカウントします。そのため、バーチャルホストで多数のサイトを運用している場合であっても必要なライセンス数が増えることはありません。「SiteGuardシリーズ」であれば、ウェブサイトの拡張によりFQDN数の増加が見込まれる場合であっても安心してご利用いただけます。また、通信量による課金や制限もありませんので、ピーク時だけでなく大きなサイズのファイルダウンロードやアップロードが必要な環境でも安心です。
リクエストの情報(ログ)などを外部に出すことができない
「SiteGuardシリーズ」は、ウェブサイトへのアクセス情報や検出情報をインストールしたサーバー上にログとして記録します。ログにはアクセスしたURLや接続元のIPアドレス、パラメータの内容など、様々な情報が記録されます。WAFによるセキュリティ対策では様々な情報が必要となり、検査の結果が記録されていきます。要件によっては、これらの情報が組織外に蓄積されることがセキュリティポリシー違反となり、クラウド型の利用が適さない場合があります。「SiteGuardシリーズ」であれば、ログ管理を含めて自社内でコントロールすることができます。
なお、EGセキュアソリューションズでは「SiteGuard」をセンサーとして収集した検出ログをもとに、ウェブサイトに対する攻撃傾向を分析したレポート(旧JP-Secure Labs Report)を公開しています。人気のWordPressに対する攻撃の傾向やプラグインの脆弱性を悪用する攻撃、セキュリティプラグインの活用など、今すぐできる対策についても解説しています。Webサイトの運営に欠かせない基本的な対策、考え方などについての情報を公開していますので、ぜひご確認ください。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
この記事に関する製品のご紹介
ホスト型WAF「SiteGuard Server Edition」
SiteGuard Server Editionは、ウェブサーバーのモジュールとして動作するホスト型WAF製品です。Webサーバー自体にインストールするため、専用ハードウェアが必要ありません。ネットワーク構成を変更せず、できるだけシンプルに導入したいお客様に最適な製品です。
詳細はこちら
