クラウド型WAFは、Webアプリケーションの脆弱性を狙ったサイバー攻撃から保護するセキュリティ対策「WAF」をクラウドサービスとして提供します。DNSの切り替えのみで導入することができるほか、WAFの運用管理をサービス提供事業者に任せることができるため、手軽にWAFによるWebセキュリティ対策を始めることができます。
本稿では、Webサイトのセキュリティ対策に有効なWAFについて紹介するとともに、クラウド型WAFについて解説します。
WAFとは
WAFとは、ウェブアプリケーションファイアウォール(Web Application Firewall)の略称で、SQLインジェクションやクロスサイトスクリプティング(XSS)といったWebアプリケーションの脆弱性を悪用した攻撃からの防御に特化したセキュリティ製品、サービスです。
WAFを導入することで、Webサイトに対するHTTP/HTTPSのアクセスを検査し、不正アクセスを検出・防御することができます。
Webサイトに対する攻撃では、Webアプリケーションの脆弱性を悪用されることが多く、Webサイトの改ざんや大規模な個人情報の漏洩など、様々な被害を受ける恐れがあります。
セキュアなサイト構築、アプリケーションの開発を徹底することができ、常に安全な状態でWebサイトを運営することができれば問題ありません。しかし、新たな脆弱性が日々発見され、OSやソフトウェアなどの不具合発生がゼロにならないことと同じで、脆弱性ゼロは現実的ではないと言われています。
そのため、セキュアなサイト構築やアプリケーション開発を基本としつつ、WAFを有効活用することで、Webサイトのセキュリティレベルをさらに向上させることができるのです。
WAFの製品・サービス仕様にもよりますが、ブラウザとWebサイトの間でやり取りされるCookieの保護、セッションの管理、応答ヘッダの追加・削除に対応しているものもあります。
AIの活用やDDoS対策に有効な機能が実装されているケースもあり、WAFの機能は進化を続けています。
導入事例
WAF製品/SiteGuard(サイトガード)シリーズの導入事例をご紹介しています。
WAFの種類
WAFは設置形態により、以下の3種類に分類することができます。
クラウド型WAF
クラウド上で提供されるWAFをサービスとして利用します。※
DNSの設定変更だけでWAFを導入できるため、サーバーへのソフトウェアのインストールや専用ハードウェアの用意、物理的なネットワークを変更する必要がありません。
また、サービスの提供事業者にWAFの運用を任せることができるという利点もあります。一般的にFQDNの数や通信量によってサービス料金が上がることのほか、組織外(自社環境以外)のシステムを経由することによる情報の取り扱いや通信障害の影響を受ける可能性がある点について考慮が必要です。
単にクラウドWAFと呼んだり、SaaS型WAFと呼ぶこともあります。
※ここでは、DNSの設定変更により、WAFサービス提供事業者のネットワークを経由するようにして検査・防御するWAFを例にしています。
SiteGuard Cloud Editionの詳細はこちら
ゲートウェイ型WAF
Webサーバーの前段で独立した機器として利用するWAFです。※
リバースプロキシのほか、インライン(ブリッジ)構成で設置されることが多く、複数のWebサーバーを一元的に保護することができます。
リバースプロキシはサイトの成長に合わせて拡張しやすく、インライン構成は導入しやすい点が特長です。ソフトウェアもしくはアプライアンスがあり、アプライアンスの場合は仮想アプライアンスとして提供されることもあります。
専用機としてのハードウェアの購入費やネットワークの構成変更が必要となります。
※前述のクラウド型もリバースプロキシ構成が一般的ですが、ここでは専用機として動作するWAFをゲートウェイ型に分類し、クラウド型とは分けて記述しています。
SiteGuard Proxy Editionの詳細はこちら
ホスト型WAF
Webサーバーにインストールして利用するWAFです。
ソフトウェアで提供され、Webサーバーのモジュールとして動作するタイプを指すことが一般的です。
WebサーバーごとにWAFをインストールする必要があり、導入要件がWebサーバーの環境に依存しますが、最もシンプルな構成で専用ハードウェアを必要とせず、ネットワーク構成に影響を与えないことが主な利点となります。
新たにハードウェアを設置したり、ネットワークの変更がないため、アクセス遅延の影響が少ないこともメリットです。以前はWebサーバーの負荷が課題になることもありましたが、昨今のハードウェア性能の向上もあり、影響は少なくなっています。
SiteGuard Server Editionの詳細はこちら
クラウド型WAFの仕組み
一般的なクラウド型WAFは、名前解決の仕組みであるDNSの設定変更によって実現されています。
FQDNのDNS設定をクラウド型WAFへ変更することで、クライアントからWebサイト宛ての通信がクラウド型WAFを経由することになり、WAFが不正な通信を検出してブロックすることが可能になります。
- WAFサービス事業者からDNSの設定情報が届く
- Webサイト宛の通信が、サービス事業者のWAFを経由するようにDNSの設定を変更する
- サービス事業者のWAFを経由することで、クライアントからWebサイト宛の通信が検査されるようになる
このように、クラウド型WAFはDNSの切替によって導入しますが、WAFのバイパスを防ぐために、Webサイト側のネットワークでアクセスを制限することが推奨されています。
具体的には、Webサイトへのアクセスについて、WAFを経由したアクセスのみを許可するようにファイアウォールでアクセス制限を行います。接続元となるWAFのIPアドレスは、DNSの設定情報と一緒に、WAFサービス事業者から通知されるのが一般的です。
SiteGuard Cloud Editionの場合の導入イメージ
SiteGuard Cloud Editionの詳細はこちら
クラウド型WAFのメリット
クラウド型WAFは、クラウド上のサービス(SaaS)として提供されますので、比較的に導入しやすく、手軽にWebサイトのセキュリティ対策を強化できるというメリットがあります。
また、WAFの運用管理は、サービス提供事業者が行いますので、運用面での人的リソースに課題がある場合にも大きな助けとなり、WAF導入の一つの選択肢となっています。
インストール作業や新たな機器の設置が不要
クラウド型WAFは、DNSの設定変更で導入することができるため、ソフトウェアをインストールしたり、新たに機器を設置するなど物理的なネットワーク構成を変更する必要がありません。
手軽な導入と運用管理の負荷軽減
クラウド型WAFの場合、WAFの運用管理をサービス事業者に任せることができるため、自社に専任の技術者を配置する必要がありません。そのため、人材不足で諦めていた企業でも手軽に導入でき、サービス利用開始後の運用負荷を軽減できるようになりました。短期間利用が可能
クラウド型WAFは、月単位による短期間のスポット契約ができるタイプが多いこともメリットとなり、利用者にとってはWAF導入の選択肢が増えることにつながりました。導入コストが低い
システム構成を変更したり、停止することなく導入・解除が可能で、導入にかかるコスト自体が低いこともクラウド型WAFのメリットです。SaaSという特性上、導入に機器を購入する必要もないため、他の導入形態に比べて初期費用が少ない傾向にあり、月々数万円から始められるサービスもあります。
このように、人材不足の課題解決をしつつ、キャンペーンサイトに短期でWAFを適用したり、ハードウェアやソフトウェアなどを購入する必要がないという点がクラウド型WAFのメリットといえます。
クラウド型WAFの注意点
クラウド型WAFでは、手軽に導入できる点や運用管理をサービス事業者に任せることができる点などのメリットがあります。
一方で、注意するべき点として挙げられるのが、サービス提供側でネットワーク障害やシステム障害が発生した場合です。サービス利用者では対応することができませんので、障害の影響を受ける可能性があります。
クラウド型WAFは、FQDNの数や通信量に応じて利用料が変動することが一般的なため、ランニングコストが高くなる可能性があります。
また、組織外(自社環境以外)のシステムを経由することによる情報の取り扱いについても考慮する必要があり、運用方針やセキュリティポリシーによっては、ゲートウェイ型WAFやホスト型WAFの方が適している場合もあります。
クラウド型WAFについてよくある質問
質問① どのような課金体系ですか?
FQDN数、トラフィック量、データ量に応じて課金するケースが一般的です。サービスによっては、FQDN数無制限のプランが用意されていることがあります。
質問② 導入によるレスポンス低下はありますか?
大容量ファイルの取り扱いがある場合など、環境によりレスポンス低下が生じる可能性がありますので、事前にトライアル等で確認することが推奨されます。
質問③ サービス導入時、Webサイトへの負荷などの影響はありますか?
DNSを変更して導入しますので、Webサイトに負荷がかかることはありません。
質問④ サービス導入時、注意すべきことはありますか?
アクセス制限の観点で、クラウド型WAFを経由したアクセスのみを許可するように、ファイアウォールを設定変更することが推奨されています。
質問⑤ 接続元のIPアドレスはクラウドWAFのIPアドレスに変換されるのですか?
変換されます。適切なアクセス制限やログ管理のため、クラウド型WAFが付与するX-Forwarded-Forヘッダの情報等を参照するようにしてください。
質問⑥ SSL証明書の設定は必要ですか?
暗号化されているHTTPS通信を検査するため、クラウド型WAFでSSLの設定を行う必要があります。
通常、サービスサイトや管理画面から簡単に設定できるようになっています。
WAFの選び方
本稿では、WAFとは何か、クラウド型WAFについてご紹介しました。
一言でWAFといってもいくつかの種類があり、それぞれに特徴があります。今回ご紹介したクラウド型WAFは、通常マネージドサービスとして提供されるため、運用管理の負担軽減や手軽に利用できるという点でメリットがあります。
一方で、サイト数が多い場合に想定以上にランニングコストがかかってしまったり、組織外へ情報を出すことができないなど、セキュリティ上の理由によりクラウド型WAFが適さないケースもあります。それぞれの特徴を把握した上で、Webサイトの特性や運用方針に合わせてWAFを選定しましょう。
EGセキュアソリューションズは、ニーズの多い国別フィルタを全プランに標準機能として実装し、かんたん導入・かんたん運用を実現する純国産のクラウド型WAF「SiteGuard Cloud Edition」を提供しています。
このほかにもゲートウェイ型WAF「SiteGuard Proxy Edition」ホスト型WAF「SiteGuard Server Edition」を開発・販売しており、様々なニーズに対応しています。
以下の記事では、当社のWAFソリューションを紹介しながら、例をもとにWAF選定のポイントまでを解説しています。WAF導入をご検討の際は、ぜひ参考にしてみてください。
