WAF導入のポイント IPAの「Web Application Firewall 読本」を読み解く

Webサイトのセキュリティ対策を強化するための対策は数多く、運用者はそれらの対策を網羅的に実施し、サイバー攻撃による情報漏えいやサイト改ざんなどを防がなければいけません。

＜Webサイトのセキュリティ対策＞

• 脆弱性のないセキュアな開発、実装を実現する
• 公開すべきでないページやファイルを公開しない
• Webサイトを構成するソフトウェアを最新状態に保つ
• Webアプリケーションログを保存し、定期的に確認する
• 不要なアプリケーションやサービスを削除する
• 不要なアカウントを作らない
• 複雑かつユニークなパスワードを設定する
• ディレクトリ・ファイルへのアクセスを限定する
• WAFでWebアプリケーションの通信内容を精査する　など

WAFとは「Web Application Firewall」の略であり、ファイアウォールやIPS/IDSでは防ぐことができないWebアプリケーションの脆弱性を狙ったサイバー攻撃から保護することを目的としたセキュリティ製品です。

本稿では、サイバー攻撃から企業や組織を守る取り組み、国民に向けた情報セキュリティ対策の普及啓発などを行っている情報処理推進機構（IPA）が公開している『Web Application Firewall 読本』から、WAFの正しい導入ポイントを読み解いていきます。

WAFを正しく理解する

ここでいう脆弱性とは、プログラム開発段階で発生するセキュリティ上の欠点を指します。Webサイトを狙った攻撃の多くは、Webアプリケーションの脆弱性が悪用されており、事件・事故が後を絶たないのが実情です。WAFはWebサイトと利用者間の通信を検査し、そうした脆弱性を悪用したサイバー攻撃から、Webアプリケーションを保護するセキュリティ製品です。

ただし、WAFは脆弱性を無くす実装面での対策ではなく、サイバー攻撃による影響を低減する運用面でのセキュリティだと言えます。多くの開発者は脆弱性を生まないようにWebアプリケーションを開発しますが、ゼロにすることは不可能だと考えられています。

また、ソフトウェアやフレームワークを活用してWebサイトを構築している場合、脆弱性が発見されセキュリティ更新プログラムが配信されても、安定したサービスを提供するために、即座に更新や対応ができない運用側の事情もあります。そうした状況下において有効なのがWAFです。

WAFにはサーバーにインストールするホスト型、ネットワークに物理的に設置するゲートウェイ型、そしてクラウドサービスとして提供されるクラウド型の3種類があります。ライセンス視点で見れば、商用利用を目的とした製品と、オープンソースソフトウェアとして提供されるものがあります。

導入事例

WAF製品/SiteGuard（サイトガード）シリーズの導入事例をご紹介しています。

WAF導入のポイント

『Web Application Firewall 読本』ではWAF導入までのプロセスを①導入判断、②導入、③運用と大きく3つに分けています。①ではWAF導入の有効性を検討し、②では運用計画を策定し、その計画に沿ってWAFを導入。最後に③では、運用計画に則ってWAFを運用していきます。それでは、各プロセスのポイントを整理していきましょう。

①導入判断

(ア) 導入検討

運営しているWebサイトにおいて、その脆弱性対策としてWAFが有効か否かを検討するフェーズです。脆弱性を狙ったサイバー攻撃によっては、WAFでは防御できない可能性があります。

そこで、Webサイトで発生しやすい脆弱性と、それを狙ったサイバー攻撃の種類を把握し、WAFで防御できるか判断した上で導入可否を検討します。WAFによる防御が可能かわからない場合、WAFベンダーに確認するのがよいでしょう。

(イ) WAF選定

WAFの有効性に確証が持てれば、Webサイトに適したWAFを選定していきます。主な選定基準は「Webサイト構成への影響」「Webサイトパフォーマンスへの影響」「Webサイト運用への影響」です。加えて導入のしやすさやシステムの操作性、導入コストなども選定基準に盛り込み、各社製品を比較しましょう。

(ウ) 導入判断

以上のプロセスが完了したら、WAF導入時の費用と運用費用を概算で見積もり、費用対効果を確認してWAFの導入判断を下します。一般的には、基本的な脆弱性対策と比較し、WAFがそれよりも「費用対効果が高いか？」という視点で判断しましょう。

関連記事：IPA「Web Application Firewallの導入に向けた検討項目」の解説

②導入

(ア) 関係者間調整

WAF導入によって影響を受ける関係者は幅広いことから、関係者間で調整しないと導入がスムーズに進みません。主な関係者はネットワーク管理者、Webサーバー管理者、Webアプリケーション開発者、WAFベンダーです。ネットワークやサーバー等への影響範囲や、障害発生時の影響などを明確にしていきましょう。

(イ) 導入計画

WAF導入をスムーズに進めるには、事前の導入計画が欠かせません。まずはWAFの保護対象になるWebサイトやWebアプリケーションの環境を調査し、ネットワーク構成などに与える影響を確認します。さらに、事前に検討しておくべき初期設定項目の決定、WAFの動作検証等を行います。

(ウ) 運用計画

WAFの運用計画では運用体制を整え、運用ポリシーを策定します。WAFには多くの関係者がかかわるので、作業主体や責任範囲が曖昧になる傾向があります。そのため、運用計画ではこれらを想定した上で、だれが？いつ？どうするか？を定めた運用ポリシーを検討します。

(エ) 検証

WAF運用を開始する以前に、検証期間を設けてWAFの動作や機能を検証します。検証期間を十分に取ることで、運用を開始してからのトラブルを多数回避できます。検証ではWebサイトに影響を与えないようにテスト環境を用意し、本番運用を想定して検証することが大切です。テスト環境が準備できない場合は、本番環境での検証を実施します。主に検証するのは「偽陽性」「偽陰性」、そして「パフォーマンスへの影響」です。

③運用

(ア) 通常運用

運用フェーズでは、ベンダーが配信するアップデートや検出パターンプログラムの更新を実施します。それらをタイムリーに更新し、WAFを常に新しい状態に保つことが大切です。さらに、定期的なログ確認を実施して、不審なアクセスが無いかを検出します。

(イ) 緊急対応

WAF自身に障害が発生した場合や、偽陽性が発生した場合はサービスへの影響度が大きいため、運用手順書にもとづき速やかに対応します。クラウド型WAFの場合、ベンターに対応を依頼します。

[偽陽性：正常な通信を不正と判定してしまうエラー]
[偽陰性：不正な通信を正常と判定してしまうエラー]

(ウ) 保守

ハードウェアの保守、ソフトウェアの保守が主な作業内容です。多くの場合はベンダーとハードウェア及びソフトウェアに関する保守契約を結びます。クラウド型WAFの場合は、保守運用費用がサービス料金に含まれています。

適切なWAF導入を目指す

いかがでしょうか？WAF導入を検討する際は、まず導入すべきWAFの種類から選びまししょう。ホスト型、ゲートウェイ型、クラウド型、それぞれの異なる特徴とメリット・デメリットがあります。自社にとって適切なタイプは何か？を十分に検討した上で、適切なWAF導入を目指しましょう。WAF導入に関して不安がある場合は、WAFベンダーに積極的に相談して、自社にとって最適なWAF導入の形を模索していきましょう。

ウェブサイトセキュリティの専門企業であるEGセキュアソリューションズでは、カスタマイズ性に優れたホスト型WAF、ゲートウェイ型WAFのほか、運用お任せのクラウド型WAFの3製品を開発・販売しています。WAFに関連する技術情報のほか、WAFの選定や導入のポイントについて解説したご紹介資料をご用意しています。ぜひご覧ください。

WAFとは～WAF選定・導入のポイントとSiteGuardが選ばれる理由～

EG セキュアソリューションズが提供するソリューションである WAF（Web Application Firewall） の概要、WAFの選定・導⼊のポイントについて解説しています。
シリーズ累計150万サイト超を保護する「SiteGuardシリーズ」が選ばれる理由についても紹介しています。