Webサイトのセキュリティ対策を強化するための対策は数多く、運用者はそれらの中から適切な対策を選定し、サイバー攻撃による情報漏えいやサイト改ざんなどを防がなければいけません。
本稿では、Webサイトのセキュリティ対策に有効なWAFについて説明するとともに、クライアント証明書を利用した環境へのWAFの導入について解説します。
WAFとは
WAFは、ウェブアプリケーションファイアウォール(Web Application Firewall)の略称で、Webアプリケーションの脆弱性を悪用する攻撃を検出・防御し、ウェブサイトを保護するためのセキュリティ製品、サービスです。
WAFはHTTPプロトコルでやり取りされる要求行や要求ヘッダ、要求本文(パラメータの名前、パラメータの値)などを検査することで、SQLインジェクションなどのWebアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するという役割を果たします。
WAFの種類
WAFは設置形態により3種類に分類され、それぞれ以下の特徴があります。
※ソフトウェアのプロキシとして動作するWAFやパブリッククラウド上のサービスとして提供されるWAFもありますが、本稿では、設置形態と提供形態をもとに以下の3つに分類して説明します。
ホスト型WAF
WebサーバーにソフトウェアとしてWAFをインストールし、Webサーバー(Apache、Nginx、IIS など)のモジュールとして動作するタイプを指すことが一般的です。
WebサーバーごとにWAFをインストールする必要があり、複数のWebサーバーに導入する場合の管理が課題となりますが、最もシンプルな構成で専用ハードウェアを必要とせず、ネットワーク構成に影響を与えないことが主な利点となります。
SiteGuard Server Editionの詳細はこちら
アプライアンス型WAF
リバースプロキシのほか、インライン(ブリッジ)構成でWAFを設置します。仮想基盤向けの仮想アプライアンスとして提供される場合もあります。
ネットワークの構成変更や専用ハードウェアの購入などでコスト高になりますが、複数のWebサーバーを一元的に管理、保護することができます。
クラウド型WAF
DNSの設定変更だけでWAFを導入することができます。通信量やサイト数が多い場合、料金形態によってはコスト高になる場合や通信障害などの影響を受ける可能性があります。
ソフトウェアのインストールや専用ハードウェアを用意したり、物理的なネットワークの変更も不要で、サービス提供事業者にWAFの運用を任せることができるという利点があります。
SiteGuard Cloud Editionの詳細はこちら
クライアント証明書とは
つぎにクライアント証明書について説明します。
クライアント証明書は、ユーザー(クライアント)端末にインストールする電子証明書で正規のユーザーであることを証明します。Webサイトにアクセスした際に、正規のユーザーであるか識別し、クライアント証明書がインストールされた端末からの利用に制限することができます。
言葉の似た証明書として、SSLサーバー証明書があります。SSLサーバー証明書は、Webサーバーなどにインストールする電子証明書で、クライアントとWebサーバー間のデータを暗号化して第三者からの盗聴を防いだり、Webサイトの実在性や信頼性を証明することができます。
クライアント証明書とサーバー証明書の役割の違いをしっかり把握しておきましょう。
クライアント証明書が使用されるWebサイトとは
では、クライアント証明書はどのようなWebサイトで使用されるのでしょうか。
先の解説の通り、クライアント証明書は正規ユーザーを識別してWebサイトのアクセスを制限することができます。利用者を制限する必要がない一般的なWebサイトでは不要ですが、会員限定のWebサービスや機密情報を取り扱うWebサイトなどアクセスを制限する必要がある場合にセキュリティ対策として選択肢の一つとなります。
また、別の選択肢としてID・パスワードによる認証がありますが、ID・パスワードの流出による不正アクセスや情報漏えいなどのリスクがあります。クライアント証明書であれば、証明書が導入されていない端末からはアクセスすることはできませんので、リスクを低減することができます。
さらに、ID・パスワードによる認証と、クライアント証明書を組み合わせた二要素認証でセキュリティを更に強化することも可能です。万が一、ID・パスワードが流出してしまっても証明書が導入されていない端末からはアクセスできませんし、端末の盗難や紛失をした場合でも、クライアント証明書を無効化することで不正アクセスなどのリスクを回避することができます。
クライアント証明書を利用した環境にはホスト型WAFがおすすめ
クライアント証明書は、ユーザーとWebサーバー間の認証に利用されるものですが、一般的にクラウド型WAFやアプライアンス型WAFではクライアント証明書の認証に対応していないため、クライアント証明書を使用するWebサイトでは、これらのWAFを導入することができません。
一方で、ホスト型WAFはWebサーバーのモジュールとして動作するため、クライアント証明書を利用したWebサイトでもWAFを導入することができます。
Webサイトのセキュリティを高めるため、クライアント証明書のほかに、WAFの導入を検討されている場合、ホスト型WAFをおすすめします。
※SSLサーバー証明書についても、クラウド型WAFやアプライアンス型WAFの場合は、WAF側にサーバー証明書と秘密鍵を設定する必要がありますが、ホスト型WAFの場合は特別な対応は不要です。
ホスト型WAF「SiteGuard Server Edition」
EGセキュアソリューションズ株式会社が提供する純国産ホスト型WAF「SiteGuard Server Edition」は、クライアント証明書を利用した環境でも導入ができるほか、高度な知識がなくともご利用いただけるよう、簡単なインストールと初期設定を実現しています。
また、すべての設定は直感的なウェブ管理画面で行うことができ、ホスト型WAFの課題とされる複数台へ導入した際の運用管理についても、各種設定の配信機能や統合レポート機能を搭載し、これを解決します。
「SiteGuardシリーズ」は、ホスト型WAFのほかにも、クラウド型WAF「SiteGuard Cloud Edition」、ゲートウェイ型WAF「SiteGuard Proxy Edition」と3タイプのWAFをご用意しています。
15年の信頼と当社のセキュリティエンジニアによる高品質なサポートにより、セキュリティ要件の厳しい官公庁やメガバンク等の大企業から、効率的な運用が不可欠な大規模ホスティングサービス事業者まで利用されています。
WAFの導入をご検討の際は、ぜひ当社までご相談ください。
