ModSecurityとは?オープンソースWAFのメリット・デメリットを解説

 2021.02.15  株式会社ジェイピー・セキュア

WAFを活用したWebサイトのセキュリティ対策を検討するにあたり、オープンソースWAFを検討するのも一つの案です。WAFを導入する場合、多少なりとも初期費用、その後の運用費用を要することとなります。

そのようなとき、無償で利用することのできるオープンソースのWAFが有効活用できることがあります。本稿では、オープンソースのWAFである「ModSecurity」のメリットとデメリットについて解説します。

WAF(Web Application Firewall)とは

最初に、WAFについて説明します。WAF(ワフ:Webアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用した「個人情報の窃取」や「Webサイト改ざん」などの攻撃からWebサイトを保護するツールです。

ファイアウォール、IPS/IDSとの違い

WAFと混同されることのあるセキュリティ製品、ツールとしてファイアウォールとIPS/IDSがあります。どちらもセキュリティ対策ツールとして導入されるものですが、それぞれの役割は大きく異なります。

ファイアウォールは、ネットワークの境界線上でアクセスを制御する役割を果たし、IPS/IDSは、Webサイトに限らずOSやソフトウェアの脆弱性を悪用した攻撃を幅広く検出・防御する役割を果たします。

※IDS:Intrusion Detection Systemの略で、不正侵入検知システムと呼ばれています。不正侵入の検出はしますが、防御はしません。
※IPS:Intrusion Prevention Systemの略で、不正侵入を検知・防御するシステムです。IDSと異なり、検出と防御を行います。

WAFの役割

次に、WAFの役割を見ていきましょう。WAFはファイアウォールと同じようにアクセスを制御し、攻撃を検出・防御しますが、アプリケーションレイヤの攻撃を防ぐことに特化しており、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護します。

WAF

WAFによる攻撃が最も効果的なのは、SQLインジェクションクロスサイトスクリプティングです。前述のファイアウォールやIPS/IDSでは、これらの攻撃を防ぎきることはできません。

それぞれの違いを見るとわかるように、防御できるサイバー攻撃の種類は異なります。セキュリティ対策を万全にするためには、複数のセキュリティ対策ツールをそろえて、同時に稼働させることが理想です。

WAFの種類

WAFは、設置形態によって以下の種類に分けられます。

  • SaaS型(クラウド型)
  • ゲートウェイ型(ネットワーク型)
  • ホスト型(ソフトウェア型)

それぞれの種類の特徴や他との違いを整理していきましょう。

SaaS/クラウド型WAF

SaaS型、もしくはクラウド型のWAFは、昨今非常にメジャーになりました。クラウド上で管理され、初期費用が少なくて済むというメリットがあります。運用時の負荷も低く、利用しやすいことも導入されることが多い理由でしょう。

専用機器の扱い方がわからなかったり、専任のエンジニアが不在という場合は、有効な選択肢になります。

クラウドWAF

ゲートウェイ(ネットワーク)型WAF

ゲートウェイ型、もしくはネットワーク型WAFは、ネットワーク機器を配置することで利用できるWAFです。導入の際は専用機(アプライアンス、プロキシサーバー)を用意することになるため、初期費用は高くなります。

一方で、集中して複数のWebサイトを保護することができるため、自由度が高いWAFを選定する場合には、有力候補となります。

ゲートウェイ型WAF

ホスト型WAF

ホスト型WAFは、ソフトウェア型WAFとも呼ばれます。Webサーバー自体にWAFをインストールすることで利用できるようになります。

基本的にはインストールするだけで使えるので、初期費用は比較的安く済みます。ただし、サーバーごとに導入する必要があるため、複数のサーバーを保有している場合にコスト高となることがあります。

ホスト型WAFには、Webサーバーに高い負荷がかかるとその影響を受けやすいというデメリットが指摘されていましたが、昨今のハードウェア性能の向上により、その影響は小さくなっています。

ホスト型WAF

本稿で解説する「ModSecurity」は、オープンソースのホスト型WAFです。

無償のWAF「ModSecurity」

セキュリティ対策としてWAFを導入する際、オープンソースで提供されているWAFは一つの選択肢となります。オープンソース、つまり無償で利用できるというメリットがあるからです。それでは、ModSecurityについて詳しく見ていきましょう。

ModSecurityとは?

ModSecurityは、Apache HTTP ServerやNginx、Microsoft IISのモジュールで、Webサーバーのモジュールとしてインストールするホスト型WAFです。ApacheやNginx、IISを運用しているエンジニアにとっては、インストールの手順も難しくありません。

無償であるにもかかわらず、ModSecurityはビジネスシーンでも採用されています。ModSecurityの優れた機能や導入のメリットについては以下で解説しますが、Webサーバーにインストールするだけで、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護してくれる、大変心強い味方であるといえます。

ModSecurity導入のメリット

ModSecurityを導入する主なメリットは、以下のとおりです。

  • 高いコストパフォーマンス
  • 柔軟性の高い運用ができる
  • 通信の遅延時間がない

ModSecurityは無償で使用できるホスト型WAFです。機能性が高く利用しやすいため、高いコストパフォーマンスで運用することができます。(その前提については後述します。)

通常、WAFの導入にあたっては、初期費用だけで数万円から数十万円かかることがあります。しかしModSecurityはオープンソースであるため、ライセンスに従えば、導入コストはかかりません。これは何物にも代えがたいメリットといえるでしょう。

ModSecurityは、カスタマイズ性が高いというメリットもあります。自社に合うように細かく設定を変えたい場合でも、高い柔軟性がそれを実現してくれます。

また、ModSecurityはホスト型WAFのため、通信経路の遅延(レイテンシ)や障害を意識せずに利用することができます。

ModSecurityで防御できる攻撃

では実際のところ、ModSecurityではどのようなセキュリティ対策を行うことができるのでしょうか。

対応する脅威(Webサイトの保護)

ModSecurityによって、検出・防御できる主な脅威は、以下のとおりです。

ModSecurityを導入することで、これらの攻撃・脅威を検出し、防御することができます。

ModSecurityのデメリット

ここまで、オープンソースであることのメリットを含めて解説してきたModSecurityですが、デメリットもあります。

最大のデメリットは、自社で導入や運用、その他の管理・メンテナンスを行う必要があることです。商用製品と異なり、ModSecurityには専門業者によるサポートはありません。そのため、ModSecurity を導入する場合は、ITに関してだけでなく、Webアプリケーションやセキュリティに関する知識を持った人材が必要不可欠です。導入時のインストールと設定、通常時の運用と管理について責任を持って対応できる担当者が社内にいなければ、ModSecurityをうまく扱えない可能性があります。

ModSecurityを導入する際に注意したいデメリットは、上記の他に以下のようなものがあります。

  • 英語表記など、実装や運用において玄人志向
  • Webサーバーに負担がかかることがある

結果として、ある程度コストをかけて商用製品のWAFを導入したほうが、安心できるケースもありますので、メリットとデメリットをきちんと理解した上で、導入・運用を検討しましょう。

まとめ

ModSecurityは無料ながら自由度が高いというメリットがあります。WAF導入によるセキュリティ対策の強化を検討している場合は、低コストでWAFを導入・運用する場合の一つの選択肢として、ModSecurityの導入も考えておきたいところです。

とはいえ、ある程度専門的な知識がなければ、運用することが難しいのも事実です。実際、「一度はModSecurity によるセキュリティ強化を試みたものの、使いこなすのが難しく、サポート面が心配」といった事情から、当社にご相談いただくこともあります。必要に応じた商用製品のWAF導入は、結果としてコスト低減につながることがあります。

ジェイピー・セキュアは、イー・ガーディアングループの一員として、ゲートウェイ型とホスト型に対応した国産ソフトウェアWAF「SiteGuardシリーズ」を提供しています。また、同じグループの一員であるグレスアベイルより、DDoS対策も可能な国産クラウド型WAF「GUARDIAX」が提供されています。国産製品・サービスの場合、管理インタフェースやマニュアルの日本語対応はもちろんのこと、開発から販売、テクニカルサポートまで、お客様の安心感と満足感につながる国内クローズの対応が可能です。

※GUARDIAXは、ジェイピー・セキュアからの販売も行っています。

イー・ガーディアングループでは、サイバー攻撃に対するソリューションのひとつであるWAFについて、様々なWebサイトの環境に適合できるソリューションを提供しています。

ワンランク上のWebサイトのセキュリティ対策に、ぜひWAFの導入を検討してみてください。

CTA

RECENT POST「WAF」の最新記事


WAF

Apache Strutsの脆弱性とWAFによる対策

WAF

WAFって何?導入のメリットとは

WAF

WAFとは?その利用目的と導入のメリット・デメリットを解説

WAF

ModSecurityのCore Rule SetからみるWAFのルールとは

ModSecurityとは?オープンソースWAFのメリット・デメリットを解説