WAFを活用したWebサイトのセキュリティ対策を検討するにあたり、オープンソースWAFを検討するのも一つの案です。商用のWAFを導入する場合、多少なりとも初期費用、その後の運用費用を要することとなります。
そのようなとき、無償で利用することのできるオープンソースのWAFが有効活用できることがあります。本稿では、オープンソースのWAFである「ModSecurity」のメリットとデメリットについて解説します。
WAF(Web Application Firewall)とは
最初に、WAFについて説明します。WAF(ワフ:Webアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用した「個人情報の窃取」や「Webサイト改ざん」などの攻撃からWebサイトを保護するツールです。
ファイアウォール、IPS/IDSとの違い
WAFと混同されることのあるセキュリティ製品、ツールとしてファイアウォールとIPS/IDSがあります。どちらもセキュリティ対策ツールとして導入されるものですが、それぞれの役割は大きく異なります。
ファイアウォールは、ネットワークの境界線上でアクセスを制御する役割を果たし、IPS/IDSは、Webサイトに限らずOSやソフトウェアの脆弱性を悪用した攻撃を幅広く検出・防御する役割を果たします。
※IDS:Intrusion Detection Systemの略で、不正侵入検知システムと呼ばれています。不正侵入の検出はしますが、防御はしません。※IPS:Intrusion Prevention Systemの略で、不正侵入を検知・防御するシステムです。IDSと異なり、検出と防御を行います。
WAFの役割
次に、WAFの役割を見ていきましょう。WAFはファイアウォールと同じようにアクセスを制御し、攻撃を検出・防御しますが、アプリケーションレイヤの攻撃を防ぐことに特化しており、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護します。
WAFによる攻撃が最も効果的なのは、SQLインジェクションやクロスサイトスクリプティングです。前述のファイアウォールやIPS/IDSでは、これらの攻撃を防ぎきることはできません。
それぞれの違いを見るとわかるように、防御できるサイバー攻撃の種類は異なります。セキュリティ対策を万全にするためには、適切に対策を選定し、サイバー攻撃による情報漏えいやサイト改ざんなどを防がなければいけません。
WAFの種類
WAFは、設置形態によって以下の種類に分けられます。
- SaaS型(クラウド型)
- ゲートウェイ型(ネットワーク型)
- ホスト型(ソフトウェア型)
それぞれの種類の特徴や他との違いを整理していきましょう。
SaaS/クラウド型WAF
SaaS型、もしくはクラウド型のWAFは、昨今非常にメジャーになりました。クラウド上で管理され、初期費用が少なくて済むというメリットがあります。運用時の負荷が低いことや、DNSの切り替えのみで手軽に導入できることが選定される理由でしょう。
専用機器の扱い方がわからなかったり、専任のエンジニアが不在という場合は、有効な選択肢になります。
ゲートウェイ(ネットワーク)型WAF
ゲートウェイ型、もしくはネットワーク型WAFは、ネットワーク機器を配置することで利用できるWAFです。導入の際は専用機(アプライアンス、プロキシサーバー)を用意することになるため、初期費用は高くなります。
一方で、集中して複数のWebサイトを保護することができるほか、自由度が高いWAFを選定する場合には、有力候補となります。
ホスト型WAF
ホスト型WAFは、ソフトウェア型WAFとも呼ばれます。Webサーバー自体にWAFをインストールすることで利用できるようになります。
基本的にはインストールするだけで使えるので、シンプルな構成で初期費用も比較的安く済みます。ただし、サーバーごとに導入する必要があるため、複数のサーバーを保有している場合にコスト高となることがあります。
ホスト型WAFには、Webサーバーに高い負荷がかかるとその影響を受けやすいというデメリットが指摘されていましたが、昨今のハードウェア性能の向上により、その影響は小さくなっています。
本稿で解説する「ModSecurity」は、オープンソースのホスト型WAFです。
オープンソースのWAF「ModSecurity」
セキュリティ対策としてWAFを導入する際、オープンソースで提供されているWAFは一つの選択肢となります。オープンソース、つまり無償で利用できるというメリットがあるからです。それでは、ModSecurityについて詳しく見ていきましょう。
ModSecurityとは?
ModSecurityは、Apache HTTP ServerやNginx、Microsoft IISのモジュールで、Webサーバーのモジュールとしてインストールするホスト型WAFです。ApacheやNginx、IISを運用しているエンジニアにとっては、インストールの手順も難しくありません。
無償であるにもかかわらず、ModSecurityはビジネスシーンでも採用されています。ModSecurityの優れた機能や導入のメリットについては以下で解説しますが、Webサーバーにインストールするだけで、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護してくれる、大変心強い味方であるといえます。
ModSecurityで防御できる攻撃
ModSecurityには、シグネチャとよばれる攻撃を検出するためのルールセットであるCore Rule Set(CRS)が準備されています。では実際のところ、ModSecurityではどのようなセキュリティ対策を行うことができるのでしょうか。
ModSecurityによって、検出・防御できる主な脅威は、以下のとおりです。
- クロスサイトスクリプティング
- バッファオーバーフロー
- OSコマンドインジェクション
- SQLインジェクション
- SSIインジェクション
- LDAPインジェクション
- ディレクトリ内容表示
- ディレクトリトラバーサル
- クロスサイトリクエストフォージェリ
- HTTPヘッダインジェクション
- メールヘッダ・インジェクション
- ブルートフォースアタック
ModSecurityを導入することで、これらの攻撃・脅威を検出し、防御することができます。
ModSecurityのメリットとデメリット
ModSecurityのメリット
ModSecurityの主なメリットは、以下のとおりです。
- 導入コストが不要
- 柔軟性の高い運用ができる
- 通信の遅延時間がない
ModSecurityは無償で使用できるホスト型WAFです。
通常、WAFの導入にあたっては、初期費用だけで数万円から数十万円かかることがあります。しかし、ModSecurityはオープンソースであるため、ライセンスに従えば、導入コストはかかりません。これは何物にも代えがたいメリットといえるでしょう。
ModSecurityは、カスタマイズ性が高いというメリットもあります。自社に合うように細かく設定を変えたい場合でも、高い柔軟性がそれを実現してくれます。
また、ModSecurityはホスト型WAFのため、通信経路の遅延(レイテンシ)や障害を意識せずに利用することができます。
ModSecurityのデメリット
ここまで、オープンソースであることのメリットを含めて解説してきたModSecurityですが、デメリットもあります。
最大のデメリットは、自社で導入や運用、その他の管理・メンテナンスを行う必要があることです。商用製品と異なり、ModSecurityには専門業者によるサポートはありません。
そのため、ModSecurity を導入する場合は、ITに関してだけでなく、Webアプリケーションやセキュリティに関する知識を持った人材が必要不可欠です。導入時のインストールと設定に加えて、運用と管理について責任を持って対応できる担当者が社内にいなければ、ModSecurityをうまく扱えない可能性があります。
ModSecurityを導入する際に注意したいデメリットは、上記の他に以下のようなものがあります。
- ドキュメント類が日本語化されていないなど、実装や運用において専門的な知識が必要
- Webサーバーに負荷がかかることがある
まとめ
ModSecurityは無料ながら自由度が高いというメリットがあります。
WAF導入によるセキュリティ対策の強化を検討している場合は、低コストでWAFを導入・運用する場合の一つの選択肢として、ModSecurityの導入も考えておきたいところです。
とはいえ、ある程度専門的な知識がなければ、運用することが難しいのも事実です。実際、「一度はModSecurity によるセキュリティ強化を試みたものの、使いこなすのが難しく、サポート面が心配」といった事情から、当社にご相談いただくこともあります。
必要に応じた商用製品のWAF導入は、結果としてコスト低減につながることがあります。
WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~
EG セキュアソリューションズが提供するソリューションである WAF(Web Application Firewall) の概要、WAFの選定・導⼊のポイントについて解説しています。
シリーズ累計150万サイト超を保護する「SiteGuardシリーズ」が選ばれる理由についても紹介しています。
