現在みなさんの生活やお仕事の中には様々なWebアプリケーションが稼働しており、切っても切れない存在として活躍していると思います。そんなWebアプリケーションですが、実は数多くのサイバー攻撃の危険性を抱えております。
今回はそんなサイバー攻撃からWebアプリケーションを守るためのWAF(ワフ)について書いてみたいと思います。実は弊社にもPrime WAF(プライム ワフ)というクラウド型のWAFサービスがありますが、正直にWAFがどういったものなのかということも含め理解しておりません(苦笑)
そこで今回WAF(セキュリティ)に関してド素人の私が、サイバー攻撃から手軽に身を守ることが出来る方法として、クラウド型のWAFサービスとは何なのかというところから解説したいと思います。
クラウドWAFって何?
「クラウドWAF(ワフ)とは?」と題しておりますが、そもそもWAFとはどういったものかご存知でしょうか?
WAFとは、Web Application Firewall(ウェブ アプリケーション ファイアウォール)のスペルの頭文字をとったもので、Webアプリケーションに特化したFirewallのことです。
では、Firewallとは何でしょうか?
Firewallとはネットワーク上の不正なアクセスをブロックするための壁のことで、悪いことが出来ない様に壁を設置して攻撃をブロックするといったものです。
元々は火災などから建物を守るための防火壁(Firewall)を意味します。火災の時に被害を最小限に食い止める防火壁のような役割をすることから、インターネットの世界でも外部からの攻撃を防ぐという意味で、そのようなネーミングとなったようです。
それでは本題である「クラウドWAFって何?」の解説に入ります。そのままの解説ではありますが、クラウド上で提供されているWAFサービスになります(笑)。
クラウド型WAFが無かったころは、アプライアンス型のWAFというものが主流でした。Webサーバに対して専用サーバを用意する必要があったため、導入コストが高く、WAFの運用にも専門的な知識が必要とされました。
ところが、AWSのようなクラウドサービスが急速に普及すると、クラウドサービスの良さを活かした新しい形態のWAFが誕生しました。それがクラウドWAFです。 アプライアンス型よりも導入コストが安く、専門知識もそこまで必要が無いため、WAFサービスは手軽に利用できるようになりました。
このWAFの対策を行うことで脆弱性の保護をし、Webアプリケーションの安全性を高められます。
WAFは様々な危険性から守ってくれ、安全性を確保するために必須の対策であると思います。
クラウドWAFで何を防げるの?
クラウドWAFというものがどういったものか「クラウドWAFって何?」で何となくわかっていただけたのではないかと思います。
では、クラウドWAFではどのような攻撃を防ぐことが出来るのか御存じですか??
「・・・・・・?」私はよくわかっていませんでした。何となくサイバー攻撃を防いでくれるのかなと思っていました。
実はものすごく多くのサイバー攻撃パターンを防ぐことが可能なのです。一例とはなってしまいますが、いくつかご紹介をさせて頂きます。
【クラウドWAFで防げるサイバー攻撃パターン】
SQLインジェクション
SQLと呼ばれるよく利用されるデータベース言語がありますが、そのSQLを悪用してデータベースを不正に操作する 攻撃となります。リスクとしては 情報漏洩、データ改ざん、システムの乗っ取りの可能性があります。
OSコマンドインジェクション
攻撃者がWebサーバに好きな命令を送りつけ、実行させることが可能です。リスクとしては非常に広範囲の被害が出る可能性があります。SQLインジェクションによるリスク以外にも、例えばウィルス等をダウンロードさせられたり踏み台として利用されたりする可能性があります
クロスサイトスクリプティング
攻撃対象のWebサイトの脆弱性を突き、そこに悪質なサイトへ誘導するスクリプトを仕込み、サイトに訪れるユーザの個人情報を盗むことが可能です。リスクとしては、 フィッシング詐欺に悪用される可能性があります。
まだまだ数多くありご紹介させていただきたいですが、長くなってしまいそうなのでご紹介ページをご案内しますね(笑)
参照元URL https://security.valtes.co.jp/primewaf/defensible_pattern
WAF対策を行えば、様々な攻撃からWebアプリケーションを守ることができます。また、クロスサイトスクリプティングのように脆弱性を突いた攻撃も複数あります。
システム改修も含め、定期的な脆弱性診断の実施と併せてクラウドWAFの対策が必要そうですね。
クラウドWAFのメリット
各章にてクラウドWAFについてご説明をさせていただきました。やはりWebアプリケーションにはWAF対策は欠かせないものとなっており、その中でもクラウドWAFは現在の主流となっているようです。
では、クラウドWAFにはどのようなメリットがあるのでしょうか?私なりに考えた3つのメリットについてご紹介させていただきます。
【クラウドWAFのメリット】
①導入におけるメリット
クラウドWAFはインターネットで接続されたクラウド上で提供されているサービスです。よって、アプライアンス型のWAFと比べて専用の設備を用意する必要がありません。そのために専用設備の調査や準備などを考える時間が削減されます。また、上記設備を整える費用も削減できますので、コストと期間といったところでメリットがあります。
②運用におけるメリット
アプライアンス型と比べて、設備を自社で保守・運用する必要がない ため、専門知識を持った担当者がいなくても、すぐに運用開始することが可能です。また、困ったことがあって相談したい時も専用窓口などが準備されており、サポート体制もしっかりとしています。
③撤退時におけるメリット
仮にWebアプリケーションのサービスを終了することとなった場合、アプライアンス型の場合は整えた専用設備をどうするのかが問題になってきます。クラウド型WAFは契約変更なども含めて簡単に行うことができます。
上記に私が思う3つのメリットを上げさせていただきました。やはりクラウド型WAFは使い勝手が良いように私は感じられました。
まとめ
「クラウドWAFとは?入門編として製品と仕組みを理解してみよう」と題して、入門編のような視点で、製品や仕組みを説明してまいりしてまいりました。
今回、WAF(セキュリティ)に関してド素人の私が自分なりに調べてみました。
- クラウドWAFってどんなものなのか
- クラウドWAFで、何を防ぐことができるのか
- クラウドWAFのメリットについて
と、出来るだけ私と同じような初心者レベルの方にも伝わるようにと思い書いてみましたが、いかがでしたでしょうか??
私が色々と調べて出た、クラウドWAFの答えは以下の2つでした。
①WAF対策を実施することでサイバーリスクの危険性から企業の顔である「Webサイト」守ることが出来る。
②WAF対策の形態はいくつかあるが、低い導入コストと短期間で導入することができる。専門知識がそこまでなくても設定する事ができ、簡単に導入できることからクラウドWAFが主流となっている。
本記事の内容が、WAFを現在検討されている方々、私のような初心者の方々の参考になればと思っております。
また、繰り返しとなりますが弊社にはPrime WAF(プライム ワフ)というクラウド型のWAFサービスがございます。こちらはWAFやセキュリティに詳しくない方、ITがあまり得意でいない方でも簡単に操作できるよう、UI/UXを工夫して開発されています。
ご興味あれば是非以下をご確認ください。
https://security.valtes.co.jp/primewaf/
当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。
