クラウドサービスの浸透、各社推進されているDX(Digital Transformation)、O2OやOMOといったマーケティング戦略など、これらの目覚ましいインターネットの発展から、Webサイトを始めとしたWebサービスは近年その数をますます増やしている傾向にあります。EC市場規模に着目すると、日本国内だけでも354.2兆円(BtoBおよびBtoCの合計)に達しています。
【参考】経済産業省 令和2年度電子商取引に関する市場調査
https://www.meti.go.jp/policy/it_policy/statistics/outlook/ie_outlook.html
このようなICT技術の普及と共に注目を集めているのが、情報セキュリティ分野です。個人情報の漏えいやランサムウェアによる身代金要求を始めとして、ニュースで見かける機会が増えてきたと感じていらっしゃる方も多いのではないでしょうか。
Webサービスに対するセキュリティ対策の手法はいくつか存在します。本記事ではAWSやAzure等のクラウドサービスとの親和性が高いWAFについて紹介していきます。
AWSが提供するWAF
AWS(Amazon Web Service)と言えば、Amazonが提供する世界で一番のシェアを誇るクラウドサービスです。EC2、S3、RDS、LambdaなどのAWSが提供するサービス名称を一度は聞いたことがある人も多いかと思います。
AWSが提供するサービスの中にも実はWAFが存在しています。それが「AWS WAF」です。
AWS WAFのサービス紹介ページを見ると、以下のサービスと連携してこれを保護するためにWAFを導入することが可能となっているようです。
- Amazon CloudFront
- Application Load Balancer
- Amazon API Gateway
- AWS AppSync
中規模以上のECサイトを始めとして、EC2等にて構築した各種WebサーバにはロードバランサーやCDNを配置することが多いかと思います。Application Load BalancerやAmazon CloudFrontをお使いの場合は、すぐにAWS WAFが利用できますね。また、モバイルアプリケーションとのAPIとしてAmazon API GatewayやAWS AppSyncをお使いの場合も同様です。
そして、再度AWS WAFのサービス紹介ページを見てみると、AWS WAF の利点として以下が挙げられています。
【 AWS WAF の利点】
- ウェブ攻撃に対する俊敏な保護
- マネージドルールにより時間を節約する
- 向上したウェブトラフィック可視性
- 簡単なデプロイとメンテナンス
- ボットの監視、ブロック、リミット制限が簡単に
- アプリケーションの開発方法に統合されたセキュリティ
従量制の料金プランとなっていることも手伝って、気軽に始めることが出来そうですね。
Azureが提供するWAF
次に、デスクトップOSにおいて世界中で圧倒的なシェアを誇るMicrosoftが提供するクラウドサービス、Azureを挙げたいと思います。Azureもまた独自のWAFサービスを提供しています。その名も「Azure Web Application Firewall」です。AWSもそうですが、ド直球なネーミングで分かりやすいですね。
Azure Web Application Firewallのサービス紹介ページには、次のような特徴が記載されています。
- マネージド ルール セットを使用して Web アプリを保護する
- エージェントレスのデプロイでセキュリティ要件を満たす
- セキュリティと分析の可視性を向上させる
- 組織のコンプライアンスを迅速に実現
- セキュリティを強化し、エッジでのパフォーマンスを最適化する
- セキュリティの警告とログを監視する
また、AWS WAFは前述したように4つのサービス(Amazon CloudFront、Application Load Balancer、Amazon API Gateway、AWS AppSync)に対しての保護を提供していますが、Azure Web Application FirewallはApplication Gatewayというサービスに対する保護を提供しています。とてもシンプルですね。
AzureのApplication Gatewayはレイヤ7のロードバランサーであるとの説明があります。
API ManagementとApplication Gatewayを連携させることが可能なため、実質的にはAWS WAFと同等のサービスを保護対象とすることが可能と思われます。
パッと見るとAWS WAFと似ている部分が多いように思われますが、WAF本来の目的や用途、および両社がクラウドサービスベンダーという立ち位置から考えると、個性的な特徴は出にくいものと推測されます。ちなみに、料金体系も従量制となっていますね。
クラウドベンダー以外が提供するWAFの良さを理解しよう!
さて、ここまでAWSやAzureが提供するWAFについてご紹介してきました。しかし、世の中にはクラウドベンダー以外にも、専門的にWAFを提供する企業や団体も存在しています。その中から2つ紹介させて頂きます。
【 ModSecurity 】
1つ目は、ModSecurityです。無料で使えるOSSのWAFになります。
ApacheやNginxといった広く利用されているWebサーバープログラムと連携して、WAF機能を提供してくれます。
OSSであるがゆえに保守は全て自前で対応する必要がある一方で、これを使いこなせたら無料というメリットを最大限に享受することが出来そうですね。
参照元URL https://github.com/SpiderLabs/ModSecurity
【 PrimeWAF 】
2つ目として、当社が提供するPrimeWAFを紹介させて頂きます。
当社のグループ企業であるバルテス・モバイルテクノロジーが提供してきた脆弱性診断によって培ったノウハウを詰め込んだWAFです。セキュリティ人材の不足が声高に叫ばれ、自社内に専門家を配置することが難しい世の中だからこそ、WAFに重要な2つのポイントを実現しています。
【 WAFに重要な2つのポイント】
- セキュリティに明るくない方にも使いやすいUI
- 無駄を徹底的に抑えた低価格
なお、AWSやAzureと同様に従量制の料金プランとなっております。1か月の無料トライアルや専門チームによる設定サポートも付いているため、気軽にお試し頂けるサービスです。WAFの導入をご検討の際は、ぜひPrimeWAFも選択肢に加えて頂けますと幸いです。
参照元URL https://val.security.local:8890/primewaf/
まとめ
「AWSやAzureの クラウド環境にWAFを導入する方法とは?」と題しまして、ご説明してきましたが、いかがでしたでしょうか?冒頭に記載したように、Webサービスはまだまだ増え続けていくことが予想されます。WAFはWebサービスを防御することに特化しており、この分野においてコストパフォーマンスに優れるセキュリティ対策と言っても過言ではありません。Webサービスに対するセキュリティ対策でお悩みの方を、バルテスグループは全力で支援いたします。
当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。
