”WAFの本音”特集。動画で納得。 三択から選ぶ、あなたに本当に必要なWAFとは?

WAFとは

DDoS攻撃、SQLインジェクション、ブルートフォース攻撃などサイバー攻撃の手口は日々増えています。 その他にも情報処理推進機構(IPA)による2016年に発生したセキュリティ脅威をまとめた「情報セキュリティ10大脅威2017」によれば、標的型攻撃による情報流出、ランサムウェアによる被害、ウェブサービスからの個人情報の窃取が上位を占めています。
参照:IPA「情報セキュリティ10大脅威2017」

攻撃者は犯罪グループや産業スパイ、ハッカー集団など様々おり、その目的は金銭盗取や世間を騒がせて満足する愉快犯、国家や企業などのイメージダウンを狙う組織犯罪など攻撃者のタイプによって異なります。
彼らは様々な攻撃手段により偽のWEBサイトへの誘導・ウィルス感染・WEBサイト改ざん・ユーザー情報の取得などを狙い、上記目的を達成します。特に、Webアプリケーションは、開発の工程で曖昧な開発要件や開発者のミスなどにより脆弱性を含んでしまうことは珍しくなく、攻撃者にとっては格好の標的になります。

このような攻撃を防御するのがWAF(Webアプリケーションファイアーウォール)です。従来のファイアーウォールでは、IPアドレス、ポート番号による通信制御をしていましたが、WAFは、Webアプリケーションのレベルでアクセス管理をすることができます。

file

WAFの仕組み

WAFの仕組みとしては、Webサーバの手前に設置し、シグネチャと呼ばれるパターンファイルとマッチングすることで、既知の攻撃をWebサーバの手前で未然に防ぐことができます(ブラックリスト方式)。 未知の攻撃については、予め定義した通信のみを許可するホワイトリスト方式を使用することで、ゼロデイ攻撃にも対応することが可能です。

また、Eコマース、金融機関をはじめ、クレジットカードの情報保護を目的として策定されたPCI-DSS (Payment Card Industry Data Security Standard) のセキュリティ基準を満たすためには、WAFの導入が必要になります。 アプリケーションのテストには時間と労力がかかり、何重ものテストを実施しても、脆弱性のないアプリケーションを作ることは、非常に困難ですが、WAFを導入することで、セキュアな環境を実現できるのです。

主なWAF利用形態3パターンと特徴

WAFを使いたいとき、大きく3つの利用形態に分けることができます。簡単な概要や選定の基準となることをお伝えします。

 

 

1. オンプレ・アプライアンス型

WAFが誕生した初期から存在していて、長らく使用されてきた標準的な利用形態です。
ユーザ自身で、データセンターやIaaSサービス基盤に、ハードウェアもしくはバーチャルアプライアンスソフトウェアのWAFを導入し運用・管理するタイプのものです。

2. クラウドサービス/SaaS型

数年前から、急速に普及しはじめた利用形態です。
いわゆる、SaaSと同じ感覚でWAFを自社のDCなどに設置しなくてもサービスとして利用できる形態です。

3. パブリッククラウドの標準サービス

AWSやAzureなど、パブリッククラウド上でサービスを展開する事は、一般的になりました。
パブリッククラウド事業者が、セキュリティサービスのメニューの一つとして用意しているWAFを利用するケースです。
それでは、それぞれの強み・弱み、特徴、利用するのに適しているケースを説明していきます。自社にとって、どのWAFを選ぶのが良いのか考える判断基準にしていただければと思います。

 

 

 

1.オンプレ・アプライアンス型WAF

一般的に、もっとも高価で、もっともセキュリティレベルを高めた柔軟な運用ができます。効果的に運用するには、セキュリティに関する知識や運用体制が必要となります。オンプレミスにあるWebサービスを防御したいときに、プロキシやタップモードとして設置します。専用の機器を設置する場合が多く、柔軟なセキュリティポリシーが設定でき、詳細なログを取得できます。

デメリットを挙げると、基本的には高価なこと、セキュリティの専門知識をもつ担当者が運用管理をする体制が必要なことが挙げられます。セキュリティの専門家が自社内で確保できないケースでは、セキュリティサービスのアウトソーシングを利用することも多くあります。

WAFで守りたいサービスが、自社にとって非常に価値があり、シッカリとセキュリティを担保していく必要がある場合に、最有力な候補となるでしょう。また、Webサービスのライフサイクルが長期にわたる場合には、トータルコストでは下記に紹介する2つの利用形態よりも安価になるケースもあるので、しっかりと比較・検討することをお勧めします。

2.クラウドサービス/SaaS型

DNSの設定を変更することで、ユーザのアクセスが、WAFクラウドサービスを経由するように切り替え、WAFサービスを通過したのちに自社のWebサービスに届くようにします。すぐに、ご利用いただくことができるため、非常に手軽かつ素早く導入できる点がメリットとして挙げられます。また、月単位での契約メニューが用意されているケースが多く、始めやすく辞めやすいというのも大きなメリットです。また、WAFで守りたいWebサイトが複数存在する場合も、その他の選択肢よりもずっとまとめて管理することができます。

デメリットを挙げると、オンプレミス型ほどセキュリティポリシーの細かく設定できないことやログの詳細までは取得しづらい事が挙げられます。また、サービス自体に障害があった場合、お客様のWebサイトにアクセス出来なくなってしまうこともありえます。実際にDCの障害により、サービスがダウンしてしまったケースがあります。サービス事業者が運用管理する事は、留意しておいた方が良さそうです。また、ネットワーク的に経路が伸びるので、レイテンシーにすごく厳しい要件やWebサービスであれ気をつけましょう。ただし、一般的な、Webサイトであれば、それほど神経質になる必要はないと言えます。

WAFで守りたいサービスが、自社で最重要なサイトではないけれども、ある程度 セキュリティを担保したい、まとめて複数のWebサービスを守りたいというケースに、最有力候補となるでしょう。

パブリッククラウドの標準サービスWAF(AWSやAzure)など

パブリッククラウドサービスに、Webサービスをホストし、あわせてセキュリティを強化されているWAFを利用する形態です。当然、クラウドサービスのメリットである、従量課金制やボタンを数クリックするだけで、WAFサービスを立ち上げるスピード感やシンプルさを持ち合わせている事が大きなメリットと言えます。また、WAF以外で提供されている標準のログ監視サービスや可視化サービスとシームレスに連携できることは、運用上の大きなアドバンテージです。

デメリットを挙げると、<2.クラウドサービス/SaaS型>とほぼ同じと言えます。オンプレミス型ほどセキュリティポリシーが細かく設定できないことやログの詳細までは取得しづらい事が挙げられます。ただ、パブリッククラウドサービスのWAFに<1.オンプレ・アプライアンス型WAF>レベルと同等のセキュリティポリシーの設定や運用が必要というケースでは、バーチャルアプライアンスをパブリッククラウドサービスにユーザ自身の判断で持ち込むことも可能です。

その他のデメリットとしては、パブリッククラウドサービス自体に障害があった場合には、ユーザは事業者に任せて待つという選択肢しかありません。詳細な障害解析レポートなどは出てこないケースがほとんどですので、求めるサービスレベルを事前に検討しておくことが必要です。パブリッククラウドサービスを使うのが前提で、そのサービスをWAFで守りたい。そして、そのWebサービスはすごく高度なセキュリティが必要なわけではないというケースに、最有力な候補となるでしょう。

F5が提供するWAFソリューション

F5が、現在あるいはこれから提供するWAFソリューションの紹介をします。F5は、先ほど紹介した「主要なWAF利用形態」で紹介した3つのパターン、全てのパターンの製品やサービスを提供しています。

 

 

1. オンプレ・アプライアンス型WAF

F5は、WAFという製品の黎明期(2004年ごろ)から製品を提供しているWAFの老舗のベンダーの一つです。「F5 Advanced WAF」という製品を、販売・サポートしています。

金融サイト、Eコマースサイト、政府機関のサイト、ゲーミングサイトなど、大量のトラフィックが集まりミッションクリティカルなWebサイトに数多く導入されています。特徴としては、ロードバランサ―と統合されており、ネットワーク構成がシンプルになること。また、プロキシタイプなので、アプリケーションレイヤーの通信を解析して、きめ細かいセキュリティポリシー設定やログの出力ができることがあげられます。ガートナーの2017年版マジック・クアドランドのWEBアプリケーションファイアウォール分野でリーダーに選ばれており、L3からL7までネットワークトラフィックを包括的に理解し、30以上のDDoS攻撃を防御。検知性能も最高レベルの99.89%という数値を出しています。

F5 Advanced WAFはこちら

2. クラウドサービス/SaaS型

F5は、2015年からSilverline Web Application Firewall(WAF)を提供しています。クラウドベースのWAFのサービスで、マネージドサービス、またはエクスプレス セルフサービスの2つのタイプを提供しています。このサービスは、進化しつづけている脅威から、Webサイトのデータを保護やコンプライアンス強化を実現できます。

特徴としては、F5が 24x7体制のサポートを提供しています。つまり、F5がSOCのサービスを含め提供しているので、お客様がWAFを効果的に活用できる十分なスキルを持つ専門家がいる必要がありません。Silverlineには、DDoS Protection(レイヤ3~7の大規模な大量DDoS攻撃でも、ネットワークの帯域消費などしないように、被害を検知および阻止)も提要されており、WAFサービスと合わせて利用できるので、Webサイトをサイバーリスクから包括的に保護できる視点で効果的なサービスです。

パブリッククラウドの標準サービスWAF(AWSやAzure)など

F5は、AWSやAzureのパブリッククラウドサービスと2タイプの連携をしています。

一つ目は、シンプルです。先に紹介した、「F5 Advanced WAF」の仮想アプライアンスソフトウェアをAWSやAzureなどのメジャーなパブリッククラウドプラットフォームに持ち込めるようにしています。どのようなときに役立つかというと、AWSやAzureの標準のWAFサービスでセキュリティの要件を満たさない、運用が合わない、など機能的な不足が発生するときに利用してもらえます。ライセンスをF5から購入し、そのままパブリッククラウドサービスに持ち込むこともできますし、AWS Marketplaceから使った分だけ支払うという従量課金も用意されています。個人情報を大量に含むWeb、オンプレミスから移行したWeb、高度なセキュリティレベルが求められるWebで利用さるケースがあります。

二つ目は、すこしユニークな提供形態です。「F5のAWS WAFマネージドルール」と呼ばれるサービスです。AWSが標準で提供しているWAFに、F5が独自で開発したセキュリティポリシーを組み合わせる方法です。EC2のインスタンスを別途 用意する必要がありませんので、AWS上とのシステムの親和性が高く使い勝手が優れています。パブリッククラウドの特長であるキャパシティプランニングを気にしなくて良い、従量課金で始められ、コストもすごくお手頃などの点を備えています。高度なセキュリティレベルまでは、求めていないが、AWSのWAFよりも、もっとセキュリティレベルを高めたいケースでは有効な選択肢です。

WAF導入検討者必見!無料オンラインセミナー

「実際WAFってどうなの?」「どのWAFが良いの?」その様な疑問をお持ちの方は是非、ユーザー・パートナー・ベンダーが、個々の立場からWAFについて率直な意見を交わす異色のイベント・『F5 Security Real Talk Day』の無料動画をご覧ください。
“現場の人”だから語れるWAFの様々なメリット・デメリットについて、包み隠さずお話しています。

file

「WAFって、どうよ?」

メーカが提供する「いい話」だけを信用する時代は終わりました。
ユーザの本音トークから見えてくる実際のWAF導入・運用についての感想、そして苦労話とは!?

file

WAFのホントの所、言いたい放題 「で、どのWAFが良いの?」

WAFの選択肢が多いのは嬉しいけど、自社導入の場合は何を基準に選べばいい?
自社に合ったWAF選びのためのパネルディスカッション。

無料オンラインセミナーを視聴する

Form Submission Success!

その他お役立ち情報

file

【無料ダウンロード資料】WAF導入の勘所

file

【無料PDF】F5のWAF Advanced WAFとは

file

ボット対策の勘所 ~そのボットは敵か味方か?

file

SSRF対策 ~パブリッククラウドは本当に安全なのか?

file

製品・ソリューションに関する ご相談・お問い合わせ

file

~インフラの力を伸ばす~ 資料ダウンロード