Webアプリをセキュアに使うためのWAFって何?:現場のプロに聞いてみた(1)
- 2019/10/10
- Interview
「運用ナビ」編集部が、システム運用に関連するサービスや、技術の現場で働くプロフェッショナルの皆さんにインタビューしました。初回は、WAF(ワフ)のサービスに詳しい、Kさんのお話しです。そもそも、WAFとは?
Webサイトへの脅威はますます身近に
K 今ちょうど、都内の各地で来年の東京五輪に向けて、道路や建物の工事が急ピッチで進んでいますよね?都市によっては、今秋のラグビーワールドカップ2019に向けても、同じような光景が見られているかもしれません。実は、それと同じようなことが、Webでも起きているんですよ。
―どういうことですか?
K さまざまなWebサイトが、突貫工事で作られているんです。世界的にもTokyoに注目が集まり、インバウンドの観光客も増え、多言語化も不可欠です。次世代通信規格の5Gサービスがスタートすれば、4K8KのビデオやVR/AR、携帯アプリのコンテンツの利用も促進され、Webへのアクセス量もどんどん増えていくことが予想できます。
世界規模の大きなイベントサイトやその関連サイトだと、予算も確保され新しいセキュリティ技術で対策されているんですが、問題はそれ以外。公開されるWebサイトが日々増えていく中、残念ながらセキュリティ対策は後手になりがちです。そこで重要なのが、WAF(呼称 ワフ)なんです。
―そもそもWAFって、一体何なんですか?
K WAFとは、Webアプリケーションファイアウォールの略称です。一般的なWebサイトなど、いろんな人たちに広く見てもらうようなWebサイトに導入することで、SQLインジェクションや、クロスサイトスクリプティングなどのサイバー攻撃を検知して、Webサイトを攻撃者から防衛するための仕組みです。まだ広く導入されてている訳ではないんですが、Fintech関連のWebサイトやコーポレートサイト、ECサイトを中心に導入が進んでいます。経産省を始め、金融機関などは金融庁がWAFの導入を指導しているほど、重要な技術です。
―そうなんですね。Webのセキュリティ対策といえばファイアウォールでいいと思っていましたが、それだけじゃダメなんですか?
K Webサイトの代表的なセキュリティ対策をおさらいすると、ファイアウォール、DDoS、そしてWAFがあります。
まず、ファイアウォールは、ネットワークレベルのセキュリティ対策です。送信元と送信先の情報(IPアドレスやポート番号など)を元に、内部ネットワークへの侵入を防ぐ役割を果たします。つまり、外部に公開していないサービス(ポート番号)を狙うようなアクセスを遮断します。また、通信の中身までは検査しないので、正常なWebアクセス通信を装った攻撃には対処できません。設置したからといって、Webサイトは安全ではないんです。ファイアウォールとしては、攻撃者はWeb訪問者と同等にアクセスしてるのと何ら変わらないので、簡単にすり抜けができてしまいます。
次に、DDoSは大規模なアクセスを発生させ、システムが処理しきれない通信量を発生させてWebサイトの閲覧を妨害する類の攻撃です。量で攻めてくる非常に厄介なものではありますね。
IPS/IDS(不正侵入検知システムや不正侵入防止システム)は、OSやミドルウェアなどプラットフォームレベルでのセキュリティ対策です。これらは、Webアプリケーションの欠陥や脆弱性までは防ぐことはできません。
―WAFはそれらとは違う、と。
K はい。WAFは、これらを補う、Webアプリケーションレベルのセキュリティ対策です。WAFは、インターネットのパケット情報のさらに深い階層までチェックし、リクエストの内容まで見て判断しています。
WAFは、WebサーバのOSやデータベースに応じて、攻撃者からくる攻撃パターンのルールセットが適用されるべきと考えます。単に、ルールが多ければよいという仕組みでもありません。不要なルールが多いと、正常な通信も遮断してしまうリスクや、かえって無駄なログ情報ばかり増えてしまい、管理者からすると、チェックに追われしまうことにもなりかねません。『WebサーバのOSやソフトウェアに最適化されたルールセットを適用する』という思想で設定されることをお勧めしたいです。
ITシステムを取り巻く環境は常に変化し続けているので、次から次に、いろいろなセキュリティホールが見つかります。だからといって、そのたびにWebアプリを修正して、リリースを繰り返したりするのも大変ですし、変更までには時間とコストが課題になりますよね。WAFを導入している状態であれば、該当のセキュリティホールへの処置がすぐにできなくても、WAF側で対策されると、新たな脆弱性による被害も防止できるため、普段からWebアプリケーションに対してセキュリティ対策をしておくわけです。
WebアプリやWebサービスは、仕事やプライペートに関わらず、毎日お世話になっているのが現代人。今は金融関係や行政が中心だとしても、来年の東京五輪をきっかけに、急速にニーズが高まるかもしれません。お話は後半へと続きます。
マネージドWAFにするメリットと注意点とは?:現場のプロに聞いてみた(2)
https://un4navi.com/interview/19064/
IIJマネージドWAFサービス Webアプリケーションの脆弱性攻撃を検知・防御
https://www.iij.ad.jp/biz/mwaf/
Webセキュリティプラットフォーム
https://www.iij.ad.jp/biz/mwaf/wsp.html
関連記事
∞∞∞∞∞∞∞ おすすめ記事 ∞∞∞∞∞∞
-
システム運用をアウトソーシングする?しない?チェックはココだ!
今、多くの企業でシステム運用が負担になっています。その理由は、「把握すべきITシステムの増加」や「シ… -
電話の使い方もひと工夫!チャットと併用のいいとこ取り
リモートワークで重要なコミュニケーションツールとなるのが、電話です。業界や業種にもよりますが、従来は… -
もっと知ろう!システム運用に関わるエンジニアの役割の違い(2)
システム運用には、さまざまなエンジニアが関わっています。大まかでも、それぞれの業務内容を把握しておく… -
仮想化サーバの運用(2)- デメリットや制限、導入前の注意点とは?
前回の記事のように、仮想化にはさまざまなメリットがあり、システム運用の現場で抱える課題の解決につなが… -
トラブル発生!そんな時は、現場の“人”の経験値を大事にしよう
システムの正常運用を保つために、さまざまなログやプロセスモニタ、センサーなどをチェックしていることか…
