前回はWAF（ワフ）の基本について、Kさんに伺いました。ファイアウォールやDDoSとは違う、Webアプリケーションレベルのセキュリティ対策が重要なことはわかりましたが、またシステム運用の仕事が増えそうな…。その辺り、どうなんですか？Kさん！

Webアプリをセキュアに使うためのWAFって何？：現場のプロに聞いてみた（1）
https://un4navi.com/interview/19063/

マネージドWAFにするメリット

―Webアプリケーションの攻撃対象は、やっぱり大企業が中心なんですか？

K　そうともいえないんですよ。むしろ、組織の体力が弱い中小企業が、Webサーバへのセキュリティ対策がされておらず、狙われやすい面もあります。データベースから会員情報が抜かれたり、自社のWebサイトにウイルスを仕込まれて、気づかないうちに攻撃者に加担していることもあったり。例えば、大手企業の代わりに中小企業のWebサーバが狙われて、そこが踏み台となってしまうこともありますよ。攻撃によって企業の信頼が低下するリスクは、組織の規模に関係ありません。

―なるほど。Webアプリケーションへの攻撃は増えているんでしょうか？

K　現代は、ほぼすべての企業が何らかのWebサイトを公開していますよね。企業サイトや事業者向け、ECサービスなど、オープンにしているシステムなので、攻撃者からもターゲットになりやすいんです。今後は、さらに増えていくと思います。
前回、突貫工事で作られるWebアプリケーションの話をしましたが、最近では、スマホ用のモバイルアプリでも、Webベースなものが多いですよね。簡単に世の中に公開できる半面、簡単にターゲットにもなるんです。Webアプリケーションは、開発者のスキルや開発する会社次第で、どうしても脆弱性の対処にバラツキが出てしまいます。WAFは、そのような作り手の異なるWebサイトでも同等のセキュリティレベルで保護できるという効果も期待できます。

―皮肉ですが、攻撃者の方が、新しい技術の学習や実践に熱心だったりしますよね？

K　そうなんです。ツールやサーバスペックが発達した負の側面として、以前に比べてサイバー攻撃も個人で簡単に仕掛けられるようになっています。企業が持つ個人情報や知的財産、金銭が狙われたり、愉快犯的だったり、いろいろな攻撃が横行しているのが現実です。攻撃者は常に抜け道を探そうとするので、どの仕組みを使っているのか余計なヒントを与えないために、どの仕組みで防御されたのか分からないような、真っ白なブランクページだけ応答として返すように処理することもあります。これのような対処は、Webに限った話ではなく、メールなどさまざまなセキュリティ対策に言えることですね。

 ―WAFのデメリットや注意点を上げるとしたら、どんなところですか？

K　WAFを経由して接続するので、どうしてもチェック時間は掛かります。ネットワークの負荷やスピードの点ではマイナスです。WAFを導入する一番の注意点としては、常に手法が新しくなる攻撃に対して、対策をアップデートし続けなければならない点です。強固なセキュリティシステムを導入しても、結局、誰が面倒を見るのか？経営者の方の多くは、やはり『自社は大丈夫』と思い込んでいて、何か攻撃を受けたり情報が漏れて初めて、システムの不備を自覚されるようですが、攻撃を受けたことがすぐには分からず、被害を拡大させることがあります。予防として有効でも費用対効果が分かりにくいという、セキュリティ面の性格もありますね。

―マネージド型のWAFにするとどんなメリットがあるんですか？

K　Webアプリケーションに対する防御や最新の状態にし続ける点、全てをワンストップでお任せできる点です。
一般のシステム管理者には、セキュリティもどのレベルまでやっていればよいのか、なかなか分かりづらいかもしれません。また、ベンダーによっては、『要件定義通り作っておきました。後は自分で運用を全てやってください』というところもあるんです。WAFも、Web管理者自身が自社で構築することもできなくはないですが、そこからの運用がポイントで、人的リソースはもちろんのこと、細かいノウハウも必要です。作ったときが最新でも、数年も経たないうちに古いシステムになってしまいます。システム運用の担当者を2～3人増やすのは、大手でも簡単じゃないですし、調達してきたサービスを組み合わせて納入しているだけのSIerだと、いざというときに頼れませんよね。WAFは導入してから運用が一番大事なところになるんですよね。

―運用がマズいと、逆にセキュリティリスクになりそうな…。

K　はい。システムはますます複雑になっていて、一旦、障害が起きると、その原因がどこの、何に問題か特定するのも大変です。マネージド型のWAFを導入すれば、必要な新しい機能やノウハウ込みでサービスをリーズナブルに利用できます。必要に応じて、シグネチャ更新時の誤検知の確認もお任せできれば、細かいところは気にせずに自社のビジネスに集中できるのは、クラウドサービスならではの恩恵でしょうね。本来Webサイトの目的に立ち返り、集客や宣伝、コンテンツをどう配置するかなど本業のビジネスに集中するには、ネットワークやWebサーバ、セキュリティ対策を全てまとめて管理できる会社へ、アウトソースする戦略は必然になっていくと思います。

―確かに、その方がシステム運用担当者としては楽になりそうです。

K　脆弱性の対策に付いていくのは、一つの会社の担当者でどうにかできるレベルではなく、本当に負担の大きな業務です。マネージド型なら、WAFのサービスプロバイダに蓄積されたナレッジが、シグネチャとして迅速にユーザにフィードバックされるので、ビジネスの規模や内容、コストに見合ったサービスを享受できると思います。さらに、クラウドでもオンプレミスライクな使い勝手のよいサービスを活用することで、ストレスなくシステム運用できるサービスであればより使いやすいでしょう。
Webの特徴として、キャンペーンサイトのように、一時的に膨大なアクセスが集中することがあります。そのため、WAF単独のセキュリティに限らず、例えばキャッシュ機能やDDoS機能を有しているような、システム全体をトータルで任せられるサービスの方が、担当者はよりお任せできるはずです。

 

2回に分けて、WAFについての話をKさんに伺いました。今すぐ必要な環境は限られているとしても、今後、何かの形で必ず求められる、非常に重要なサービスだということがわかりました。2020年が一つの節目なことは間違いなく、サイバー攻撃を防ぐ激しい「障害物競走」は、もうすでに始まっています。

 

Webアプリをセキュアに使うためのWAFって何？：現場のプロに聞いてみた（1）
https://un4navi.com/interview/19063/

IIJマネージドWAFサービス Webアプリケーションの脆弱性攻撃を検知・防御
https://www.iij.ad.jp/biz/mwaf/

Webセキュリティプラットフォーム
https://www.iij.ad.jp/biz/mwaf/wsp.html