WAFとは?クラウドWAF、セキュリティ対策の解説
WAFとは、クラウドWAFとは
WAFはWeb Application Firewall(ウェブアプリケーションファイアウォール)の略で、「Webアプリケーションの脆弱性を悪用した攻撃」からWebサイトを保護するセキュリティ対策です。
Webサーバの前段に設置して通信を解析、検査し、攻撃と判断した通信を遮断することで、Webサイトを保護します。
クラウドWAFとは、クラウド上に構築されたWAFで、サービスとして提供されています。Webサーバや Webサービスの前段でクライアントからのリクエストを解析、検査し、攻撃と判断した通信を遮断するセキュリティ対策のひとつです。Webサーバや Webサービスがサイバー攻撃の危険にあう可能性を下げるため、被害を最低限で抑えるためにも、多くの企業はクラウドWAFを導入することが増加しております。
ここで、クラウドWAFのセキュリティ対策について詳しく紹介します。
Barracuda Web Application Firewallについての詳細はこちら
#WAF #クラウドWAF #クラウドセキュリティ #クラウドネイティブ #ファイヤー ウォール とは #ファイアウォール とは
WAFとファイアウォール(FW)、IPSの差異は何か?
ウェブサイトを保護するためのよく知られたセキュリティ対策は、FW(ファイアウォール)とIPS(侵入防止)です。 FWやIPSですでに対策を講じている場合でも、WAFは必要でしょうか?ファイアウォールは、通信における送信元と宛先の情報(IPアドレス、ポート番号など)に基づいてアクセスを制限し、ソフトウェアとハードウェアに関連するネットワークレベルの対策です。ファイアウォールでは、外部に公開する必要のない、社内でのみ使用される情報システムへの外部アクセスを制限することができます。ただし、外部に公開する必要のあるWebアプリケーションを制限することはできません。外部に公開されたWebアプリケーションのセキュリティ対策は、ファイアウォールではなく、WAFの範疇になります。
WAFとFWの違い
FWはネットワークレベルのセキュリティ対策です。送信元と宛先の情報(IPアドレス、ポート番号など)に基づいてアクセスを制限します。ポートスキャンなどの外部開示を必要としないサービスとの通信は制限される場合がありますが、通信の内容は検査されません。80番ポートや443番ポートへの通信など、通常の通信を装った攻撃には対応できません。
WAFとIPSの違い
IPS (Intrusion Prevention System)は、プラットフォームレベルのセキュリティ対策であり、オペレーティングシステムやミドルウェアの脆弱性を悪用する攻撃や、ファイル共有サービスに対する攻撃など、さまざまな種類の攻撃をチェックして保護します。IPSの特徴は、幅広い防御力を備えていることです。ただし、ウェブアプリケーションに対する攻撃は増加し、より高度になっています。その結果、IPSが攻撃を防ぐことができなかったり、分析によってネットワークパフォーマンスが低下および遅延したりして、ネットワークが使用できなくなる可能性があります。
WAFは、FWやIPSよりも高いアプリケーションレベルのセキュリティ対策であり、Webアプリケーションに固有の防御策です。 Webアプリケーションとの通信内容の安全性をチェックし、応答についても非公開データが含まれているかどうかをチェックします。
WAF、FW、およびIPSは、異なるネットワークレベルで動作します。 WAFの導入は、FWとIPSが役に立たないという意味ではありません。どちらがなくてもセキュリティレベルが低下するため、相互に補完する必要があります。
WAF の種類
WAFの提供形態は「ソフトウェアタイプ」、「デバイスタイプ」、「クラウドタイプ」の3つに分類されます。それぞれの特徴を紹介します。
ソフトウェア型WAF
「ホスト型」と呼ばれることもあり、保護されるWebサーバにWAFソフトウェアをインストールし、通信の内容を確認する方法です。
専用機が不要なため、アプライアンスタイプよりも低コストで設置できます。ネットワーク環境の構成を変更する必要はなく、他のサーバや端末に影響を与えることもありません。
アプライアンス型WAF
「ゲートウェイ型」または「ネットワーク型」と呼ばれることもあります。各組織のネットワークに専用のWAFデバイスをインストールする方法です。
専用デバイスはWebサーバとは独立して動作するため、Webサーバに負担がかかりません。また、専用機器の性能や設定を柔軟に調整することができます。
一方、導入と運用のコストは他の2つのWAFよりも高くなります。また、情報システム担当者は、会社の方針に沿った柔軟で強力なセキュリティ対策を講じることができるため、専門知識が必要です。アプライアンスタイプは、複数のハイスペックWebサーバを使用する大規模な情報システムに適しています。
クラウド型WAF
クラウド型は、インターネットを介してクラウドサービスを受信する形式であり、「サービス型」とも呼ばれます。
専用機器が不要で導入時間が短いため、導入コストはWAFの中で最も低くなる傾向があります。また、通信量や監視するURLの数によってコストが決まり、調整も可能です。企業ネットワークの構成も変更する必要はありません。したがって、コストを抑えてセキュリティ対策を講じたい企業に適しています。
一方、クラウドサービスの特徴は、簡単にカスタマイズできず、サービスプロバイダー側で発生するシステム障害やネットワーク障害の影響を受ける可能性があることです。また、トラフィックや監視対象のURLの増加によりコストが上昇する可能性があるため、ここでも定期的に価格が妥当かどうかを確認する必要があります。
クラウドWAFの仕組み
クラウドWAFの仕組みでは、アクセス元とWebサーバとの間で通信に介在し、攻撃の検知に「シグネチャ」や事前に定義されたポリシーを用いて不正アクセスを防止します。「シグネチャ」とは、アクセスのパターンを定義したもので、Webアプリケーションへのアクセスのパターンにシグネチャを用いて照合して、通信許可と拒否の判断を行うという仕組みです。
クラウドWAFはサーバを安全に維持するために、不正な攻撃を検知すると通信を遮断してログとして記録すると同時に、設定によってはアクセス元にWebサーバに代わって警告メッセージを返したりやCAPTCHAを挿入します。
クラウドWAFの必要性
Webアプリケーションには脆弱性があります。WAFはこの脆弱性を保護して、アプリケーションの安全性を高めます。Webアプリケーションに依存する企業が増えてきているため、危険から守ってくれるWAFセキュリティは必須の対策と言えるでしょう。
その一方、事後対策ができるのもWAFのメリットの一つです。連続攻撃によってシステムに不具合が生じる前に検知して、迅速に対応することが可能です。
未知の攻撃が発生した際にいち早く対応し、被害の拡大を未然に防ぐ必要があるため、WAFによって事後対策ができることは心強い対策でしょう。
WAFで対応可能な攻撃の種類
WAFの仕組みを理解した今、多くの人が実際にどのような攻撃を防ぐことができるのか疑問に思うかもしれません。 WAFは、次の種類の攻撃に対応できます。
- バッファオーバーフロー
悪意のある第三者がより多くのデータを標的のコンピューターに送信し、誤動作後にコンピューターを乗っ取る攻撃です。 - クロスサイトスクリプティング
ユーザーがサイトで一連のスクリプトを実行すると、ユーザーが入力および操作できるようになります。 SNSや掲示板サイトなどで、個人情報入力画面に切り替わったり、意図しない投稿が配信されたりします。 - SQLインジェクション
データベースの言語であるSQLを使用し、Webアプリケーションの入力画面に不適切なSQLを入力し、アプリケーションが予期しない操作を実行します。 - OSコマンドインジェクション
SQLインジェクションと同様に、オペレーティングシステムの誤動作を引き起こす攻撃です。 - DDoS攻撃
標的とされたコンピュータに大きな負荷がかかり、動作を停止します。 - ブルートフォースアタック
Webアプリケーションのパスワードが分析されます。 - ディレクトリトラバーサル
相対パスを使用してファイルとフォルダの場所をログに記録することにより、不正アクセスを引き起こす攻撃です。
クラウドWAFの導入メリット
Webアプリケーションのセキュリティ対策の中では、クラウドWAFの導入が多く増えております。クラウドWAFはどのようなメリットがあるでしょうか。
従来のWAFは、アプライアンスWAFやソフトウェア型WAFで導入作業の難しさやコストの高さ、運用にセキュリティの専門知識が必要でした。クラウドWAFでは、ベンダーに運用を任せることで、不正通信や攻撃パターンを定義した「シグネチャ」の把握や更新もベンダー側で行ってくれるため、セキュリティ専門のスタッフを雇う必要がありません。
そして、クラウドWAFはベンダーと契約し、ネットワークの設定変更を行うことですぐに利用開始できるため、導入難易度を大幅に下げます。
WAFの比較のポイント
1. Webサイトの処理性能への影響
WAFが通信の分析に時間がかかりすぎると、Webサイトに頻繁にアクセスしても、Webサイトの応答速度が遅くなり、ユーザーの満足度に大きく影響します。 WAFが通信のボトルネックになるのを防ぐために、Webサイトへのピークトラフィックのためにより多くのスペースを提供する仕様のWAFを準備する必要があります。
2. 防御できる攻撃の種類とシグネチャの精度
あらゆる攻撃に対応するために、WAFは、ハッキングや不正ログインなどのすべての主要な攻撃を検出して防止できる必要があります。サポートされているだけでなく、攻撃パターンであるシグネチャの更新頻度も重要です。多くのWAFは、頻繁にシグネチャを更新するため、実績のあるWAFを選択しても、ほとんどの場合、大きな違いはありません。
3. 初期環境構築や運用工数への影響
環境を構築し、組織内で運用および保守することが可能な場合、問題とはなりませんが、そうでない場合は、比較的使いやすいクラウド型WAFに焦点を当てることを検討することがよくあります。クラウド型WAFですが、サービスに依存し、稼働後の中断に対処する方法と方法を計画しているため、万が一中断が発生した場合に想定を立てる必要があります。
たとえば、WAFの誤検知で通信がブロックされた場合、通常の通信はブロックされ、使用できなくなります。このような緊急時には、メールやチャットで応答ルートを一から確認する時間がないため、電話や遠隔操作ですぐに応答できることが重要です。
ホスト型WAF(ソフトウェア型WAF) | ゲートウェイ型WAF(ネットワーク型WAF) | サービス型WAF | |
---|---|---|---|
メリット | 専用のハードウェアは必要なく、ネットワーク機器を増やす必要もない | 1台で複数のWebサーバを保護できる。 Webサーバ環境とは独立してインストールできる | オペレーターのサービス内容によって異なる。一般的に、導入コストは低く、管理者の運用負担は少ないですが、月々の運用コストは高くなります。 |
デメリット | 導入コストと運用負荷は、Webサーバの数に比例して増加します。 WAF展開の要件は、Webサーバ環境によって異なる | ネットワーク構成に影響を与える可能性があり、管理するハードウェアが増える |
バラクーダクラウドWAFとは
バラクーダは、すべてのお客様が購入、導入、および使用しやすい、クラウド対応かつエンタープライズレベルのセキュリティソリューションを使用できることが当然であると考えています。 また、お客様のビジネスとともに成長および変化する革新的な ソリューションによってメール、ネットワーク、データ、およびアプリケーションを保護しています。
Barracuda WAF-as-a-Serviceを説明するビデオも用意しています。ビデオもご覧ください。
バラクーダクラウドWAFの特徴
BarracudaWAF-as-a-Serviceは、5ステップのセットアップウィザード、事前に作成されたテンプレート、使いやすいUI、無制限のルールセットを備えた比類のないシンプルさを提供します。
Azure認定のBarracudaWAFasaサービスは、すべてのアプリケーションを保護する準備ができています。 Azureのグローバルな展開とリソースの柔軟性を活用して、データの常駐と可用性のニーズを常に満たすことができます。
Barracuda WAF-as-a-Serviceには、L3~L7のフルスペクトルのDDoSプロテクション(ボリューメトリックおよびアプリケーション)が含まれており、アプリケーションを障害から保護し、ノンストップの可用性を実現します。
CloudGen Firewall と WAF の保護レイヤーの違い
Barracuda CloudGen Firewall と Barracuda Web Application Firewallはともにファイアウォールと呼ばれますが、その機能と目的はまったく異なっています。Barracuda CloudGen Firewallは、サードパーティアプリケーションへのアクセスを検出・監視し、ユーザベースのポリシーを適用する、アプリケーション可視性の次世代ファイアウォールです。一方、Barracuda Web Application Firewallは、お客様のWebアプリケーションへのHTTP/HTTPSトラフィックをインスペクションします。下記は両方をさらに詳細に比較した表です。
CloudGen Firewall VS WAF 機能比較
Barracuda CloudGen Firewall と Barracuda Web Application Firewallはともにファイアウォールと呼ばれますが、その機能と目的はまったく異なっています。Barracuda CloudGen Firewallは、サードパーティアプリケーションへのアクセスを検出・監視し、ユーザベースのポリシーを適用する、アプリケーション可視性の次世代ファイアウォールです。一方、Barracuda Web Application Firewallは、お客様のWebアプリケーションへのHTTP/HTTPSトラフィックをインスペクションします。下記は両方をさらに詳細に比較した表です。
使用事例/機能 | Barracuda Cloudgen Firewall | Barracuda Web Application Firewall |
保護対象 | サードバーティアプリケーション (YouTube、Facebook、Spotifyなど) |
お客様のWebアプリケーション (Microsoft SharePoint、Microsoft Exchangeなど) |
導入 | アウトバウンドトラフィックを保護し、インバウンドトラフィックをフィルタングするために、ネットワーク境界に導入 | 保護するWebサーバの外側 (およびBarracuda CloudGen Firewallの内側)に導入 |
防止対象 | ・ユーザによるアプリケーションの誤用 ・不正ユーザによる侵入 ・ネットワーク侵入 |
・HTTP/HTTPSの脆弱性を悪用するすべての侵入 (OWASP Top 10など) ・FTPの脆弱性を悪用するすべての侵入 |
動作 | IPアドレスとポートトラフィックを ACL(アクセス制御リスト)と照合しフィルタリング |
インバウンドのHTTP/HTTPSトラフィックをスキャンして悪意のあるコンテンツをチェック |
アクセスの制御 | はい:ユーザに基づくコンテンツフィルタリング | はい:アプリケーションログイン |
HTTPSのスキャン | アウトバウンドトラフィックのみ | インバウンドトラフィックのみ |
サーバトラフィックの最適化 | 非常に制限 | 完全に実装:負荷分散、キャッシュ、圧縮 |
アプリケーションDDoS (分散サービス拒否)攻撃の防止 |
いいえ | はい |
ボット攻撃アプリケーションの防止 | いいえ | はい |
Barracuda Web Application Firewallについての詳細はこちら
WAFによくある質問
Q: WAFとは?
A: WAFはWeb Application Firewall(ウェブアプリケーションファイアウォール)の略で、「Webアプリケーションの脆弱性を悪用した攻撃」からWebサイトを保護するセキュリティ対策です。
Q: クラウドWAFとは?
A: クラウドWAFとは、クラウド上に構築されたWAFで、サービスとして提供されています。
Q: WAFはOWASPおよびゼロデイ攻撃から保護できますか?
A: WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を悪用する攻撃に対するセキュリティ対策の1つです。
Q: WAFでOWASPおよびゼロデイ攻撃に対する保護が可能ですか?
A: バラクーダのWAFでは、すべてのOWASPトップ10攻撃、ゼロデイ攻撃、データ漏洩、およびDDoS攻撃から保護します。階層化されたトラフィック処理エンジンとスマートシグニチャは、ゼロデイ攻撃を含むWeb攻撃を検出およびブロックするために、より少ない攻撃検出シグニチャを使用します。各スマートシグニチャは、40の攻撃固有のシグニチャで見つかった攻撃を検出できるため、検出時間が短縮され、全体的な検出が向上します。アプリケーションラーニングは、自動化されたポジティブセキュリティを追加し、URLからパラメータレベルまでこのセキュリティを適用する機能を備えています。
Q: WAFで高度なボットからの攻撃を防御できますか?
A: バラクーダのWAFでは、標準のボット保護に加え、Barracuda Advanced Bot Protectionにより、クラウドベースの機械学習を使用して不正なボットを阻止し、自動スパム、Webおよび価格のスクレイピング、在庫の蓄積、アカウント乗っ取り攻撃などを簡単にブロックします。
Q: WAFでAPIの防御ができますか?
A: バラクーダのWAFでは、OWASPトップ10APIの脅威を含むすべてのアプリケーション攻撃からXMLおよびJSONRESTAPIを保護します。API Discovery機能を使用すると、保護を簡単に構成し、構成ミスの可能性を制限できます。
Q: 最良のWAFを選択する方法は?
A: 最良のWAFを選択するには、保護したいサービスやWEBサーバの台数を把握し、必要なスループットを図り適切なサイジングを行うことが大切です。また、ボットによる攻撃、OWASPトップ10攻撃、API、XMLの保護など最新のWEBサービスに対応する保護機能を有しているか、それらのパラメータを細かく定義できることも大切です。
|
|
No comments yet.