こんにちは。セキュリティ分野におけるお客様の課題解決や、最先端のセキュリティ製品を利用したサービスの企画を担当している大塚です。
2020年から世界中で広まったコロナの影響もあり、テレワークに伴う企業のクラウドシフトが急速に進みました。しかしそれに伴い、Web アプリケーションサーバーを標的にしたサイバー攻撃も高度かつ巧妙化してきました。特に DDoS 攻撃や悪性ボット、API 攻撃が頻発し、2024年末に発生した世界各国の IoT デバイスに感染したボットネットによる大規模 DDoS 攻撃が記憶に新しいでしょう。
Cloudflare 社の Web アプリケーションファイアウォール(WAF)は、最新の Web 脅威、各種攻撃に対して多様な機能をもって対策・防御するクラウド型製品です。本ブログでは、Cloudflare WAF にて提供される機能を紹介し、その利点と使い方について解説します。
Cloudflare 社のグローバルネットワークと製品構想について
Cloudflare 社のミッションは、「To help build a better Internet(より良いインターネット環境の構築をサポート)」であり、会社を設立した発端はスパムメールに利用されるメールアドレスがどのようにスパマーによって収集されるかを把握するためのハニーポットプロジェクトから始まり、そこから徐々に CDN(コンテンツデリバリーネットワーク)と Web セキュリティ製品へと発展しました。
セキュリティ機能を盛り込んだ CDN プロバイダーとして始まった Cloudflare 社は、今では330以上の都市における大規模なグローバルネットワークを構築し、その結果として顧客 Web サイトに高度なセキュリティ機能を提供するだけでなく、Web サイトが表示されるまでの遅延を大幅に減らすことができるようになりました。2010年の会社設立以来、Cloudflare 社はさまざまな先駆的な Web セキュリティ機能や製品を展開し、その製品は数十万のエンタープライズ企業に利用されています。
Cloudflare 社が提供する各種の Web セキュリティ製品の中で、当社が今回注目したのは、WAF です。その機能性は他社製品と比べても豊富であり、かつ最近の Web 攻撃で大きな被害をもたらす DDoS 対策として、そのバックボーンにあるグローバルネットワークをフルに活用することができるため、類を見ない大規模な DDoS 攻撃を受けても難なく対応することができるようになっています。
Cloudflare WAF の主な機能
Cloudflare WAF により提供される代表的な機能は以下となります。
- Web アプリケーションファイアウォール
- DDoS 対策
- ボット管理
- Page Shield(JavaScript を悪用するサプライチェーン攻撃対策)
- API ゲートウェイ
- トラフィックのレート制限(DDoS、ブルートフォースログイン攻撃対策)
- 脅威インテリジェンス(グローバルネットワークを活用したセキュリティ情報の提供)
- アナリティクス(Web サイトに関する詳細な分析情報)
- Cloudflare Turnstile(CAPTCHA の代替製品)
次に Cloudflare WAF の特長と上記の中でも代表的な機能について紹介します。
Cloudflare WAF の特長
Cloudflare WAF の最大の特長は、製品に含まれる各種セキュリティ機能をすべて Cloudflare 社が独自開発している点です。これにより、Cloudflare プラットフォームとの高い整合性を保てるだけでなく、管理画面なども統一されるため、管理者の利便性が高まります。
また、Cloudflare 社の製品ライセンスとして基本製品や拡張機能を持つものに分かれています。それらにお客様が必要となるオプションをアラカルトで容易に追加することができるため、企業に必要な Web セキュリティを取り揃えることができます。
その豊富な機能の中でも、主要な機能を紹介します。
Web アプリケーションファイアウォール
- 多種多様な攻撃をブロックする詳細なルールセット
- WAF 製品で一般的に使われる OWASP ルールセット以外にも、Cloudlfare 社のマネージドルールと1,000以上の非常に詳細なカスタムルールでレイヤーを重ねて各種 Web 攻撃をブロックできます。
- 機械学習によるルールセットの補完
- Cloudflare WAF 独自の機械学習により、標準の多層的なルールセットを補完し、バイパス試行(WAF の標準的な機能を回避する攻撃試行)を止めることができます。
- 機密情報やクレデンシャルを未然に検知
- 個人情報、金融情報、クレジットカード番号や API キーを含む Web アプリケーションサーバーからのレスポンスを検知するとともに、Cloudflare WAF が掌握している漏えいクレデンシャル情報に基づきクレデンシャルスタッフィング攻撃を未然に防ぎます。
DDoS 対策
- 3秒で DDoS 攻撃をブロック
- Cloudflare 社のグローバルネットワークにおける PoP(Point of Presence:データセンター)を活用することで、集中型の DDoS スクラビングセンターを利用することなく、大抵の DDoS 攻撃を3秒で識別しブロックします。
- レイヤ7(アプリケーション層)の DDoS 攻撃を効果的にブロック
- 330以上のグローバル PoP により、近年主流となってきたレイヤ7(HTML などが動作するアプリケーション層)の DDoS 攻撃を効果的にブロックするだけでなく、高度な機械学習モデルを採用することで発生しうる攻撃も未然に検知できます。
- 類を見ない規模の DDoS 攻撃をブロック
- 2024年10月末に Cloudflare 社は 5.6Tbps の DDoS 攻撃(当時で最大規模)をブロックしたほか、2024年において平均的に毎時4,870もの DDoS 攻撃をブロックした実績を上げています。
ボット管理
- 高度なボット識別機能を保有
- Cloudflare WAF には、機械学習・ふるまい検知・フィンガープリント手法を利用してボットを識別できるため、悪性ボットによるクレデンシャルスタッフィング、コンテンツスクレイピング、買い占め、DDoS などの悪質な行為を止めることができます。
- ボットを管理するためのルールを Cloudflare WAF が推奨
- Cloudflare WAF におけるボット管理機能(Bot Management)は、ボットを管理するためのルールを推奨するため、管理者による複雑な管理やチューニングは不要です。
- Web サイト訪問者の手を煩わすことなくボット識別
- 日々における数千億ものリクエストを処理することで、Web サイト訪問者に CAPTCHA を利用させることなく、ボットを識別して対処できます。
API ゲートウェイ
- OWASP API Security Top10 への確実な対応
- API は各種の Web 攻撃に悪用されています。API ゲートウェイを活用することで、OWASP API Security Top10 に関連する攻撃だけでなく、ゼロデイ攻撃を含む一般的な API 攻撃、データ漏えい、DDoS 攻撃なども防止できます。
- 公開 API エンドポイントとシャドー API を見つける
- 継続的に公開されている API エンドポイントやシャドー API を発見し、自社の Web 環境に使われている API に対するより確実な高いセキュリティレベルを提供します。
- クリーンな API トラフィックのみを処理することでコストダウン
- 企業の Web サイトに対する API リクエストを規定のスキーマ、認証手段や正規の API ビジネスロジックと比較・検証して、API ホスティングにかかるコスト削減を支援します。
Page Shield
- Magecart や JavaScript 攻撃を効率よくブロック
- Cloudflare 社の大規模なグローバルネットワークを活用した脅威インテリジェンスにより、Page Shield はサードパーティの JavaScript などにおける悪質なスクリプト部分を検知しブロックします。
- PCI DSS 4.0 への対応
- e コマースやクレジットカードを利用する企業が従う必要のある PCI DSS 4.0 に対応した Page Shield を利用しています。
- コード変更を検知した際のアラート機能
- 企業の Web サイトにロードされるスクリプトなどに変更が加えられた場合にアラート送信ができます。アラートを送る頻度も変更できますので、頻発する変更によってアラートが溢れかえることはありません。
まとめ
Cloudflare Web アプリケーションファイアウォールは、大規模なグローバルネットワークと最先端の脅威インテリジェンス、独自の機械学習によりゼロデイ攻撃を含む最新の Web 攻撃を検知し、防ぐことができます。Web サイトを保有する企業のみならず、Web サイト上でサービスを展開する組織も Cloudflare WAF を検討する価値は十分にあると言えるでしょう。
当社では、すでに Cloudflare WAF 製品および導入支援サービスを提供していますが、今後はマネージドセキュリティサービス(MSS)の提供も予定しています。
まずはぜひお気軽にご相談ください。