Web アプリケーションへの攻撃を受けると、顧客情報を抜き取られるなど企業にとって致命的な状況になりかねません。クラウド WAF とは、Web アプリケーションを守るためのセキュリティサービスです。ここでは、クラウド WAF の導入を検討している企業の担当者に向け、クラウド WAF の基本と導入する目的、クラウド WAF が対処できる攻撃について解説します。
クラウド WAF について
クラウド WAF について、WAF の基本的な仕組みや役割も踏まえて解説します。
WAF とは何か
WAF とは「Web Application Firewall」の略で、Web サイト上のアプリケーションへの攻撃について検知や遮断をするツールです。インターネットバンキングや課金を要するゲームアプリケーションなどは、金融機関の情報を含む個人情報を多く取り扱います。万が一サイバー攻撃にあえば、顧客に大きな損害を与えかねません。
インターネットの普及につれ、サイバー攻撃も増えています。攻撃の仕方も新しいものが生み出されていて、従来のセキュリティ対策では防ぎきれないかもしれません。そのため、セキュリティ対策をより強固なものにするために、WAF を導入する企業が増えています。
クラウド WAF とは?
クラウド型の WAF を「クラウド WAF」とよびます。クラウド WAF がなかった頃は、アプライアンス型の WAF が主流でした。ただ、アプライアンス型の WAF は、導入コストが比較的高いうえに、運用には専門知識を持つスタッフが必要です。一方、クラウド WAF であれば、機器導入は必要ありませんし、運用もベンダー任せにできます。
クラウド WAF を導入する目的とは?
WAF とそれ以外のセキュリティサービスでは、それぞれ守備範囲が異なります。クラウド WAF を導入する目的を解説します。
Web サイトのセキュリティを強化する
クラウド WAF を導入する第一の目的は Web アプリケーションのセキュリティ強化でしょう。企業内で使用するパソコン本体やシステムに対してセキュリティ対策を施していても、Web アプリケーションまで守りきれないかもしれません。
企業の Web アプリケーションへの攻撃による顧客の個人情報の流出や機密情報の漏えいなどは、企業にとって致命的です。Web サイトにアクセスするユーザーと運営企業を守るためには、クラウド WAF の導入がおすすめです。
FW ではできない通信のチェック
FW(ファイアウォール)の監視対象はネットワークで、企業内のインフラを保護する目的で導入されます。
なお、FW は不正アクセスを検出し遮断しますが、通信の内容まではチェックできません。FW は IP アドレスやポートを監視し、掴めるのは発信元がどこかという情報のみであるためです。一方、WAF は通信の内容まで把握できます。
IPS や IDS にはできない攻撃を防ぐ
IPS(侵入防止検知システム)と IDS(不正侵入検知システム)は、いずれも OS やミドルウェア層への攻撃に対応するセキュリティサービスです。サイバー攻撃や不正アクセスを検知すると、管理者に向けてアラートを鳴らします。また、 Web アプリケーションへの攻撃には対応できません。
このように、セキュリティサービスの対象はそれぞれ異なります。どれか単体で導入するのではなく、複数を組み合わせるようにしたほうがいいでしょう。
クラウド WAF の特長
クラウド WAF は導入・運用がしやすいです。導入から運用に関する特長を解説します。
導入しやすい
クラウド WAF はアプライアンス型に比べ、導入までの手間がかかりません。企業のシステム構成に手を加えないため、専用機器を用意する必要がなく、導入から使用開始までを短期間で済ませられます。また、WAF の運営はベンダーに任せられるため、セキュリティの専門家を自社で用意する必要はありません。
低コストで導入・運用が可能
クラウド WAF は導入や運用に関するコストもアプライアンス型よりも抑えられます。初期費用や月額費用などはかかりますが、専用機器を購入しなくてすむため初期に莫大な費用はかかりません。また、クラウド WAF を提供するサービスにもよりますが、お試し期間つきのものもあります。自社にあっているかを確かめるために一定期間だけの利用も可能です。
管理はベンダー側に一任する
クラウド WAF を契約すると、管理はベンダーの経験豊富な専門家に一任可能です。企業内に WAF を運用するためのセキュリティアナリストやシステムエンジニアなどの人材を集める必要はありません。
なお、クラウド WAF のサービスを提供するベンダーの特長やサービス内容はそれぞれ違います。セキュリティ対策をするうえでは、不正アクセスの検知精度もよく確認しておかなければならないでしょう。サイバー攻撃に対するシグネチャの内容と更新頻度は検知精度を大きく左右します。この点に注目して選ぶといいでしょう。
検知精度を懸念する場合は、クラウド WAF を監視する「マネージドセキュリティサービス(MSS)」の導入がおすすめです。
クラウド WAF が防げるサイバー攻撃とは?
IT 技術の進歩にともない、多種多様なサイバー攻撃の事例が報告されています。クラウド WAF が防げるサイバー攻撃を紹介します。
クロスサイトスクリプティング
クロスサイトスクリプティングとは、HTML 生成に関する脆弱性をついた攻撃です。不特定多数が書き込める SNS や、匿名掲示板などが攻撃対象となる場合が多いでしょう。
攻撃者は、不正サイトへ誘導する URL などのスクリプトをサイト上に貼り、ユーザーがクリックするのを待ちます。スクリプトが実行されると、ユーザーは Cookie の値を盗まれるため、なりすましなどの被害が起きます。
SQL インジェクション
データベースを不正操作する SQL インジェクションも、クラウド WAF で防げます。SQL とはデータベース言語の一つで、データベースシステムを定義し操作するために用いられます。インジェクションは注入という意味です。
攻撃が行われると、ユーザー ID やパスワードの入力フォームが不正操作され、顧客情報が盗まれる場合があります。顧客情報には口座やクレジットカードなどの情報が含まれるため、SQL インジェクションは非常に危険度が高い攻撃といえます。
ブルートフォースアタック
不正ログインを引き起こすブルートフォースアタックもクラウド WAF で防げます。パスワードを無数に入力しログインを試みるもので、パスワードに入力制限がない Web サイトが狙われやすいでしょう。パスワードを割り出されてしまうと、Web サイトに登録した顧客情報漏えい、顧客を装ったなりすましなどの被害に遭ってしまいます。
その他さまざまな攻撃からアプリケーションを守る
クラウド WAF は、ほかにもバッファオーバーフロー、DDoS 攻撃、ディレクトリトラバーサルなど多くの攻撃に対応します。ただし、WAF の検知対象外で、ファイアウォールや IPS・IDS でしか対応できない攻撃もあります。
WAF さえ導入しておけばセキュリティ対策は万全というわけではないため、複数のセキュリティツールを活用し総合的な対策が必要です。
まとめ
クラウド WAF は、Web サイトのセキュリティ対策に役立ち、導入・運用が容易です。検知精度はベンダーにより異なるため、クラウド WAF を監視する「マネージドセキュリティサービス(MSS)」の導入も検討しましょう。
SBテクノロジーの「MSS for Imperva Incapsula」は、24時間365日お客様システムの監視を行う最先端のセキュリティ監視センター(SOC)を完備しています。お客様に代わって、SBテクノロジー がシステムの監視を行うため、お客様の負担を大幅に軽減します。
経験豊富なセキュリティ専門アナリストたちによる、豊富なノウハウを活かしたセキュリサービスを提供可能です。また、クラウドにおける豊富な構築、運用経験も活かしてお客様のシステムを守ります。
企業内にセキュリティのスペシャリストがいない場合、サイバー攻撃への対応に不安がある場合には、ぜひ導入を検討してみてはいかがでしょうか。
「MSS for Imperva Incapsula」について気になった方は、まずは資料請求ください。
