ウェブアプリケーション ファイアウォール(WAF)

アプリケーション ファイアウォールが、どのようにしてウェブアプリケーションを一般的な攻撃から防御するのかをご紹介します。

「日本の脅威レポート」

ウェブアプリケーション ファイアウォールとは?

ウェブアプリケーション ファイアウォール(WAF)は、ウェブアプリケーションとインターネット間の各々のトラフィックを検査し、フィルタリングすることで企業のウェブアプリケーションを保護します。WAFは、クロスサイト リクエスト フォージェリ(CSRF)、クロスサイトスクリプティング(XSS)、ファイルインクルージョン、SQLインジェクションなどの攻撃からウェブアプリケーションを守る手助けとなります。

WAFは、Eコマースサイト、オンライン金融サービスなど、顧客やビジネスパートナーとやり取りするウェブベースの製品やサービスを提供する企業にとって特に有益です。こういったケースには、データの盗難や不正利用の防止にWAFが特に有効です。ただし、WAFはすべての攻撃を防げるように設計されてはいないため、包括的なアプリケーション セキュリティ プログラムをサポートする一連のツールの一部として機能させるのが最良です。

WAFの主な利点

WAFは、顧客の個人情報を安全に取り扱う必要があるオンラインビジネスに不可欠な保護機能を提供します。企業の多くは、データの不正利用や盗難を引き起こす、クロスサイトスクリプティング(XSS)SQLインジェクションなどの高度な標的型攻撃から、ウェブアプリケーションを守るためにWAFを導入します。このような攻撃を許すと顧客の信頼は著しく損なわれ、規制当局の罰則を受けることもあります。WAFが追加する保護は、企業の評判や市場での地位を守ることにつながります。

また、WAFは、適切なウェブアプリケーションのセキュリティテストを継続的に実施するため管理負担を軽減します。アプリケーションセキュリティチームは、ガイドラインやルールの設定を積極的にサポートすることで、WAFを通して許可すべきものとそうでないものを監視することができます。その結果、進行中の攻撃はタイムリーにチームへ通知され、潜在的なセキュリティインシデントにより迅速に対応することができます。

WAFは、PCI、HIPAA、GDPRなどの規制基準に準拠していることを証明するために必要なアプリケーションの可視性をセキュリティ管理者に提供するため、コンプライアンスの観点からも価値があります。これらの利点を組み合わせることで、企業はウェブアプリケーションのセキュリティを強化し、進化する脅威から顧客データをより安全に保護することができます。

ステートレスWAFとステートフルWAFの比較

WAFは、企業のウェブアプリケーションとインターネットからのリクエストの間に位置します。リバースプロキシを介して、ウェブアプリケーションの間を行き来するデータパケットを監視、フィルタリング、ブロックします。これにより、ウェブエクスプロイトを引き起こすような潜在的に有害なトラフィックの排除を試みています。WAFは、クラウドベースソリューション、アプライアンス、サーバープラグイン、フィルターの形で提供されます。

ステートレスWAFとして知られる初期のWAFは、静的ルールを使用しており、企業のウェブアプリケーションサーバーへのインバウンド要求を介して到達する潜在的な脅威を分析します。ステートレスWANはパターン認識を使用して、予め設定されたアプリケーションの動作と攻撃の動作のモデルを使用した特定の攻撃形態に、ウェブアプリケーションがどのように反応するかについて、知識に基づく推測を効率的に実施します。例えば、ステートレスWAFでは、要求の入力速度、送信元が同じかどうかなど進行中の悪意ある活動の可能性を示唆する行動指標を確認することができます。

ステートレスWAFは、人間よりも迅速にこうしたタスクを実行できますが、進化する攻撃を回避するために十分な適応性や俊敏性はありませんでした。攻撃者は、ウェブアプリケーションへの最初の攻撃が失敗したことを知ると、WAFにとって初めてで防ぐことができない新しい種類の攻撃動作を作り出し、いたちごっこが続くことになります。そして、WAFがこの新しい攻撃を防ぐための新ルールを受け取る頃には、攻撃者は検知を回避する別の方法を作り出しています。

ステートフルWAFとして知られる第2世代のWAFは、第1世代よりも俊敏な防御を提供します。ステートフルWAFは、収集されたデータを関連するコンテキストで強化し、ウェブアプリケーションの現在の脅威の状況を分析することができます。ステートフルWAFは、より広範なコンテキストを考慮にするため、DDoS攻撃や、隠れてセキュリティを弱体化させる「ローアンドスロー」攻撃などの重大な問題を検出するのに適しています。

WAFとRASPの比較

監視と保護に使用するもう1つのセキュリティ技術は、Runtime application self-protection(RASP)です。RASPは、アプリケーション自体を使用するため、静的なルールに頼らずに悪意のあるトラフィックをブロックすることができます。RASPは、特定のシナリオでのアプリケーションの動作を予測するのではなく、実際のアプリケーションの動作を評価し、侵害の発生時に悪意のある活動(例えば、データベースの呼び出し、ファイルを開く要求、コマンドを実行させるシェルの開始リクエストなど)を検出します。

この仕組みにより、WAFを使用すると頻繁に発生する誤検知を減らすことができ、セキュリティチームはリアルタイムで潜在的な攻撃をより正確に把握することができます。また、RASPは、アプリケーション自体を使用するため、アプリケーションが継続的に更新されて開発されたとしても、アプリケーションのセキュリティを評価することができます。RASPは、WAFの静的なルールを変更する代わりに、コード変更を継続的にプッシュするときにアプリがどのように動作するかを監視できるため、継続的なプロセスにより簡単に適合します。WAFとRASPは互いに補完し合うことができるため、組み合わせることで、より包括的で堅牢なアプリケーションセキュリティを企業に提供することができます。

WAFを成功に導く3つのヒント

ここでは、WAFのメリットを最大限にビジネスで活用するための3つのヒントをご紹介します。

1. WAFがアプリケーションのセキュリティ目標に対応していることを確認する

利用できるWAFソリューションには様々なものがあり、それぞれが異なるセキュリティ機能と攻撃を検知、防御するための技術を備えています。選択するWAFが自社に特有のアプリケーションのセキュリティ目標に対応していることを確認してください。

2. WAFソリューションを慎重に評価し、テストする

WAFが、アプリケーション セキュリティ プログラムの一部として不可欠な機能を提供する方法を本当の意味で理解するためには、導入するかどうかの最終決定を下す前に、評価しているWAFソリューションをテストすることが有効です。こうすることで、RASPのような使用している他のアプリケーションセキュリティツールとの連携を評価、理解することができます。これらの技術は相互に排他的なものではなく、最大限包括的なカバレッジを提供するために併用することができます。

3. 必要な社内リソースを検討する

WAFソリューションを評価する際は、それを最大限に活用するために必要な社内リソースを検討します。例えば、セキュリティチーム内で追加のスキルや能力を構築の必要性があると判断するかもしれませんし、WAFを導入することでチームが実施している既存のセキュリティプロセスの変更の必要性を感じる可能性もあります。

企業は、データの不正利用や盗難から利益を得ようとする悪意のある攻撃者によって、自社のウェブアプリケーションへの巧妙な攻撃に直面しています。ウェブアプリケーションの適切なセキュリティの確保は、これまで以上に重要になっています。企業はウェブアプリケーション ファイアウォールを採用することで、ウェブアプリケーションと顧客データの保護において重要な進歩を遂げることができます。この点は、堅牢なアプリケーションセキュリティツールキットと最新のアプリケーション セキュリティ プログラムにとって欠かせない要素と言えます。

ウェブアプリケーション ファイアウォール(WAF)の必要性

サイバー攻撃がますます複雑化する中、企業や組織は悪意から自社や顧客を守るため、最適な場所に自身を置く必要があります。Eコマース、オンライン金融サービスなど、顧客やビジネスパートナーとやり取りするウェブベースの製品を扱う企業は、データの不正利用や盗難の脅威に常にさらされており、顧客の信頼を損ない、規制当局から処分を受ける可能性があります。WAFは、一連のツールと

組み合わせることで、既に強固なアプリケーション セキュリティ プログラムに不可欠な防御層を加えることができます。セキュリティ担当者はウェブアプリケーション ファイアウォールを活用することで、事前に設定したガイドラインやルールに違反したアクティビティのアラートを受信し、進行中の潜在的な攻撃を監視することができます。セキュリティチームは、この可視化された情報により顧客データを最大限に保護しながら、規制基準を満たすために必要な能力を確保することができます。