過去1年間に情報漏洩事故を経験した企業の担当者によると、そのうちの42%が外部からのサイバー攻撃によるセキュリティ事故であり、その中で最も多かったのは、SQLインジェクションやXSS(クロスサイト・スクリプティング)などのWebアプリケーションに対する攻撃でした。(参照: Forrester Analytics Global Business Technographics® Security Survey, 2017)
どれだけ開発者が完璧なsecure codingを作成し、知られている脆弱性に対し安全だとしても、未だ公開されていないゼロデイ攻撃(未知の攻撃)が存在する限り安心はできないでしょう。
今回はWebサービスを運用するにあたって、なぜWAFの導入ならびに運用が必要なのかについて解説します。
セキュリティ・コンプライアンスを守るために
PCI-DSS(Payment Card Industry Data Security Standard)は、カード決済サービスを提供していなくとも、インターネット・ビジネスを展開する企業にとって取得すべき標準的なセキュリティ認証として広く受け入れられており、多くの企業がこの認証を取得するよう努めています。また、取得していない企業も、これを参考にしてセキュリティ標準プロセスを作成し運用しています。
ご存知の通りCDNetworksは、提供中の主要CDNサービスに対して、8年連続でPCI-DSS認証を取得し、セキュリティ強度の高いサービス提供を維持しています。
WAFは、特にPCI-DSSが導入を推奨していることから、昨今導入する企業が急増している注目のセキュリティ対策です。PCI-DSSの 6.2項では、下記のとおりWAFの導入について規定しています。
======================
(日本語)
下記の通り、Webベースの攻撃を自動的に検知・ブロックする技術的ソリューション(Webアプリケーションファイアウォールなど)の導入
– Webベースの攻撃を検知・ブロックするために、利用中のWebアプリケーションの前に配置されていること
– アクティブに稼働中であること、適用可能な限りの最新版であること
– 監視ログを生成していること
– Webベースの攻撃をブロックする、またはすぐに調査アラートを上げられること
(英語)
Installing an automated technical solution that detects and prevents web-based attacks (for example, a web application firewall) as follows:
– Is situated in front of public-facing web applications to detect and prevent web-based attacks.
– Is actively running and up to date as applicable.
– Is generating audit logs.
– Is configured to either block web-based attacks, or generate an alert that is immediately investigated.
======================
つまり、Webベースの攻撃を自動で検知・ブロックするために、WAFのようなソリューションが必要だということです。
さらに、PCI-DSSのみならず、ほとんどのセキュリティ・コンプライアンスにおいても、WAFを導入して検知・ブロックモードで運用することを推奨しています。もし、ISMSやISOなどのセキュリティ・コンプライアンスを遵守しなければならない組織・企業であれば、必ずWAFの導入を検討すべきです。
頻繁なセキュリティパッチのアップデートに対する担当者の業務負担を減らす
最近では、たった1日で数十個の新しい脆弱性が公開され、これを修正しアップデートされたパッチが公開されています。Webサービスを運用する立場からすれば、専任のセキュリティチームが存在しない限り、これらの脆弱性情報に毎回対応し続けることは困難だと言えます。
また、パッチが複雑に繋がっている既存のサービスでは、アップデートパッチの適用がどんな影響を及ぼすか予想できませんが、結局は慎重に行うしか手はなく、場合によっては適用できないこともあります。
さらには、パッチに対する検討やテストなどが終わる頃には、また新しい脆弱性とパッチが公開され、それまでの苦労がすべて無駄になるケースも多々あるでしょう。
しかし、WAFを導入すれば、脆弱性やその他サイバー攻撃に備えるためのパッチ適用の業務負担からある程度は解放されます。なぜならWAF は、サイバー攻撃を予め検知・ブロックするために、現在までに知られているほとんどの攻撃パターンをデータベース化しているためです。
画像1:過去24時間WAFで検知(alert)および遮断(block)された内訳に対する簡単な統計
Webトラフィックに対する可視性の強化
多くのWAFソリューションは継続的にバージョンアップしており、セキュリティ機能だけでなく利便性がある分かりやすい機能を提供しています。
例えば、WAFを利用すればWebサイト訪問者に対する国家別統計や、RPS, BPSまたはUser-Agent別アクセス頻度、HTTPレスポンスコード別トラフィック の流れなど、さまざまなリアルタイム統計情報を見ることができます。
画像2:訪問者の国家別トラフィック情報およびレスポンスコード別情報
また、Webで簡単にSSL/TLS証明書の管理をしたり、HTTPをHTTPSにリダイレクトする機能、またはWebサーバに対するロードバランシング(負荷分散) やバックアップ構成など、多様で有用な設定も簡単に行えます。
画像3:バックアップおよびロードバランシング設定の例
ただし、WAFを運用すると決めた場合、その導入方法については検討が必要です。方法は大きく2つありますが、元来の「WAFアプライアンス(機器)を購入する」方法と、新しい「クラウド型 WAF サービスを利用する」方法です。そして、最近のトレンドは、クラウド型WAFサービスを利用する方法です。なぜなら、WAFアプライアンスを購入して導入する方法は、次のような問題点があるためです。
(1) 初期投資が高価
WAFアプライアンスは、初期の機器購入費用が非常に高額です。将来的な障害やメンテナンス時のフェイルオーバーを考慮して最低でも2台は購入しなければなりません。一方でクラウド型のサービス利用は、初期投資の負担がほとんどなく、1ヶ月間または1年間の契約でサービスを利用することができます。
(2) 追加費用がかかる
WAFアプライアンスの運用は、追加機能に対するライセンス追加や、問題発生時の技術サポート、その他の定期的な維持メンテナンスなどが必要で、都度追加で費用がかかります。一方で、クラウド型のサービス利用は、これらサービスはほとんどが無償、または安価に提供されているため、運用面でのコスト削減が図れるというメリットがあります。
(3) サービス運用に対する融通が利かない
現在のトラフィック水準に合わせて必要な台数を購入した場合、トラフィックの増加に伴い装備の追加購入が発生するかもしれません。また、ビジネス環境の変化に伴い、他の機能を提供する他のベンダーのソリューションを使用する必要に迫られるかもしれませんが、既にアプライアンスを購入してしまった状況では、ベンダーに従属しているため変更が困難です。一方で、クラウド型のサービス利用では、毎月または毎年契約を更新するため、状況に合わせてボリュームアップやダウンなどの調整したり、ベンダーを変更することも容易にできます。
CDNetworksでは、Webパフォーマンスを保障しつつ、これら条件をすべて満たすクラウド型WAFサービスを提供しています。
CDNetworksのクラウド型WAF「アプリケーション・シールド」
CDNでWAF対策を行うメリット
それは、グローバルに豊富なキャパシティを有するCDNのプラットフォームをセキュリティ対策にも利用できることです。つまり、「Webパフォーマンスの向上」と「Webセキュリティの強化」のいいとこ取りができるのが大きなメリットと言えます。
「アプリケーション・シールド」サービスのご紹介
CDNプラットフォームと統合された、クラウド型のWAFサービスで、250以上の豊富なシグネチャに対応し、動的ルールやボット管理機能による未知の攻撃(ゼロデイ)にも対応するなど、さまざまな脆弱性を検知・ブロックしてアプリケーション層への攻撃を防御します。
詳しく知りたい場合には、お気軽にお問い合わせください。
==================================
■お問い合わせはこちら >>お問い合わせフォーム
■その他資料のダウンロードはこちら >> 資料ダウンロード
==================================
☟CDNetworksでは、セキュリティレポートも提供中です。是非ダウンロードしてご一読ください。
株式会社シーディーネットワークス・ジャパン TEL 03-5909-3373 (営業部)