WAFを導入するメリットについて

2017.02.24

WAF

introduce-of-WAF

米EMCが世界16カ国の企業を対象に情報セキュリティ対策の自己評価について調査したところ、日本が最も低い結果となりました。
日本のセキュリティに関するリテラシーは著しく低い状況で、このままではサイバー攻撃の餌食になる企業が増えることが予測されます。

 

参考URL:セキュリティ対策「後進国」日本の処方箋

 

日本企業で、一番セキュリティ対策が出来ていない部分は公開サーバ部分のセキュリティです。
よく聞くのは「うちの企業はWAFは入れてないけど、他のセキュリティ対策をしているから大丈夫」という言葉です。
実際のところセキュリティは1つを行えばすべてをカバーできる、ということはありません。
また、この考えはセキュリティに抜けが発生する原因であり、非常に危険です。
このセキュリティに対するあまい考え方によって、サイバー攻撃を受け、情報漏洩やマルウェアの混入、感染などを引き起こしてしまった場合、顧客からの信頼を失う可能性が高くなります。信頼を得るのは大変な積み重ねが必要ですが、信頼を失うのは一瞬です。また、信頼を失ったら取り返すのはさらに時間と労力がかかります。セキュリティ対策不足によって信頼を失うようなことがないようにOSやウィルスソフトを最新バージョンにするだけでなく、WAFを導入することをお勧めします。海外ではすでにWAFはセキュリティ対策で大きな効果が期待できる手法として採用している企業は多くあります。
日本の企業があまり対策がされていないWAFについてご紹介いたします。

目次

WAF(ウェブアプリケーションファイアウォール)とは

WAFはWebサイトの全面に配置することでSQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクション、パスワードリスト攻撃などのサイバー攻撃を防ぎます。

セキュリティ対策製品はそれぞれの得意分野があるので、守るべきものを明確にすることで効果的な対策ができます。

WAFの種類

WAFと言っても種類はさまざまで大きくわけるとアプライアンス型WAF、ソフトウェア型WAF、クラウド型WAFがあります。

アプライアンス型WAF(ハードウェア)

既存のネットワーク上に専用ハードウェアを設置します。Webサーバの台数や環境に左右されません。
サーバ台数が多いとコストパフォーマンスが良く、堅牢なWAF環境を構築することが可能です。
ただし導入時のコストが高く、年間保守や運用管理がかかります。
導入も長期化する場合がありますので、管理者の負担もかかります。

ソフトウェア型WAF

既存のサーバにインストールするWAFです。
専用ハードウェアや汎用サーバの設置不要で安価に導入できます。
サーバに製品をインストールするので、サーバ台数が多いとコストがかかります。
年間保守や運用管理がかかるので、ランニングコストがかかります。

クラウド型WAF

クラウド上にある仮想アプライアンス。
導入時にはネットワーク設定(DNS)の一部を変更して利用することが可能です。
運用はサービス提供側が行うので、脆弱性の対応やチューニングなどの作業が不要。
機器の購入などがないため、安価で導入することができます。
また、システムの運用もベンダー任せなので負担が少なく、総合的にコストダウンできます。
しかし、セキュリティ性能はサービス提供者に委ねられる部分が多く、実績などを確認して慎重に選定する必要があります。新しい脆弱性などが登場した時に早急な対応ができるかどうかも業者選定の大きな理由の一つになります。

WAFを導入するメリット

WAFを導入することで、多岐に渡るサイバー攻撃を防ぐことができます。
クラウド型WAFの「攻撃遮断くん」では下記のサイバー攻撃を防ぐことができます。

対策できるサイバー攻撃一覧

こちらはファイアウォールはIPS/IDSでは防ぐことのできない攻撃ですので、従来のセキュリティ製品だけでは、
セキュリティ対策は不完全ということがわかります。

また、すぐに対応できない脆弱性もカバーすることができます。
開発環境や体制が整っていない場合、なかなか改修作業を行うことは難しかったりします。
だからといってそのままの状態にしておくことは圃場に危険で、攻撃者の標的になってしまいます。

WAFはこういった「すぐには対応できない」という脆弱性もしっかりとカバーすることができます。

PCIDSSの要件もクリアできる

PCI DSSはPayment Card Industry Data Security Standardの略で、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。
こちらの要件6.6ではWAFを導入することの必要性を定義しています。

すべてのWebに面したアプリケーションは,以下のどちらかの手法を適用することで,既知の攻撃から防護されなければならない。
・カスタム・アプリケーション・コードについては、アプリケーションセキュリティに特化した組織に依頼して、一般的な脆弱性についての見直しをしてもらう。
・Webに面したアプリケーションの手前に、アプリケーション・レイヤー・ファイアウォールをインストールする。
注:この手法は2008年6月30日まではベストプラクティスの一つであるが、その後は必須要件となる。

こちらの条件が必須になる業界は主に金融業や流通業メディア、製造業などですが、それ以外の業界の方でも個人情報などの大切な情報を持っている場合はWAFを導入してしっかりとカバーすることが重要となります。

参考URL:日本カード情報セキュリティ協議会 PSCIDSSとは
PSIDSS WAFを設置しなければならない

まとめ

Webサービスのセキュリティ対策手法の一つであるWAFの種類とそれぞれの特徴について紹介しました。クラウド型WAFの「攻撃遮断くん」であれば、高品質なサービスを最短2営業日で導入することが可能です。
面倒な運用やホワイトリストなどのチューニングも全て弊社で行うので心配はございません。
また、困った時には24時間365日開設しているサポート窓口もありますので、緊急対応も問題ありません。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選ぶのが大切です。

 

いかがでしたでしょうか。
まだまだ日本ではWAFの認知度が低いのが現状です。
しかし、対策している企業も増えてきて、今後は二極化が進むと思われます。
東京オリンピックではサイバー攻撃をどう備えるかも重要な課題になっています。
この機会に自社のセキュリティ状況を再確認してみてはいかがでしょうか。