Azure環境でのWAF対策まとめ

マイクロソフト社のクラウドサービスであるAzureには、Webアプリケーションのセキュリティ対策として効果の高いWAFが搭載されています。クラウドサービスは利便性が高く、これからますます利用者が増えていくことが予想されますが、安全性に懸念を持っている人もいるのではないでしょうか。そこで、この記事ではWAFの機能や種類、Azure環境でのWAFのセキュリティ対策などを解説していきます。

WAFは、Web Application Firewallの略で、Webアプリケーションの脆弱性を悪用したサイバー攻撃からホームページなどを守ってくれるファイアウォールのことです。ホームページに脆弱性があるとわかれば、その欠陥を修正することがもっとも早い解決法でしょう。しかし、サイバー攻撃を仕掛ける側は、ホームページの運営者も気がつかなかった欠陥を発見してねらってきます。WAFは、IPアドレスやポートを検査して不正なアクセスの防御を行う一般的なファイアウォールとは異なり、過去の攻撃パターンに基づいた定義ファイルを作成して防御を行うことが可能です。防御する対象はWebアプリケーションに限られますが、さまざまな種類のサイバー攻撃に対応できるというメリットがあります。

WAFは導入方法の違いによって3種類に分けられ、それぞれにメリットとデメリットがあります。まずは、専用のハードウェアをネットワーク上に設置する「アプライアンス型」です。ハードウェアの購入や設置、専門の技術者による運用を行う必要があり、初期費用をはじめとした導入コストは高額になります。導入のメリットとしては、自社でWAFを運用できるため、高いレベルでのセキュリティ強化が期待できることです。

次に、既存のサーバーにソフトウェアをインストールする「ソフトウェア型」です。専用ハードウェアの設置が不要なことから、短期間での導入が可能になります。注意すべきなのは、サーバーごとにインストールしなければならないため、サーバーの台数に応じて導入や運用のコストがかさむことです。最後に、ネットワーク設定を変更することで利用できる「クラウド型」です。Azureで利用できるWAFはこのクラウド型になります。ハードウェアの購入やソフトウェアのインストール、自社での運用もすべて不要です。導入や運用のコストを低くおさえることができるのは大きなメリットといえます。WAFの導入を考えているならば、それぞれの特徴を確認しながら要望に合うものを選びましょう。

セキュリティの強化を図るうえでWAFの導入は効果的ですが、他のセキュリティ対策と組み合わせることで強化のレベルを上げることができます。基本となるのは、通信の出入り口を守る一般的なファイアウォールです。不正なアクセスがあった場合には、通信を遮断することで情報の漏洩やWebの改ざんを防ぎます。そのファイアウォールが対応できないところを補ってくれるのが、IPSとIDSです。IPSとIDSは通信の状態を常時監視しており、不正なアクセスがあった場合には管理者への通知や防衛を行います。WAFはそれらが対応できない範囲をカバーすることが可能です。過去の攻撃パターンから不正アクセスを割り出し、Webアプリケーションを守ります。防御方法などが異なるセキュリティ対策を組み合わせて、多様化するサイバー攻撃に対応できるだけの防御力を確保することが重要です。

Azureはアジュールと読み、マイクロソフト社が提供しているクラウドサービスとして知られています。初期費用がかからず、利用料金は使ったぶんだけ支払う従量課金制となっており、コストをあまりかけずにクラウドサービスの利用が可能です。Azureを利用することで、自分のブログや企業のサイトを安全に運営することが容易になります。その他にも、ソフトウェアの開発支援や仮想マシンの提供など、幅広いサービスを受けることが可能です。日本に複数のデータセンターが置かれているため、海外サーバーに重要なデータを保管しておくのはセキュリティ面で不安という企業も安心して利用できるでしょう。

Azureにはクラウド型のWAFが搭載され、セキュリティ強化の役割を果たしています。たとえば、AzureによってWAFを一元管理することで、セキュリティ対策の効率が上がります。なぜなら、脆弱性が見つかったWebアプリケーションの修正プログラムを個々で適用するよりも、一カ所で管理してデータ保護を行うほうが効率的だからです。また、セキュリティ上の新しい脅威が発見されても、世界展開しているマイクロソフト社によって対策情報は集約され、データ保護のための対応が迅速に行われることになります。

これまでマイクロソフト社が蓄積してきた大量のデータも、サイバー攻撃のパターンを分析して不正アクセスを発見するために役立つでしょう。Azure環境でのWAFは、マイクロソフト社のセキュリティに関する経験と実績を土台にすることで、高いレベルのセキュリティ対策が施されています。

クラウドサービスの利用者が増えると、利用者を特定するIDの管理が重要になってきます。企業が顧客データをIDで管理する場合、注意しなければならないのはIDの流出です。もしもIDが外部に流出してしまうと、なりすましやWebの改ざんなどの被害を心配しなければなりません。金銭的な被害が出た場合には、賠償問題に発展することもあるでしょう。Azure Active Directoryを使えば、ID情報を高性能のセキュリティで守りながら、クラウドサービスのアカウントを一元管理することができます。

また、Azureではストレージ内の保存データや転送中のデータは暗号化されており、情報が外部に持ち出される危険性に対応しています。暗号化にはキーが不可欠となりますが、そのキーが盗まれてしまうと、暗号化してあるデータが解読されてしまう可能性が高まります。それを防ぐためには、Azure Key Vaultを利用するのが効果的です。キーの作成や解除などの安全な管理が可能になります。

サイバー攻撃の手口は増え続けており、攻撃側と防御側のいたちごっこになっています。それでも、セキュリティ対策をしっかりと行って、不正アクセスの可能性をできるだけ少なくしましょう。Azure環境でWAFを利用すると、代表的なサイバー攻撃からホームページを保護することができます。

SQLインジェクションとは、データベースに指示を出すことのできるSQL文字を入力することで、企業サイトのデータベースから個人情報を抜き出すというサイバー攻撃です。名前や住所、メールアドレスなどの顧客情報が外部に流出してしまうと、企業は情報の開示や謝罪などを行う必要があります。企業側に大きな過失がなかったとしても、企業イメージの低下は避けられないでしょう。AzureのWAFを利用することで、ホームページのセキュリティを強化することが可能です。ストレージ内のデータは暗号化されるため、高いレベルのセキュリティ対策となるでしょう。

クロスサイトスクリプティングとは、企業サイトなどに悪意のあるスクリプトを仕掛けることで、ホームページを改ざんする攻撃方法です。利用者はホームページが改ざんされていることを知らないため、IDやパスワードの個人情報を盗まれてしまいます。その後、サイバー攻撃を行った犯人は、利用者のIDなどを使って本人になりすますことが可能になるのです。利用者が被害を受けるだけでなく、ねらわれた企業も顧客からの信頼を著しく失ってしまいます。Azure環境でのWAFは、一般的なファイアウォールでは防ぐことが難しいクロスサイトスクリプティングに関しても、セキュリティ対策として効果的です。

サイバー攻撃に対抗するには、WAFに加えてファイアウォールやIPS、IDSなどのセキュリティ対策を組み合わせる必要があります。Azure環境においても、WAFによる不正アクセスの監視とデータの暗号化が被害を未然に防いでいるといえるでしょう。アップデート情報を見逃さずに、セキュリティ対策を最新の状態に保つことも重要です。WAFの機能を十分に使いながら、油断することなくセキュリティ強化を図っていきましょう。

CyberSecurityTIMESを運営している弊社サイバーセキュリティクラウドでは、Azure環境のセキュリティ対策のソフトウェア「Wafcharm」を提供しております。
専門家によるサポートも充実しております。お気軽にお問合せください。

「Wafcharm」の詳細資料は、こちらからダウンロード頂けます。