WAFには、Webアプリケーションのセキュリティ対策として重要な役割があります。不正な攻撃を遮断するファイアウォール機能で自社が持つWebサービスや業務システムの保護をおこないます。とても優れたツールではありますが、導入や運用には、IT分野に対する最低限の知識とスキルが求められます。今回は最低限の知識とスキルで利用が可能な「クラウド型WAF」を導入する際に準備することや確認すべきポイントについて解説していきます。
Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることが出来ない攻撃を検知・遮断することができます。
WAFにはクラウド型WAF以外にもいくつか種類があります。導入が簡単なWAFを選定することも一つの方法ですが、自社のシステムにあったWAF選びも非常に重要です。
1つ目は、専用のハードウェアをネットワーク上に設置する「アプライアンス型」です。ハードウェアの購入や設置、専門の技術者による運用を行う必要があり、初期費用をはじめとした導入コストは高額になりますが、自社でWAFを運用することができるため高いレベルのセキュリティ運用を行うことが出来ます。
2つ目に、既存のサーバにソフトウェアをインストールする「ソフトウェア型」です。専用ハードウェアを設置する必要がないため、短期間で導入することが可能です。
最後に、ネットワーク設定を変更することで利用できる「クラウド型」です。ハードウェアの設置やソフトウェアのインストール、自社での運用は不要で、すべてベンダーがWAFの保守・運用を行ってくれます。クラウド型WAFはWebサーバに向いている通信の向け先をWAFに変更するだけで簡単に導入が出来ます。
クラウド型WAFを導入する際、対象のシステム構成を理解した上で、どの位置にWAFを設定するか事前に確認が必要です。
レンタルサーバなどWEBサーバ1台構成の場合、WAFの位置はWEBサーバの前段になります。通信の経路は「インターネット→WAF→WEBサーバ」となります。
ロードバランサーのような中間機器がある構成の場合、WAFの位置はロードバランサーの前段となります。通信の経路は「インターネット→WAF→ロードバランサー→WEBサーバ」となります。
CDN(Content Delivery Network)がある構成の場合、WAFの位置はCDNの後段となります。通信の経路は「インターネット→CDN→WAF→ロードバランサーまたはWEBサーバ)」となります。
次に、WAFを設定する情報の準備を行います。
WAFベンダーからヒアリングシートが配布されるので、導入するWebサイトの FQDNやIPアドレス、管理コンソールを作成する際のアカウント情報などを入力します。
https通信を利用しているWebサイトであれば、クラウド型WAFにSSL証明書や中間証明書、秘密鍵を設置する必要があるため、準備が必要です。クラウド型WAFにもSSL証明書などを設置することによって、インターネットとWAF間の通信も暗号化され、セキュアに利用することができます。証明書を利用しているWebサイトで注意が必要なのは、ほとんどのWAFベンダーではクライアント証明書での利用ができないため、WAFベンダーに確認することがおすすめです。
WAFの設定はWAFベンダーが実施したり、管理コンソールよりユーザーが登録するなど提供元によって異なります。
WAF側の設定が完了したら、hostsファイルの書き換えによる接続確認を行います。hosts接続とはパソコンのhostsファイルを書き換えると指定したパソコンからのアクセスのみWAFを経由させることが出来ます。いきなりすべての通信をWAF経由にさせて接続が出来なくなるなどのトラブルが発生してはいけませんので慎重に導入するために、まずは特定のパソコンのみWAFを経由させて正常に動作するか確認を行います。
hosts接続が問題なければ次にDNSの切り替えを実施します。DNSとはドメイン(FQDN)とIPアドレスを結びつけるシステムのことでドメイン(FQDN)の結びつけるIPアドレスをWAFのIPアドレスに変更します。IPアドレスを間違ってしまうと正常にWebサイトが閲覧できなくなってしまうので、慎重に作業する必要があります。DNSの切り替えが完了したらWebサイトにアクセス出来るか確認しましょう。
DNSの切り替えが完了したら、正常なアクセスをWAFが遮断してしまう誤検知がないか確認を行います。企業ホームページのような簡単なサイトであればサイトの閲覧やお問い合わせフォームが正常に動作するかなど簡単な確認で問題ありませんが、決済システムやAPIなど他のシステムと連携しているようなWebサイトの場合、hosts接続での動作確認が問題なかったとしてもDNSを切り替え後も再度動作確認を実施した方がいいでしょう。
動作確認の際、正常なアクセスにも関わらずWebサイトにアクセス出来なくなったり、エラー画面が表示された場合は、誤検知の可能性があるので、WAFベンダーへ問い合わせましょう。
Webサイトへの攻撃は、世界中で数えきれないほど行われ、その手段や被害はさらに複雑化しているため、Webセキュリティ対策は必須項目になりつつあります。クラウド型WAFの初期導入は最低限の知識とスキルが必要となりますが、導入することによって、安全にWebサイトを運用することが可能になります。自社の業務をスムーズに進め、顧客へ快適なサービスを提供するため、WAFを導入してセキュリティー対策をしっかりとりましょう。
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
この記事と一緒に読まれています
2019.12.08
セキュリティ対策
2020.02.24
セキュリティ対策
2020.04.30
セキュリティ対策
2019.11.05
セキュリティ対策
サイバー攻撃可視化ツールおすすめ6選!ツールを提供しているプロの目線でご紹介
2022.01.21
セキュリティ対策