年々増加しているサイバー攻撃に対策するためにWAFを導入しようとしている企業が増えています。ただし、利用料金が高いというイメージがあるので導入に躊躇する企業も少なくありません。
そこで注目されているのがクラウド型のWAFです。月額わずか数万円で企業のWebサイトを守ることができ、またその防御力も従来のWAFと同等です。に劣りません。
この記事では、クラウドWAFの機能や特徴、また導入するメリットとデメリットを含めて詳しく解説します。
クラウドWAFとは?仕組みや防げる攻撃、導入メリットをわかりやすく解説
クラウドWAFとは
クラウドWAF、またはクラウド型WAFとは、クラウド経由で提供されるWAFです。インターネット上で利用できるのでとても便利です。また、導入しやすさや低価格のためクラウドWAFへの注目が集まっています。
そもそもWAFとは?
WAFとは、Web Application Firewall(ウェブアプリケーションファイアウォール)の略称で、Webサイトを含めたWebアプリケーションをサイバー攻撃から守るツールです。
サイバー攻撃といえば、ECサイトやインターネットバンキングなど、クレジットカードや口座情報を扱うWebサイトだけが、攻撃対象になると誤解している人は多いでしょう。
しかし実際は、問い合わせフォームのあるWebサイトや会員制のWebサービス、またユーザーのリクエストに応じて動的ページを生成するWebシステムなど、あらゆるWebアプリケーションもサイバー攻撃の対象となり、そして被害も受けています。
Webアプリケーションへのサイバー攻撃の被害を受けないために、WAFが最も効果的です。
詳しくはこちらの記事
WAFとは?Webセキュリティ対策に不可欠|仕組みや導入メリット、選定基準を詳しく解説WAFとファイアウォールとの違いとは?
似て非なるもの、WAFとファイアウォール。
ファイアウォールとは、ネットワーク層を保護するセキュリティ対策です。IPアドレスやポート番号の通信を制限し、パケットフィルタとアクセス制御によって外部からの攻撃をまさしく「防火壁」のように保護するツールです。ただし、通信の中身の確認はされていません。
WAFの場合、Webアプリケーションへの通信の中身をチェックします。ファイアウォールとWAFとでは、守ることができる範囲が異なり、どちらかだけを使えば安心というわけではありません。
少しわかりにくいかもしれないので、飛行機に乗る前の保安検査を思い出してみてください。ファイアウォールは保安検査の入り口で行うパスポートや搭乗券の確認のようなものです。これから出発する、かつ有効なパスポートを持っている人のみを通しています。
一方、WAFは人や荷物の検査です。危険物や不審物が荷物に入っている場合、その人は飛行機に乗れません。
詳しくはこちらの記事
セキュリティの基本!ファイアウォールについて知ろうクラウドWAFの仕組み:シグネチャ検知型
アプライアンス型やホスト型など従来のものと同じく、クラウドWAFもシグネチャを利用してサイバー攻撃を検知します。シグネチャとは、過去に起こったりこれから起こると想定される攻撃のパターンや通信手法、ウイルスなどのデータをまとめた定義ファイルです。
その検知方式によって、シグニチャ検知型WAFは「ホワイトリスト方式」と「ブラックリスト方式」の2タイプに分かれます。さらに、AIを用いるものもあります。
ホワイトリスト方式
ホワイトリスト方式とは、許可する通信をシグネチャとして定義し、それに一致するもののみを通させる検知方式です。ホワイトリストに合致しないすべての通信も拒否されるので未知の攻撃を防ぐにはとても有効的だと言われています。
ただし、シグネチャの定義を細かくする必要があるので、Webセキュリティに強いエンジニアの構築・運用が欠かせません。
ブラックリスト方式
ブラックリスト方式とは、すでに把握している攻撃パターンをシグネチャとして定義し、それに一致するものをすべて拒否する検知方式です。
今まであった攻撃パターンを防げるものの、新しいサイバー攻撃に対応するためにはシグネチャを都度アップデートしなければならないというデメリットがあります。更新を怠るとWAFが新しい攻撃を防げない可能性があるためです。
AIを活用しているWAFも!
ブラックリスト方式のデメリットを補うためにAIを活用したWAFが開発されました。
従来、ブラックリスト方式のシグネチャ更新は、エンジニアやWebセキュリティ担当者が行う必要がありました。そのため、新しい脆弱性の情報収集やシグネチャの更新にリソースを十分確保できないという課題を感じる企業が多いのが実態です。なお、更新されたシグネチャの精度にも懸念点が残るという課題もよく耳にします。
そこでAIを活用してシグネチャの更新を行うWAFが登場しています。蓄積してきた検知データから新たなサイバー攻撃を予測しシグネチャの更新を人間の代わりにAIで行うWAFです。
AIを活用するWAFの誕生によりシグネチャの精度が高くなり更新の頻度やスピードの向上も実現できたので、より安心安全なサイバー空間を維持することができます。
クラウドWAFの防御できる攻撃とは?
クラウド型とはいえ、その防御能力は従来のWAFと同等です。ここではクラウドWAFが防げる代表的な攻撃を3つあげます。
クロスサイトスクリプティング(XSS)攻撃
まずはクロスサイトスクリプティング(XSS)攻撃。
クロスサイトスクリプティング(XSS)攻撃とは、Webサイトの記述言語であるHTMLに悪質なスクリプトを埋め込む攻撃です。サイトに訪れたユーザーがフォームを入力やリクエストを送信する際に、設置された悪質なスクリプトが実行されます。
それによってユーザーがほかのサイトに誘導されてマルウェアに感染したり、入力された個人情報やクッキー情報が攻撃者に盗まれたりします。
XSS攻撃を防ぐにはWAFが有効的です。WAFはユーザーが送信する内容をすべて監視しているためです。内容が怪しい場合、そのリクエストを遮断したり管理者にアラートを飛ばしたりします。
SQLインジェクション
SQLインジェクションとは、Webアプリケーションの脆弱性を意図的に利用し、想定されないSQL文をアプリケーションに「注入」され実行させる攻撃です。攻撃により、不正にデータベースのデータが読み取られたり、データが改ざんまたは削除されたりすることができます。
SQLは、広く使われているデータベース言語の1つです。SQL文を通じてユーザーの入力した情報をデータベースに送り、サーバ側での処理が完了したあとにその結果をユーザーに返すのが多くのWebアプリケーションの仕組みとなっています。
例えばECサイトや会員制Webサイトのログインフォームの場合、ユーザーが入力したIDとパスワードを、データベースにある会員情報と照合され合致する場合、会員専用のページを表示させます。
もしWebアプリケーションに脆弱性がある場合、不正なSQL文が入力されることによって攻撃者がほかの会員情報を削除したり盗んだりすることができてしまいます。
脆弱性を突くSQLインジェクション。防御するにはWAFの導入が効果的です。
ブルートフォースアタック(総当たり攻撃)
ブルートフォースアタックとは、ユーザーのパスワードを総当たりする攻撃です。攻撃者が、パスワードとなるあり得る組み合わせをすべて試して正確なパスワードを当てます。
仮にパスワードが4桁の数字の組み合わせだとします。0000から9999まですべて1回ずつ試すと10,000回以内には必ず正しいパスワードが当たります。この10,000回を1回ずつ試すのが、ブルートフォースアタックと言います。
10,000回もログインを試みるのは人間にとってなかなか大変かもしれませんが、BOTやコンピュータの場合、数秒で終わります。
ブルートフォースアタックを防ぐにはパスワードの桁数と利用可能な文字数を増やすことがとても有効的です。
ローマ字のみ4桁のパスワードはBOTにより3秒以内に解読されてしまいますが、桁数を10まで増やすことで解読に必要な時間が約32年まで延びます。さらに大小文字の区別や数字、記号をパスワードに許可することで解読時間を約1,000万年まで延ばすことができます。
※出典:https://www.ipa.go.jp/security/txt/2008/10outline.html
なお、ブルートフォースアタックを実行するには複数回のアクセスが必要です。WAFを入れることによってこういった不自然なアクセスを検知・遮断することができ、この攻撃を防ぐことができます。
DoS攻撃・DDoS攻撃を防げるWAFもある
Dos攻撃とは、Webサイトやサーバに対して大量の情報を送りつけて、サーバダウンをさせるサイバー攻撃です。そして、DDoS攻撃とは、DoS攻撃の進化版とも言われ複数のコンピューターを用いて一斉に攻撃をしてくるというサイバー攻撃です。
DoS攻撃・DDoS攻撃を防ぐには、WAFが有効的な施策と言われています。Webサイトへ送りつけられたデータの内容を一つひとつリアルタイムに解析し、不正なものを遮断できるからです。
クラウドWAFの人気が急増するワケ|導入メリットとは?
ここまでクラウドWAFの特徴や機能について説明しましたが、近年クラウドWAFへの注目が高まっているのは何故でしょうか。
ここでは、クラウドWAFが従来のWAFより優れている点を説明します。
詳しくはこちらの記事
クラウド型WAFサービスを導入するメリットとデメリット従来のWAFより圧倒的な低価格
今までWAFは高いイメージがありました。特にアプライアンス型WAF。導入にあたって、数百万円単位の費用がかかります。
それに対してクラウドWAFは月額数万円なので、中小企業やスタートアップにとっても手軽に導入できると言えるでしょう。
最短1日で導入完了
導入期間が短いのもクラウドWAFのメリットです。アプライアンス型やホスト型WAFの場合、ハードウェアやソフトウェアの導入が必要のため、導入に時間やリソースがかかってしまいます。
一方、クラウドWAFの場合DNS切り替えるタイプのものもあるので、DNSの設定を変更することですぐに導入できます。短時間で導入可能というのも企業にとっての大きな魅力です。
運用工数が低い:専任エンジニア不要
WAFを導入したとしてもシグネチャの更新に、専任エンジニアを配置する必要があるというイメージがあるのではないでしょうか。人員リソースの確保が難しいため導入を見送った企業も多いでしょう。
しかし、クラウドWAFの場合、シグネチャの更新はすべてWAFを提供するベンダーが行うため、利用企業側での運用は基本不要です。社内にWebセキュリティに詳しいエンジニアがいなくても安心して導入できます。
クラウドWAFのデメリットにも注意
メリットの多いクラウドWAF。デメリットもあるので注意が必要です。
まず、アプライアンス型やホスト型に比べると、クラウドWAFの検知ルールの内容がベンダーによって決められていることが多いためカスタマイズが効きにくい可能性があります。
そして、DNS切り替え型のクラウドWAFを利用する場合、通信のタイムラグが発生してしまうデメリットがあります。
DNS切り替え型というのは、WebサイトへのアクセスをすべてWAFセンターに通してから企業のWebサーバに送る形式のWAFです。WAFセンターが海外にある場合、タイムラグが1秒を超える可能性もあるので、事前の確認が必要です。
また、万が一WAFセンターが落ちてしまうと、そのセンターにつながっているすべてのWebアプリケーションへの通信ができなくなるので、要注意です。
こういったリスクを回避したいのであれば、エージェント連動型という、Webサーバへの通信をWAFセンターに転送して検知・遮断を行うタイプのものを選択するのがおすすめです。
まとめ
近年注目されているクラウドWAF。月額費用が安く抑えられることや導入のしやすさ、また運用工数の低さから、大手を含め多くの企業がクラウドWAFの導入を検討しています。
その中でも「攻撃遮断くん」は20,000サイト、国内No,1の導入実績です。AIを活用したシグネチャの自動更新により担当者の運用工数が削減できるのが、選ばれる要因のひとつでしょう。
企業の大事なWebサイトやWebサービスを、悪質なサイバー攻撃者から守るためには、攻撃遮断くんの導入をぜひご検討してみてはいかがでしょうか。
