世界的にみると、日本企業のサイバーセキュリティ対策は弱く、サイバー攻撃への意識も低いと言われています。
参考記事:
週刊東洋経済Plus「日本企業のあまりに劣る『セキュリティ戦略』」
日経xTECH「日本企業はサイバー攻撃の検知能力が12カ国中最低、調査で判明した弱点」
日本企業で、一番セキュリティ対策が出来ていない部分は公開サーバ部分のセキュリティです。
よく聞くのは「うちの企業はWAFは入れてないけど、他のセキュリティ対策をしているから大丈夫」という言葉ですが、実際のところセキュリティは1つを行えばすべてをカバーできる、ということはありません。また、この考えはセキュリティに抜けが発生する原因であり、非常に危険です。
このセキュリティに対するあまい考え方によって、サイバー攻撃を受け、情報漏洩やマルウェアの混入、感染などを引き起こしてしまった場合、顧客からの信頼を失う可能性が高くなります。
信頼を得るのは大変な積み重ねが必要ですが、信頼を失うのは一瞬です。また、信頼を失ったら取り返すのはさらに時間と労力がかかります。
セキュリティ対策不足によって信頼を失うようなことがないようにOSやウィルスソフトを最新バージョンにするだけでなく、WAFを導入し多層的なサイバー攻撃対策をお勧めします。
海外ではすでにWAFはセキュリティ対策で大きな効果が期待できる手法として採用している企業は多くあります。
今回は、日本の企業でも導入が進んできているWAFのメリットや効果についてご紹介いたします。
WAFとは
WAF(ワフ/ Web Application Firewall)は、Webサイトの前面に配置することでSQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクション、パスワードリスト攻撃などのサイバー攻撃を防ぎます。
ファイアウォール(FW)やIPSを含めたセキュリティ対策製品はそれぞれの得意分野があるので、守るべきものを明確にして各製品を使い分けることで効果的な対策ができます。
WAFの種類
WAFといっても種類はさまざまで、大きくわけるとアプライアンス型WAF、ソフトウェア型WAF、クラウド型WAFがあります。
WAFを構築するアプライアンス型WAF(ハードウェア)
既存のネットワーク上に専用ハードウェアを設置します。Webサーバの台数や環境に左右されません。
サーバ台数が多いとコストパフォーマンスが良く、堅牢なWAF環境を構築することが可能です。
ただし導入時のコストが高く、年間保守や運用管理がかかります。
導入も長期化する場合がありますので、管理者の負担もかかります。
WAFをインストールするソフトウェア型WAF
既存のサーバにインストールするWAFです。
専用ハードウェアや汎用サーバの設置不要で安価に導入できます。
サーバに製品をインストールするので、サーバ台数が多いとコストがかかります。
年間保守や運用管理がかかるので、ランニングコストがかかります。
DNSを切り替えて導入するクラウド型WAF
クラウド上にある仮想アプライアンス型のWAFです。
導入時にはネットワーク設定(DNS)の一部を変更して利用することが可能です。
運用はサービス提供側が行うので、脆弱性の対応やチューニングなどの作業が不要で、機器の購入も不要なため、安価で導入することができます。
また、システムの運用もベンダー任せなので負担が少なく、総合的にコストダウンできます。
しかし、セキュリティ性能はサービス提供者に委ねられる部分が多く、実績などを確認して慎重に選定する必要があります。新しい脆弱性などが登場した時に早急な対応ができるかどうかも業者選定の大きな理由の一つになります。
WAFを導入するメリットと効果
WAFを導入することで、多岐に渡るサイバー攻撃を防ぐことができます。
例えば、クラウド型WAFの「攻撃遮断くん」では下記のサイバー攻撃を防ぐ効果があります。
これらはファイアウォールはIPS/IDSでは防ぐことのできない攻撃ですので、従来のセキュリティ製品だけでは、
セキュリティ対策は不完全ということがわかります。
また、すぐに対応できない脆弱性もカバーすることができます。
開発環境や体制が整っていない場合、なかなか改修作業を行うことは難しかったりします。
だからといってそのままの状態にしておくことは非常に危険で、攻撃者の標的になってしまいます。
WAFはこういった「すぐには対応できない」という脆弱性もしっかりとカバーすることができます。
WAFを導入するとPCI DSSの要件もクリアできる
PCI DSSはPayment Card Industry Data Security Standardの略で、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。
こちらの要件6.6ではWAFを導入することの必要性を定義しています。
すべてのWebに面したアプリケーションは,以下のどちらかの手法を適用することで,既知の攻撃から防護されなければならない。
- カスタム・アプリケーション・コードについては、アプリケーションセキュリティに特化した組織に依頼して、一般的な脆弱性についての見直しをしてもらう。
- Webに面したアプリケーションの手前に、アプリケーション・レイヤー・ファイアウォールをインストールする。
注:この手法は2008年6月30日まではベストプラクティスの一つであるが、その後は必須要件となる。
こちらの条件が必須になる業界は主に金融業や流通業メディア、製造業などですが、それ以外の業界の方でも個人情報などの大切な情報を持っている場合はWAFを導入してしっかりとカバーすることが重要となります。
参考URL:
日本カード情報セキュリティ協議会 PSCIDSSとは
PSIDSS WAFを設置しなければならない
WAFを導入するメリットまとめ
Webサービスのセキュリティ対策手法の一つであるWAFの種類とそれぞれの特徴について紹介しました。クラウド型WAFの「攻撃遮断くん」であれば、高品質なサービスを最短2営業日で導入することが可能です。
面倒な運用やホワイトリストなどのチューニングも全て弊社で行うので心配はございません。
また、困った時には24時間365日開設しているサポート窓口もありますので、緊急対応も問題ありません。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選ぶのが大切です。
いかがでしたでしょうか。
まだまだ日本ではWAFの認知度が低いのが現状です。
しかし、対策している企業も増えてきて、今後は二極化が進むと思われます。
この機会に自社のセキュリティ状況を再確認してみてはいかがでしょうか。
(2017/2/24 執筆、2020/1/6修正・加筆、2021/7/13修正・加筆)
