はじめに
Webサイトのセキュリティ対策は行っていますか?
インターネットトラフィックは年々増加しています。特にWebサイトは従来の用途に加えコンテンツ配信や、業務システムのWeb化も進んでおり、Webサイトの脆弱性を狙ったサイバー攻撃やWebサイトからの情報漏洩事件も増加しています。
引用:トラフィック情報(JPIX:2021年6月)
https://www.jpix.ad.jp/jp/technical_traffic.php
引用:警察庁 令和2年におけるサイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_cyber_jousei.pdf
今回はWebサイトの代表的なセキュリティ対策である「WAF(ワフ)」についての基本的な役割と仕組みを解説し、導入に当たってのポイントをご紹介したいと思います。
WAFの役割と仕組み
WAFの役割
WAF(ワフ)とはWeb Application Firewallの略です。
Webサイトの中で動作するアプリケーション(Web Application)を保護する防火壁(Firewall)の役割を提供します。
ここでいうWebアプリケーションとは、Webサイトの中で動作するアプリケーションのことです。例えば以下のようなものがあります。どれも生活に欠かせない身近なサービスですね。
- Gmail(メール)
- You Tube(動画視聴)
- ECサイト(ショッピング等)
- 金融取引(株、オンラインバンク等)
従来のファイアウォールとの違い
従来のファイアウォールはネットワークレイヤーの保護機能を提供するのに対し、WAFはWebアプリケーションレイヤーの保護機能を提供します。
https://www.ipa.go.jp/files/000017312.pdf
WAFの仕組み
ネットワークレイヤー、Webアプリケーションレイヤーなど聞き慣れない用語かもしれません。これはどういうことでしょうか?
インターネット通信の仕組みは「郵便」に似ています。
従来のファイアウォールが検査するネットワークレイヤーは郵便で例えると小包に記載された「宛先」と「差出人」を検査します。
WAFが検査するWebアプリケーションレイヤーは、小包の「中身」を検査します。
ファイアウォールとはその名の通り「防火壁」です。Webサイトには世界中から日々パケット(小包)が届きます。その中身まで検査してくれるWAFがいかに重要な「防火壁」であるかが想像できるかと思います。
WAFで守れるもの
「Webアプリケーションレイヤーの保護機能」「郵便の中身を検査する防火壁」と説明しました。ではWAFで具体的に何を守れるのでしょうか?Webサイトをどのような被害から守ることができるのでしょうか?
WAFは「シグネチャ」という「怪しい行動パターンリスト」を持っています。中身を検査した結果、このシグネチャに一致するアクセスがあった場合、通信を遮断します。
例えば、昨今37℃以上の体温があった場合、物理的に入場できないなどの規制はよく見かけますが、それと同じようなイメージです。
このように怪しい通信を遮断することで、情報漏洩、不正改ざん、Webサイトサービス停止といったリスクを回避することができます。攻撃手法で例を挙げるとWAFでは以下のような攻撃からの防御が可能です。
- Cookieを悪用した攻撃
- マルウェア、違反プロトコルを利用した攻撃
- SQLインジェクション攻撃
- クロスサイトスクリプティング攻撃
- トロイの木馬攻撃
- 不正な権限取得による操作
- 既知の脆弱性を突いた攻撃
参考:OWASP Project TOP 10
https://owasp.org/www-project-top-ten/
WAFで守れないもの
ではWAFを導入しておけば全ての攻撃を防御できるのでしょうか?残念ながらその認識は間違いです。WAFは全ての攻撃を防御できるものではありません。例えば新たな攻撃が発見された際など、シグネチャ(怪しい行動パターンリスト)が更新されていなければ検知することはできません。
IPAが提供する「安全なウェブサイトの運用管理に向けての20ヶ条 ~セキュリティ対策のチェックポイント~」ではWebサイトのセキュリティ対策について有効的な20ヶ条が紹介されています。注目すべきはWAFによるセキュリティ対策はあくまで一つの要素でしかないということです。
WAFはWebサイトのセキュリティを向上させますが、根本的対策ではなく被害の緩和策の位置づけであることと理解する必要があります。
引用:IPA独立行政法人 情報処理推進機構
「安全なウェブサイトの運用管理に向けての20ヶ条 ~セキュリティ対策のチェックポイント~」
https://www.ipa.go.jp/security/vuln/websitecheck.html
WAF導入のポイント
ここまでWAFの役割と仕組みについて解説してきました。ここからはWAF導入に当たってのポイントをご紹介したいと思います。
現状の確認
まずは、現状の確認を行います。ここでは主に保護対象Webサイトと自組織の状況を確認しています。後述するWAF導入に当たっての提供形態、自組織の方針・予算感を把握する上でもできる限り明確に確認するべきであると考えます。
保護対象Webサイトへ対する確認
- どのような目的のサイトか?(Webサイトの種類)
- どのような情報を取り扱っているか?
- いつまで公開するか?(公開期限)
以下に例を記載します。
目的 | Webサイトの種類 | 取り扱い情報 | 公開期限 |
会社の情報を伝えたい | コーポレートサイト | テキスト情報のみ | 恒久 |
広告を使い短期的な集客に取り組みたい | ランディングページ キャンペーンサイト | サービス情報 資料請求フォーム | 数ヶ月 |
取引先企業とのデータ授受 | 業務システム (自社開発) | 利用者情報 ファイルデータ | 3年 |
自組織に対する確認
- セキュリティに対する取り組み状況(自組織、取引先企業、パートナー企業等)
- WAF導入の契機は事前対策か?事後対策か?(脆弱性が発見されている?既に被害が出ている?)
- セキュリティを担当する専任者または専任チームを組織できるのか?
近年ではセキュリティ対策においてもサプライチェーンリスクマネジメントが必要です。自組織だけでなく、インシデント発生時、取引先企業へ与える影響等も考慮する必要があるでしょう。
WAFの提供形態
次にWAFの提供形態をご紹介します。それぞれ「WAFの置き場所」に違いがあります。
- サービス型 :WAFを他の場所に置く
- ソフトウェア型 :WAFをWebサイトの中に置く
- アプライアンス型 :WAFをWebサイトのネットワーク内に置く
それぞれの特徴については、後述する各種ポイントで説明します。まずはこのように「WAFは置き場所を選べる」という点を認識いただければと思います。
これから説明するポイントは、WAF機能の優劣比較ではありません。最初に確認したWeサイトの目的と自組織の運用体制に見合った導入・運用コスト(費用と稼働)のバランスをいかに取るかという点にフォーカスしています。
WAF導入のポイント
主なポイントを3点ご紹介します。
- 調達期間(いつから始めたいか?)
- 既存環境への影響(ネットワークの構成変更発生、Webサイトへの影響、他システムへの影響)
- 運用負荷(設定自由度と運用のリソース)
1.調達期間
それぞれの導入形態における調達期間の特徴は以下の通りです。
サービス型
- 製品調達が不要でサービスとしてすぐに利用開始できる
- 利用開始に必要な情報は主にDNS(Domain Name Service)情報、SSL証明書等
- 主に月額単位での利用
- トラフィック量によってサービス利用プランを選択できる
ソフトウェア型
- 専用機器がないため物理的な調達は不要だがライセンスの調達は必要
- 主に提供機能によりライセンスを選択
- 主に年額単位での利用
アプライアンス型
- 専用機器とライセンスのライセンスが必要
- 専用機器に対するハードウェア保証などの手続きも必要
- 資産としての取り扱いとなることが多い
- ハードウェア寿命は減価償却同等5年程度であることが多い
調達期間によるポイントは運用開始までの速さと、更新のタイミングです。やはりサービス型は手元に必要な情報があればすぐに開始できるという点では最短でWAFの導入が可能です。早急に導入が必要なケースや短期的な利用に向いています。
ソフトウェア型もライセンスのみである為、比較的短納期での調達が可能でしょう。
アプライアンス型は調達手続きが多く機器の規模や国内製品、海外製品等在庫状況によっても影響されることが予想されます。
恒久的に運用されるWebサイト等はある程度まとまった期間で利用契約やライセンを購入することで更新にかかるコストを抑えることができます。
2.既存環境への影響
それぞれの導入形態における特徴は以下の通りです。
サービス型
- ネットワークの構成変更は不要
- 既存環境へ対する負荷はなし
- 保護対象Webサイトはサービス提供事業者が提供するWAFプラットフォームから転送された通信のみとするアクセス制限を設定すると尚良い
ソフトウェア型
- ネットワークの構成変更は不要
- 保護対象Webサイトと同じサーバ内でWAFも稼働することから、1台に対する負荷が高くなる可能性がある
- 1台のサーバ内で稼働するため他システムへの影響はなし
アプライアンス型
- 環境に合わせネットワークの構成変更が必要
- 専用の機器で動作するため既存環境へ対する負荷はほとんどなし
- ネットワークの経路上に設置することで、他サーバや業務パソコンに対して影響が発生する可能性がある
既存環境への影響によるポイントはネットワークの構成変更と、Webサイトへの負荷と、他システムへの影響です。サービス型はWebサイトへのアクセス経路が変わるだけですので、影響、負荷ともにほとんど変更なく利用できます。
ソフトウェア型もネットワークや他システムへの変更はありませんが、Webサーバへの負荷が高くなり、逆にアプライアンス型はネットワークや他システムへの影響は発生しますがWebサーバへの負荷には変わりません。
アプライアンス型はWebサイト以外のセキュリティ面も対策できる可能性があります。自組織としてのセキュリティ対策方針によっては追加投資できるポイントでもあります。
3.運用負荷
それぞれの導入形態における特徴は以下の通りです。
サービス型
- 自由度はサービスで定められた範囲内での設定のみ
- WAFのルール設定はサービス事業者で予め用意されていることが多い
- 設定変更、ログ確認など大半のメンテナンスはサービス事業者で実施
ソフトウェア型、アプライアンス型
- 独自の設定変更が可能
- WAFのルール設定は自らが実施する
- 設定変更、ログ確認含め日常的なメンテナンスも自ら実施する
自組織でメンテナンスを行う体制を確保できるか否かが前提ではありますが、運用に対するポイントは、設定の自由度と運用面における責任分界点です。
WAFの置き場所が近いほど設計の自由度は上がりますが、運用負荷も高くなる傾向があります。
事前に十分な試験運転が必要なケースや、保護する対象が業務システムのようなものであった場合、精度の高い運用を求められる可能性があります。
ポイントの解説は以上です。導入のポイントをまとめると以下の通りになります。
また現状確認の例で先述した各種Webサイトの検討結果を参考として記載します。
コーポレートサイトは導入時期を急がない且つ恒久的に表示されるものであり、通信量も大きく増える見込みがないため、5年分のソフトウェア型WAFライセンスを購入し導入した。
キャンペーンサイトにおいて全てのページではなく、資料請求ページのみに対し、早急にセキュリティ対策を実施するため、半年程度の利用を想定しサービス型WAFの利用を申し込んだ。
自社開発の業務システムは、取引先との長期的な協業を目的にセキュリティ対策に投資することを決め、アプライアンス型WAFを始めとするネットワーク構成を全体的に更改することに決めた。
以上、例ではありますが、このように目的と状況に応じて導入形態や運用を選択することができると思います。
長期的な運用についてはアウトソースも検討する
自組織内で、運用・管理に費やす人員を確保できないことも考えられます。先述した通り、WAFは根本対策ではなく被害の緩和策の位置づけであることを理解する必要があります。
多くの中小企業では、Webサイト、Webアプリケーションの開発・制作を委託している場合もありますし、一朝一夕でセキュリティ対策が完了するものではありません。
限られたリソースでセキュリティ対策を「完璧」に行うのは大変困難な作業です。保護対象Webサイトの特徴を踏まえた上で適切なセキュリティ対策を計画すること大切です。
WAFの運用のみならずセキュリティ運用を支援してくれるサービスは多数存在しますので、アウトソースも検討の選択肢としていただくのが良いでしょう
参考:JNSA(日本ネットワークセキュリティ協会)サービスソリューションガイド
https://www.jnsa.org/JNSASolutionGuide/IndexAction.do
最後に
今回はWebサイトの代表的なセキュリティ対策であるWAFについての基本的な役割と仕組みを解説し、導入に当たってのポイントをご紹介しました。
WAFは抜本的な改善ではありませんが効果は絶大です。Webサイトが生み出す利益と運用コストのバランスを見て導入しましょう。
本記事はIPA「Web Application Firewallの導入に向けた検討項目」を参考に筆者の独自の視点を踏まえ記載しています。より詳細を検討されたい場合、以下の資料をご参照いただくことを推奨いたします。
引用:IPA独立行政法人 情報処理推進機構「Web Application Firewallの導入に向けた検討項目」
https://www.ipa.go.jp/files/000072484.pdf