SaaS型も候補に!失敗しない「WAF」選び

この記事をtweetする このエントリーをはてなブックマークに追加

失敗できないアナタを応援します IT製品選び方ガイド

SaaS型も候補に!失敗しない「WAF」選び

2010/03/15


 従来のファイアウォールはネットワークレベルで管理していることから、Webアプリケーションの脆弱性を狙った攻撃に対して十分な防御ができなかった。これに対し、WAFはアプリケーションレベルで管理していることから、プログラムに渡される入力内容などを直接検査することができ、不正と見なされたアクセス要求を遮断することができる。そこで、今回は今後の普及がおおいに期待されているWAFにスポットを当てて、その製品選びのポイントを詳しく紹介する。WAFの必要性や機能については「IT製品解体新書」で解説しているので、そちらも参考にしていただきたい。

WAF

※「WAF/SaaS型も候補に!失敗しない「WAF」選び」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「WAF/SaaS型も候補に!失敗しない「WAF」選び」の記事全文がお読みいただけます。

会員登録はこちら(無料)

WAFの基礎解説へ
WAFシェア情報へ


1

WAFの選び方

■製品選択の4つの視点

 Webサイト攻撃にさらされても被害を受けないようにするには、サーバOSやソフトウェアパッケージの各ベンダから提供される脆弱性修正パッチや安全設定を適用することはもちろんのこと、Webアプリケーションでのセキュアプログラミングが必要不可欠である。例えば、SQLインジェクション攻撃に対しては、「SQL文が注入される原因を作らない」「Webアプリケーションに渡されるパラメータにSQL文を直接指定しない」「エラーメッセージをそのままブラウザに表示しない」「データベースアカウントに適切な権限を与える」といったセキュアプログラミングが考えられる。
 しかし、セキュアプログラミングを実践するには時間とコスト、そしてセキュリティノウハウを持った技術者の確保が必要になることから、そう簡単には脆弱性を解消することができない。そこで、Webアプリケーションの改修が完了するまでの間、脆弱性をカバーしてくれるツールとしてWAF(Webアプリケーションファイアウォール)が誕生した。つまり、WAFを導入したらセキュアプログラミングの必要性がなくなるわけでないということだ。
 例えば、次のような脆弱性はWAFでは防御することができないので、Webアプリケーションの改修が必要となる。

脆弱なパスワードを許容している。

ログインに連続して失敗した場合のアカウントロック機構がない。

Cookieの中に重要な情報が含まれている。

アプリケーションロジックを推測できるHTMLコメント文が含まれている。

権限を持たないユーザが本来参照または変更できないデータにアクセスできてしまう。

認証済みのユーザだけが利用できる機能が認証なしで利用できてしまう。

 従って、まずセキュアプログラミングがどこまで実践されているかをよく確認することが先決だ。その上で、次の4つの視点からWAFの導入検討を行うとよい。

1:

ゲートウェイ型かホスト型か、あるいはSaaS型か

2:

ブラックリスト重視か、ホワイトリスト重視か

3:

運用のしやすさ

4:

サポート体制の充実度

要件1

ゲートウェイ型かホスト型か、あるいはSaaS型か

 WAFの場合、ハードウェアと一体になっているアプライアンス型(ゲートウェイ型)と、既存のWebサーバにインストールできるソフトウェア型(ホスト型)の2つのタイプの製品が市販されているので、まずどちらのタイプが自社ニーズにマッチしているかを見極めよう。
 両者の違いを比較した結果を表1に紹介する。アプライアンス型はWebアプリケーションのプラットフォーム/OSに依存せず、Webサーバが複数台ある場合でもレスポンスが許すかぎり1台のWAFで対応できる。また、Webサーバの設定を変更する必要もない。一方、ソフトウェア型はWebサーバ上で設定するだけで、ネットワーク構成の変更は必要ない。また、製品当たりのコストはアプライアンス型よりも低く、それぞれのWebサーバに適した設定が行える。
 両者のレスポンスに関しては、アプライアンス型はWAFのハードウェアに依存し、ソフトウェア型はWebサーバのハードウェアに依存する。従って、WAFを導入したいWebサーバの台数などから実際の負荷を割り出して必要なWAF数を判断する。

表1 WAFの提供形態による違い
表1 WAFの提供形態による違い
資料提供:バラクーダネットワークスジャパン
■SaaS型WAFも登場!

 従来のWAFではコスト的に導入が難しかった企業でも手軽にWAFを導入できるように、SaaS型WAFのサービスも始まっている。これはサービス事業者が管理するサービスセンタを経由する形でWAFの機能を提供するものだ。

図1 SaaS型WAFの例
図1 SaaS型WAFの例
自前でWAFを持つことなく、より安全なWebサービス環境を構築することができる。
資料提供:セキュアスカイ・テクノロジー

 このサービスでは、利用者のWebサーバが本来持つIPアドレスをサービスセンタのIPアドレスとなるようにDNSの設定を変更するだけで設定が完了する。このサービスの場合、防御機能としてブラックリスト方式を採用しており、シグネチャ更新機能もサポートされている。また、Webサイトが提供するサービスを停止することなく、WAF機能の導入および解除を行うことができ、専門のセキュリティ技術者を置く必要もない。さらに、最低利用期間は1ヵ月からというサービスを選択すれば、キャンペーンサイトなど、一定期間のみ利用したいという場合にも手軽に利用できる。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

WAF/SaaS型も候補に!失敗しない「WAF」選び」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「WAF」関連情報をランダムに表示しています。

WAF」関連の製品

実は導入率がかなり低いIDS/IPS 運用負荷を理由に未導入で本当にいいのか 【日本アイ・ビー・エム株式会社】 クラウド型(SaaS型)WAFサービス Scutum(スキュータム) 【セキュアスカイ・テクノロジー】 Limelight Content Delivery Network 【ライムライト・ネットワークス・ジャパン】
IPS WAF CDN
実は導入率がかなり低いIDS/IPS 運用負荷を理由に未導入で本当にいいのか 顧客情報流出や改ざんの防止、リスト型攻撃などユーザ認証や新たな脅威も適切に防御するクラウド型WAFサービス。導入後に必要な運用もすべてお任せ。 デジタルデータやコンテンツを多様なデバイスに安全かつスムーズに届けることができるコンテンツ配信ソリューション。
ウェブサイトセキュリティをCDN経由で担保。

WAF」関連の特集


企業の脆弱性を狙うサイバー攻撃が増加傾向にある現在。高い精度で検知・防御が可能なIPS製品への注目が…



実際のところ、現状の届出数はどれくらいあるのか?業種別ではどこが最も狙われているのか?企業が取るべき…



 仮想化技術は、昨今注目されるITの新潮流のひとつであるが、仮想化環境の導入の要因のひとつとしてレガ…


WAF」関連のセミナー

ECサイト・WEBサイト高負荷対策 セキュリティ対策セミナー 【ディーネット/Jストリーム/ニフティ/デジカ/NHNテコラス】  

開催日 4月13日(木)   開催地 東京都   参加費 無料

16時 受付開始 EC・WEBサイト運営に関わる問題を解決します! 〜高負荷対策の事前検証とチューニング〜24時間365日マネージド運用まで〜■アプリケーショ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

WAF/ SaaS型も候補に!失敗しない「WAF」選び」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「WAF/ SaaS型も候補に!失敗しない「WAF」選び」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003452


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ