SaaS型も候補に!失敗しない「WAF」選び

この記事をtweetする このエントリーをはてなブックマークに追加

失敗できないアナタを応援します IT製品選び方ガイド

SaaS型も候補に!失敗しない「WAF」選び

2010/03/15


 従来のファイアウォールはネットワークレベルで管理していることから、Webアプリケーションの脆弱性を狙った攻撃に対して十分な防御ができなかった。これに対し、WAFはアプリケーションレベルで管理していることから、プログラムに渡される入力内容などを直接検査することができ、不正と見なされたアクセス要求を遮断することができる。そこで、今回は今後の普及がおおいに期待されているWAFにスポットを当てて、その製品選びのポイントを詳しく紹介する。WAFの必要性や機能については「IT製品解体新書」で解説しているので、そちらも参考にしていただきたい。

WAF

※「WAF/SaaS型も候補に!失敗しない「WAF」選び」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「WAF/SaaS型も候補に!失敗しない「WAF」選び」の記事全文がお読みいただけます。

会員登録はこちら(無料)

WAFの基礎解説へ
WAFシェア情報へ


1

WAFの選び方

■製品選択の4つの視点

 Webサイト攻撃にさらされても被害を受けないようにするには、サーバOSやソフトウェアパッケージの各ベンダから提供される脆弱性修正パッチや安全設定を適用することはもちろんのこと、Webアプリケーションでのセキュアプログラミングが必要不可欠である。例えば、SQLインジェクション攻撃に対しては、「SQL文が注入される原因を作らない」「Webアプリケーションに渡されるパラメータにSQL文を直接指定しない」「エラーメッセージをそのままブラウザに表示しない」「データベースアカウントに適切な権限を与える」といったセキュアプログラミングが考えられる。
 しかし、セキュアプログラミングを実践するには時間とコスト、そしてセキュリティノウハウを持った技術者の確保が必要になることから、そう簡単には脆弱性を解消することができない。そこで、Webアプリケーションの改修が完了するまでの間、脆弱性をカバーしてくれるツールとしてWAF(Webアプリケーションファイアウォール)が誕生した。つまり、WAFを導入したらセキュアプログラミングの必要性がなくなるわけでないということだ。
 例えば、次のような脆弱性はWAFでは防御することができないので、Webアプリケーションの改修が必要となる。

脆弱なパスワードを許容している。

ログインに連続して失敗した場合のアカウントロック機構がない。

Cookieの中に重要な情報が含まれている。

アプリケーションロジックを推測できるHTMLコメント文が含まれている。

権限を持たないユーザが本来参照または変更できないデータにアクセスできてしまう。

認証済みのユーザだけが利用できる機能が認証なしで利用できてしまう。

 従って、まずセキュアプログラミングがどこまで実践されているかをよく確認することが先決だ。その上で、次の4つの視点からWAFの導入検討を行うとよい。

1:

ゲートウェイ型かホスト型か、あるいはSaaS型か

2:

ブラックリスト重視か、ホワイトリスト重視か

3:

運用のしやすさ

4:

サポート体制の充実度

要件1

ゲートウェイ型かホスト型か、あるいはSaaS型か

 WAFの場合、ハードウェアと一体になっているアプライアンス型(ゲートウェイ型)と、既存のWebサーバにインストールできるソフトウェア型(ホスト型)の2つのタイプの製品が市販されているので、まずどちらのタイプが自社ニーズにマッチしているかを見極めよう。
 両者の違いを比較した結果を表1に紹介する。アプライアンス型はWebアプリケーションのプラットフォーム/OSに依存せず、Webサーバが複数台ある場合でもレスポンスが許すかぎり1台のWAFで対応できる。また、Webサーバの設定を変更する必要もない。一方、ソフトウェア型はWebサーバ上で設定するだけで、ネットワーク構成の変更は必要ない。また、製品当たりのコストはアプライアンス型よりも低く、それぞれのWebサーバに適した設定が行える。
 両者のレスポンスに関しては、アプライアンス型はWAFのハードウェアに依存し、ソフトウェア型はWebサーバのハードウェアに依存する。従って、WAFを導入したいWebサーバの台数などから実際の負荷を割り出して必要なWAF数を判断する。

表1 WAFの提供形態による違い
表1 WAFの提供形態による違い
資料提供:バラクーダネットワークスジャパン
■SaaS型WAFも登場!

 従来のWAFではコスト的に導入が難しかった企業でも手軽にWAFを導入できるように、SaaS型WAFのサービスも始まっている。これはサービス事業者が管理するサービスセンタを経由する形でWAFの機能を提供するものだ。

図1 SaaS型WAFの例
図1 SaaS型WAFの例
自前でWAFを持つことなく、より安全なWebサービス環境を構築することができる。
資料提供:セキュアスカイ・テクノロジー

 このサービスでは、利用者のWebサーバが本来持つIPアドレスをサービスセンタのIPアドレスとなるようにDNSの設定を変更するだけで設定が完了する。このサービスの場合、防御機能としてブラックリスト方式を採用しており、シグネチャ更新機能もサポートされている。また、Webサイトが提供するサービスを停止することなく、WAF機能の導入および解除を行うことができ、専門のセキュリティ技術者を置く必要もない。さらに、最低利用期間は1ヵ月からというサービスを選択すれば、キャンペーンサイトなど、一定期間のみ利用したいという場合にも手軽に利用できる。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

WAF/SaaS型も候補に!失敗しない「WAF」選び」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「WAF」関連情報をランダムに表示しています。

WAF」関連の製品

クラウド型WAF「攻撃遮断くん」 【サイバーセキュリティクラウド】 TrustShelter/WAF 【NTTテクノクロス】 ID管理の複雑化を解消、クラウド時代のアクセスコントロールとは? 【東京エレクトロン デバイス+他】
WAF WAF WAF
情報漏えいを狙った脆弱性への攻撃や、DDoS攻撃によるサービス停止を防止するクラウド型WAF。導入サイト数は2000を超え、国内トップクラスの導入実績。 WebサイトやWebアプリを安全かつ快適に保つ――欠かせない「3つの機能」とは ID管理の複雑化を解消、クラウド時代のアクセスコントロールとは?

WAF」関連の特集


2014年はOpenSSL、Struts2、bash…と、深刻な脆弱性が次々に公表された。そこで、特…



 前回は、調達の仕様書作成段階におけるセキュリティの取り組みを概説し、その意義、留意事項等に触れた。…



 急増するWebサイトに対するハッキング攻撃にサイト運営者はどう対処すれば良いか、これからシリーズで…


WAF」関連のセミナー

実感、ウェブをとりまくサイバー攻撃とその対策最前線-名古屋 【ラック / アカマイ・テクノロジーズ:共同主催】 締切間近 

開催日 5月30日(火)   開催地 愛知県   参加費 無料

「企業の顔」であるウェブサイトを狙った攻撃は一層深刻さを増しています。WordPressの脆弱性を利用する攻撃が多数報告されたり、IoTを利用した超大規模DDo…

今、Webサービス提供事業者が直面している課題とその解決策 【NRIセキュアテクノロジーズ】  

開催日 4月27日(木),5月26日(金),6月29日(木)   開催地 東京都   参加費 無料

消費者向けWebサービスは、ID連携技術の浸透により、スマートフォンをはじめとしたマルチチャネル化、サービス間の連携など、ますます便利になる一方、リスト型アカウ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

WAF/ SaaS型も候補に!失敗しない「WAF」選び」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「WAF/ SaaS型も候補に!失敗しない「WAF」選び」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003452


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ