SaaS型も候補に!失敗しない「WAF」選び

この記事をtweetする このエントリーをはてなブックマークに追加

失敗できないアナタを応援します IT製品選び方ガイド

SaaS型も候補に!失敗しない「WAF」選び

2010/03/15


 従来のファイアウォールはネットワークレベルで管理していることから、Webアプリケーションの脆弱性を狙った攻撃に対して十分な防御ができなかった。これに対し、WAFはアプリケーションレベルで管理していることから、プログラムに渡される入力内容などを直接検査することができ、不正と見なされたアクセス要求を遮断することができる。そこで、今回は今後の普及がおおいに期待されているWAFにスポットを当てて、その製品選びのポイントを詳しく紹介する。WAFの必要性や機能については「IT製品解体新書」で解説しているので、そちらも参考にしていただきたい。

WAF

※「WAF/SaaS型も候補に!失敗しない「WAF」選び」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「WAF/SaaS型も候補に!失敗しない「WAF」選び」の記事全文がお読みいただけます。

会員登録はこちら(無料)

WAFの基礎解説へ
WAFシェア情報へ


1

WAFの選び方

■製品選択の4つの視点

 Webサイト攻撃にさらされても被害を受けないようにするには、サーバOSやソフトウェアパッケージの各ベンダから提供される脆弱性修正パッチや安全設定を適用することはもちろんのこと、Webアプリケーションでのセキュアプログラミングが必要不可欠である。例えば、SQLインジェクション攻撃に対しては、「SQL文が注入される原因を作らない」「Webアプリケーションに渡されるパラメータにSQL文を直接指定しない」「エラーメッセージをそのままブラウザに表示しない」「データベースアカウントに適切な権限を与える」といったセキュアプログラミングが考えられる。
 しかし、セキュアプログラミングを実践するには時間とコスト、そしてセキュリティノウハウを持った技術者の確保が必要になることから、そう簡単には脆弱性を解消することができない。そこで、Webアプリケーションの改修が完了するまでの間、脆弱性をカバーしてくれるツールとしてWAF(Webアプリケーションファイアウォール)が誕生した。つまり、WAFを導入したらセキュアプログラミングの必要性がなくなるわけでないということだ。
 例えば、次のような脆弱性はWAFでは防御することができないので、Webアプリケーションの改修が必要となる。

脆弱なパスワードを許容している。

ログインに連続して失敗した場合のアカウントロック機構がない。

Cookieの中に重要な情報が含まれている。

アプリケーションロジックを推測できるHTMLコメント文が含まれている。

権限を持たないユーザが本来参照または変更できないデータにアクセスできてしまう。

認証済みのユーザだけが利用できる機能が認証なしで利用できてしまう。

 従って、まずセキュアプログラミングがどこまで実践されているかをよく確認することが先決だ。その上で、次の4つの視点からWAFの導入検討を行うとよい。

1:

ゲートウェイ型かホスト型か、あるいはSaaS型か

2:

ブラックリスト重視か、ホワイトリスト重視か

3:

運用のしやすさ

4:

サポート体制の充実度

要件1

ゲートウェイ型かホスト型か、あるいはSaaS型か

 WAFの場合、ハードウェアと一体になっているアプライアンス型(ゲートウェイ型)と、既存のWebサーバにインストールできるソフトウェア型(ホスト型)の2つのタイプの製品が市販されているので、まずどちらのタイプが自社ニーズにマッチしているかを見極めよう。
 両者の違いを比較した結果を表1に紹介する。アプライアンス型はWebアプリケーションのプラットフォーム/OSに依存せず、Webサーバが複数台ある場合でもレスポンスが許すかぎり1台のWAFで対応できる。また、Webサーバの設定を変更する必要もない。一方、ソフトウェア型はWebサーバ上で設定するだけで、ネットワーク構成の変更は必要ない。また、製品当たりのコストはアプライアンス型よりも低く、それぞれのWebサーバに適した設定が行える。
 両者のレスポンスに関しては、アプライアンス型はWAFのハードウェアに依存し、ソフトウェア型はWebサーバのハードウェアに依存する。従って、WAFを導入したいWebサーバの台数などから実際の負荷を割り出して必要なWAF数を判断する。

表1 WAFの提供形態による違い
表1 WAFの提供形態による違い
資料提供:バラクーダネットワークスジャパン
■SaaS型WAFも登場!

 従来のWAFではコスト的に導入が難しかった企業でも手軽にWAFを導入できるように、SaaS型WAFのサービスも始まっている。これはサービス事業者が管理するサービスセンタを経由する形でWAFの機能を提供するものだ。

図1 SaaS型WAFの例
図1 SaaS型WAFの例
自前でWAFを持つことなく、より安全なWebサービス環境を構築することができる。
資料提供:セキュアスカイ・テクノロジー

 このサービスでは、利用者のWebサーバが本来持つIPアドレスをサービスセンタのIPアドレスとなるようにDNSの設定を変更するだけで設定が完了する。このサービスの場合、防御機能としてブラックリスト方式を採用しており、シグネチャ更新機能もサポートされている。また、Webサイトが提供するサービスを停止することなく、WAF機能の導入および解除を行うことができ、専門のセキュリティ技術者を置く必要もない。さらに、最低利用期間は1ヵ月からというサービスを選択すれば、キャンペーンサイトなど、一定期間のみ利用したいという場合にも手軽に利用できる。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

WAF/SaaS型も候補に!失敗しない「WAF」選び」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「WAF」関連情報をランダムに表示しています。

WAF」関連の製品

CLEARSWIFT SECURE Web Gateway 【日立ソリューションズ】 Barracuda Load Balancer ADC 【バラクーダネットワークスジャパン】 次世代クラウドセキュリティ対策ソリューション Gresシリーズ 【グレスアベイル】
WAF ADC/ロードバランサ ファイアウォール
Webセキュリティに必要なURLフィルタリング、ウイルス対策などの機能をオールインワンで提供。 トラフィックを複数のサーバーへ負荷分散する機能やフェールオーバ機能などに加え、本格的なWAF(Web Application Firewall)機能を標準搭載した高機能なADC製品 次世代仮想化ファイアウォールや標的型攻撃対策サンドボックス、マルウェア解析サービスなど、高性能のセキュリティ製品をラインナップしたセキュリティトータルサービス。

WAF」関連の特集


 本連載の最終回である本記事では、大手ソフトウェア企業のファジング活用事例とIPAにおける「脆弱性検…



Webサーバを運用するお客様から、「自社のWebサイトがニセのGooglebotにクローリングされて…



 前回、説明したとおり、この1年は“潮目を切る”劇的変化を迎えた年であった。特に「情報流出」に関して…


WAF」関連のセミナー

AWS初心者と中級者向けの運用管理セミナー 【主催:ソニーネットワークコミュニケーションズ 共催:アマゾン ウェブ サービス ジャパン】 注目 

開催日 7月5日(木)   開催地 東京都   参加費 無料

AWSの強みは圧倒的な実績や豊富で先進的なサービス群だけではありません。実はセキュリティ性と運用管理性の高さが評価され、「用途拡大」されているケースが数多くあり…

AWS初心者と中級者向けの運用管理セミナー 【主催:ソニーネットワークコミュニケーションズ 共催:アマゾン ウェブ サービス ジャパン】  

開催日 7月27日(金)   開催地 大阪府   参加費 無料

AWSの強みは圧倒的な実績や豊富で先進的なサービス群だけではありません。実はセキュリティ性と運用管理性の高さが評価され、「用途拡大」されているケースが数多くあり…

PCI DSS 実践ソリューションセミナー 【NRIセキュアテクノロジーズ/ユービーセキュア】  

開催日 7月30日(月)   開催地 東京都   参加費 無料

2018年3月にクレジット取引セキュリティ対策協議会の「実行計画」が発表され、6月には改正割賦販売法が改正される等、カード会社様だけでなく、加盟店様、サービスプ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

WAF/ SaaS型も候補に!失敗しない「WAF」選び」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「WAF/ SaaS型も候補に!失敗しない「WAF」選び」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003452


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ