SaaS型も候補に!失敗しない「WAF」選び

この記事をtweetする このエントリーをはてなブックマークに追加

失敗できないアナタを応援します IT製品選び方ガイド

SaaS型も候補に!失敗しない「WAF」選び

2010/03/15


 従来のファイアウォールはネットワークレベルで管理していることから、Webアプリケーションの脆弱性を狙った攻撃に対して十分な防御ができなかった。これに対し、WAFはアプリケーションレベルで管理していることから、プログラムに渡される入力内容などを直接検査することができ、不正と見なされたアクセス要求を遮断することができる。そこで、今回は今後の普及がおおいに期待されているWAFにスポットを当てて、その製品選びのポイントを詳しく紹介する。WAFの必要性や機能については「IT製品解体新書」で解説しているので、そちらも参考にしていただきたい。

WAF

※「WAF/SaaS型も候補に!失敗しない「WAF」選び」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「WAF/SaaS型も候補に!失敗しない「WAF」選び」の記事全文がお読みいただけます。

会員登録はこちら(無料)

WAFの基礎解説へ
WAFシェア情報へ


1

WAFの選び方

■製品選択の4つの視点

 Webサイト攻撃にさらされても被害を受けないようにするには、サーバOSやソフトウェアパッケージの各ベンダから提供される脆弱性修正パッチや安全設定を適用することはもちろんのこと、Webアプリケーションでのセキュアプログラミングが必要不可欠である。例えば、SQLインジェクション攻撃に対しては、「SQL文が注入される原因を作らない」「Webアプリケーションに渡されるパラメータにSQL文を直接指定しない」「エラーメッセージをそのままブラウザに表示しない」「データベースアカウントに適切な権限を与える」といったセキュアプログラミングが考えられる。
 しかし、セキュアプログラミングを実践するには時間とコスト、そしてセキュリティノウハウを持った技術者の確保が必要になることから、そう簡単には脆弱性を解消することができない。そこで、Webアプリケーションの改修が完了するまでの間、脆弱性をカバーしてくれるツールとしてWAF(Webアプリケーションファイアウォール)が誕生した。つまり、WAFを導入したらセキュアプログラミングの必要性がなくなるわけでないということだ。
 例えば、次のような脆弱性はWAFでは防御することができないので、Webアプリケーションの改修が必要となる。

脆弱なパスワードを許容している。

ログインに連続して失敗した場合のアカウントロック機構がない。

Cookieの中に重要な情報が含まれている。

アプリケーションロジックを推測できるHTMLコメント文が含まれている。

権限を持たないユーザが本来参照または変更できないデータにアクセスできてしまう。

認証済みのユーザだけが利用できる機能が認証なしで利用できてしまう。

 従って、まずセキュアプログラミングがどこまで実践されているかをよく確認することが先決だ。その上で、次の4つの視点からWAFの導入検討を行うとよい。

1:

ゲートウェイ型かホスト型か、あるいはSaaS型か

2:

ブラックリスト重視か、ホワイトリスト重視か

3:

運用のしやすさ

4:

サポート体制の充実度

要件1

ゲートウェイ型かホスト型か、あるいはSaaS型か

 WAFの場合、ハードウェアと一体になっているアプライアンス型(ゲートウェイ型)と、既存のWebサーバにインストールできるソフトウェア型(ホスト型)の2つのタイプの製品が市販されているので、まずどちらのタイプが自社ニーズにマッチしているかを見極めよう。
 両者の違いを比較した結果を表1に紹介する。アプライアンス型はWebアプリケーションのプラットフォーム/OSに依存せず、Webサーバが複数台ある場合でもレスポンスが許すかぎり1台のWAFで対応できる。また、Webサーバの設定を変更する必要もない。一方、ソフトウェア型はWebサーバ上で設定するだけで、ネットワーク構成の変更は必要ない。また、製品当たりのコストはアプライアンス型よりも低く、それぞれのWebサーバに適した設定が行える。
 両者のレスポンスに関しては、アプライアンス型はWAFのハードウェアに依存し、ソフトウェア型はWebサーバのハードウェアに依存する。従って、WAFを導入したいWebサーバの台数などから実際の負荷を割り出して必要なWAF数を判断する。

表1 WAFの提供形態による違い
表1 WAFの提供形態による違い
資料提供:バラクーダネットワークスジャパン
■SaaS型WAFも登場!

 従来のWAFではコスト的に導入が難しかった企業でも手軽にWAFを導入できるように、SaaS型WAFのサービスも始まっている。これはサービス事業者が管理するサービスセンタを経由する形でWAFの機能を提供するものだ。

図1 SaaS型WAFの例
図1 SaaS型WAFの例
自前でWAFを持つことなく、より安全なWebサービス環境を構築することができる。
資料提供:セキュアスカイ・テクノロジー

 このサービスでは、利用者のWebサーバが本来持つIPアドレスをサービスセンタのIPアドレスとなるようにDNSの設定を変更するだけで設定が完了する。このサービスの場合、防御機能としてブラックリスト方式を採用しており、シグネチャ更新機能もサポートされている。また、Webサイトが提供するサービスを停止することなく、WAF機能の導入および解除を行うことができ、専門のセキュリティ技術者を置く必要もない。さらに、最低利用期間は1ヵ月からというサービスを選択すれば、キャンペーンサイトなど、一定期間のみ利用したいという場合にも手軽に利用できる。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

WAF/SaaS型も候補に!失敗しない「WAF」選び」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「WAF」関連情報をランダムに表示しています。

WAF」関連の製品

Barracuda Web Application Firewall 【バラクーダネットワークスジャパン】 SPPDレンタルサーバー 専用サーバー 【プレイングネットワーク】 負荷分散だけではない、BIG-IPが企業にもたらす多様なソリューション 【ネットワールド】
WAF ホスティング その他ネットワークセキュリティ関連
ファイアウォールやIDS/IPSで保護できない、Webサイトへの外部からの不正アクセスを防御。SQLインジェクションやXSSなどによる顧客情報流出やWebサービス停止を確実に防止 用途に合わせて選べる全5コースを用意し、最も安価なエントリーコースでも運用保守を任せられるフルマネージドを実現した法人向けレンタルサーバー。Linux/Windows対応。 「BIG-IP」といえば負荷分散、そんな思い込みを持つ方は少なくない。しかしクラウドの普及やサイバー攻撃の増加といったIT環境の変化に適用する機能を豊富に用意している。

WAF」関連の特集


 連日と言っていいほどサイバー犯罪のニュースを耳にするようになったと思うが、この増加傾向は何を表して…



 「ファジングのおさらい」をしたところで、今回はファジングの実践方法を説明する。ある製品に対してファ…



市場拡大を続ける中国において、2017年6月1日より施行された「中国サイバーセキュリティ法」。急務と…


WAF」関連のセミナー

Webサイトセキュリティ対策セミナー 【NRIセキュアテクノロジーズ/Imperva Japan】  

開催日 11月9日(木),12月8日(金)   開催地 東京都   参加費 無料

■14:30 開場・受付開始 ■15:00 〜 15:40 セッション1 グローバルの最新脅威動向とImperva WAFの優位性セキュリティ分野のリーダーとし…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

WAF/ SaaS型も候補に!失敗しない「WAF」選び」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「WAF/ SaaS型も候補に!失敗しない「WAF」選び」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003452


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ