SaaS型も候補に!失敗しない「WAF」選び

この記事をtweetする このエントリーをはてなブックマークに追加

失敗できないアナタを応援します IT製品選び方ガイド

SaaS型も候補に!失敗しない「WAF」選び

2010/03/15


 従来のファイアウォールはネットワークレベルで管理していることから、Webアプリケーションの脆弱性を狙った攻撃に対して十分な防御ができなかった。これに対し、WAFはアプリケーションレベルで管理していることから、プログラムに渡される入力内容などを直接検査することができ、不正と見なされたアクセス要求を遮断することができる。そこで、今回は今後の普及がおおいに期待されているWAFにスポットを当てて、その製品選びのポイントを詳しく紹介する。WAFの必要性や機能については「IT製品解体新書」で解説しているので、そちらも参考にしていただきたい。

WAF

※「WAF/SaaS型も候補に!失敗しない「WAF」選び」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「WAF/SaaS型も候補に!失敗しない「WAF」選び」の記事全文がお読みいただけます。

会員登録はこちら(無料)

WAFの基礎解説へ
WAFシェア情報へ


1

WAFの選び方

■製品選択の4つの視点

 Webサイト攻撃にさらされても被害を受けないようにするには、サーバOSやソフトウェアパッケージの各ベンダから提供される脆弱性修正パッチや安全設定を適用することはもちろんのこと、Webアプリケーションでのセキュアプログラミングが必要不可欠である。例えば、SQLインジェクション攻撃に対しては、「SQL文が注入される原因を作らない」「Webアプリケーションに渡されるパラメータにSQL文を直接指定しない」「エラーメッセージをそのままブラウザに表示しない」「データベースアカウントに適切な権限を与える」といったセキュアプログラミングが考えられる。
 しかし、セキュアプログラミングを実践するには時間とコスト、そしてセキュリティノウハウを持った技術者の確保が必要になることから、そう簡単には脆弱性を解消することができない。そこで、Webアプリケーションの改修が完了するまでの間、脆弱性をカバーしてくれるツールとしてWAF(Webアプリケーションファイアウォール)が誕生した。つまり、WAFを導入したらセキュアプログラミングの必要性がなくなるわけでないということだ。
 例えば、次のような脆弱性はWAFでは防御することができないので、Webアプリケーションの改修が必要となる。

脆弱なパスワードを許容している。

ログインに連続して失敗した場合のアカウントロック機構がない。

Cookieの中に重要な情報が含まれている。

アプリケーションロジックを推測できるHTMLコメント文が含まれている。

権限を持たないユーザが本来参照または変更できないデータにアクセスできてしまう。

認証済みのユーザだけが利用できる機能が認証なしで利用できてしまう。

 従って、まずセキュアプログラミングがどこまで実践されているかをよく確認することが先決だ。その上で、次の4つの視点からWAFの導入検討を行うとよい。

1:

ゲートウェイ型かホスト型か、あるいはSaaS型か

2:

ブラックリスト重視か、ホワイトリスト重視か

3:

運用のしやすさ

4:

サポート体制の充実度

要件1

ゲートウェイ型かホスト型か、あるいはSaaS型か

 WAFの場合、ハードウェアと一体になっているアプライアンス型(ゲートウェイ型)と、既存のWebサーバにインストールできるソフトウェア型(ホスト型)の2つのタイプの製品が市販されているので、まずどちらのタイプが自社ニーズにマッチしているかを見極めよう。
 両者の違いを比較した結果を表1に紹介する。アプライアンス型はWebアプリケーションのプラットフォーム/OSに依存せず、Webサーバが複数台ある場合でもレスポンスが許すかぎり1台のWAFで対応できる。また、Webサーバの設定を変更する必要もない。一方、ソフトウェア型はWebサーバ上で設定するだけで、ネットワーク構成の変更は必要ない。また、製品当たりのコストはアプライアンス型よりも低く、それぞれのWebサーバに適した設定が行える。
 両者のレスポンスに関しては、アプライアンス型はWAFのハードウェアに依存し、ソフトウェア型はWebサーバのハードウェアに依存する。従って、WAFを導入したいWebサーバの台数などから実際の負荷を割り出して必要なWAF数を判断する。

表1 WAFの提供形態による違い
表1 WAFの提供形態による違い
資料提供:バラクーダネットワークスジャパン
■SaaS型WAFも登場!

 従来のWAFではコスト的に導入が難しかった企業でも手軽にWAFを導入できるように、SaaS型WAFのサービスも始まっている。これはサービス事業者が管理するサービスセンタを経由する形でWAFの機能を提供するものだ。

図1 SaaS型WAFの例
図1 SaaS型WAFの例
自前でWAFを持つことなく、より安全なWebサービス環境を構築することができる。
資料提供:セキュアスカイ・テクノロジー

 このサービスでは、利用者のWebサーバが本来持つIPアドレスをサービスセンタのIPアドレスとなるようにDNSの設定を変更するだけで設定が完了する。このサービスの場合、防御機能としてブラックリスト方式を採用しており、シグネチャ更新機能もサポートされている。また、Webサイトが提供するサービスを停止することなく、WAF機能の導入および解除を行うことができ、専門のセキュリティ技術者を置く必要もない。さらに、最低利用期間は1ヵ月からというサービスを選択すれば、キャンペーンサイトなど、一定期間のみ利用したいという場合にも手軽に利用できる。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

WAF/SaaS型も候補に!失敗しない「WAF」選び」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「WAF」関連情報をランダムに表示しています。

WAF」関連の製品

Limelight Content Delivery Network 【ライムライト・ネットワークス・ジャパン】 実は導入率がかなり低いIDS/IPS 運用負荷を理由に未導入で本当にいいのか 【日本アイ・ビー・エム株式会社】 サイバー攻撃から低コスト・低負荷でWebサイトを守るには? 【エヌ・ティ・ティ・ソフトウェア】
CDN IPS WAF
デジタルデータやコンテンツを多様なデバイスに安全かつスムーズに届けることができるコンテンツ配信ソリューション。
ウェブサイトセキュリティをCDN経由で担保。
実は導入率がかなり低いIDS/IPS 運用負荷を理由に未導入で本当にいいのか DDoSの脅威は国内からも――油断できないWebサイトへの攻撃、死角を無くすには

WAF」関連の特集


手を変え品を変えて襲ってくるWebサイトを狙うサイバー攻撃の現状から防衛策としての入口対策までを解説…



世間を騒がせている不正アクセスやハッキング被害…。なりすましや脆弱性の利用によるシステム乗っ取りなど…



 今回は、企業としてクラウドなどの外部サービスを利用する場合の考え方、および自社のWebサイトへのパ…


WAF」関連のセミナー

DDoS対策セミナー 【Jストリーム/協力:ネットワークバリューコンポネンツ】 締切間近 

開催日 3月3日(金)   開催地 東京都   参加費 無料

Webサイトへの攻撃・改ざんの被害が拡大している昨今、常に最新のセキュリティ対策が求められています。WAF(Web Application Firewall)市…

「急増する、Webサイト改ざん」緊急対策セキュリティセミナー 【セキュアスカイ・テクノロジー】 締切間近 

開催日 2月28日(火)   開催地 東京都   参加費 無料

急増するWebサイト改ざん被害の拡大防止のため緊急セミナーを開催いたします。Webサイト改ざんの原因となるWebアプリケーションの脆弱性を狙った攻撃動向と今すぐ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

WAF/ SaaS型も候補に!失敗しない「WAF」選び」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「WAF/ SaaS型も候補に!失敗しない「WAF」選び」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003452


IT・IT製品TOP > ネットワークセキュリティ > WAF > WAFのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ