/// クラウドWAF

WAFをクラウドで導入
 セキュリティ対策の不備により、企業からの情報漏洩、Webページの改ざん、パスワード流出などセキュリティ事件、事故が後を絶ちません。政府機関、銀行、大手企業だけではなく、無作為に中小企業含めて攻撃の対象になり様々な企業規模においてセキュリティのインシデントが発生しています。標的型攻撃の目的は金銭的であることが多く、企業の大小関わらず無作為に攻撃されているようです。昨今のセキュリティの脅威のほとんどはファイヤーウォールで防ぐことは難しくWebアプリケーションレベルで対策を打つ必要があります。クラウドWAFである「ウォールC」はWebアプリケーションに対するセキュリティ対策に特化したファイヤーウォールです(Web Application Firewall)。クラウド/Saas/ASP型で提供し廉価で簡単に導入することができます。
WAF(Web Application Firewall)とは

WAF(Webアプリケーションファイアウォール"Web Application Firewall" )は、Webアプリケーションの脆弱性の悪用した攻撃を防御するためのセキュリティ対策ツールです。Webアプリケーションへの攻撃としてよく挙げられるSQLインジェクションやクロスサイトスクリプティング(XSS)などの脅威に対してセキュリティ対策することが可能です。情報漏洩やWeb改ざんなどの脅威からセキュリティ対策することが可能であり法人サイトを有している企業は導入されることをお勧めします。
WAFはWebアプリケーションの75%を防御

WAF 必要性

WAFの必要性について考える上で、Webアプリケーションの機能分類、セキュリティ対策管理、およびWebアプリケーション構築時におけるコスト、工数、属人的要素、等を考慮する必要があります。
WAF導入のメリット

Webサイト・アプリケーションのセキュリティ対策をするポイントとして次の点をあげることができます。Webアプリケーションの全体像としては4つの階層からなり、セキュアコーディングの徹底、OSミドルウェアの脆弱性の確認・セキュリティパッチの更新、ネットワーク全体におけるセキュリティ対策、以上3つのセキュリティ対策のポイントがあげられます。うち2つについてはWAFを導入することでセキュリティ対策の管理面、費用面においても有効に働きます。

WAF Webアプリケーション層防御

Webアプリケーション層における対策


Webアプリケーション単体でセキュリティ対策を実施するということはセキュアコーディングするということになります。セキュリティ対策として大きく上げられるのはバリデーション、サニタイズの2つであり、この2つを十分に対策することでセキュリティ対策としては90%実施したと言っても問題ありません。しかし当該セキュリティ対策は、セキュアコーディングの技術が必要であること、開発工数が多く掛かる、更新時の抜け漏れ・不整合などが考えられるため十分なセキュリティ対策が取りづらいとも言えます。 WAFはバリデーション、サニタイズを代替するような機能(不正なアクセスをはじく)を有しているため導入することによりセキュリティ対策を打つことができます。

WAF OSミドルウェア層防御

OSミドルウェアの脆弱性の確認・セキュリティ対策


OS・ミドルウェアはソフトウェアであり、そもそも脆弱性を含んだままリリースされると考えたほうがよいとされています。OSミドルウェアに脆弱性が発見されセキュリティパッチ(脆弱性対策をとったバージョン)がリリースされたところで、運用中のシステムへの適用はWebアプリケーションへの影響が考えられるため改修を含めてのセキュリティパッチ適用の検討となります。 WAFはOSミドルウェアの脆弱性を含んでいるという根本的な課題に対してWebアプリケーションの前に配置することで、OSミドルウェアの脆弱性を狙った攻撃のセキュリティ対策として使用することができます。
WAF 比較

WAFの多くはアプライアンス(機器)またはソフトウェア型で提供され、高価で運用が煩雑あることが難点です。クラウドWAF 「WallC」は低価格で簡単に導入できるクラウド型で提供されるWAFとしてサービス提供しています。 クラウド型WAFとアプライアンス型/ソフトウェア型をセキュリティ対策をする上で比較しました。WAFをクラウド型にするのはサーバをオンプレミスからクラウド化、サーバの管理を自社運用から外部委託する流れに似ています。クラウドWAFはWAFを単にクラウド化しただけではなく、運用上、セキュリティ対策上、コストメリット上、複数の要素を踏まえているため導入をお勧めします。
WAF 比較
クラウドWAF 比較
WAF セキュリティ項目

WAFが防御するセキュリティの脅威は、主にWebアプリケーションを直接狙った攻撃です。ファイヤーウォールやIPSで防げない攻撃についても防御します。SQLインジェクションやクロスサイトスクリプティングがよく上げられる攻撃手法ですが、セキュリティ項目としては次に挙げる複数の攻撃手法に対してWAFは有効に機能します。
WAF セキュリティ項目
攻撃区分 攻撃方法
コマンドの実行 SQLインジェクション
コマンドインジェクション
Xpathインジェクション
LDAPインジェクション
SSIインジェクション
バッファオーバーフロー
書式文字列攻撃
リモートファイルインクルード
認証 総当り攻撃
パスワードリセット
攻撃区分 攻撃方法
クライアント側での攻撃 クロスサイトスクリプティング
クロスサイトリクエストフォージェリ
リモートファイルインクルード
情報公開 ディレクトリ トラバーサル
情報漏洩
プラットフォームへの攻撃 DoS攻撃
synフラッド攻撃
パケットフラグメンテーション攻撃
マルウェア対策 マルウェア
WAF 価格 比較

WAFのクラウドWAFを含む、提供形態別の価格比較を一般的な費用をまとめました。WAFはアプライアンス型、ソフトウェア型、クラウド型が上げられますが、クラウド以外の提供形式では設置・設定・保守などで費用が別途発生するため製品そのものの価格以外に費用が掛かってしまうのが難点です。特にセキュリティ対策の対象であるWebアプリケーションにプログラムの改変が伴いWAFの設定変更が必要となる場合は、さらに専門担当者の手配をするなど費用が発生してしまいますので運用面含めた費用計画が必要となります。
waf価格比較表
※上記の費用については2014年1月現在の弊社調べとなります
WAF セキュリティ対策

WAFによるセキュリティ対策を検討する上で、一般的なセキュリティ対策の間違いおよびサイト別のセキュリティ対策についてまとめました。どのようなWebサイト・アプリケーションであっても外部からアクセスできる環境であればセキュリティの脅威にさらされていることを踏まえてセキュリティ対策について検討されることをお勧めします。
WAF セキュリティ対策
WAF 技術

クラウドWAFは大きく3つの基本技術を結集させてサービス提供しています。沢山のセキュリティ診断の実績のあるエンジニアが日毎に発見される脆弱性にも随時対応し、セキュリティ防御機能を最新のものに保っています。
クラウドWAFのお問い合わせはコチラ