サイバー攻撃が多様化、進化している昨今、業種を問わず多くの企業でセキュリティ対策の強化に取り組むことはもちろん、セキュリティを取り巻く環境の変化や世の中の状況に合わせて迅速かつ適切に対応していくことも求められています。

こうした課題・ニーズに応えるべく、2018年よりアイレットは株式会社サイバーセキュリティクラウドが提供するクラウド型 WAF 自動運用サービス「WafCharm(ワフチャーム)」を提供。これまでに約200社の導入を支援してきました。

この記事では、WAF の仕組みから必要性を徹底解説!
さらに WafCharm の機能や強み、導入メリット、アイレットが提供するサービスの特長について、アイレット 廣山 豊の解説を交えながら分かりやすく紹介します。

今回、解説してくれる専門家はこの人!

クラウドインテグレーション事業部 副事業部長
兼 内部統制推進室 室長
廣山 豊

そもそも WAF とは?

WAF(Web Application Firewall)とは、Web アプリケーションに対するセキュリティ対策の代表的なものです。クロスサイトスプリクティングや SQL インジェクションなどの攻撃を検知・防御する役割があります。

従来のファイアウォールとは異なり、Web アプリケーションレベルでセキュリティ対策を行なうため、アプリケーションに対するリクエスト内容まで精査し、不正なアクセスを阻止することができます。WAF は通常、お客様の管理のもと「シグネチャ」と呼ばれる定義ファイルを使用してアクセスを評価し、検知・防御を実施します。

専門家のワンポイント解説

シグネチャには不正な通信や攻撃を識別するためのルールが記述されています。これを活用してアプリケーションへのリクエストを検査し、必要に応じて遮断や検知の通知を行ないます。攻撃リクエストに対する防御を自動で行ない、安全性を確保するのが WAF の基本的な動作です。

WAF の種類

WAF にもさまざまな製品がありますが、設置方法によって大きく3種類に分けることができます。

1. ホスト型 WAF

ホスト型 WAF は、ホスト (Web サーバー等) にベンダーが提供するエージェントをインストールして使用する方式です。
ホスト上で動作するため、ホストに到達する全ての通信を検知・防御することが可能です。
また、ネットワーク構成の変更なく利用することができます。
ただし、保護したい全てのホストに対してエージェントのインストールが必要となり、エージェントの負荷が Web アプリケーションの動作に影響を与えることも考慮する必要があります。

2. クラウド型 WAF

クラウド型 WAF は、クラウドサービスプロバイダーが提供する WAF サービスです。
クラウドサービスの一つとして提供されており、クラウドの提供する他サービスと連携して利用することが可能です。
利用者側で負荷に応じたスケーリングは必要なく、事前定義済みのルールセットを使って簡易に利用することも可能となっています。
また、クラウドサービスプロバイダーが提供するロードバランサーなど、対応しているリソースであれば簡単に有効化できることが多いのも特徴です。

3. アプライアンス型 WAF

クラウドサービスでは、IaaS にアプライアンス型 WAF を導入することもできます。また、マーケットプレイスなどを通じて提供されているものもあります。
可用性を考慮した冗長構成をとることが一般的です。
クラウド型 WAF と比較して、IaaS などのインフラストラクチャの運用が必要になる一方、オンプレミス環境で使っていた製品の流用がしやすいなどのメリットがあります。

4.ネットワーク型 WAF

ネットワーク型 WAF は、ベンダーが提供する機器をネットワーク上に設置する形態の WAF です。
ネットワーク層で検知が可能なため、悪意のある通信がホストに到達しないように防御することが可能です。
ホストへのエージェントインストールが不要なため、サーバーの互換性や負荷影響の考慮が不要という特徴があります。
一方、機器の運用はユーザー側で行なう必要があります。単一障害点となりサービス影響に直結することもあるため、冗長化の考慮も必要です。

5. その他 WAF

その他の提供形態として、SaaS として提供されている WAF などの提供形態もあります。
これらは、それぞれ異なる特徴を持っているため、特長を理解した利用が求められます。

専門家のワンポイント解説

パブリッククラウドでシステムやアプリケーションを構築する企業が増えるとともに、構築した Web システムや Web アプリケーションを保護したいというニーズが高まっています。そのような背景から、主要なパブリッククラウド各社は専用のクラウド型 WAF を提供しています。代表的なものとして、AWS WAF / Azure WAF / Google Cloud Armor の3つがあります。クラウド型 WAF は、他の WAF と比較して、運用負荷も低く、導入も容易に行なうことができます。

なぜ WAF が必要なのか?

近年、Web アプリケーションはますます普及し、他のシステムとの連携も増えるなどマイクロシステム化が進んでいます。この進化に伴い、セキュリティ上の脆弱性も増加し、悪意のある攻撃に晒される可能性が高まっています。こうした脆弱性への対処として、WAF の導入が必要とされています。

WAF の重要な特徴の一つは、万が一の脆弱性に対して防御を行い、突然の脅威に対抗できる点になります。また、新たな脆弱性が見つかると、シグネチャにパッチを当てることで悪意のある通信を遮断することが可能です。WAF はミドルウェアやフレームワークの修正プログラムが提供される前の攻撃を防ぐことができます。

専門家のワンポイント解説

万全のセキュリティ対策は、膨大なデータや機密性の高いデータを保有している大企業に必要なもの、というイメージがあるかもしれません。しかし最近は、中小企業をターゲットにした攻撃も増加しており、事業の規模に関わらずあらゆる企業がセキュリティ対策に注力する必要があります。比較的安価に導入できる WAF に関しては、Web 系サービスを持っているすべての組織で導入を検討すべきセキュリティツールと言っても良いでしょう。

WafCharm とは?

株式会社サイバーセキュリティクラウドが提供する WafCharm は、AWS WAF / Azure WAF / Google Cloud Armorの自動運用サービスです。クロスサイトスプリクティングや SQL インジェクションなど OWASP トップ10に挙げられるようなインシデントを未然に防ぎます。

また、新たな脆弱性への対応も、自動でアップデートされます。24時間365日の技術サポートや、個別のカスタマイズなど柔軟に対応いたします。専任のセキュリティエンジニアを必要とすることなく WAF の運用を円滑に行なうことができる点が特徴です。

専門家のワンポイント解説

WafCharm は WAF そのものではありませんが、クラウド型 WAF (AWS WAF / Azure WAF / Google Cloud Armor)とセットで利用することで、煩雑な WAF のルール運用を最適化してくれるサービスです。一般的に WAF を導入すると、試験運用を行いながらルールの設定内容を決める作業が必要ですが、WafCharm を導入することで、自動的にシグネチャを作成・更新することで、手間をかけずに最適な設定で運用し続けることが可能です。

WafCharm の導入メリット

WafCharm を利用することでどのようなメリットがあるのか、詳しく紹介していきます。

1. 強力な防御性能を自動で適用できる

Web アプリケーションごとに最適なルールの作成・設定を行ない、お客様の Web アプリケーションの動作に誤検知が発生した場合、シグネチャのカスタマイズサービスを利用することで誤検知を防ぐことができます。また、設定したルール外の攻撃にも数百のシグネチャで再マッチングし、再マッチングで攻撃認定したものは WAF のルールに自動適用されます。このように、ルールが自動で最適化されるので、セキュリティ対策に余計な費用をかける必要がなくなり、本業に専念できるようになります。

2. WAF の運用がラクに

クラウド型 WAF は導入が簡単な一方で、運用の難易度は高いと言われています。しかし WafCharm であれば、最新の脆弱性を専任のセキュリティリサーチャーが監視し、新たな脆弱性にも対応されるため、WAF 運用に手を煩わせる必要がありません。また、設定画面もすべて日本語対応しており、24時間365日の日本語によるサポートも受けられるので、トラブルや不明点があったとしてもすぐに問い合わせできます。

専門家のワンポイント解説

WafCharm の場合、例えば大きな脆弱性が発見された時に、その脆弱性に対応するルールを作って提供してくれるので、自分たちは特にルールの作成という難易度の高い作業をする必要がなくなります。また、誤検知などが発生した時に、お客様ごとのシグネチャカスタマイズなどにより誤検知を防ぐことも可能です。そのようなカスタマイズ性が高いところが強みの一つと言えるでしょう。

アイレットが提供する WafCharm 関連サービスの特長は?

サイバーセキュリティクラウド社が提供するクラウド型 WAF 運用サービスの『WafCharm』を cloudpack を通じてご利用いただけます。「誤検知が発生しているけど本当はどうなんだろう?」「このルールを外してみたいけど大丈夫だろうか?」といった個別の事象に対するご相談にも、WafCharm テクニカルサポートと cloudpack のエンジニアがサポートを行ないます。

また、AWS WAF 向けのマネージドルール『Cyber Security Cloud Managed Rules for AWS WAF – High Security OWASP Set -』を活用して、WAF の初期設定や運用保守を代行する、小規模環境向けサービス『AWS WAF 運用サービス lite』も提供しています。​サイバーセキュリティクラウド社が作成する独自のルールセットを活用することで、お客様にとって運用負荷の高いルール作成・管理の手間や工数を削減できます。​

専門家のワンポイント解説

初期設定を全部お任せいただくこともできますし、運用開始後のカスタマイズも可能です。例えば、WafCharm には検知モードと防御モードがあり、一般的には最初は検知モードで動かしてみて、特に問題なく使えることが分かったら防御モードに切り替えるケースが多いです。そこで、アイレットでは独自のプラットフォームをご用意し、一定期間に通信内容や振る舞いを機械解析にかけた上で、お客様との合意のもと、防御モードに切り替えるという運用を採用しています。