WAFについての考え方

WAFとは何ですか?

WAFというセキュリティソリューションはアプリケーションレイヤー型攻撃からウェブアプリケーションを保護します。ウェブアプリケーションとプラットフォームの脆弱性を狙う悪意のあるリクエストを検知、フィルタリングする機能です。

Airlockはウェブアプリケーションの前にネットワークソリューション又はサービスとして設定されています。とはいえ、包括的なセキュリティ設定の中ではWAFは一つのソリューションでしかありません。以下の図のように、インターネットアプリケーション用に他のセキュリティ対策を考慮する必要があります:

Security measures for web applications

  • WAF: アプリケーションレイヤー攻撃対策
  • フェイルオーバー/強化: インターネット環境に対し、特に強固でセキュアなアプリケーションとプラットフォームが求められています。
  • Dos/DDos対策:検知された場合、どう反応するかを準備する必要があります。
  • ファイアウォール: ファイアウォールには必要最小限のポートだけを利用すべきです。
  • IDS/IPS: 内部ネットワーク部分を中心として検知していきます。外部ネットワーク部分にはアラートが多過ぎるのであまり意味はありません。
  • DMZ: ウェブアプリケーション用の「非武装地帯」のようなネットワーク

ウェブアプリケーションへの現在と未来の脅威に対し、WAFは有効的なセキュリティ対策になります。特に数多くのアプリケーションを持つ大企業にとり有効な手段となります。WAFのヴァーチャルパッチ機能はアプリケーション担当者のセキュリティ対策に柔軟性をもたらします。メディアで騒われているような脆弱性が急に表れると、企業体のIT部門はパニックになりがちです。でももうそうなる必要はありません。アプリケーションの脆弱性を速やかに修復するよりも、まずは余裕を持ち、通常の修復サイクルにてアプリケーションを訂正、そしてテストすることが可能になります。

ヴァーチャルパッチとはいえ、WAFにはもう一つの大切な特徴があります:WAFはWAFだけの機能ではなく、更に役に立つ新機能を提供できる立場にあり、アプリケーションに様々な追加サービスを追加することが可能となります。

戦略的な立場でもあります!

上記の図をご覧頂くとわかりますが、ネットワーク用のリバースプロキシとしてのWAFは、アプリケーションにプラスアルファのサービスを提供する為の特別な存在になっています。思い浮かぶのはポータルサービス、ユーザー認証サービス、アクセス許可、セッション管理、アイデンティティ管理、高可用性、フェイルオーバー機能等。このようなサービスを実装するのは難しいですが、ビジネスには非常に役立ちます。このようなサービスの制作において、複雑なガイドラインとポリシーを描き、細かい必要条件を定義しても、全てのアプリケーション開発者がこれを活かすことはできないでしょう。結果として各アプリケーションのセキュリティレベルは異なることになってしまいます。

「リバースプロキシ」のアプローチは上記のウェブアプリケーションの開発者又は運用者をサポートします。このようなセキュリティ機能を自分で開発するのではなく、フレームワークのように利用すれば、簡単です。全てのアプリケーションを同時に同じセキュリティレベルに上げつつ、開発時間を短縮できます。

利点:

  • 全てのアプリケーションは同程度セキュリティレベルで保護されている
  • 全てのユーザーは同程度セキュリティレベルで保護されている
  • セキュリティ設定が中心となり、変更も一括で行います
  • 全ての開発社が同じセキュリティフレームワークを利用する
  • 全ての運用者が同じセキュリティフレームワークを利用する

数多くの企業は重要なアプリケーションを保護する為にリバースプロキシサーバー、専用DMZとアイデンティティ管理を利用しています。このようなウェブアプリケーションのためのリバースプロキシソリューションはセキュリティだけではなく、インテグレーションと再利用で効率アップを目指しています。Web Entry Server, WAF based security infrastructureリバースプロキシのアプローチは、柔軟性があり、ポータルとリモートアクセスの付加価値のあるサービスを提供することが可能です。アイデンティティ管理はこのようなアプローチを促す為の中心的な役割を果たしています。

このようなインバウンド的なリバースプロキシシナリオとはいえ、アウトバウンド的なシナリオも考えられます。SOAP/XMLフィルタリング機能を持つアウトバウンドのWAFフォワードプロキシは外部のウェブサービス(例えば、各パートナーの外部ウェブサービス)をセキュアなまま利用することが可能になります。

2017/1/11 ©ACROSEC Inc.