WAF選びはセキュリティ機能と容易な導入・運用を重視せよ：Webアプリケーションの保護に欠かせぬ存在

Web Application Firewall（WAF）を選ぶ上では、ソリューションとしての機能だけでなく導入・運用が容易であることが大きなポイントだ。バラクーダのWAFアプライアンス製品群は、導入が迅速、容易であるだけでなく、運用の負担を軽減する点も追求しているという。

[PR／ITmedia]

PR

システムの狭間に、導入・運用のポイント

　Webシステムを保護する「Web Application Firewall（WAF）」は、Webアプリケーションの脆弱性へ対処するためのセキュリティソリューションであるが、設置する場所はWebサーバやWebアプリケーションサーバの手前のネットワーク上になるため、ネットワークとサーバの双方に深く関わる。WAFの機能を使いこなしていくためには、ネットワークとサーバやアプリケーションの知識に精通していることが求められ、選任の運用担当者が必要な場合がある。

　例えばネットワークとサーバやアプリケーションの運用の担当が異なっているような企業では、どちらの担当者がWAFを運用するのかといった問題が生じるだろう。WAFを配置する場所を考慮するとネットワーク担当者が運用を管理するのではないかと思われがちだが、上手に運用していくためにはサーバやアプリケーションの脆弱性に関する知識も欠かせない。

　こうした課題に対し、バラクーダネットワークスジャパンのWAFアプライアンス製品群「Barracuda Web Application Firewall」（以下、Barracuda WAF）は、選任の担当者を必要としない容易な導入・運用を実現できるようにしている点が特徴だ。

　WAFの主な機能の1つにインバウンド防御（外からのトラフィックに対する防御機能）がある。この機能では多くのWAF製品がホワイトリストを採用しているのに対し、バラクーダではブラックリストを用いる。ホワイトリストは、Webサイトの構造に合わせて「安全なトラフィック」を定義するチューニングが必要になり、長い場合は適切な運用環境を実現するまでに1〜2カ月を要することもある。Webサイトの構造を変更すれば再チューニングも必要だ。

「Barracuda Web Application Firewall」。小規模環境向けのModel 360から、新たに加わった上位モデルのModel 860/960まで、さまざまなWebサイトの規模に対応する構成となっている

　ブラックリストなら「危険なトラフィック」を定義するだけであり、チューニング作業の手間がかからず、Webサイトの構造を変更した場合でも柔軟に対応できる。短期間で導入でき、運用の際に負担も小さく、導入後に発生するさまざまなコストを低減できる。

　同社では世界中のユーザーから攻撃パターンに関する情報を収集してデータベース化しており、「バラクーダエネルギー充填サービス」というサービスを通じて、Barracuda WAF向けに攻撃パターンのシグネチャを随時提供している。アプライアンスは初期設定で1時間に1回更新をチェックし、アップデート情報があれば自動的にシグネチャをダウンロードしてブラックリストに適用し、最新の攻撃パターンへ迅速に対応する。これにより、日常の運用ではWebアプリケーションの脆弱性に関する最新の知識を持ち合わせなくても防御が可能になる。

アプライアンスならではの強力な防御と多彩な機能

　WAF製品を提供するベンダーの中には、ネットワーク製品を主力としているベンダーもいるが、同社はセキュリティを主力としたベンダーであり、Barracuda WAFはWebアプリケーションの保護を主役にしたソリューションだ。Barracuda WAFは機能的なWAF技術で定評のあった米NetContiuumをバラクーダが2007年9月に買収し、その技術を基にして機能や技術をさらに高めてきた。

　こうした経緯から、Barracuda WAFはWebサイトのクローキング対策というユニークな機能も提供する。多くの攻撃者がWebサイトへの攻撃に先立って標的となる脆弱なサーバを探すためにIPアドレスをスキャンし、さらに反応のあったサーバの仕様などを調べる。調べる情報は、サーバのOSやスクリプトの実行環境、データベースなどの種類、バージョンなどだ。攻撃者はこれらの手がかりを得るためにHTTPヘッダやエラーメッセージ、エラーページなどからサーバやアプリケーションの環境を判別する。Barracuda WAFのクローキング機能ではこれらの情報を攻撃者に提供しないようにする。

　情報を外部に出さないという点では、アウトバウンド防御（サーバから外へ向かうトラフィックに対する防御機能）も重要だ。例えばサーバの発信するデータにクレジットカード番号などの情報が含まれていれば、攻撃者にとっては非常に有用となる。アウトバウンド防御ではこのような情報を自動的に検出し、クレジットカード番号などの一部を隠して情報漏えいを防止する。Barracuda WAFでは、クレジットカード番号のほかにも米国の社会保障番号といった重要な情報のパターンがいくつも用意されており、さらに規則性のある情報であればユーザーが設定をカスタマイズできる。例えば、電話番号やユーザーIDなどを保護する設定も可能だ。

第一歩はWebサイト攻撃の現状を知ること

　Barracuda WAFのユーザーの中には、既に攻撃を受けているために、緊急対策として導入するケースが少なくない。これは、短期間で導入できるという同製品の特徴がそのようなユーザーのニーズに合致しているからだろう。

　Webサイトには、未知の脆弱性が多数潜んでいることが多く、人の手で開発されるものであるため、脆弱性が一切ない完全なWebアプリケーションを構築するのは非常に難しい。一度構築してしまったWebアプリケーションの脆弱性を調べ直すのは膨大なコストや時間を要する。その結果を受けてアプリケーションを修正するにもやはり多大な手間がかかってしまう。そこでまずはWAFを導入して外部からの攻撃に対処できるようにしておけば、その上でアプリケーションの改修を進めて品質を高めるというアプローチも可能だ。

　同社では評価用のアプライアンスを貸し出している。評価する場合は、ログ取得モードを使用して、攻撃の状態や導入に先立って参考になるトラフィックの情報を収集する。同社によれば、Webサイトへの攻撃が急増しているという現実を正しく認識していないユーザーが意外なほど多く、評価機のログから攻撃の実態を理解し、導入に至る場合が多い。

Barracuda Web Application Firewallで取得した攻撃ログ画面の例。多くの攻撃を受けていることが分かる

　このほか、Barracuda WAFにはWebサーバの負荷分散に役立つロードバランシングやコンテンツキャッシング、圧縮、SSLオフロード／アクセラレーション機能もある（搭載する機能はモデルによって異なる）。特にSSLオフロード／アクセラレーション機能は、ソフトウェアベースのWAF製品で実装されていることが多いが、同製品ではハードウェアベースであるため高いパフォーマンスを発揮する。Barracuda WAFは、このように導入時のチューニングが容易で短期間に運用を最適化できるだけでなく、人手を要する運用コストも低く抑えられる。Barracuda WAFは、豊富な機能を持ちながらもコストパフォーマンスに優れているといえるだろう。

ホワイトペーパー ダウンロード

狙われるWebアプリケーションの脆弱性とその対策

SQLインジェクションやXSSなど、Webサイトの脆弱部分を狙っての攻撃が急増しどのサイトも日々狙われている。Webアプリの脆弱性対策は急務だが、IPS/IDSといった既存のファイアウォールで解決することは難しいのだ。

TechTargetジャパンで「Barracuda Web Application Firewall」の詳細な資料を読むことができます。