「WAFは運用が面倒」と思っていませんか? クラウドで変わるWAFの新常識

Web Application Firewall(WAF)というと、とかく「運用が面倒」というイメージがつきまとうが、クラウドWAFサービスの登場で、そんな状況が変わりつつある。

» 2019年01月21日 10時00分 公開
[PR/ITmedia]
PR

 IPS(不正侵入検知)やファイアウォールより上位にあたる、Webアプリケーションレベルでのセキュリティ対策を行えるWAF(Web Application Firewall)。これまで注目されながらも、「入れさえすれば脅威を防げると期待していたのに違った」「運用が難しそうで導入を諦めた」などといった理由でなかなか導入が進まなかったが、クラウド化によって状況が変わりつつあるという。そんなWAFの現状について、CSIRT設立など経験から現場のセキュリティ対策の現状に詳しいラックのエバンジェリストを務める原子拓氏に聞いた。

WAFが普及しなかった理由

Photo ラック エバンジェリストの原子拓氏

 「本来ならば、セキュリティ対策が運用できないサーバはインターネットに置いてはいけない」――。インターネットの黎明期から国内大手メーカーでインフラ、セキュリティの運用業務に携わり、現在、ラックのエバンジェリストを務める原子氏は、このように指摘する。

 同氏は長年Webサイトセキュリティについて取り組んできた経験から、企業が抱える課題について次のように話す。

 「日本企業の多くがグローバルにWebサイトを展開しており、そのセキュリティ対策としては、(1)セキュリティポリシーを定め(2)Webサーバの設定やパッチ適用に関するルールも決めた上で(3)アセスメントを実施し(4)問題のあるWebサイトについては対策を実施する――というPDCAサイクルを回している」(原子氏)

 ただ、そこまでやっても、実際に脆弱性を診断すると、「定めたポリシーに準拠しないバージョンや種類といった適切ではないCMSやミドルウェアが発見されたり、権限の不備や安易なパスワードが見つかったり、同じセキュリティレベルを海外拠点にまで徹底するのは難しい状況だった」(同)と振り返る。原子氏はその穴をWAFで補うことでWebサイトの安全性が確保できるという。

 しかし、実際にWAFを導入してみると、使いこなすためには「運用こそが大事」ということに改めて気づいたという。特に対応に苦慮したのは、WAFの運用を外部のパートナーに委託しているケースだった。不正アクセスを受けてすぐに対応したいと思っても、パートナーにシグネチャのルール変更を依頼していたら、対応するまでに週単位の時間が経過してしまう。その間にも被害が広がるのに、手をこまねいて見ているわけにもいかない。やむを得ず、「Webサイトを止める」という選択肢も検討することになるが、そうなると業務に大きな支障が生じてしまう。

 「WAFもまた、きちんと運用しなければならない。シグネチャに違反するアクセスを全て『deny』で対応するとサービスが止まってしまう。それを避けるためには、アラートを受け取ったら解析し、本当に問題が生じるものであれば遮断する――という運用が必要だが、『とてもそんな手間やコストはかけられない』という企業が多く、結局のところ導入が進んでこなかった」(原子氏)

クラウドベースのWAFサービスで運用はどう変わるのか

 そんなWAFの“負のイメージ”を変える可能性を秘めているのが、今、海外ではすでに主流となっている「クラウドベースのWAFサービス」だ。

 クラウドベースのWAFサービスは、いわゆるセキュリティベンダーが提供するものだけでなく、Amazon Web Services(AWS)やMicrosoft Azureのようなクラウドサービスに搭載されたり、ホスティングサービスプロバイダーによってオプションの1つとして提供されたりと、さまざまな選択肢がある。中には、Security Operation Center(SOC)による運用監視サービスと組み合わせて提供されるものもある。

 こうしたクラウドベースWAFの特徴は、オンプレミス環境のアプライアンス型WAFに比べ、導入や運用負荷が高くないことだ。その上、原子氏が以前、クラウド型WAFを検証し、導入した際には、各種ミドルウェアの脆弱性公開などに起因するインシデントをゼロに抑える効果が得られた実績が多数あるという。

 「あるクラウド型WAFサービスでは、Heartbleedのような深刻な脆弱性が公表されたとたんに、サポートから『対処しました』と通知が来る。攻撃が早期に来てもWAFが止めてくれるため、被害を受けることがなかったというケースが多数報告されています」(原子氏)

 原子氏はまた、「もし既にオンプレミス環境でWAFの運用を行っているならば、クラウド型WAFのタイプによっては、使うとかえってレスポンスが遅くなるなどのデメリットも考えられるため、適材適所で使い分けていくことが必要」と指摘する。

B2C以上に懸念される「B2B」や「IoT」に対する不正アクセス

Photo

 この10年あまりで、ECサイトやゲーム、ソーシャルネットワークサービスをはじめとするB2Cの分野では、しっかりとしたWebに対する不正アクセス対策がなされるようになってきた。しかし、それ以外にも留意すべき分野があると原子氏は言う。

 1つはB2Bのサービスだ。製造業の調達業務もデジタル化が進み、受発注処理にWebサービスが使われるケースが増えている。こうしたサービスが不正アクセスを受ければ、受注情報や出荷タイミングの見過ごし等による欠品といった事態に陥る恐れもあり、業務への影響はむしろ深刻だ。Webはサプライチェーンを支える重要なインフラになって久しい。「落ちてはいけないこうしたシステムが次の標的になるかもしれない」(原子氏)

 もう1つは、IoT機器を用いたサービスやOTと呼ばれる産業制御システムの領域だ。特にこうしたシステムは、一般的なIT機器のようにセキュリティ対策ソフトを導入するリソースすらなく、アップデートの仕組みも整備されていないケースが少なくない。

 「IoT機器を用いたサービスの肝は、IoT機器が取得したデータを用いた予防保守や改善活動のための統計情報といったコンテンツで、これらはWeb上に実装されたアプリケーションとして情報の集約、配信ポイントとして利用されている場合がある。サービス全体で見た場合に重要な位置を占めるWebアプリケーションを守るためにもマネジードサービスが付属するWAFを活用するのは有効と考えられる」(原子氏)

 こうした課題に対して、運用を含めてカバーできる可能性があるのがWAFであり、WAFを適切に運用するSOCというわけだ。「WAFである程度まで守ることができれば、現場も楽になれるのではないか」(原子氏)

 「セキュリティ対策が運用できないサーバはインターネットに置いてはいけないわけだが、今、普及しつつあるIoTはまさにその運用がされていない状態にある」と原子氏は強調。ITの世界のWebサーバやWebサービスはもちろん、こうした新たなサービスもWAFで守っていく必要があるとした。

リスクを見極め、影響を理解した上で導入の判断を

 クラウドサービスの登場で運用負荷の問題が解決されつつあるWAFだが、「運用負荷が高い」「入れただけでは済まない」というイメージが定着していることに加え、導入に当たっては一定のコストがかかることから「必要性を訴えてもなかなか予算が確保できない」(原子氏)のが現状だ。

 そんな状況下で導入の説得をするには、どうアプローチすればいいのか。原子氏は「IT部門だけでなくその組織全体でリスクを見極め、影響を理解した上で『受容する、しない』の決断をすることが大事」だという。

 「例えばIT部門が『Webサイトが止まっても会社まではつぶれない』と単独でリスクを判断するケースは起こりがちだが、ブランド価値まで考慮に入れなければならない経営層の判断とは異なるケースがある。組織としてリスクを理解しないまま受容するのは問題がある。きちんと考えた上で意思決定すべき」(原子氏)

 実際、社長をはじめとする経営層に対し、絶えずセキュリティに関するニュースを送り続けて理解を促している企業内CSIRTもあるという。普段からIT部門ができることとしては、経営層からセキュリティに関するトピックを尋ねられた際にすぐ答えられるよう準備を整えておくこともポイントだという。

 なぜなら、サイバー攻撃の脅威に対するセキュリティ対策はすでにIT部門内の課題ではなく、経営課題と認識すべきものだからだ。もちろん、経営層がその認識を既に持ってくれていればよいが、全ての経営層がそうとは限らない。それでも、サイバー攻撃は社会的にも大きな課題として認識されつつあり、事件や法令、ガイドライン等の公開によって、経営層が経営課題と認識するタイミングは必ずあるはずだ。経営層の関心が高まったタイミングで、間髪入れずに「現在の自社としての課題と対策を的確に回答できるようにしておくこと」が重要だ。

 その際の、分かりやすい回答がミドルウェアなどの脆弱性情報が公開されたタイミングであり、「『その課題は、他社ではシステム運用上深刻なものになりますが、弊社においては解決済みです』と答えられるようになるためには、“クラウド型WAF”の導入が非常に効果的な対策といえるだろう」と原子氏は締めくくった。

資料ダウンロード

DDoS攻撃や脆弱性を狙う攻撃は「WAF+SOCサービス」でどこまで防げるのか?

企業収益の柱となった“止められないWebサイト”は珍しくなくなった。一方でDDoS攻撃や脆弱性を突く攻撃に代表されるサイバー脅威のリスクも高まっている。さらに頭を悩ませるのは、それらのセキュリティ対策がしにくいことだ。


Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社ラック
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2019年2月20日