「WAF」は2006年のネットサービス防御トレンドか？：スパム時代のサニタイズ開発手法（1/2 ページ）

従来のファイアウォールではWebアプリケーションを守り切れない。インターネット上のサービスに根ざす企業では、サイト稼働率が信頼のバロメーターだ。Webアプリケーションを使っているならば、WAFの導入が必須のものとなっている。

[平田豊，ITmedia]

　オンライン・ムック「スパム時代のサニタイズ開発手法」では、これまで情報漏えいに対する防御策をさまざまな観点から解説してきた。

　「サーバの複雑さが変えたセキュリティ「サニタイズ」とは」では、Webアプリケーションにおけるサニタイズの仕組みを解説し、「巧妙化するネット地雷原の避け方」と「あのCGIがクラックされてしまった理由」では、Perl言語を例にして防御策の重要性を示した。いずれもがサービス指向となってきたWebサイトで重要視しなければならない防御ノウハウばかりだ。

　連載最後となる今回のポイントは、これまでの連載によって防御しなければならない理由は把握できたが、具体的にどう踏み切ればよいのか？　構築の手間が足かせになっているなどの意見に解決策を挙げていくことだ。

　主に前半では、手軽さを追求しつつ高機能さを持ち備えたハードウェア実装によるWAFを、後半では主にデベロッパー向けの情報としてソフトウェアによるWAF実装の実際を解説する。概してハードウェアはスペックとカタログ上の機能だけで把握しがちだ。後半でその基本概念を知り、仕様だけでは見えづらい機能の裏側も想像できるようになってほしい。

増大一途の開発と運用コストにセキュリティ問題が

　これまでのWebアプリケーション開発は、開発者（デベロッパー）が直接コード内にセキュリティ対策を施すことが普通だった。

　「サーバの複雑さが変えたセキュリティ「サニタイズ」とは」で紹介した程度の処理であれば、比較的手間もなく実現可能なレベルだ。しかし、現在のセキュリティ対策は標準的な開発者の力量を超えるほど無数のパターンが存在する。企業の経営層は、このための対策を講じると開発コストやメンテナンスコストが増加の一途であることも理解しておかなければならない。

　また、インターネットというメディアで情報配信することは、その特性上サイクルが短いために、開発そのものも速めなければニーズをつかみ損なってしまう。このため、十分なテスト（評価）を行っている時間は減少する傾向にあり、Webアプリケーション開発において、十分なセキュリティ対策を施すことは難易度が高いといえるのだ。

　そして皮肉なことに、この情報伝達の速さはメリットだけでなく、クラック情報にも作用している。

Webアプリケーションファイアウォールの登場背景

　最近ではWebアプリケーションに特化したファイアウォール製品が増えてきた。従来までのファイアウォールとは区別し、Webであれば80番ポートの転送制御、メールであれば25番ポートの制御といった比較的大まかな括りではない。このタイプでは、どのようなインターネットサービス（Webアプリケーション）が存在するかは感知してないのだ。

　Webアプリケーションのやり取りまでを把握し、特化したファイアウォールは、Webアプリケーションファイアウォール、略してWAF（Web Application Firewall）と呼ばれている。

　一般的にWebサーバを公開する場合、セキュリティのために既定のHTTP、80番ポートやHTTPSの443番ポートのみを経路とするファイアウォール設置が多い。それとは別に、WAFではWebサーバの手前に設置することで攻撃からアプリケーションを守ることが目的なのだ。

　このため、ブラウザを操作するユーザーからの要求はWAFとやり取りする。そして、WAF自身は仲介してWebサーバとやり取りするのだ。つまり、WAFはユーザーとWebサーバとを橋渡しする役割を担う。

　このようにWebサーバの間に入り込むことで、WAFがWebアプリケーションの代わりにセキュリティ対策を講じてくれる。WAF導入によって、Webアプリケーションへのセキュリティ対策が軽減され、比較的開発コスト削減が可能となることが狙いだ。

　次にWAF実現形態の一つ、専用ハードウェア（アプライアンス）による例を見ていこう。