ラーニングセンターに戻る

アプリケーションファイアウォール (WAF) とは?

WAF (Web Application Firewall) は、Web アプリケーションの保護に特化したセキュリティソリューションです。Web アプリケーションとインターネット間のシールドとして機能し、Web サービスが送受信する悪意のある HTTP/HTTPS トラフィックを検出し、ブロックしてサーバーを保護します。 

適切に設定、有効化されると、WAF は SQL インジェクション攻撃やクロスサイトスクリプティング (XSS) 、HTTP プロトコル違反など、OWASP トップ10に含まれる脅威をはじめとする Web アプリケーションの脆弱性を狙ったアプリケーションレイヤー (レイヤー7) への攻撃を阻止するのに役立ちます。

CDN仕組み

WAF は多くの場合、インターネットと保護される Web アプリケーション間のリバースプロキシとして機能します。また、特定のセキュリティ要件に合わせて、インライン、クラウドベース、オンプレミスなど、さまざまな環境に WAF をデプロイすることもできます。デプロイ方法を問わず、WAF はアプリケーションサーバーに到達する前にすべての受信トラフィックを検査し、潜在的な脅威から保護するシールドを提供します。

WAF はニーズに合わせてさまざまな形でデプロイできます。

  • ソフトウェア : 直接 Web サーバーにインストール、またはアプリケーションコードに統合でき、柔軟性とコスト削減をもたらします。

  • アプライアンス : 簡単にデプロイして管理できる専用のハードウェアデバイスです。アプライアンスは、トラフィック急増への対処を可能にする専用の処理能力を提供します。

  • サービスとして (As a Service) : サードパーティベンダーによって提供され、社内にハードウェアを設置することなく Web アプリを保護できます。ベンダーがすべてのメンテナンスを行い、トラフィックの増加に応じてスケーリングします。

WAF の主要機能はクライアントとサーバー間の HTTP 通信を分析することです。この分析では、すべてのリクエストタイプにわたって、ヘッダー、本文、クエリパラメータなどの重要なコンポーネントを調べます。WAF は既知の攻撃パターンに一致する、または設定されたセキュリティルールに違反する HTTP トラフィックを識別します。次に、危険なリクエストがアプリケーションに到達する前にプロアクティブにブロックし、Web アプリケーションを保護します。

WAFポリシー

WAF は、単体であらゆる種類の脅威や攻撃を防ぐのではなく、Web サイトやアプリケーションを保護するツールセットの一部として、重要な役割を担います。どのトラフィックが安全であるか、あるいは悪意があるかを判断する (つまり WAF が許可またはブロックするトラフィックを決定する) ルールは「ポリシー」と呼ばれます。

WAF利用する企業や個人は、自分たちの要件に従ってポリシーをカスタマイズできます。また、ポリシーは迅速かつ自動的に更新が可能です。簡単にポリシーを修正し、さまざまな種類の攻撃に素早く対応できることは、WAF のメリットのひとつです。

一般的に WAF は多様な検出アプローチを採用してこれらのポリシーを適用します。

  • 正規表現 (Regex) : トラフィック内の特定のパターンを識別し、悪意のある入力を効果的に検出してブロックします。

  • スコアリングモデル : これらのモデルにより、事前定義された基準に基づいて受信トラフィックにリスクスコアが割り当てられます。WAF はこれらのスコアを評価し、トラフィックを許可するか、ブロックするか、さらに検査するかを決定し、潜在的な脅威に対してよりきめ細かな対応を可能にします。

  • SmartParse : この高度なメソッドを通じてリクエスト内の複雑なデータ構造を分析することで、より単純な検出技術ではすり抜けてしまう可能性のある高度な攻撃パターンを識別できます。これにより、高度な脅威を検出して防止する WAF の機能が強化されます。

WAF vs NGFW

すでに WAF テクノロジーとその仕組みについてご理解いただけたことと思います。また、「NGFW」のような別の用語に遭遇することがあるかもしれません。これらのツールの違いを理解することで、セキュリティニーズに最適なソリューションを選択できるようになります。混乱を避けるため、各用語について見てみましょう。

  • WAF (Web Application Firewall) : Web サーバーと受信トラフィックの間で動作し、各リクエストをリアルタイムで検査します。このリアルタイム検査により、一般的なエクスプロイトや疑わしいアクティビティがアプリに到達する前にブロックされます。WAF はリバースプロキシとしてデプロイされることが多く、多様なセキュリティニーズに合わせてさまざまな設定が可能です。

  • NGFW (次世代ファイアウォール) : 次世代ファイアウォールは、従来のステートフルファイアウォールの機能とより高度な機能がひとつのデバイスに統合されたものです。ポート/アドレスフィルタリングに加えて、使用パターンに基づいてトラフィックを識別することもできます。また、ベンダーのグローバルネットワークから得た脅威インテリジェンスも使用し、暗号化されたトラフィックの検査も可能です。

このように、WAF は Web アプリケーションの保護に重点を置いているのに対し、NGFW ソリューションは高度な機能を備え、ネットワークセキュリティに対する包括的なアプローチを提供します。それぞれ異なるアプローチを採用しているため、これらを組み合わせることでインフラストラクチャ全体を広範囲にわたって保護し、複数の方向からの脅威を防ぐことができます。

WAFデプロイするさまざまな方法

WAF は主に、オンプレミス、クラウド、ハイブリッドという3つの環境でデプロイできます。各アプローチの詳細を見てみましょう。

  • オンプレミス WAF

最も一般的なのは、アプライアンス WAF とも呼ばれるオンプレミス WAF です。WAF は元々すべてオンプレミスであり、現在でも多数の企業がオンプレミス WAF を (特にレガシーアプリなどのワークロードの保護に) 活用しています。

  • クラウドベース WAF

ベンダーがホストするクラウドベースの WAF は、便利で簡単に WAF による保護が得られます。このタイプのソリューションはデプロイが容易な上、オンプレミス WAF とは違ってソフトウェア管理なしで脅威をブロックできるため、導入する企業が増えています。社内の IT リソースが限られている組織や、インフラストラクチャ全体の監視ができていない組織には、クラウドベースの WAF が最適です。クラウド WAF を導入することで、企業はアプリケーションと API の強力な保護を確保しながら、ソフトウェア管理に関連するコストを削減できます。

  • エッジデプロイ

エッジデプロイでは、WAF をコンテンツ配信ネットワーク (CDN) のエッジ、すなわちトラフィックの発信元の近くに配置します。この戦略的な配置により、ネットワークに到達する前に脅威をブロックする追加のセキュリティレイヤーを提供します。エッジにデプロイされた WAF は、ユーザーの近くでトラフィックを検査してフィルタリングするためレイテンシの削減に特に効果があり、全体的なパフォーマンスを向上させながら、Web アプリケーションを潜在的な脅威から保護します。

  • ハイブリッド WAF

ハイブリッド WAF は、オンプレミスとクラウドベースのデプロイを組み合わせることで、どのような環境でもアプリケーションや API に対する Web リクエストを可視化します。

ハイブリッドデプロイにより、企業はクラウドに適応していないレガシーアプリケーションと、最新の分散型アプリケーションのどちらも保護できます。このデプロイモデルでは、オンプレミスとクラウドベースの WAF を組み合わせ、本番環境のセキュリティに関するテレメトリを一元管理が可能なコンソールに送信します。これにより、本番環境にデプロイされた WAF 全体の情報を、分かりやすいダッシュボードやレポートで確認できるようになります。

さらに、デプロイ方法を問わずに、セキュリティデータや指標をサードパーティの SIEM (セキュリティ情報/イベント管理) ツールや、SOAR (セキュリティのオーケストレーションと対応の自動化を可能にするソリューション) ツールに提供できる API の利用が可能な WAF が理想的です。

WAAP とは?

Web アプリケーション/API 保護 (WAAP) は、脆弱な Web アプリケーションや API を保護するために設計されたクラウドベースのサービスを指す用語です。このようなソリューションは、さまざまな種類の攻撃から Web アプリケーションと API を保護します。WAAP ソリューションは、アプリケーションや API エンドポイントに到達する前に Web リクエストを効果的に検査して脅威をブロックします。

WAAP は、OSI モデルのアプリケーション層 (レイヤー7) のみを保護の対象とし、ネットワークの外側のエッジに配置されます。クラウド WAAP サービスには通常、ボット対策や WAF、API 保護、DDoS 対策などが含まれます。

WAF導入するタイミング

WAF は包括的なセキュリティ戦略において重要な役割を担い、特効薬ではありませんが、さまざまな状況で役立ちます。WAF の導入が非常に理にかなっている主なシチュエーションの例を以下に挙げます。

1. OWASP トップ10の脅威からの保護

OWASP トップ10 では、データの上書きや機密情報の漏洩を可能にするインジェクション脆弱性など、Web アプリケーションの最も重大なセキュリティリスクが警告されています。WAF は、XSS や SQL インジェクションなど、脆弱性を悪用した攻撃の兆候がないかトラフィックを積極的に監視します。次に、既知のエクスプロイトに対する広範なルールセットに照らし合わせてトラフィックをリアルタイムで評価します。 

2. 新しい Web アプリケーションの導入

一般公開されるアプリケーションのリリースでは、チームがバグを修正する間に潜在的な問題が特定されるため、リスクが生じます。WAF を使用することで、すべての Web トラフィックを細かく監視し、異常や攻撃をリアルタイムで迅速に検出できます。フィルタリング機能により、悪意のあるアクターが新しいアプリケーションのデータを侵害する前にブロックします。

3. アカウント乗っ取りのブロック

あるゆる組織にとって認証情報の盗難は大きなリスクとなります。一度侵害されると、多くのプラットフォームのアカウントにアクセスするために盗まれた認証情報が繰り返し使用される可能性があります。WAF は各リクエストを検査し、誰かがアカウントの認証情報を推測しようとしていることを示す可能性のある疑わしいパターンを検出します。カスタマイズされたレート制限フィルターにより、複数回のログイン失敗後にブルートフォース攻撃を行っている IP アドレスを識別してブロックします。

4. 規制へのコンプライアンスの維持

機密性の高い顧客情報を扱う企業は、データを保護するために PCI DSS などの標準に準拠する必要があります。PCI DSS 4.0 では、一般公開している Web アプリケーションを保護するために WAF の実装が義務付けられています。監査人は定期的にセキュリティアセスメントを実施し、攻撃の検出力と防止対策を評価します。その際、リアルタイムのトラフィック監視と既知のエクスプロイトのブロックに関する監査可能な証拠を WAF によって生成できます。このようなアプローチにより、監査人に対してコンプライアンスを証明し、組織をデータ侵害の責任から保護することが可能になります。

5. 不正アクセスの防止 

細かく調整されたレート制限により、ブルートフォース攻撃によるログイン試行を防ぎ、悪意のあるファイルのアップロードを阻止します。WAF を使用することで、特定の IP アドレスからのログイン試行が連続して失敗するなど、不正アクセスの試みを抑制する詳細なトラフィックルールの設定が可能になります。WAF のフィルタリング機能を通じて特定のソースからの異常なトラフィックの急増を抑制したり、ブロックしたりすることで、負荷の高い状態でもアプリケーションの応答性を維持できます。 

6. DDoS 攻撃からの保護

WAF は真の DDoS 対策ソリューションとは異なりますが、分散型攻撃の早期兆候を捉えることができます。トラフィックパターンを分析し、特定の URL に対する通常以上に多いリクエストなど、異常な動作を識別します。そして、特定されたソースからのトラフィックをフィルタリング機能によってブロックし、攻撃ベクトルを即座に排除します。WAF によって悪意のあるトラフィックをかわすことで、Web サーバーが過負荷の状態になるのを防ぎ、専門の DDoS 対策ソリューションが有効化されるまで時間を稼ぐことができます。

Fastly WAF

WAF プロバイダーを選択する際、グローバルな保護、強力な検出能力、先進的なインフラストラクチャに対応できる統合機能を備えたプロバイダーを選択することが重要です。Fastly Next-Gen WAF は、最初からこれらの機能を念頭に設計されています。世界最大のグローバル・エッジ・クラウド・プラットフォームの Fastly は、世界中のユーザーと数ミリ秒以内に通信できます。

この戦略的な配置により、Fastly は従来の WAF よりも迅速にWebサイトとアプリケーションを保護できます。エンドユーザーの近くでトラフィックを検査することで、脅威が侵入できるレベルを素早く制限し、攻撃がオリジンサーバーに到達する前にブロックできます。

Fastly の Next-Gen WAF の主なメリットとして以下が挙げられます。

  • 包括的な保護 : シンプルなルールを通じて、OWASP トップ10の Web アプリケーションの脆弱性やカスタム脅威を迅速に検出してブロックします。

  • 迅速な対応 : Fastly の Next-Gen WAF は、POP のグローバルネットワークを利用し、攻撃中でも超低レイテンシの検査を実施し、優れたユーザーエクスペリエンスを実現します。

  • 柔軟な設定 : 変更の反映に長い時間待たされることなく、Fastly のユーザーフレンドリーなコンソールを介してルールや応答ページなどをカスタマイズできます。

  • リアルタイムの分析 : プロアクティブな問題の特定を可能にする Fastly のダッシュボードと API により、トラフィックとセキュリティイベントに関する貴重なインサイトが得られます。

  • シームレスな統合 : Fastly の Next-Gen WAF は、CDN およびエッジ・コンピューティング・サービスと透過的に連携し、セキュリティ、パフォーマンス、デリバリー機能が統合されたソリューションを提供します。

柔軟なデプロイオプションと最先端の検出機能を備えた Fastly Next-Gen WAF は、アプリケーションAPI、マイクロサービスに対して高度な保護を提供します。

Fastly試してみませんか ?

アカウントを作成してすぐにご利用いただけます。また、いつでもお気軽にお問い合わせください。

無料プランの登録問い合わせ
Fastly
© Fastly 2024