WAFまたはWebアプリケーションファイアウォールとは、組織をアプリケーションレベルで保護するよう設計された仮想セキュリティアプライアンスのクラウドサービスです。その手段として、Webアプリケーションとインターネット間のハイパーテキスト トランスファー プロトコル(HTTP)とハイパーテキスト トランスファー プロトコル セキュア(HTTPS)のトラフィックのフィルタリング、監視、分析を行います。
このラドウェアミニッツ動画では、ラドウェアのユーリ・ドロットがWebアプリケーションファイアウォール(WAF)について解説するほか、WAFを導入することの重要性、WAFの機能、WAFを選ぶ際のポイントについてもご説明します。
WAFは、クロスサイトフォージェリやサーバサイド リクエスト フォージェリ、ファイルインクルージョン、SQLインジェクション、その他多くの攻撃からWebアプリケーションを防御します。さらに、WAFは、アプリケーションやウェブサイトを脆弱性、悪用、ゼロデイ攻撃から守ります。アプリケーションへの攻撃はデータ漏洩の主な要因であり、貴重なデータへの突破口となっています。適切なWAFを実装することにより、システムのセキュリティを侵害してデータを密かに抽出することを目的とした一連の攻撃を、完全にブロックすることができます。
WAFがWebアプリケーションの前面に実装されると、アプリケーションとエンドユーザー間のすべてのトラフィックを監視する保護シールドが、Webアプリケーションとインターネットの間に設置されます。WAFは、Webアプリケーションに送られるHTTP/HTTPSトラフィックをフィルタリンおよび監視して、悪意のあるものはすべてブロックすることでWebアプリケーションを保護します。また、悪意のあるトラフィックと安全なトラフィックの識別に効果的な一連のポリシーに従い、認証されていないデータがアプリケーションから流出するのを防ぎます。従来の実装において、プロキシサーバはクライアントの認証情報を保護するための仲介的な役割を果たしますが、WAFも同じような働きをします。ただしWAFの場合は逆向き(リバースプロキシ)で、Webアプリケーションサーバを悪質な恐れのあるクライアントから防御するための仲介役として機能します。
WAFでよく採用されるセキュリティのアプローチは3つあります。
ホワイトリスト - WAFが通過させるトラフィックを機械学習や振る舞いのモデリングアルゴリズムを用いて定義した、いわゆる「許可リスト」。 リストに該当しないトラフィックをブロックします。
ブラックリスト - WAFが拒否するトラフィックを既知の脆弱性に対する最新のシグネチャに基づいた、いわゆる「ブロックリスト」。リストに該当しないトラフィックを受け入れます。
ハイブリッドアプローチ - WAFは、ポジティブセキュリティモデルとネガティブセキュリティモデルの併用、つまり許可リストとブロックリストの両方を使ってトラフィックの通過の可否を決定します。
ファイアウォールとWebアプリケーションファイアウォールの大きな違いは、ファイアウォールが通常、ネットワークとトランスポートレイヤ(レイヤ3と4)のみの防御に関連付けられているのに対し、Webアプリケーションファイアウォールは、レイヤ7まで防御する点です。
WAFは、さまざまな方法で実装可能であり、どの種類にも特有のメリットとデメリットがあります。WAFには次の3つのタイプがあります。
- ネットワーク型WAFは、一般的にハードウェアベースです。このタイプのWAFは、ローカルにインストールされるため、遅延は最小限に抑えられますが、ストレージと物理的な機器を必要とします。
- ソフトウェア型WAFは、サービスとしてのセキュリティとしてWAFを提供するサービスプロバイダーにより管理されます。
クラウド型WAFは、低コストで実装の簡単なオプションです。トラフィックをリダイレクトするためのDNSの変更と同じくらいシンプルなため、すぐに使えるソリューションとして採用されることが多いうえに、サービスとしてのセキュリティを考慮した料金体系で毎月または毎年の支払いが可能なため、先行投資もわずかで済みます。クラウド型WAFは、最新の脅威に対応するために常時更新されるソリューションであり、ユーザー側で追加の作業や費用は必要ありません。この実装オプションの欠点は、ユーザーが責任を第三者の手に委ねることです。
WAFには、ソリューションが「仲介者」の役目を果たすインライン、もしくは APIベースのアウトオブパス(OOP)サービスとして展開できるオプションが付いているのが理想です。APIベースのOOP展開には、マルチクラウド環境向けの最適化が可能な独自のメリットがいくつかあります。これにより、アプリケーションリクエストがクライアントからアプリケーションサーバへ、中断なしに直接移動することが可能になります。メリットとしては、低遅延のほか、トラフィックのリダイレクトがない、アップタイムがより長い、異種環境での包括的な防御などが挙げられます。
理想を言えば、WAFはポジティブセキュリティモデルとネガティブセキュリティモデルの両方を組み合わせ、包括的な防御を提供する必要があります。これには、アクセス違反やCDN背後を装った攻撃、APIの不正操作や攻撃、前述のHTTP/Sフラッド、ブルートフォース攻撃といった既知のWebアプリケーション攻撃などが含まれます。さらに、この組み合わせは、ゼロデイ攻撃のような未知の攻撃および脆弱性に対する防御機能も果たします。
Webアプリケーションファイアウォールはまた、振る舞いベースの機械学習アルゴリズムを活用して、リアルタイムでセキュリティポリシーを作成および最適化し、フォルスポジティブを最小限に抑えつつ、包括的な防御を達成することができます。この機能により、アプリケーションがネットワークに追加されるたびに、自動検出とそれらの防御も実行します。
WAFの他の主な機能は以下のとおりです:
- 中心的な機能:ジオブロッキング、IPグループ、ブロックリスト、許可リスト、ホワイトリスト、ブラックリストに基づいたネットワークトラフィックのフィルタリング
- APIの検出と防御により、オンプレミスやクラウドでホストされている環境にかかわらず、あらゆる手段によるAPIの乱用や操作に対する可視化、徹底化、防御を実現
- 前述のアプリケーションレイヤのDDoS攻撃を阻止する組み込み型DDoS防御
- 人間を真似た巧妙なボットを検出して統合するボット管理ソリューションを組み込む機能
- データ流出防止機構が、個人を特定できる情報(PII)のように機密性の高いユーザーデータを自動的にマスク
多くの組織では、アジャイル開発手法、クラウドへの移行、WebベースのソフトウェアやSaaSアプリケーションの使用の増加、在宅勤務者の急増により、アプリケーションレベルで高まるセキュリティリスクに直面しています。WAFを導入することで、Webアプリケーションやアプリケーションプログラミングインターフェイス(API)を標的にした攻撃に対処できるようになります。
WAFはすべての脅威から組織を防御することはできないものの、「アプリケーション脆弱性OWASPトップ10」などアプリケーションレベルを標的にしたものには対応可能です。これらには以下が含まれます。
- クロスサイトスクリプティング(XSS): コードインジェクション攻撃のひとつで、攻撃者は正当なWebサイトに悪性コードを挿入します。このコードが感染したスクリプトとしてユーザーのWebブラウザ内で起動し、攻撃者が機密情報を盗み出したり、ユーザーになりすましたりできるようにします。
- アプリケーションレイヤDDoS攻撃:アプリケーションレイヤを狙ったボルメトリックDoS/DDoS攻撃。一般的な例として、HTTP/HTTPSフラッド、SSL攻撃、ローアンドスロー攻撃、ブルートフォース攻撃が挙げられます。
- SQLインジェクション:攻撃者が既知の脆弱性を利用して悪質なSQL文をアプリケーションに挿入する点で、XSSに似ています。ハッカーはこの手口により、情報の抽出や改ざん、削除が可能になります。
- ゼロデイ攻撃:ハッカーが、ソフトウェア開発者がパッチをリリースする前に未知のセキュリティの脆弱性やソフトウェアの欠陥を悪用した場合に発生します。
Quadrant Knowledge Solutionsの調査によると、WAF市場の主な推進要因は以下の通りです。
- サービスを改善したいと考えているWAFプロバイダーは、製品をセキュリティ情報イベント管理(SIEM)システムやアプリケーションセキュリティテスト(AST)、Webアクセス管理(WAM)と統合している。
- ベンダーは、ポジティブセキュリティモデルをベースに機械学習のアルゴリズムを用いてHTTPリクエストを分析するWAFソリューションを提供している。
- IoTデバイスの増加により、デバイスフィンガープリンティングやプロトコル検証といったIoTに特化した技術など、WAFソリューションに投資してデータプライバシーの規範を遵守しようという機運が組織の間で高まる傾向にある。
- 企業は、より強力な脅威インテリジェンス、より広範なWAF防御を求め、さまざまな設定不要の統合を模索している。
- Web攻撃を防止し、フォルスポジティブを最小限に抑えるため新しい脅威検出方法が注目されている。