専門家に聞いてみた。WAF(Web Application Firewall)って結局どっちがいいの? ークラウドWAFとオンプレWAFを徹底比較ー

shinsyakaijin_run_man2.png
新卒1年目のAさん。
Webアプリケーションの脆弱性検査でセキュリティホールが見つかったためWAFの導入を検討。
しかしセキュリティの知識がないため専門家にWAFについて聞くことになった。

WAFとは

Aさん WAFとは何でしょうか
専門家Bさん Webアプリケーションに特化した通信制御装置です。

Aさん ????
専門家Bさん もう少しかみ砕いて説明するね。WAFとはWeb通信の精査に特化したセキュリティ装置でWebサイトの改ざんや情報漏洩の脅威からWebアプリケーションを守るツールなんだ。世間に広く知られているWebアプリケーションへの攻撃は「SQLインジェクション」「クロスサイトスクリプティング」「バッファオーバーフロー」「OSコマンドインジェクション」などで、WAFを導入することでその攻撃からWebアプリケーションを保護することができるよ。Webアプリケーションを定期的に改修して脆弱性を潰していくこともできるけど大きいシステムだと一部を変更するだけで様々な影響が出てしまうこともあるため、WAFのような専用装置を導入することがセキュリティ維持のためにも必要なんだ。

IPS/IDSとの違い

job_computer_technocrat.png
Aさん なるほど。ちょっと弊社のセキュリティを調べてみたんですが不正侵入防止システムとしてIPSを導入しています。IPSではWebアプリケーションの脅威から保護することはできないのでしょうか。
専門家Bさん とてもいい質問ですね。結論から言うとIPSでもWebアプリケーションの保護はできるんだ。だけどIPSはWebアプリケーションの保護範囲が限定的だし、そもそもOSやミドルウェア保護がメインのため、専用機のWAFと比べるとセキュリティレベルに大きく違いがでてしまうんだ。

Aさん もう少し具体的にお願いします。
専門家Bさん まず前提としてWebアプリケーションを保護するためにIPS、WAF共にシグネチャーというアクセスのパターンファイルを保有している。そのパターンファイルに一致した通信を見つけたとき検知するような仕組みだ。つまりそのパターンファイルの量と質が非常に重要なんだ。WAFと比べるとIPSのパターンファイルは少ないため保護範囲が限定的といったんだ。また、Webアプリケーションは新しい技術を取り入れたりUIを変更したりと定期的にアップデートされるよね?そうすると新しい脆弱性も発見されるためパターンファイルの追加やアップデートもWebアプリケーションを保護するためには必要なんだ。

導入形態別WAFの説明

internet_darkweb.png
Aさん なるほど、Webアプリケーションを保護するためにはWAFが必要なことが分かりました。どうやってWAFを導入すればよろしいでしょうか。
専門家Bさん WAFには大きく分けてネットワーク型のオンプレミスWAF、SaaS型のクラウドWAF、サーバにインストールするホスト型WAFの3種類の導入形態があるんだ。ここでは市場で多く流通しているオンプレWAFとクラウドWAFを説明するね。オンプレWAFの特徴は企業のネットワークの中にWAF装置を導入するため企業ネットワークに合わせて柔軟に導入できることだよ。リバースプロキシ型WAFが多いけどインライン透過型やスニファー型で導入できるWAFもあるんだ。もちろんネットワーク内に設置しているためサーバーへの負荷はかからない。クラウドWAFの特徴はベンダーが保有している拠点にサービス通信を引き込み、その拠点内で通信を精査することだよ。拠点への通信の誘導はDNSを利用するんだ。また、導入にあたり監視対象のシステム構成に依存しないことも特徴の一つだ。オンプレ環境、プライベートクラウド環境、パブリッククラウド環境関係なく導入ができるんだ。

オンプレWAF vs クラウドWAF

Aさん それぞれの特徴がざっくりと理解できました。ただ、弊社のシステムに導入するにはどのWAFを導入すればいいのでしょうか。
専門家Bさん 身も蓋もない答えなんだけど、オンプレミスとクラウドどちらがいいかはシステムを保護する上で何を重視するかで決まるんだ。つまり企業のシステム環境や運用ポリシーによって異なるということ。例えば設定や運用の簡易性を重視するなら一般的にはクラウドがいいといわれているよ。比較表を作ってみたので確認してみてほしい。システムの特性や要求されるセキュリティレベル、そしてWAF運用を総合的に考えながら会社にとってどのWAFがいいか考えてほしい。

キャプチャ2.PNG

事例

専門家Bさん ここに事例サマリーを乗せておくよ。
事例2.PNG

アイシン精機様の導入事例
Webセキュリティの強化を目指し、Imperva Cloud WAFを新たに導入
グローバルでの安全対策を実現

imperva jirei.png

詳細はこちら1.2.png

よくある質問

Aさん シグネチャを開示しているオンプレミスよりクラウドの方がセキュリティレベルが低いのでしょうか。
専門家Bさん 一概にそうとは言えないよ。特にWWで事業を展開しているクラウド製品は、検知した攻撃情報を共有するコミュニティ機能を有していることが多く最新の脅威にいち早く対応できる場合があるんだ。

Aさん クラウドWAFを利用したいんですがWAFはチューニングが必要だと聞きました。運用するためのリソースもないし外部に委託したいと思いますがどうでしょうか。
専門家Bさん まずクラウドWAFはシグネチャや細かい運用を意識する必要のないような思想で作られてる場合が多く、どのようなシグネチャが当てられているか、いつシグネチャが当てられるかなどは全てブラックボックスになっていることがほとんどだ。そのためオンプレミスのような細かいチューニングは必要ないんだよ。

その他、クラウドWAFに関連した資料は以下のリンク先よりダウンロード頂けます。

Imperva_資料.png

詳細はこちら1.2.png

ランキング