ブログとストーリー

Trustwaveブログ

Trustwaveブログは、ホットなトピック、トレンド、課題に取り組み、ベスト プラクティスを定義するエキスパートの洞察を通して、情報セキュリティの専門家を新たな高みへと導きます。

Web アプリケーションファイアウォール選択時に聞くべき 5 つの質問

Web アプリケーションファイアウォール(WAF)は、長い間、組織の基盤セキュリティ技術の一つとし て機能してきました。しかしサイバー犯罪者が、従来型のセキュリティを回避するようより賢くなっ ても、WAF はその価値を維持しています。 何百万もの Web サイトが侵害され、バックドア感染が 発生した、影響が大きかった「Drupalgeddon 2」 と Apache Struts の脆弱性を考えてみてくださ い。これらの欠陥にパッチを当てる以外の手段として、専門家は WAF が解決策の面でその次にラ ンクされることに同意しています。

より安全なアプリケーションの開発に向けた有望な業界動向がありますが、アプリケーションには まだ目に見えるような大きな脆弱性が存在します。実際、2018 年のグローバルセキュリティレポー トによると、Trustwave SpiderLabs チームは、調査したアプリケーションの全て(100%)に少なくとも 1 つの脆弱性を発見しました。ほとんどのものには、複数の脆弱性が存在しました。

WAF 市場は成長しています。WAF 市場の成長性に関する Web 検索を行うと、ほとんどの調査で 17-20%の成長率を予測しており、これはサイバーセキュリティ業界全体の成長率の 2 倍となって います。WAF の成長の理由の 1 つは、防御を必要とするアプリケーション数の増加だけでなく、そ れらのアプリケーションに対する絶え間のない攻撃があるからです。WAF は常に変化しており、購 買者にはより多くの選択肢が与えられています。以前、WAF の選択肢は、似たような機能を備え た物理アプライアンスを販売しているベンダーに限られていました。現在、数多くのベンダーが、さ まざまな機能と相補的な技術を備えた物理、仮想、クラウドベースのソリューションを提供していま す。

あなたが初めて WAF を検討している場合や、すでに持っている WAF を置き換える場合は、考慮 すべき点がたくさんあります。決定プロセスを簡単にするために役立つ 5 つのことを見てみましょ う。私たちはこれが唯一の考慮事項であることを示唆しているわけではありませんが、これらの事 項が、あなたが仕事を開始するのに役立つことを期待しています。

1) 保護したいアプリケーションとは何ですか?

理想的には、可能な限りアプリケーションと WAF による防御を近づけたいと考えるでしょう。したが って、防御が必要なアプリケーションが主にクラウドベースの場合は、クラウドベースの WAF が最 適なオプションとなる可能性があります。同様に、ほとんどのアプリケーションと IT 環境がオンプレ ミスにある場合は、現場で物理アプライアンスまたは仮想アプライアンスとして展開できる WAF を 探します。

今日の IT 環境がハイブリッドであり、オンデマンドとクラウドアプリケーションが混在している場合 は、複数の WAF を展開することができます。オンデマンドとクラウドの両方のオプションを提供す Trustwave Blog – May 2, 2018 Copyright © 2018 Trustwave Holdings, Inc. All rights reserved. 2 る WAF ベンダーを見つけることは、単一のプロバイダーと協力して 1 つのテクノロジーを学び操 作する場合に有利になります。

2) WAF をどのように稼働させたいのですか?

WAF には異なる動作モードがあります。高いレベルでは、パッシブまたはアクティブのいずれかで す。パッシブモードで動作する場合、WAF は Web トラフィックとログアクティビティを監視し、チェッ クを実行します。しかし、アラートを送信したり、分析のために SIEM のような他のシステムにイベ ントを送信するように設定することはできますが、トラフィックには影響を与えません。一方、アクテ ィブモードで動作する WAF は、意図的にトラフィックを操作します。たとえば、アクティブモードの WAF は、設定されたポリシーに応じて、データを難読化したり、攻撃をブロックしたり、ワークフロー をリダイレクトしたりする場合があります。

ある動作モードを別の動作モードよりも優先させる理由があります。アクティブモードの WAF は、 悪意のあるトラフィックをブロックすることによってより良い防御を提供できますが、正当なトラフィッ クをブロックしてしまうという誤検知を引き起こす可能性もあります。パッシブモードの WAF はすべ てのトラフィックを通過させます。つまり、明確に悪意のあるユーザーでもブロックされることはあり ません(セキュリティチームが脅威を特定して対策を講じない限り)。

物理アプライアンスまたは仮想アプライアンスとして展開されるほとんどの WAF には柔軟性があ ります。パッシブモードとアクティブモードの両方をオプションとして持ち、時間の経過とともにモー ドを変更することができます。

しかし、クラウド基盤に、あるいは SaaS(security-as-a-service)モデルの一部として WAF を導入 すると、アクティブな動作モードに制限される可能性が高くなります。たとえば、Amazon Web Services(AWS)や Microsoft Azure では、システム基盤に導入された WAF をアクティブなインライ ンリバースプロキシモードにする必要があります(このモードは、クラウド基盤を防御するのに役立 ちます)。アプリケーションへの正当なトラフィックを誤ってブロックしたくない場合は、これが最適な 動作モードでは「ない」可能性があります。

3) WAF データにどの程度の可視性が必要ですか?

WAF は、設定したポリシーの詳細やログに記録されるイベントなどのデータを生成して収集しま す。あなたの組織は、それらのデータに対してどれくらいの可視性と制御を望むかについての優 先度を持つでしょう。これは、アプリケーションが特定の方法でデータを保存する必要があるコンプ ライアンスの要件に該当するため、あるいは、保護しているアプリケーションの性質(たとえば、電 子商取引アプリ)によって、データがどのように格納され、暗号化されているかを知る必要がある からです。

以上の検討と同様に、WAF の導入形態は、WAF が生成するデータに対してどれだけ制御ができ るかに影響を与えます。データを完全に制御したい場合は、物理または仮想デバイスとして導入 することができる WAF を選択します。AWS や Microsoft Azure などのクラウド基盤プロバイダに WAF を導入することで、データがネットワークの一部に存在するため、高いレベルの可視性と制御 性が提供されます。SaaS ベースの WAF を選択すると、WAF データの可視性と制御は最小限に Trustwave Blog – May 2, 2018 Copyright © 2018 Trustwave Holdings, Inc. All rights reserved. 3 抑えられますが、多くの種類の Web アプリケーションに適用可能であり、また、他の誰かがあなた に代わって WAF 基盤を管理してくれるという利点があります。

4) WAF を管理するのにどれだけの時間とリソースが必要ですか?

あなたはおそらく、他の製品のオンプレミスとクラウドのオプションについて考えてきたように、自分 自身にこの質問をしたことでしょう。クラウドに導入するか、SaaS オプションを選択すると、他の誰 かがシステム基盤を管理します。オンプレミスではあなたに責任がありますので、ソフトウェアのア ップデート、パッチ、変更管理などの作業に時間をかける必要があります。

どのように WAF を導入するかにかかわらず、(マネージド WAF サービスを選択しない限り)進行 中の WAF 固有の管理に時間とリソースを費やす必要があります。これには、WAF を組織のセキ ュリティ要件と一致させるための日々の技術的調整が含まれます。偽陽性(False Positive)を減ら したり、ルールベースを変更したり、新しいルールをレビューしたり、イベントをレビューすることで、 WAF を調整して Web アプリケーションをより効果的に防御することができます。

5) 費用はいくらですか?

価格は常に重要な考慮事項です。WAF ライセンスを取得する場合は、初期購入費用と継続的な コストの両方を考慮してください。

初期ライセンス料を見ると、他のテクノロジーを購入するような選択肢もあるでしょう。つまり、メン テナンスを含む月額/年間契約と比較して、継続的な安めのメンテナンス費用だがライセンス料が 高いというものもあるでしょう。また、新しい WAF を稼働させるのに手助けが必要な場合には、トレ ーニング費用やプロフェッショナルサービス費用なども考慮してください。

継続的なコストを考慮すると、オンデマンドとクラウドベースの WAF にはキーとなる違いがありま す。オンプレミスの WAF では、オンサイトのデバイスを維持するためのすべてのコストを考慮してく ださい。ここから始めてみてください:

  • 初期ハードウェア費用 
  • 交換部品費用 
  • 電力と冷却用電気代
  • メンテナンス作業のための労務費
  • バックアップ(例:休暇時のカバーなど)として複数の IT プロフェッショナルを雇う必要性

クラウドベースの WAF では、ハードウェアや電力コストなどの要素を考慮する必要はありません が、運用中のコストが固定されているか、可変であるかどうかを検討する必要があります。クラウド マーケットプレイスでは、価格設定はしばしば使用量に基づいています。あなたの WAF が保護し ているアプリケーションのトラフィックが急増している場合(小売や電子商取引アプリケーションな ど)、使用料金が変わる可能性があります。それは OK かもしれませんし、そうでないかもしれませ ん。

WAF を選択する場合にもっと多くのことを考慮することができますが、うまくいけば、これらの 5 項 目が、検討開始を助けることでしょう。もっと議論したいのであれば、私たちはみなさまからのご意見をお待ちしています。また、新しい WAF を検討している場合は、Trustwave をリストに追加する ことをお勧めします。当社のエンタープライズ Trustwave WAF 製品とマネージド WAF サービスに より、当社は独自の、または専門家の助けを借りて実行できる、柔軟な物理的、仮想的、およびク ラウドベースの導入オプションを提供します。

Diane Garey は、Trustwave の上級プロダクトマーケティングマネージャです。