近年、Webアプリケーション特有の脆弱性を狙う攻撃が増加しており、これまで以上に強固なセキュリティが必要とされています。そこで注目を集めているのが「WAF」です。本記事はWAFの概要について解説するとともに、Azure上で稼働するクラウドネイティブなセキュリティソリューション「Azure WAF」をご紹介します。
本体のAzureの概要については、下記の記事で詳しく解説しています。ぜひ本記事と併せてご覧ください。
Microsoft Azureとは|何ができる?入門内容からわかりやすく解説
そもそもWAFとは
WAFとは「Web Application Firewall」の略語で、Webアプリケーションの脆弱性を保護するセキュリティシステムを指します。Webアプリケーションとは、SNSや動画配信サービス、企業が運営するコーポレートサイト、ECサイト、社内SNSなど、Webサーバー上で稼働するサービス全般を指す用語です。
Webアプリケーションはクライアントの要求に対して動的に応答するプログラムで構築されており、その特性ゆえの脆弱性を狙うサイバー攻撃が存在します。
たとえば、Webサイトに設置されているメールフォームや検索ボックスなどの脆弱性を利用したSQLインジェクションが代表的な手法です。SQLインジェクションとは、メールフォームや検索ボックスなどに不正なSQL文を注入することで、データベースへの侵入や不正な操作を実行する攻撃を指します。
一般的にWebアプリケーションは、SQL言語を用いてデータベースに命令文を送り、その命令に基づいてサーバー側で情報を処理して結果をクライアントに返します。このとき、SQL文のエラー処理が適切に組まれていない場合、不正なSQLコマンドの実行によってデータベースに侵入を許してしまうのです。このようなWebアプリケーション特有の脆弱性を狙うサイバー攻撃から、組織の情報資産を保護するのがWAFの役割です。
これまでは、社内LANと外部ネットワークの間にファイアウォールを設置する境界防御型のセキュリティが一般的でした。しかし、ファイアウォールはミドルウェア層やアプリケーション層を標的としたネットワーク外部への攻撃には対応できません。WAFはシグネチャと呼ばれる攻撃パターンの検出ルールに基づき、アプリケーション層に対する攻撃を無効化します。Webアプリケーションの活用が一般化した現代において、WAFは必須のセキュリティシステムといえるでしょう。
Azure WAFとは?
「Azure WAF」とは、Microsoftが提供するIaaS・PaaS型のクラウドコンピューティング「Microsoft Azure(以下、Azure)」で提供されるセキュリティソリューションです。Azure WAFは、その名の通りAzure上で提供されるWAFであり、SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーション特有の脆弱性を狙うサイバー攻撃を検知・防御するセキュリティソリューションです。
Azure WAFの必要性
現代は、情報通信技術の進歩・発展に伴い、サイバー攻撃の脅威もまた、高度化かつ多角化しているため、企業ではこれまで以上に堅牢なセキュリティ体制の構築や危機意識の向上が求められています。セキュリティインシデントが発生した場合、情報漏洩のような直接的な被害はもちろん、企業の信用やブランドイメージの損失、損害賠償、株価の下落、売上機会の損失など、さまざまな被害が発生すると予測されます。
日本ネットワークセキュリティ協会の調査によると、海外子会社のサーバーから本社が管理するサーバーに侵入されてランサムウェアに感染したという事例があります。この事例では、被害を受けた端末の入れ替えや再発防止のための原因調査などで、総額3億7,600万円もの損失が生じています。Azure WAFは使い方次第で、このようなインシデントを最小限に抑えられます。
Azure WAFに似たサービス
ここからは、Azureで提供される「Azure CDN」と「Azure Front Door」について見ていきましょう。
Azure CDN
CDNとは「Contents Delivery Network」頭文字をとった略称で、大容量のデジタルコンテンツをインターネット上で効率的に配信するためのネットワークです。大量のトラフィックを受けると応答速度の遅延を招きますが、CDNはデジタルコンテンツのキャッシュを各地域に設置されたサーバーに分散することで、レスポンスの高速化を図ると同時に可用性の向上に寄与します。
CDNはコンテンツ配信の最適化を図るだけでなく、DDoS攻撃と呼ばれる脅威へのセキュリティソリューションとしても機能します。DDoS攻撃とは、ネットワーク上に分散した複数のコンピューターから大量のトラフィックを送信し、サーバーに負荷を与えて正常な動作を妨害するサイバー攻撃です。CDNを利用することで攻撃者のトラフィックが分散されるため、自社サーバーへのアクセス量を最小限に留められます。このCDNをAzure環境で提供するソリューションがAzure CDNです。
Azure Front Door
Azure Front Doorは、アプリケーション層への攻撃を保護するAzure WAFと、デジタルコンテンツの配信を効率化するAzure CDNを統合したクラウドサービスです。世界中にあるAzureのデータセンターを利用した負荷分散によってアプリケーションのパフォーマンスを高速化すると同時に、SQLインジェクションやクロスサイトスクリプティングなどの脅威から企業の情報資産を保護します。
Azure WAFを導入するメリット
国立研究開発法人情報通信研究機構のレポートによると、サイバー攻撃の総数は過去10年間で約45倍にまで増加しており、その脅威は年々巧妙化しています。Azureはクラウドセキュリティに関する「ISO/IEC 27017:2015」や、情報セキュリティに関わる「ISO/IEC 27701」、個人情報保護の規格「ISO/IEC 27018:2014」など、国際標準であるISO規格のセキュリティ認証を得ているサービスです。
そのため、Azure WAFを活用することで、アプリケーション層への攻撃に対して国際水準のセキュリティレベルを確保しつつ、組織全体におけるコンプライアンスの強化に寄与します。また、Azureは東日本と西日本にデータセンターが設置されているため、仮に地震や火災などで一部が甚大な被害を受けても、可用性を確保できるというメリットがあります。
Azure WAFの利用料金
Azureは使用量に応じて課金される従量課金制のクラウドサービスです。Azure WAFも同様で、基本的にゲートウェイ時間と処理されたデータの総量に基づいて利用費が決定されます。また「Small」「Medium」「Large」のプランがあり、それぞれゲートウェイやデータ処理における利用料金が異なるため、事前に必ず公式サイトで詳細を確認し、自社に適したコストモデルを選択してください。
Small:3.3132円/ゲートウェイ時間 データ処理1接続あたり0.9817/月
Medium:9.2769円/ゲートウェイ時間 データ処理1接続あたり0.8590円/月(処理データ量10TB/月まで無償)
Large:42.4086円/ゲートウェイ時間 データ処理1接続あたり0.4295円/月(処理データ量40TB/月まで無償)
公式サイト:Azure Web アプリケーション ファイアウォールの価格|Microsoft Azure
まとめ
Azure WAFは、SQLインジェクションなど、Webアプリケーションの脆弱性を狙う脅威から情報資産を保護するセキュリティソリューションです。
堅牢なセキュリティ体制の構築を推進する企業は、Azure WAFやAzure CDNなどを搭載するMicrosoft Azureの導入をご検討ください。