狙われるWebアプリケーション、脆弱性対策とWAFに期待できることとは：守りが薄いWebアプリケーション（3）（2/2 ページ）

当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。第1回と第2回ではWebアプリケーションの攻撃対象となる領域と、領域ごとの被害例に加えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスについて簡単に整理した。今回は、Webアプリケーション側で可能な対策について脆弱性への対応とWAFを中心に解説していく。

[今井雅晴，＠IT]

3種類のWAFの違いはどこにある？

　このようにWAFは、Webアプリケーション攻撃のフェーズにおける「攻撃」フェーズはもちろん、「偵察行為」と「脆弱性の発見」フェーズに対しても有効に機能する。

　さて、一口にWAFと言っても幾つかの種類に分かれるので、それぞれの特徴を解説しよう。現在のWAFは、オンプレミスWAFとクラウドWAFの2種類に大別できる。さらにクラウドWAFはCDN（Content Delivery Network）機能があるものとないものに分かれる。

• オンプレミスWAF
• クラウドWAF（CDN機能なし／CDN機能あり）

　なお、クラウドWAFを細かく分類すると、クラウド化されたデータセンター内に、仮想インスタンスとして設置できるものがある。ここでは論理的な設置形態に着目し、このようなものもオンプレミスWAFとして取り扱う。

図3　オンプレミスWAFの特徴

　歴史のあるオンプレミスWAFは、ルールと設定のカスタマイズについて比較的自由度が高い。これが長所といえるだろう。

　一方で、図3にも示したようにSPOF（Single Point of Failure、単一障害点）とならないような冗長設計や定期的なソフトウェアのバージョンアップは、ユーザーの責任になる。このため、十分な管理スキルがあり、自ら運用可能なリソースを確保できるユーザー（セキュリティ管理者）がこの方式を選ぶ傾向がある。

　一方、クラウドWAFの最大の特徴は、Webアプリケーション（Webサーバ）の設置場所を問わずにセキュリティを向上できる柔軟性だろう。

　現在、企業や組織は、インターネットに接した複数のWebアプリケーションやWebサーバを、Amazon Web Services（AWS）やMicrosoft AzureなどのIaaS（Infrastructure as a Service）の他、自社データセンターなど複数の場所に設置している。これらを一元的な仕組みで外側から守れるのはクラウドWAFの大きな利点である。WAF用機器の設備投資やメンテナンスをベンダーまかせにできる点も運用の負荷軽減につながるポイントといえる。

　クラウドWAFは、アプリケーションゲートウェイ型のリバースプロキシとして動作するタイプが多く、ネットワーク越しにWebアプリケーション（Webサーバ）を直接的な攻撃から隠すことができる。このため、オンプレミスWAFに比べ偵察行為に対してより強固に守ることができるだろう。WebサーバのIPアドレスはもちろん、Webサーバのロケーションやデータセンターの構成などに関わる情報も隠すことができるからだ。

DoS／DDoS攻撃に強いクラウドWAF

　クラウドWAFはDoS／DDoS攻撃の緩和、防御機能でも優れている。

　Webサーバを狙うDoS／DDoS攻撃には大きく2種類ある。OSI参照モデルのレイヤー3／4に当たるさまざまなTCP／UDPプロトコルを用いて、主にインターネット上の中継回線の過負荷を狙うネットワークレベルの攻撃が1つ。もう1つはHTTP／HTTPSを用いて、中継回線の過負荷に加え、Webサーバやロードバランサーの処理の過負荷を狙うアプリケーションレベルの攻撃である。

　クラウドWAFにはDDoS対策を備えるものがあり、アプリケーションレベルのDDoSまたは、アプリケーション、ネットワークレベルのDoS／DDoSをクラウド内で吸収、緩和できる。

　クラウドWAFがCDN機能のあり／なしのどちらかなのかによって、DoS／DDoS攻撃への耐性が変わる。これは図4に示した通りだ。さらに平時のWebアクセスパフォーマンスにも影響を及ぼすため、少し解説しておきたい。

図4　クラウドWAFはCDN機能のありなしによって2種類に分かれる

　クラウドWAFはDNSの仕組み（AレコードやCNAME）を使って、サーバへのアクセスを、いったんクラウドWAFを経由する通信フローに変更する。ネットワークの経路を考えると、Webブラウザから直接Webサーバに向かう通常のインターネット通信に比べ、迂回（うかい）経路での通信に変わってしまい、Webパフォーマンスに影響を及ぼす可能性がある。

　例えばクラウドWAFベンダーが、海外の拠点にしかクラウドWAFのサーバを設置していない場合どうなるだろうか。国内間の正規の通信であっても、常に海をまたいだ迂回経路での通信となってしまい、アプリケーションのレスポンスが悪化する。

　このため、Webパフォーマンスを要求されるサイトが保護対象の場合は特に注意が必要だ。Eコマースサイトや、スマートフォン向けアプリケーションなどでは、パフォーマンスの悪化が売り上げ悪化や、顧客離れの直接の原因となる場合が多いからだ。

　CDN機能を備えたクラウドWAFでは、このような欠点を緩和できる。CDN本来の機能であるWebキャッシュによってWebコンテンツを高速配信でき、経路最適化能力を用いて逆にパフォーマンスを向上させて、Webアプリケーション処理の負荷軽減を図ることもできる。

　さらに、ネットワークレベルとアプリケーションレベルの両方のDoS／DDoS攻撃に対して、Webサーバに到達する前に、CDNの分散クラウド内で、攻撃を吸収、緩和する能力に優れている。最後に、構成上SPOFにならない冗長構成の面でもオンプレミスWAFに比べ優位性がある。

　とはいえ、クラウドサービスとしての安定性（稼働率）や、DDoS緩和能力、備えているWAFの機能をフル稼働させた際の処理能力（安定して動く総スループット）については、ベンダーによって異なる。選定に当たっては実際利用しているユーザーから実際の評判、評価を集めてみることをお勧めする。

　今回は、脆弱性対応の現状を踏まえて、攻撃実行までの各プロセスにおける対応手段とWAFの大まかな役割、WAFの種類について解説した。保護対象のサイトでどのようなビジネスが動いているのか？　現状の対策で何が十分で不十分な点はどこか？　どこにある何を守らなければならないのか？　自社のみで対策できる範囲、WAFを使って対策すべき範囲はどこか？　これらをしっかり見極めながら、最適な対策方法の選定をしていくことが重要である。

筆者紹介

今井雅晴（いまい まさはる）

アカマイ・テクノロジーズ合同会社 ソリューション・エンジニア。

国内で電気・電子工学専攻の修士課程を修了後、独立系SIerでセキュリティエンジニアとして従事。大規模インシデント後のセキュリティ対応などセキュリティ面で多くの企業を支援。その後、テクニカルコンサルタントとして大手金融機関向けのセキュリティ対策の支援、CEH（Certified Ethical Hacker）プログラムのインストラクターを経て2017年から現職。