Webサイトのセキュリティ対策として、WAFを導入する企業が年々増えています。さて、WAFを導入すればセキュリティ対策は万全と言えるでしょうか。答えはノーです。
弊社ではTrend Micro 社が提供する Cloud One – Workload Security を併用いただくことをお勧めしています。お客様からよく聞かれるWAFと Cloud One – Workload Security の違いをもとに、なぜWAFのみでは不十分なのか解説していきたいと思います。一般的なWAFと Cloud One – Workload Security にはざっくり2つの点で違いがあります。
・動作場所、および、保護対象とするカバー範囲の違い
・機能の違い
それぞれどのような違いがあるのか順番にみていきます。
①:動作場所とカバー範囲の違い
WAFはWebサーバの手前、 Cloud One – Workload Security は、サーバホスト上で攻撃の検知、防御をします。視覚的に見た方が理解しやすいので、以下の図をご覧ください。
また監視対象とする通信レイヤーが異なり、WAFは第7層のみ対象であるのに対し、 Cloud One – Workload Security は第3層~第6層および第7層の一部を対象とします。
WAFがサーバ到達前に検知してくれて、かつ第7層を守ってくれているのであればWebアプリケーションのセキュリティは防御できているんじゃないの?そう思う方がいらっしゃるかもしれません。ですが、セキュリティは多層防御が必要とされていて、Webサイトを取り巻くリスクはアプリケーション層だけを守ればよいというものではありません。
②:機能の違い
WAFの持つ機能は、Webアプリケーション保護のみですが、 Cloud One – Workload Security は以下の通り多機能です。
- IPS/IDS(侵入防御機能) (一部Webに関するルールあり)
- 不正プログラム対策
- Webレピュテーション
- アプリケーションコントロール機能
- ファイアウォール機能
- 変更監視機能
- セキュリティログ監視機能
各機能詳細については以下のブログにて解説していますので、宜しければご覧ください。
これだけ多機能なのであれば Cloud One – Workload Security だけ導入すればいいんじゃないの?そう思った方がいらっしゃるかもしれません。Webを防御する機能はIPS/IDS(侵入防御機能)にあるのですが、WAFが持つ機能すべてをカバーしていないため十分とは言えません。
監視対象が以下のように異なっており、HTTP通信の中身を精査する必要があるもの、たとえばCookie改ざんなど、はWAFにしかチェックできません。ちなみにCookie改ざんによる被害例としてどんなものがあるかというと、ショッピングサイトでの成りすましが挙げられます。自分のカード情報で他人(攻撃者)が高額な買い物をしてしまう、なんていうことがありえます、怖いですね、、、。
【監視対象】
| Cloud One – Workload Security | WAF |
| サーバを出入りするTCP/IPパケット | WAFを経由するHTTP/HTTPS通信 ≪HTTPリクエスト≫ リクエストライン(メソッド、URIなど) ヘッダ(リクエストヘッダなど) メッセージボディ ≪HTTPレスポンス≫ ステータスライン(ステータスコード) ヘッダ(レスポンスヘッダ) メッセージボディ |
WAFで防げない攻撃にはどういうものがある?
WAFで防げない攻撃には、どういうものがあるでしょうか。先に触れたとおりWAFのカバー範囲はアプリケーション層のみであるため、ネットワークやOSに対する攻撃には基本的に対応できません。たとえばネットワーク層やインターネット層に対するDos攻撃(アクセス集中によりWebサーバをダウンさせるような攻撃)は、一般的なWAFには防御できません。この際、 Cloud One – Workload Security を併用していれば、ネットワーク層やインターネット層をカバーしているため防御可能となります。多層防御の必要性がご理解いただけたでしょうか。
使い分け
具体的なご利用シーンを考えてみた方がイメージがわくかもしれません。WAFと Cloud One – Workload Security 、どちらか片方のみでも良さそうなケース、あるいは、両方不要なケースというのを考えてみました!
WAFのみ導入でよいケースとは?
まず最初にWAFのみ検討すればよいケースを考えてみます。たとえば、サーバをホスティング会社にレンタルしているようなケースが該当します。サーバ管理は基本ホスティング会社側の管轄範囲でありユーザ側でコントロールすることができません。ユーザ側の責任範囲は、サーバにアップしているアプリケーションを守ることのみの為、WAFのみの検討でよいと言えます。WAFをオプションサービスとして提供しているホスティング会社様が多いと思いますので、レンタルサーバをご利用中で、もしWAFオプションを導入していない方は是非ご検討ください。
Cloud One – Workload Security のみ導入でよいケースとは?
では次に、 Cloud One – Workload Security のみ検討すればよいケースを考えてみます。Webアプリケーションの防御に関してはWAFも併用する必要があることは前述のとおりです。よって、 Cloud One – Workload Security のみでよいのは、サーバをWebサーバとして利用していないケースくらいではないでしょうか。
あるいは Cloud One – Workload Security には、サポート終了後のOSに対して仮想パッチを提供する機能があるため、この用途で用いている場合、WAFは検討しなくてもよいと言えます。こうした特殊なケースを除いてWebサイトを公開している場合にはWAFとの併用を推奨いたします。
なお仮想パッチの詳細については下記のブログにて紹介していますので、興味がある方はご覧ください。
両方検討しなくてもよいケースとは?
最後に両方考える必要がないケースはあるでしょうか。たとえば、自社でWebサイトを公開しておらずSaaS型のWebサービスをユーザとして利用している場合には必要性が低いかもしれません。基本的には、Webアプリケーション、ならびに、Webサーバはサービス提供者側が守るものです。ただし情報漏洩などにより被害にまきこまれる可能性がありますので、利用しているサービスのセキュリティ対策については興味関心を持ち、可能な範囲でウォッチしておく必要があると言えるでしょう。
まとめ
WAFと Cloud One – Workload Security では、カバー範囲が異なり防げる攻撃の種類も違うことがご理解いただけたでしょうか。セキュリティ対策は多層防御が重要であるというセオリーがありますが、何重にも保護することで攻撃への耐性が強くなります。是非両方併用いただくことで、Webサイトを攻撃から守っていただきたいと思います。
現在弊社では、 Cloud One – Workload Security を、1か月無料でお試しいただけるキャンペーンを実施中ですので、まずは体験利用をご検討ください。
キャンペーン詳細については下記のブログにもご紹介しています。
