すばやく実装してすぐに効果が得られる優れた WAF
Fastly では、新しいタイプの Web アプリケーションファイアウォールの開発に取り組んでいます。私たちは「本番環境でアプリケーションを既知および未知の脅威からプロアクティブに保護するソリューションの提供」を主な目標に掲げていますが、これは始まりにすぎません。Fastly のNext-Gen WAF</u> では、従来のベンダーが築いてきたテクノロジーを利用しつつ、(特に初期の WAF に見られた) それらが抱える欠点を克服しました。
従来型の WAF に対する印象から、一般的にユーザーはふたつのグループに分かれるようです。ひとつ目は、セットアップに長い時間がかかり、頻繁なメンテナンスとフィードに対応するために多くのスタッフとルールセットが必要とされた過去の苦い経験から WAF の使用に断固として反対しているユーザーのグループです。もうひとつは、WAF を所有しているものの、複雑なセットアップとルールの調整が必要なせいで、ハイブリッドやマルチクラウドを使用するアプリケーションやアーキテクチャに合わせてスケールアップしにくいという問題に直面しているユーザーのグループです。
Fastly の Next-Gen WAF は、Etsy でセキュリティ、エンジニアリング、プロダクトチームを率い、従来型 WAF の問題点を身に染みて実感していた開発者たちによって構築されました。彼らは、既存の WAF アプローチが抱える以下の欠点を克服し、最先端および従来型のアプリケーションの両方を保護できるテクノロジーを開発するという課題に挑戦することにしたのです。
プロダクトのインストールに数か月もの労力を要する
正当な Web 上での取引が誤検知によってブロックされる
データ分析ができず、インサイトが得られないため、運用チームやエンジニアリングチームに問題を報告できない
WAF に対する失望を払拭するため、Next-Gen WAF の開発者たちは、従来のソリューションに欠けていた次の4つのメリットをお客様に提供することを主な目標に掲げました。
すばやいセットアップと簡単なスケールアップ
すぐに効果を実感
部門を超えてチームの連携をサポート
可視性の強化
すばやいセットアップと簡単なスケールアップ
他の WAF の場合、複数部門のチームが数か月かけてインストールに取り組む必要が生じ、使用開始が大幅に遅れる可能性があります。複雑なデプロイ、正規表現のルールセットの構築、チューニングなど多くの手間を要する他の WAF にとって、「すばやい使用開始」はセールスポイントではありません。実際は、まさにその正反対なのです。従来型プロバイダーの多くは数十年にわたりソリューションを提供していますが、ベンダーが常に最新のイノベーションを取り入れているとは限らないのは、皆さんも容易に想像できるかと思います。
インストールはカスタマージャーニーの第一歩であり、私たちはこの手順をすばやく簡単に行えるようにしました。実際、新しいお客様がどのくらい迅速に最初のエージェントをオンラインにできるのかを確認することが、Fastly では一種の挑戦になっています。現在の最短記録は1分弱で、平均は1時間ちょっとです。パッケージやパブリックリポジトリ、Terraform や Chef、Puppet、Ansible、Salt などの構成管理ツールを使用してインストールやアップデートの自動化も容易にできます。
すぐに効果を実感
WAF をインストールしたら、次のステップは WAF を運用可能な状態にし、その効果を立証することですが、従来型 WAF の場合、これは容易ではありません。サンドボックステストを見てみましょう。サンドボックスの使用は、迅速かつ効率的に新しいテクノロジーを試せる方法のひとつですが、本番トラフィックを正確に模倣することはできないため、本番環境のWebサイトにおける WAF の効果の指標には向いていません。一般的なアプライアンスベースの WAF ソリューションの場合、サンドボックスだけでは、SSL 証明書の使用や DNS の変更、誤検知を避けるためのルールの調整といった複雑さについて、ユーザーは事前に気付くことができません。
本番トラフィックを使用して概念実証 (PoC) を行うことで、WAF のデプロイがトラフィックにどのように影響し、アプリケーションを保護できるかについて実際のインサイトを取得し、WAF の効果を確認できます。Next-Gen WAF では、誤検知を増やすことなく保護を強化できることが分析結果によって確認できるので、ブロックモードへの意向を安心して決断できます。Fastly の Next-Gen WAF をご利用のお客様のおよそ90%が完全にブロックモード</u>で使用している事実からも、価値をすぐに実現できる Next-Gen WAF は、WAF に対する一般的なイメージを払拭できることを実証しています。
部門を超えてチームの連携をサポート
WAF はセキュリティ担当者向けに設計されているツールですが、その影響は運用チーム全体に及びます。従来型 WAF では、分析によるインサイトに DevOps チームやサイト信頼性エンジニア (SRE) がアクセスできないことが多く、(当然のことながら) WAF によるトラフィックへの影響について懸念が生じがちです。Amazon</u> は、わずか100ミリ秒の遅延が売り上げの最大1%に影響すると指摘し、Google</u> は状況によっては3秒の遅れが最大53%のセッションの離脱につながると報告しています。遅延による影響はこのように大きく、1ミリ秒がビジネスを左右するのです。
WAF のデプロイによってレイテンシが影響を受けることは確かですが、問題は影響のレベルと、その測定方法です。一般的に WAF は、ボトルネックや顕著なレイテンシの原因として見られがちです。一方 次世代型 WAF はインサイトを提供し、保護の代償としてのレイテンシは最小限に抑えられています。例えば、Fastly の Next-Gen WAF は平均ミリ秒のレイテンシを発生させますが、CPU やメモリの使用量、レスポンスの時間やサイズなど、影響を受けるシステムに関してさまざまなインサイトを提供します。可視性の強化により WAF の影響に関する懸念が緩和され、部門間で効果も確認しやすくなります。
可視性の強化
迅速にデプロイできても、有意義なインサイトがすぐに得られなければ意味がありません (適切に機能しなくても良いのであれば、なんでもすばやくインストールできます)。WAF を使用したことがあるセキュリティ担当者のほとんどが、WAF データの質に関して以下の2つの点を不満に感じています。
学習モード : WAF がトラフィックパターンを予測しようとする際や、セキュリティチームが誤検知を排除するためにルールを調整する必要がある場合にすぐにデータを取得できない。(アプリケーションに変更がある度にこのプロセスが繰り返されます。)
ブロックの判断に必要な可視性の欠如 : ブロックの判断に必要な情報や可視性が得られないと、ツールが検出したエラーについてツールから何の説明も得られないまま根本原因をトリアージしなければならず、ユーザーは不信感を抱くようになります。
このような苦情を解決する鍵を握るのが透明性です。IP アドレスを「悪意がある」としてフラグする判断の要因となったリクエストのペイロードを、すでに使用しているツール (Slack や Jira、Datalog、PagerDuty、Splunk など) を通じて共有する次世代型 WAF では、すべてのチームがセルフサービスでセキュリティデータを取得できます。自らデータにアクセスできることで、学習モードから脱却し、WAF が真価を発揮できる完全なブロックモードへと安心して移行できるようになります (顧客事例のページ</u>で、この点に関するお客様の体験談をご覧ください)。
迅速に導入して予算内で運用できるツールでスケジュールを前倒し : Fastly Next-Gen WAF の現実
迅速にインストールできる次世代型の WAF で POC をすばやく行い、短期間で価値が得られることは、忙しいセキュリティチームにとって非常に大きなメリットです。数か月後ではなくインストールした初日から、積極的なブロック、明確なインサイト、実用的なインテリジェンスによってお客様の環境のセキュリティを強化できるので、お客様は他の重要な分野に専念できます。セキュリティに関してひとつ確かなことは、保護する必要のあるものは常に存在するということです!詳細に興味がある方は、ぜひお問い合わせ</u>ください。インストールの早さで記録更新を目指してみませんか?