従来型 WAF と次世代 WAF の決定的な違い
多くの企業では、開発サイクルの短縮、API の増加、ハイブリッドやパブリッククラウドへの移行などに伴い、アプリケーションのフットプリントが複雑化・多様化しつつあります。実際、Fastly と Enterprise Strategy Group (ESG) による共同調査に基づくレポート「転換期を迎えた Web アプリと API のセキュリティ」では、回答者の半数以上が今後2年間にほとんど、もしくはすべてのアプリケーションで API を使用する予定があると答えています。これらのアプリケーションによって顧客にこれまでになく魅力的なエクスペリエンスを提供できるようになりますが、同時に保護すべきデータもそれだけ多くなります。
そんな中、ビジネスの前進を促進するためには、このようにさまざまなアプリケーションが混在する環境全体を見渡して Web 防御をモニタリングできる、一元化された可視性が不可欠となります。しかし、従来型のルールベースの Web アプリケーションファイアウォール (WAF) を今だに使用している企業は少なくありません。このような従来型 WAF はスケーラビリティに乏しく、誤検知の多発などによって問題を解決するどころか逆に問題を引き起こす場合もあります。
効果的なセキュリティ対策に、次世代アプローチが必要であることは疑いようのない事実です。今回は、従来型 WAF と次世代 WAF を比較し、その決定的な違いをご紹介します。
肝心なのは保護する場所
ポリシーを強制する従来型 WAF は、ネットワークの境界を保護するセキュリティ対策の一貫としてデプロイされてきましたが、オリジンへ送信されたデータやアプリケーションの動作などを確認することがほぼ不可能です。また、複数の CDN を使用している場合、それぞれに接続されている WAF 製品を個別に管理する必要があるため、使用する CDN テクノロジーによって WAF が制限されてしまう可能性があります。
CDN の WAF はエッジにデプロイされているため、内部アプリケーションへの攻撃を検出することができません。さらに従来型 WAF はアプリケーションにとって単一障害点である上、リクエストの処理時間が長くなり、ユーザーエクスペリエンスに影響を与えることもあります。
最も優れた次世代 WAF は、Web サーバーまたはアプリケーションコードで直接実行可能な軽量ソフトウェアモジュールを搭載しています。また、コンテナ、オンプレミス、クラウドなど、テクノロジースタックのあらゆる場所で柔軟にデプロイすることが可能です。Fastly (旧 Signal Sciences) の次世代 WAF は、特許取得済みのフェイルオープンアーキテクチャを使用してローカルエージェントと通信するため、サイトがダウンしたり、パフォーマンスに影響が及ぶこともありません。
効率を妨げるカスタムルール
従来型 WAF の多くでは、使用するカスタムルールの記述やメンテナンスに多額のコストがかかる場合があります。「転換期を迎えた Web アプリと API のセキュリティ」では、回答者の30%がルールセットのカスタマイズとテストがチームの効率を妨げていると答えています。さらに、回答者の68%がデプロイ済みのセキュリティツールに新規ルールを最低月に一度は追加しており、有効性テストの実行に最低1週間かかると答えている通り、非常に時間のかかるプロセスであることが分かります。
さらに従来型 WAF の多くが、トリガーされてもリクエストの詳細を表示しないため、ほとんどのユーザーがブロックモードで使用していません。これらのツールは無害なビジネストラフックをブロックし、予算やリソースの無駄な消費を招くため、91%の回答者がこれらをログモードまたはモニタリングモードで使用しているか、または完全に使用を止めていることが今回の調査で分かっています。
最先端の次世代アプローチは、攻撃自体をチェックするだけでなく、攻撃の目的を判断して防御します。Fastly の WAF では、エージェントが検出データを収集し、Fastly 独自のクラウドエンジンに非同期で送信します。エンジンはアプリケーション全体のデータを確認し、リクエストがブロックされた場合、その理由の詳細と決定内容を送信します。このトークンベースの攻撃検出アプローチはルールやシグネチャベースのソリューションよりも精度が高く、チューニングやメンテナンスが不要です。その結果、90%以上のお客様が本番環境で Fastly の次世代 WAF をブロックモードで使用しています。
DevOps ツールとの統合が不可欠
従来型 WAF は、アプリケーションやサービスの規模が大きくなると、インスタンスが分かりづらくなり、管理が困難になります。DevOps ツールとの統合機能がサポートされていないことが多いため、セキュリティデータの可視性が限られています。API が利用可能であってもデータを解析して利用することが困難です。
それに対し次世代 WAF は、あらゆるアプリケーションをサポートし、簡単にインストールできるソフトウェアを通じてすべてのチームがセキュリティをしっかり統合できるようにし、パフォーマンスを損わずにアプリケーションをあらゆる攻撃から保護します。また次世代 WAF のユーザーフレンドリーな管理コンソールは、フットプリント全体を見渡せる統一されたビューに加え、組織全体によって利用可能な比類のないレポート機能を兼ね備えています。さらに DevOps ツールとの統合により、チーム間の可視化を実現します。
Fastly の次世代 WAF では、運用チームがパフォーマンスに関するメトリクスを参考に、WAF を容易にデプロイ・拡張できます。レイテンシは通常3ミリ秒未満です。開発、運用、セキュリティの各チームがすでに使用しているツールにセキュリティデータをプッシュできるため、チームはセルフサービスでデータを活用し、協力して問題を迅速に解決することができます。さらに、パワフルな API により、SOC チームはデータを SIEM ツールに取り込み、経時的な傾向を可視化してリソースをより有効に活用できるようになります。
今後の対策
Web アプリと API のセキュリティツールに対して不安を感じている企業は少なくありません。実際、今回の調査では93%の回答者が、より優れた効果を発揮し、異なるアプリケーションアーキテクチャや環境全体に一貫性のある保護を提供すると同時に、コストの削減も可能な統合セキュリティソリューションを採用して Web アプリケーションと API を保護することに関心がある、またはそのようなソリューションの導入を予定していると答えています。
新たなソリューションを探して、切り替えることは容易なことではありませんが、まずはプロセスとセキュリティスタックのアップデートと統合から始めることをお勧めします。この喫緊の課題について詳しくは、「転換期を迎えた Web アプリと API のセキュリティ」をダウンロードしてください。
