WAF を選ぶ際に考慮すべきポイント
Web アプリケーションファイアウォール (WAF) は、Web アプリケーションおよび API を保護する特殊なセキュリティソリューションです。さまざまな機能や WAF 製品/サービスがあるため、選ぶ際に何を基準とすべきかは難しい問題です。ここでは「優れた」WAF ソリューションの特徴について詳しく説明していきます。
基本的な機能
セキュリティ
使いやすさ
柔軟性とスピード
スケーラビリティおよびパフォーマンス
精度
WAFで探すべき基本的な機能
WAF の基本的な「最低限の」機能は、OWASP トップ10の特定とそれに対する対応です。OWASP トップ10で警告されている脅威を特定してブロックできない WAF の場合、最も危険な脅威にさらされることになります。
WAF に欠かせないもうひとつの機能として、IP/CIDR、地理的位置情報、AS 番号に基づく許可/ブロックリストの適用が挙げられます。IP アドレスや地理的位置情報、自律システム番号 (ASN) に基づいてトラフィックを許可またはブロックする機能により、悪意のあるトラフィックに幅広く対応することが可能になります。また、複雑で細かい WAF ルールを多数使用する必要性を最小限に抑えることで、セキュリティチームの負担を軽減できます。
とはいえ、きめ細かくポリシーを適用できる機能も必要です。さまざまなレベルの細かさでグローバルに適用できるルールを定義し、複数または個々のドメインに対してルールを実行できる WAF を選ぶことが重要です。これにより、異なるアプリケーションや地域で効率性とカスタマイズの間でバランスをとることができます。
WAF は堅牢なセキュリティ機能を提供すべき
包括的なソリューションは、Web アプリケーションや API が直面するさまざまなセキュリティ脅威に対して複数の層から成る防御を提供します。一部のベンダーは、「Web アプリケーションと API の保護 (WAAP)」という用語を採用して自社のソリューションを説明しています。大半の WAAP プラットフォームでは WAF がベースとして使用され、その他の機能はアドオンコンポーネントとして提供されています。組織のニーズによって、これらの機能のすべて、またはサブセットが必要になる可能性があります。
基本的なセキュリティ製品/サービスには、以下の機能が必要です。
ボット対策
WAF は、データのスクレイピングやクレデンシャルスタッフィングを実行したり、サービス妨害攻撃をしかけたりする自動化されたボットをブロックしつつ、良質なボットや人間によるトラフィックを許可できる必要があります。ボット対策では、CAPTCHA や JavaScript チャレンジ、クライアントフィンガープリント、IP レピュテーションの確認を含む、さまざまな手法を用いて自動化されたボットトラフィックを特定してブロックします。ボット管理ソリューションは良質なボット (スクレイピングボットなど) と悪質なボット (スクレイピングボット) を判別できる粒度を備えている必要があります。
DDoS 対策
DDoS 対策は、大量のトラフィックを発生させてシステムを過負荷の状態にし、サービス停止をもたらす分散型 DDoS 攻撃からアプリケーションや API を保護するのに役立ちます。WAF ソリューションは、悪意のあるトラフィックをフィルタリングし、大量の攻撃トラフィックを吸収しつつ、アプリケーションの可用性を維持することで、DDoS 攻撃を緩和できます。攻撃はネットワークのさまざまなレイヤーで起こり得るため、レイヤー3/4とレイヤー7を DDoS 攻撃から保護できるソリューションは、レイヤー7しか保護できないソリューションよりも優れた保護力を提供します。
API セキュリティ
先進的なアプリケーションの多くが、主に API を使用してデータへの接続とやり取りを行っています。そのため、認証や認可、API トラフィックのモニタリングなど、API の保護に特化したセキュリティコントロールを提供する WAF を選ぶ必要があります。API のセキュリティを確保するため、WAF がご利用の API 形式 (REST、GraphQL、gRPC など) をサポートしていることをご確認ください。
脅威インテリジェンス
脅威インテリジェンスは WAF に貴重な付加価値をもたらします。セキュリティチームがプロアクティブな防御を実行できるよう、進化するサイバー脅威や攻撃メソッドに対するリアルタイムのインサイトを提供します。毎日更新される IP レピュテーションに関するファーストパーティのインテリジェンスフィードにより、WAF の精度とセキュリティを強化できます。これにより、(特に共有された IP アドレスから発信された) 昨日の悪質なアクティビティが、今日の正当なトラフィックに影響を及ぼすのを阻止できます。
使いやすさ
最先端の WAF ソリューションは、「ソフトウェア開発者が将来のセキュリティをコントロールする」という理解に基づいて設計されています。既存のツールチェーンとワークフローに統合でき、イノベーションを可能にし、開発者 (およびあらゆる関係者) の作業をスローダウンさせることのないツールが求められます。
考慮すべき主なユーザビリティ機能は次のとおりです。
可視性、インサイト、より迅速な判断
異なるプラットフォームを結合したり、頻繁にデータをエクスポートして統合させる必要なく、単一コンソールですべての WAF データを取得できることは非常に有益です。直感的に操作でき、カスタマイズできるダッシュボードによって状況を「ひと目で把握」でき、すべてのデプロイ環境を通じて進行中の攻撃や潜在的なセキュリティインシデントに対するリアルタイムのインサイトを提供するレポートを作成できる WAF を選ぶ必要があります。「ブラックボックス化」や「可視性の欠如」は WAF ソリューションについてよく聞かれる苦情です。データが分かりやすく表示されないため、脅威の分析や緩和にユーザーは苦戦しています。
WAF の多くは決定プロセスに対する詳細かつ有用なリアルタイムの可視性を提供できません。また、多くの組織がフットプリント全体で複数の WAF をデプロイしています。理由は、すべての環境に対応できる単一の WAF を見つけられなかったためです。その結果、WAF データが複数のツールやダッシュボードによってセグメント化されるため、統一性に欠けた貧しい可視性しか得られず、チームは異なるコンソール間を切り替えるために時間をロスすることになります。異なるプラットフォームを結合したり、頻繁にデータをエクスポートして統合させる必要なく、1つの場所ですべての WAF データを取得できることは非常に有益です。
事前にビルトインされた DevOps やセキュリティ関連ツールチェーンとの統合機能
WAF は、チームを無理に適応させたり、すでに機能しているフローを変更したりするようなものではなく、既存のワークフローに自然に適合するべきです。したがって、WAF には DevOps やセキュリティ関連のツールチェーンとの統合機能が事前にビルトインされていることが重要です。チームは、すでに使用しているツールや CI/CD ワークフロー内で、セキュリティ対策によるボトルネックを生じさせることなく日々の運用効率を維持しながら簡単にスケールできる WAF から得たより有用な新しいデータを瞬時に活用できる必要があります。
例として、チームが素早く対応できるように Slack でリアルタイムのアラートを発信したり、詳細な分析や相関関係を調べるためにログを SIEM ソリューションに送信したり、IaC (Infrastructure as Code) を使用してルールの更新を自動化して手作業を最低限に抑えたりすることが挙げられます。最終的に、ユーザーフレンドリーな WAF の採用は、迅速な実装、運用コストの削減、チームの作業効率の向上、組織のセキュリティを高める可視性の強化につながります。
デプロイの柔軟性およびスピード
WAF は、データのスクレイピングやクレデンシャルスタッフィングを実行したり、サービス妨害攻撃をしかけたりする自動化されたボットをブロックしつつ、良質なボットや人間によるトラフィックを許可できる必要があります。ボット対策では、CAPTCHA や JavaScript チャレンジ、クライアントフィンガープリント、IP レピュテーションの確認を含む、さまざまな手法を用いて自動化されたボットトラフィックを特定してブロックします。ボット管理ソリューションは良質なボット (スクレイピングボットなど) と悪質なボット (スクレイピングボット) を判別できる粒度を備えている必要があります。
最先端の WAF は、時間のかかるルールの構築や管理の負担を取り除き、スイッチを切り替えるようにセキュリティを簡単に有効化できます。
デプロイの柔軟性およびスピード
多様なデプロイオプションを提供する WAF を選ぶことで、将来的にセキュリティ体制のシンプルさとコスト効率を確保できます。デプロイのしやすさや早さに加え、デプロイオプションの幅広さも考慮する必要があります。
迅速なデプロイでタイムトゥバリューを短縮
WAF は、簡単かつ迅速にデプロイできる必要があります。導入にかかる時間が長く、負担が大きいと、セキュリティ上の問題や財務上の悪影響を引き起こします。優れた WAF ソリューションは、数週間や数か月ではなく、数分や数時間でデプロイできる必要があります。
IaC (Infrastructure as Code) によるデプロイの自動化
Terraform のような IaC (Infrastructure as Code) によるデプロイの自動化が可能な WAF を選択すると便利です。これにより、プロピジョニングやセキュリティ対策の変更に要する時間を短縮できます。また、デプロイの自動化を通じてアプリケーション開発者に対する信頼も高まります。
スケーラビリティおよびパフォーマンス
エッジにデプロイできる WAF ソリューションは、ユーザーの近くで保護しつつ高速化を実現し、パフォーマンスを向上させ、スケーラビリティを実現します。
アプリケーショントラフィックは日によって大きく変動するため、トラフィックの急増によって従来型の WAF が過負荷の状態に陥り、スローダウンやサービス停止、収入の損失につながる可能性があります。したがって、WAF がどのようなネットワーク、アーキテクチャ、プラットフォームの上に構築されているかを調査することが重要です。
優れた WAF は、需要に応じてリソースを自動的にスケールし、セキュリティ対策の効果を犠牲にすることなくレイテンシの少ないグローバル分散ネットワークを通じて高スループットの処理を実現することができます。これにより、重要なアプリケーションにおいてスムーズなユーザーエクスペリエンス、堅牢なセキュリティ、ビジネス継続性の強化を実現できます。
グローバルに分散されたエッジネットワークにより、場所を問わずにエンドユーザーの近くで保護対策を講じ、最大限に高速なエクスペリエンスを提供できるようになります。また、このようなアーキテクチャでは、ルールをネットワーク全体により素早く反映させることができるため、新たに追加されたセキュリティ対策がネットワーク全体で瞬時に効果を発揮します。
Fastly のソリューションが役立つ理由
WAF プロバイダーを選択する際、グローバルな保護、強力な検出能力、先進的なインフラストラクチャに対応できる統合機能を備えたプロバイダーを選択することが重要です。
Fastly の Next-Gen WAF は、最初からこれらの機能を念頭に設計されています。世界最大のグローバル・エッジ・クラウド・プラットフォームの Fastly は、世界中のユーザーと数ミリ秒以内に通信できます。
この戦略的な配置により、Fastly は従来の WAF よりも迅速にWebサイトとアプリケーションを保護できます。エンドユーザーの近くでトラフィックを検査することで、脅威が侵入できるレベルを素早く制限し、攻撃がオリジンサーバーに到達する前にブロックできます。
Fastly の Next-Gen WAF の主なメリットとして以下が挙げられます。
包括的な保護 : シンプルなルールを通じて、OWASP トップ10の Web アプリケーションの脆弱性やカスタム脅威を迅速に検出してブロックします。
迅速な対応 : Fastly の Next-Gen WAF は、POP のグローバルネットワークを利用し、攻撃中でも超低レイテンシの検査を実施し、優れたユーザーエクスペリエンスを実現します。
柔軟な設定 : 変更の反映に長い時間待たされることなく、Fastly のユーザーフレンドリーなコンソールを介してルールや応答ページなどをカスタマイズできます。
リアルタイム分析 : プロアクティブな問題の特定を可能にする Fastly のダッシュボードと API により、トラフィックとセキュリティイベントに関する貴重なインサイトが得られます。
シームレスな統合 : Fastly の Next-Gen WAF は、CDN およびエッジ・コンピューティング・サービスと透過的に連携し、セキュリティ、パフォーマンス、デリバリー機能が統合されたソリューションを提供します。
柔軟なデプロイオプションと最先端の検出機能を備えた Fastly Next-Gen WAF は、アプリケーション、API、マイクロサービスに対して高度な保護を提供します。
Fastly Next-Gen WAFについて学んでください