クラウド型WAFとセキュリティ対策ついて、ざっくりと整理してみました。

最近のセキュリティ対策ソリューションといえばクラウドで提供されるWAF（Web Application Firewall）。
※ワフ、と読みます。ワム！ではありません、念のため。

何となく「ファイアウォールの一種？」くらい想像はつきますが、果たしてこれまでのセキュリティ対策と何が異なるのか？
Webセキュリティについては門外漢という方でも理解できるよう、ざっくり整理してみようと思います。

Webセキュリティ対策についておさらい

Webのセキュリティ対策はざっくり分けて以下の2つに大別されます。

1. Webサーバの外側で防ぐ
2. Webサーバの内側で攻撃を無力化する

1.は不正なアクセスや膨大なアクセスに対して未然に防ごうという試みで、ファイアウォールやIPS/IDS（不正アクセス検知／防止システム）がその代表格です。

2.はファイアウォールなどをくぐり抜けて流入してきた不正なアクセスが「悪さ」しないようにするための対策です。

不正アクセスの多くはApacheやPHP、あるいはCMSなどのWebアプリケーション・システムが持つ脆弱性を狙っていて、その脆弱性を利用させないためのセキュリティパッチの適用やバージョンアップが主な施策となります。

セキュリティ対策の課題

さて、先にあげた2つのセキュリティ対策ですが、各々多くの課題を抱えています。

1.の問題点

その多くがサーバや専用のハードウェアをネットワーク上に配する必要があるため、インフラとして導入コストもかかり、資産管理も必要です。

加えて攻撃そのものが狡猾で高度になってきたこともあり、ブロックできる攻撃の種類に限りがあります。

IPS/IDSでは不正アクセスの半分も防ぐことができないというデータもありますし、また近年では対応できるものが一般化していますが、旧来型のファイアウォールではWebアプリケーションやシステムを狙ったアクセスかどうかをそもそも判別することができません。

2.の問題点

流入して来た不正なアクセスが動作しないようメンテナンスする必要があるため、専門知識も必要ですし手間もかかります。
次から次へと出現する新たな脅威への対策はまさに「いたちごっこ」の様相です。

さらにやっかいなのは、使っているWebアプリケーションやシステムが過去のバージョンに依存しており最新でセキュアなバージョンへアップデートできないというケースです。

特に製品やソリューションではない専用に作られたプログラム（スクラッチ開発）の場合、開発した会社とアップデートに関する取り決めもなく、セキュリティ脅威に晒されたまま放置されていることも少なくありません。

クラウド化により普及が進むWAF

こうした中、2000年代中盤に登場したのが「WAF（Web Application Firewall）」です。

ファイアウォールやIPS/IDSでは防ぐことができなかったWebアプリケーションやシステムへの不正アクセスを検知・ブロックすることができるため、新たなセキュリティ対策として注目を集めました。

当初はサーバへインストールするか（ソフトウェア型）専用のハードウェアを使用する（アプライアンス型）必要があり、加えて設定やメンテナンスも煩雑なため導入への敷居は高く普及は進みませんでしたが、クラウド型のサービスが登場したことで一気に普及が広まることとなります。

Webサーバのクラウド化で自前でハードウェアを維持管理する必要もなくなってきたことも追い風となりました。

包括的なセキュリティソリューションへ進化

クラウド化のメリットは非常に大きいものがありました。

そもそもWebサイトへの攻撃には共通性があり、脆弱性もアプリケーション（とバージョン）が同じであれば取るべき対策も同じです。

であればクラウド化して共通の仕組みで防御した方が効率的ですし、専属の担当者がメンテナンスを行うことでセキュリティレベルも維持することができます。

また、多くのサービスがこれまでファイアウォールやIPS/IDSが担ってきた脅威にも対応しており、導入にかかる手間もベンダーへIPアドレスを提供するだけですので、導入コストも運用コストも大幅に削減されることになりました。

身近なところではエントランスにオートロックシステムが配備されたマンションに例えるのがよいでしょうか。
共通のセキュリティシステムでマンション全体で一元管理することで不審者の侵入も最小限に済ませることができますし、入居者側の負担も最小限で済みます。

内側の対策も必要

いいことずくめのように思えるクラウド型WAFですが、もちろんすべての攻撃を防御できるわけではありません。
新種の攻撃に対策が間に合わないこともあります。

ですので、Webアプリケーションやシステムのバージョンアップ、セキュリティパッチの適用は不可欠ですし、セキュリティ対策としては本質的ですので、WAFは一時的な防御策と考えた方が良いでしょう。

いくらオートロックが配備されたマンションでも部屋の鍵はきちんとかけておきましょう、ということですね。

そもそも、Webセキュリティのリスクとは？

最後になりましたが、Webセキュリティにおけるリスクについて簡単に触れておきたいと思います。

特定のサイトを狙ったものから無差別に攻撃を行うもの、その動機も確信犯から愉快犯まで広範に及ぶのですべてを取り上げることはできないのですが、ポイントとしては以下の2点です。

• 企業としての信頼やブランドを損ねる
• ユーザーをはじめ各所へ被害が広がる

近年、個人情報をはじめとした機密情報の流出するといった事象が相次いでいますが、こうした事態が発生するとサーバやWebサイトの復旧といったコストに加え、ユーザーへの損害賠償やマスコミや関係各所への対応に追われるなど業務にも支障を来たします。

企業としての信頼やブランドを失うことは言うまでもなく、事後の対応に手こずると失った信頼を回復するまでの道のりも遠く険しいものとなります。

また、当たり前ですがセキュリティのゆるいサイトの方が当然狙われやすい傾向にあり、攻撃者にとってはどのサイトかは関係ないことも多々あります。

「うちのサイトはアクセスも少ないから」「個人情報を扱っていないから」とセキュリティ対策を甘く見積もっていることそのものが、一番のセキュリティリスクかもしれません。