【Bizクリニック】ウェブサーバーへの攻撃を防ぐWAF

 □グレスアベイル代表取締役・澤井祐史

 ウェブサーバーに対するサイバー攻撃を防ぐウェブ・アプリケーション・ファイアウオール(WAF)について解説する。

 クラウド環境で稼働するシステムを利用する際、ほとんどがウェブサーバーへのアクセスを行う。すなわち、クラウド型システムを利用するにはウェブサーバーの防御が必要になるケースが増える。WAFはこうしたサイバー攻撃を保護する対策製品だ。

 もちろん本来は、ウェブのシステム自体がセキュアに開発・構築されるべきだ。事実、そうした観点でウェブ開発のセキュリティー向上を図る研究や活動が行われ、OWASP(オープン・ウェブ・アプリケーション・セキュリティー・プロジェクト)などのオープンコミュニティーが国際的にも存在している。

 しかし、システム開発では正論ばかりではリリースできないケースが多々ある。例えば、セキュリティー要件を実装しようとすると諦めなければならない機能が出てきたり、そもそも実装に莫大(ばくだい)な追加開発投資が必要になり実行できないようなケースだ。このような理由で残置されている脆弱(ぜいじゃく)性は大手有名企業のシステムでもある。個人情報漏洩(ろうえい)事故などは残置された脆弱性を攻撃者に突かれた事例もあるだろう。

 加えて、攻撃手法も日々進化し、新たな脆弱性も常に発見されている。新たな対策が必要とされるたびにウェブのシステムを改修する運用を行うのはかなりの手間とコストが必要で、現実的には多くの企業で対応はできない。

 WAFはこの問題を解決してくれる。ウェブのシステムの前段で稼働し、攻撃者からの不正アクセスなどをブロックし、安全で正常な通信のみをウェブサーバーやウェブアプリケーションへ渡してくれる。仮にウェブのシステムの脆弱性が残置されていても、WAFが前段でセキュリティー的に補完する。システム運用者はシステム自体を改修することなく、セキュリティー対策を実装できる。

 当社では、WAFについてもクラウド型システムに最適化するように開発しており、顧客向けに月額サービスで提供している。システム稼働状況に合わせてシステム運用者が自分でWAFサービスをオン/オフしたり、必要に応じてWAFの防御を開始・停止したりすることが可能だ。また、ウェブのシステムでマイナンバーなどの個人情報を扱う場合、当社のWAFサービスではその流出をブロックできる。

 ウェブ上で動作するシステムの稼働は増え、クラウド型システムでは、利用開始までのスピードの速さや、柔軟なシステムの拡大・縮小がメリットとして享受されている。WAFサービスもまた、迅速・柔軟に提供されることが求められている。

                   ◇

【プロフィル】澤井祐史

 さわい・ゆうじ ITインフラ、セキュリティー技術を専門領域として数々のプロジェクトを経験し、コンサルティング企業の立ち上げ、経営に携わる。2015年6月グレスアベイルを設立し、現職。クラウド対応の次世代セキュリティー対策製品の開発および関連サービスの展開をリード。35歳。兵庫県出身。