セキュリティとガバナンス

Azure WAFとは? 多層防御のためにやっておくことは何か

企業に深刻な被害を与えるサイバー攻撃。社会情勢の変化にしたがって、サイバー攻撃は激化および増加しつつあります。特にグローバルな大企業では、安定したビジネスを展開して顧客との信頼性を維持するために、これまで以上のセキュリティ強化が必要とされます。

WAF(ワフ)は「Web Application Firewall」の略で、Webアプリケーションの脆弱性を狙ったサイバー攻撃からWebアプリケーションを防御する仕組みです。Azure WAFは、Azure Application Gateway上に設置するクラウドネイティブなWAFを提供し、SQLインジェクション、クロスサイトスクリプティングなどの攻撃からWebアプリケーションを保護します。

ここでは、一般的なWAFの基礎知識を整理するとともに、サイバー攻撃の種類と防御、Azure WAFの機能と導入メリットについて解説します。

Azure WAFとは? 多層防御のためにやっておくことは何か

クラウド時代に求められる情報セキュリティとは? 〜Microsoft Defender for Cloudも解説〜

WAFの基礎知識とAzure WAFの位置付け

まず一般的なWAFの基礎知識から解説します。続いてAzure WAFのセキュリティ機能と位置づけを確認していきましょう。

企業のセキュリティで監視と保護を行う3つのレイヤー

サイバー攻撃が巧妙かつ複雑になっている現在、企業が運用しているサーバやクラウドを防御するために、いくつかのセキュリティ施策を組合わせて活用します。セキュリティをレイヤーで考え、それぞれのレイヤーに特化したソリューションを組み合わせて統合的な対策を行います。さらに人材教育や組織的な対応が必要です。これがいわゆる「多層防御」と呼ばれるセキュリティ対策です。

情報技術面におけるセキュリティ対策のレイヤーは、考え方によって何層にも渡りますが、そのうちファイアウォール、IDS/IPS、そしてWAFを取り上げます。

まず、ネットワークを守るのが、セキュリティの基本としてよく知られているファイアウォールです。パケットをフィルタリングしたり、不正なアクセスを遮断したり、外部からの攻撃や侵入に対して「壁」を構成する仕組みです。Azureの場合は、Azure Firewallが該当します。

次に、サーバやOSの脆弱性を守るのがIDS(Intrusion Detection System:不正侵入検知システム)、IPS(Intrusion Prevention System:不正侵入防止システム)になります。

IDSには通信パケットを監視するネットワーク型と、サーバ上のデータやログを監視するホスト型があり、不正と異常を検出して管理者に通知します。IDSはファイルの改ざんを含めた検知まで行います。一方でIPSは通信を遮断する機能も担います。不正侵入をブロックして、サイバー攻撃による被害を食い止めます。

Azureはセキュリティ機能を統合してサービスを提供しているため、独立した機能を限定することは困難で、たとえばAzure Firewallには侵入検知と既存のログと照合して悪意のあるIPアドレスやドメインからのトラフィックを拒否する機能があります。

Azure WAFの保護する領域はWebアプリケーションになります。Azure Firewallなどと分けて考えるとよいでしょう。

WAFはなぜ必要か、多層防御における役割

ファイアウォール、IDS、IPSは、サイバー攻撃から防御する範囲が異なります。さらにWebアプリケーションの不正侵入や異常の監視および防止を徹底しようとするときには、WAFが必要です。

機密性の高い顧客情報などを扱う企業では、以前からWAFが導入されていました。しかし、事業の信頼性や継続性が求められる現在、ネットワーク、サーバ、OSはもちろんWebアプリケーションまで、あらゆるレイヤーのセキュリティ対策を講じておくことが重要です。

AzureでWebアプリケーションを運用するのであれば、Azure WAFの導入を検討するとよいでしょう。

Windows 365とAzure Virtual Desktop徹底比較セミナー
無償で体験!Office 365 脅威可視化 + Microsoft Sentinel 検証支援サービス

Azure WAFのOWASPに基づいたルールセット

一般的なWAFの基礎知識を取り上げましたが、次にAzure WAFの機能を解説します。

Azure WAFはOWASP(オワスプ)という組織が提唱する重要な脆弱性に対応するルールセットを備えています。OWASPの正式名称は「Open Web Application Security Project」といい、信頼できるアプリケーションの提供を推進するコミュニティです。

OWASPでは定期的にセキュリティレポートを発行し、特に重要なセキュリティ脆弱性をトップ10 としてまとめています。

現在、2017年11月のOWASP TOP10が最新であり、以下の10項目が重大な脆弱性であると提示されました。

  • インジェクション
  • 認証の不備
  • 機微な情報の露出
  • XML外部エンティティ参照(XXE)
  • アクセス制御の不備
  • 不適切なセキュリティ設定
  • クロスサイトスクリプティング(XSS)
  • 安全でないデシリアライゼーション
  • 既知の脆弱性のあるコンポーネントの使用
  • 不十分なロギングとモニタリング

Azure WAFは、OWASP TOP10で指摘された脆弱性を、保護機能のプリセットとしてまとめています。OWASP コアルールセット2.2.9、3.0、3.1に基づいて設定があり、初期設定では2.2.9 よりも誤検出が減少した3.0が適用されます。ルールセットはAzure Portalからカスタマイズが可能です。

Azure WAFは、主に以下のような脆弱性からWebアプリケーションを保護します。

  • SQLインジェクション
  • リモートファイルインクルード
  • コマンドインジェクション
  • クロスサイトスクリプティング
  • HTTPリクエスト・スマグリング
  • HTTPレスポンス・スプリッティング
  • HTTPプロトコル違反
  • HTTPプロトコル異常
  • ボット、クローラー、スキャナー
  • その他一般的な攻撃、ApacheやIIS などの一般的なアプリケーション構成ミス  など

Azure WAFが保護するサイバー攻撃

Azure WAFが防御するサイバー攻撃を列記しましたが、それぞれがどのような攻撃か、基礎知識を簡単にまとめます。

攻撃者がWebサイトを狙うとき、最も多い目的は情報を盗み出すことです。情報を不正入手するためによく使われる手法として、SQLインジェクションとリモートファイルインクルード(RFI)があります。

SQLインジェクションは、不正なSQL文の実行によってデータベースを勝手に操作します。リモートファイルインクルードは、悪意のあるコードをサーバに読み込ませてデータやコードを実行させる攻撃です。また、コマンドインジェクションは、OSの脆弱性を利用して不正なコマンドを処理させます。

サイバー攻撃にはWebサイトの改ざんや乗っ取りもあります。クロスサイトスクリプティング(XSS)は、主に動的なWebサイトのアプリケーションの脆弱性を狙った攻撃で、SNSや掲示板のような書き込みの多いWebサイトの被害が報告されています。標的になったWebサイトとは別の場所にクロスして攻撃を行うことから、クロスサイトスクリプティングと呼ばれるようになりました。

Webサイトを記述するHTTPの脆弱性を狙った攻撃も多数あります。HTTPリクエストスマグリング(HRS)は、特定のアプリケーション・ゲートウェイとプロキシ・サーバを併用しているときに狙われます。スマグリング(Smuggling)は「密輸」を意味します。HTTPレスポンス・スプリッティングは、Webアプリケーションが訪問者の入力にしたがって動的にHTTPヘッダーを出力するようなとき、偽のページに訪問者を誘導します。HTTPプロトコルの違反や異常も脆弱性になります。

その他、ボットやクローラーによる攻撃などがありますが、代表的なサイバー攻撃であるDDos (Distributed Denial of Service)について触れておくと、Azure DDoS Protectionによって保護されます。設定を有効にした場合、アプリケーション・ゲートウェイの仮想IPも攻撃から保護する対象になります。

迅速な導入、高可用性、費用対効果がメリット

Azure WAFは導入時に追加のセキュリティソフトウェアが不要です。数分で簡単にデプロイできます。規則は一元的管理が可能で、保護しなければならないWebアプリケーションすべてに適用ができるため、煩雑な操作が必要ありません。

クラウドネイティブなセキュリティソリューションとしてAzureに最適化されたAzure WAFは、負荷分散とアプリケーションのアクセラレーションを行い、時間あたりの処理性能を向上させます。自動スケールとゾーンの冗長性によって、高可用性と拡張性を確保します。

初期設定は不要、利用した分だけの費用により費用対効果を改善し、効率のよいセキュリティを提供しています。

Microsoft Azureとは何か?入門から応用まで徹底解説

クラウドとは何か?Azureとは何か?導入のメリットや構成、コストに至るまでの基礎的な知識から、どのように活用すべきかまでを徹底的に解説しています。

Microsoft Azureとは何か?入門から応用まで徹底解説

ブログ記事を見る

まとめ

クラウドのセキュリティ対策では、仮想マシンや仮想ネットワークのようなインフラストラクチャーからWebアプリケーションまで多層防御が理想です。Azureではセキュリティに対する幅広いサービスを提供しているため、混乱することも多いでしょう。

ウィルス感染にしても、多くのリスクは「正しく恐れること」が大切です。そのためにはサイバー攻撃の種類を知り、優先的に防御すべき攻撃は何かを理解することが、セキリティ対策のスタート地点になります。

実際どうなの?Microsoft 365・AzureSecurity入門編~TISのゼロトラストセキュリティ自社事例を大公開~
  • fb-button
  • line-button
  • linkedin-button

関連記事

Azure セキュリティの押さえておくべき5個のポイント
セキュリティとガバナンス
VDI/DaaS導入と運用の実績14,000台!TISによる仮想デスクトップ活用の「落とし穴」と対策
仮想デスクトップ
大規模なVDIを成功に導くポイントとは?導入失敗から学ぶ法則を紹介
仮想デスクトップ
クラウドへの移行ツール Azure Migrateの概要
クラウド移行(インフラ・DB)
Azure VMとは?メリットや種類、用途について解説
ハイブリッドクラウド
データセンターの移行とは?方法や手順、注意ポイントを紹介
クラウド移行(インフラ・DB)
Azure DNS とは?概要とメリット、設定方法、価格などをご紹介
クラウド移行(インフラ・DB)
テレワークを活用した働き方改革。環境構築に役立つ「AVD」を紹介!
仮想デスクトップ
リモートワーク に潜む情報セキュリティリスクとは?
仮想デスクトップ
Azure Kinect DKとは?いまモーションキャプチャの技術が必要とされる理由
クラウド移行(インフラ・DB)
AzureとAWSを比較!マルチクラウド時代のサービスとは
ハイブリッドクラウド
Azure ExpressRouteとは?その用途や活用シーン、機能について解説
セキュリティとガバナンス
クラウド移行で成功するための4つのポイントとAzureで気をつける3つのポイント
クラウド移行(インフラ・DB)
AzureとAWS。その特徴とDaaS費用の比較
仮想デスクトップ
データセンターの安全性を確認する方法や評価基準を紹介
ハイブリッドクラウド
企業がクラウドへ移行すべき代表的なタイミング
クラウド移行(インフラ・DB)
Azure Site Recovery‎で自然災害に備えてDRを
ハイブリッドクラウド
レガシーシステムが抱える課題について考える
クラウド移行(インフラ・DB)
Azure Bastionとは?セキュアな接続の概要と利用の流れを解説
セキュリティとガバナンス
RELATED SITES

関連サイト

CONTACT

サイト掲載の
お問い合わせ

TOP