パブリッククラウド環境で動かすWebアプリケーションも、自社施設で動かす場合と同様にセキュリティ攻撃から守りたい。しかし、パブリッククラウド環境には通常、WAF装置を設置できない。SaaS(Software as a Service)型WAFなら装置の導入が不要なので、制約を受けることなく導入できる。

 Webサイトを狙うセキュリティ攻撃が活発化している。例えばソニーは昨年春、Webアプリケーションサーバーの脆弱性を突かれ、大量の個人情報が漏洩したことを明らかにした。他社でもWebアプリケーションサーバーが攻撃を受けて機密情報が漏洩したり、サイトが改竄されたりする事件が相次ぎ起こっている。

 Webサイトへの攻撃手段のうち、発生頻度が高いSQLインジェクションやクロスサイトスクリプティングなどは、Webアプリケーションファイアウォール(WAF)で防げる可能性がある。

 Webサーバーやフレームワークなどのソフトウエアに脆弱性が見つかった際は、ソフトウエアをバージョンアップしたり、パッチを当てたりする必要がある。しかし、システム規模が大きい場合には動作検証に時間がかかり、そうした対策をすぐには実施できない。セキュリティの専門家であるHASHコンサルティングの徳丸浩氏(代表取締役)は、「Webアプリケーションサーバーを即座に守りたいときは、WAFが有力な選択肢になる」と話す。

クラウドで利用可能なハードに制約

 最近は、Webアプリケーションをパブリッククラウド環境で動かすケースが増えている。ハードウエアを調達して自社施設で動かすよりも、初期投資や構築期間を低減できるとともに、利用が活発化した際に規模の拡張を図りやすいからである。

 ただし、パブリッククラウド環境ではセキュリティをどう確保するかが問題になる(図1)。自前の施設とは異なり、利用可能なハードウエアに制約があるからだ。ユーザーがパブリッククラウド環境にWAF装置(アプライアンス)の追加設置を望んでも、事業者から断られることが多い。例えば米Amazon Web ServicesのAmazon EC2では、WAF装置を設置できない。

図1●クラウド利用の増加でSaaS型WAFが注目されている
[画像のクリックで拡大表示]

 ソフトウエアとして実装されているWAFなら、そうしたパブリックラウド環境にも導入可能である。しかし導入の負担はWAF装置よりも大きい。仮想サーバーの準備やインストールに手間がかかる上、クラウド上のリソース構成に合わせて必要な設定をするのにも高いスキルが求められる。

 またWAFを利用する際は、セキュリティに詳しい運用担当者が社内にいないと、十分な導入効果を得られない。WAFの運用では、新たなセキュリティ脅威が見つかるたびに「シグニチャー」と呼ぶ遮断ルールを防御リスト(ブラックリスト)に加えたり、攻撃ではないアクセスを誤検知する「フォールスポジティブ」を防ぐ設定を除外リスト(ホワイトリスト)に加えたりする必要があるからだ。ソフトウエアのバージョンアップやパッチ適用、対策状況を可視化するレポート作成といった作業も欠かせない。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。