クラウドWAFによるWebアプリ保護の可能性

前編( アプリ開発者が実践すべきセキュアコーディングの初歩の初歩 )では、Webアプリケーションやモバイルアプリケーションの開発者が絶対にやるべき基本的な事項を紹介した。  後編ではクラウドWAF(Webアプリケーションファイアウォール)の効果と注目すべきクラウドWAFプロバイダーを紹介する。

Source: クラウドWAFによるWebアプリ保護の可能性

Webアプリケーションの保護

 レイヤー7(L7)攻撃として知られるアプリケーション層への攻撃は、正当なHTTP要求を連続的に送信することでサーバに過剰な負荷を掛ける。

Cloudflareによると、大半のDDoS(分散型サービス拒否)攻撃の効果は、攻撃を仕掛けるのに利用するリソースの量とその攻撃を吸収または軽減するのに必要なリソースの量の相対的な格差から生まれるという。つまり、アプリケーション層への攻撃は総帯域幅が少ないほどダメージが大きくなる。

 ユーザーが「Gmail」などのサービスにアクセスしたりEコマースサイトで取引したりしようとすると、ブラウザからの要求をサーバが受け取る。サーバはデータベースクエリを実行したりAPIを呼び出したりすることでユーザーの要求に応える。

 多くの機器が1つのWebプロパティを対象にアクセスすると、サーバがこのタスクを完了する能力に格差が生まれる。DoS攻撃はこの格差を利用するとCloudflareは指摘する。「その効果は標的のサーバの処理能力を上回る恐れがある。多くの場合、レイヤー7攻撃でAPIを標的にするだけで、十分そのサービスをオフラインにできる」と同社は警告している。

 Gartnerの「Webアプリケーションファイアウォールのマジッククアドラント」レポート(2020年10月公開)は、パブリックに公開されるWebアプリケーションとAPIの30%は2023年までにクラウドWAAP(Web Application and API Protection)サービスによって保護されるようになると予測している。Gartnerの想定では、運用環境のWebアプリケーション用にマルチクラウド戦略を実装する企業の大半が、2024年までにクラウドWAAPサービスのみを使うようになるという。

パブリッククラウドWAF

 前述のマジッククアドラントレポートでは、WAFの分野でAkamai TechnologiesとImpervaを「リーダー」に指名している。

 「チャレンジャー」クアドラントには、Cloudflare、Fortinet、F5 Networks、Barracuda Networksが挙げられている。リーダーに指名された2社とチャレンジャーがWAFを探すIT意思決定者の候補リストに載るだろう。

 Gartnerの「ビジョナリー」クアドラントにはDDoS保護サービスプロバイダーRadwareとWAFスタートアップ企業Signal Sciencesが挙げられており、製品提供における技術の革新的な使い方が認められている。Gartnerは、RadwareのWAFが機械学習を使っていること、Signal Sciencesがクラウドネイティブアプリケーションのセキュリティに重点を置いていると指摘している。

 パブリッククラウドプロバイダーもプラットフォームの一部としてWAF機能を提供している。ただし、Gartnerは「Microsoft Azure」と「Amazon Web Services」(AWS)を「ニッチ」プレイヤーと見なしている。

 このマジッククアドラントレポートの執筆者は、AWSのWAFは基本的なbot保護を提供するが、機器のフィンガープリント機能、ユーザーの行動検知、JavaScriptチャレンジ(訳注)といった競合製品にある高度なbot保護機能の多くが欠けていると注意を促す。

訳注:アクセス元がブラウザ(人間による正当な操作)なのかbot(攻撃ツール)なのか、JavaScriptで問い合わせ(チャレンジ)を送って識別すること。相手がブラウザであればJavaScriptによる問い合わせに対してレスポンスを返す。

 Gartnerは、AzureのWAFが多くのAzureリージョンで利用可能になりつつあると述べ、Azure WAFを他のAzureサービスと統合するMicrosoftの取り組みに注目する。例えば、Azure WAFが「Azure Kubernetes Service」のイングレスコントローラーとネイティブに統合されてイベントを「Azure Sentinel」に送信できるようになる。そのため、既知のbotのブロックにMicrosoftの技術インフラをより適切に利用できるようになるとGartnerは指摘している。

 Gartnerのレポートは、「Google Cloud Platform」で使えるWAF「Google Cloud Armor」とDDoS軽減サービスも取り上げている。同レポートによると、GoogleはIP制御リストや地理的位置に基づくIPフィルタリングなどを追加し、XSS(クロスサイトスクリプティング)攻撃やSQLインジェクション攻撃をブロックするルールを事前定義している。カスタムルールの作成も可能だ。Googleは機能を拡張する意欲の兆しを見せているというのがGartnerの見解だ。

Leave a Reply