Azure WAFについて

Azure WAFとは

まずAzureとは、マイクロソフト社が提供するクラウドプラットフォームであり、ネットワークやデータベース、コンピューティングなど、さまざまな機能やサービスを組み合わせて利用するサービスです。

Azure Web Application Firewall(以下 Azure WAF)は、このAzure上で提供されているWAF（ワフ）機能です。Azureのクラウドサービスと連携が容易なため、Azureで作られた公開系のWebサイトに最適なセキュリティサービスです。豊富なセキュリティオプションが設定可能であり、クラウド型のWAFとして十分な機能を備えています。

これまでにもマイクロソフト社はWindowsやOfficeなどのソフトウェアを開発してきました。Azure WAFはこのようなソフトウェアを世に出してきた、マイクロソフト社の高い技術力を持って開発された、信頼できるサービスと言えるでしょう。

Azure WAFの仕組み

Azure WAFは、Application Gateway（以下APGW）・Front Door・CDNのいずれかに紐づけて利用します。

APGWとAzure Front DoorはどちらもHTTPやHTTPSの通信であるレイヤー7のロードバランサーとして機能します。APGWはリージョンサービスですが、Azure Front DoorはCDNの機能も備えているという違いがあります。
CDNは2021年12月現在ではパブリックプレビュー版として公開されています。特定の機能については、サポート対象外であり、機能が制限されていることがあります。

Azure WAFを機能させるためには、WAFポリシーの作成が必要です。このポリシーは、カスタム規則とマネージド規則セットの2種類で構成されます。
カスタム規則とはAzure WAFの利用者が自分で作成した規則のことです。カスタム規則とマネージド規則セットの両方が設定されている場合は、まずカスタム規則が優先されます。

Azure WAFの2つのモード

設定されたWAFポリシーに基づいて、Azure WAFは「検出モード」と「防止モード」の2つのモードで動作します。

検出モードでは、侵入や攻撃を検知した場合に、ログの記録のみを行います。一方、防止モードでは、侵入や攻撃を検知した場合、その攻撃を記録し、攻撃者に403エラーを送信して通信をブロックします。

Azure WAFの導入直後は、まず検出モードで動作させて、しばらくはログの収集に徹するのがおすすめです。その後、貯まったログ情報を元に適切なカスタムルールを更新すれば、防止モード時に発生しがちな誤検知を減らせるからです。

Azure WAFのルール

Azure WAFでは、Webアプリケーションをサイバー攻撃から保護するために、OWASPのルールセットで定義されているルールを採用しています。

• OWASPのCore Rule Set（CRS） とは

  OWASP（オワスプ）とは、Open Web Application Security Projectの略語であり、Webアプリケーションやソフトウェアのセキュリティの研究や脆弱性を診断するツールの開発、セキュリティに関するイベントの開催などの活動をしているコミュニティのことです。

  OWASPでは重要なセキュリティの脆弱性を10個取り上げてTOP10として公開しています。2021年10月のOWASPのTOP10は以下の通りです。

  • アクセス制御の不備
  • 暗号化の失敗
  • インジェクション
  • 安全が確認されない不安な設計
  • セキュリティの設定ミス
  • 脆弱で古くなったコンポーネント
  • 識別と認証の失敗
  • ソフトウェアとデータの整合性の不具合
  • セキュリティログとモニタリングの失敗
  • サーバーサイド・リクエスト・フォージェリ

  引用：OWASP Top 10:2021「OWASP Top 10 2021の紹介」

  これらのTOP10の脆弱性を防御するために、Azure WAFがマネージドルールとして採用しているのが、OWASPのCore Rule Set（コアルールセット：CRS）です。2021年12月現在では、デフォルトでCRS3.0が設定されていますが、CRS3.2やCRS3.1、CRS2.29も選択可能です。またルールは目的に合わせてカスタマイズできます。

• Azure WAFで防御できるサイバー攻撃

  Azure WAFではOWASPのCRSを元にしたルールを使い、以下のようなWebアプリケーションに対するサイバー攻撃を防ぐことができます。

  • SQLインジェクション攻撃
  • クロスサイトスクリプティング攻撃
  • その他の一般的な攻撃 (コマンドインジェクション、HTTP要求スマグリング、HTTPレスポンススプリッティング、リモートファイルインクルードなど)
  • HTTP プロトコル違反
  • HTTP プロトコル異常 (ホストユーザーエージェントと承認ヘッダーが見つからない場合など)
  • ボット、クローラー、スキャナー
  • 一般的なアプリケーション構成ミス (Apache や IIS など)

  引用：Microsoft「CRS 規則グループと規則 – Azure Web Application Firewall | Microsoft Docs」

  Azure WAFを通常のファイアウォールやIDS、IPSと合わせれば、Webアプリケーションに加えて、サーバーやネットワーク、OSなどの保護も可能となります。このように様々なレイヤーにおける防御は「多層防御」と呼ばれ、堅牢なWebアプリケーションの運用には、欠かせない概念となっています。

Azure WAFのメリット

• 素早く導入できる

  Azure WAFはクラウド型のWAFであるため、追加のソフトウェアが不要で素早く導入できます。WebアプリケーションにAzure WAFを構成・有効にし、ルールを定義するだけで、Webアプリケーションの保護が可能となります。

• 高い費用対効果

  Azure WAFは使用した分だけ費用を支払えばよいので、高い費用対効果を持ちます。初期導入費用も不要です。

Azure WAFのデメリット

Azure WAFのデメリットとして、運用の難しさがあります。
Azure WAFはセルフサービスなので、ルールの作成やチューニングは各自で行わないとならず、専門的な知識が必要になります。
ルール設定が正しくないと、許可すべき通信をブロックしてしまったり（誤検知）、逆にブロックすべき通信を許可してしまったりすることもありえます。
新規の脆弱性に対しても、各自で常に情報を集め、新しい脆弱性が発見されたら対応をしないとなりません。

Azure WAFの運用には、専門的な知識と多くの時間が必要となり、業務負担が非常に大きいです。