Azureはマイクロソフトが提供しているクラウドサービスです。Azureで構築したアプリケーションをサイバー攻撃から守るには、Azure WAFの導入をおすすめします。
Azure WAFを導入することでどういった効果があるのか?この記事ではAzure WAFの特徴や料金から導入時の注意点までをわかりやすく解説します。
目次
Azure WAFとは?
Azure WAFは、Azure上で提供されているWeb Application Firewall(WAF)です。Azure環境で構築したWebアプリケーションをサイバー攻撃から守る役割を果たします。
Azure WAFを導入することで、SQLインジェクションやクロスサイトスクリプティング(XSS)などのサイバー攻撃からWebアプリケーションを守ることができます。
そもそもWAFとは?WAFの必要性
WAF(Web Application Firewall)とは、Webアプリケーションに対するサイバー攻撃を検出・遮断するセキュリティサービスです。SQLインジェクションやクロスサイトスクリプティング(XSS)など、Webアプリケーション特有の脆弱性を突く攻撃の対策にはとても有効なサービスとなります。
新しい脆弱性が毎日のように発見されている現在、WAFの必要性がますます高まっています。IPAの調査報告によれば、1日あたり平均4件ほどの脆弱性が報告されています。
本来であれば最新の脆弱性情報を常にキャッチアップし、脆弱性がないようにWebアプリケーションを改修するのがセキュリティ対策としては一番です。しかし、脆弱性情報やその影響の確認、バッチ適用の判断などの作業には専門的な知識が必要で膨大なリソースがかかるため、脆弱性のないWebアプリケーションの構築は現実不可能です。
毎日のように発見される脆弱性からWebアプリケーションを守るにはWAFがとても重要です。
Azure WAFの特徴
Azure環境で構築したWebアプリケーションをサイバー攻撃から守るには、Azure WAFが必要不可欠です。ここではAzure WAFの3つの特徴について解説します。
Webアプリケーションへのサイバー攻撃を防御可能
Azure WAFを導入することによって、Webアプリケーション特有の脆弱性を突くかれるサイバー攻撃を防ぐことができます。
マネージドルールセットを利用することで、OWASP(Open Web Application Security Project)の上位10件のセキュリティリスクに対する一般的な脅威からWebアプリケーションを保護できます。
さらに、カスタムルールとの併用で、高いセキュリティレベルを実現できます。
Azure WAFのWAFポリシーについて後ほどより詳しく解説します。
セキュリティリスクの可視化
サイバー攻撃を防ぐだけでなく、Azureが提供しているほかのサービスとの連携によって、Azure WAFで検知したセキュリティ脅威をリアルタイムで可視化できます。
セキュリティ情報イベント管理(SIEM)サービス Microsoft Sentinelとの連携によってAzure WAFのログの分析ができます。
さらにAzure Monitorとの連携で、Azure WAFで検出された脅威に関する詳細なレポートの確認やセキュリティアラート、ログなどの診断情報を追跡することができます。
これらのサービスとの連携により、Azure WAFは高度なセキュリティ監視とリスク管理を実現します。
導入設定が簡単
Azure WAFは、Azure Application GatewayやAzure Front Doorなどのサービスを通じて簡単に導入(デプロイ)することが可能です。システムの大規模な改修や複雑な設定作業がなく、数分間でAzure WAFを導入できます。
Azure WAFの設定方法については、下記の公式チュートリアルを参照してください。
Azure WAFのWAFポリシーとは?
サイバー攻撃を防御するには、Azure WAFにWAFポリシーの設定が必要です。WAFポリシーとは、Webアプリケーションに対する攻撃を検知・防御するための一連のルール(シグネチャ)です。
WAFポリシーには、Azure WAFが提供するプリセットされたルールセットと、ユーザーが独自に設定できるカスタムルールの2種類があります。2種類のルールを組み合わせることで、より高度なセキュリティ対策が可能です。
ここでは、Azure WAFの2種類のWAFポリシーについて詳しく解説します。
マネージドルールセット
マネージドルールセットは、Azure WAFにプリセットされているWAFポリシーのルールセットです。一般的なサイバー攻撃を防御するためのルールセットなので、デフォルトで有効に設定されています。
マネージドルールセットにはDRS(Default Rule Set)とCRS(Core Rule Set)の2種類のルールセットがあります。
DRS(Default Rule Set)はAzureが管理する基本的なルールセットで、クロスサイトスクリプティング(XSS)、Java攻撃、ローカルファイルインクルージョン、PHPインジェクション、リモートコマンド実行など、多様な脅威カテゴリに対する防御ルールが含まれています。
CRS(Core Rule Set)はOWASP Top 10に含まれる一般的なWebアプリケーションの脆弱性を対策するルールセットです。SQLインジェクション、クロスサイトスクリプティング、HTTPプロトコル違反など、多くの攻撃手法もこのルールセットによって対策できます。
Azure WAFの運用においてマネージドルールセットはとても重要ですが、ルールセットの中身をカスタマイズできないデメリットがあります。
仮にマネージドルールセットによって誤検知が発生したとしても、該当するルールを修正することができないので、カスタムルールの設定やアプリケーションの改修などが必要となります。
カスタムルール
マネージドルールセットに加えて、Azure WAFでは企業独自のセキュリティ要件に対応する「カスタムルール」を設定することができます。カスタムルールの設定によって、特定の国やIPアドレスからのアクセスの遮断や許可など、より細かいセキュリティ対策も実現できます。
ただし、カスタムルールの設定は簡単ではありません。直面している脅威を正しく把握したうえで、その特徴をルールにまとめる必要があり、セキュリティにおける高度な専門知識が求められます。
社内にセキュリティエンジニアがいない、もしくはリソースが不足する場合、WAFの自動運用サービス「WafCharm」の利用がおすすめです。
WafCharmを使用することで、専門的な知識がなくても効率的にAzure WAFのカスタムルールを運用できるので、運用工数をかけずに高度なセキュリティを実現できます。
Azure WAF導入時の注意点:検知モードと誤検知
便利なAzure WAFですが、導入時に注意しないといけない点があります。それは誤検知対応です。
誤検知とは、正常な通信を不正アクセスとして間違って判断することです。顧客からの通信が誤検知によってブロックされ、トラブルやクレームにつながる可能性があるので注意が必要です。
誤検知の影響を抑えるために、導入初期にAzure WAFの「検出モード」で運用することがおすすめです。検出モードでは、Azure WAFで検知した脅威をログとしてすべて残しますが、通信の遮断はしません。
検出モードで一定期間運用して、問題がなければ「防止モード」に切り替え、不正なアクセスやサイバー攻撃の防御を行うことをおすすめします。
仮に誤検知のような履歴が見つかった場合、該当ルールの無効化やカスタムルールの作成などの対策をして、誤検知を回避してから防止モードに変更するほうが顧客への影響を最低限に抑えられます。
Azure WAFの利用料金
Azure WAFは従量課金制を採用しています。使用した分だけの料金が発生するので、コスト効率良くAzureでのセキュリティ対策ができます。
初期費用がかからず、さらに新規ユーザーには最初の30日間で利用できる200ドル相当のクレジットが提供されるため、手軽に導入することが可能です。
料金の詳細については、Azureの公式料金ページで確認できます。
まとめ
Azure WAFは、Azure環境で構築したWebアプリケーションの保護には欠かせないサービスです。
Azure WAFを入れることによってOWASP Top 10に含まれる一般的なサイバー攻撃を防ぐことができます。しかし、自社特有のセキュリティリスクや誤検知に対応するためには、カスタムルールの作成が必要です。
カスタムルールの作成にはセキュリティに関する専門知識が必要ですが、専門のセキュリティチームがいない場合やリソースが不足している場合、WAFの自動運用サービス「WafCharm」の利用をおすすめします。
WafCharmは環境ごとに最適なルールを自動的に適用するので、特有のセキュリティリスクや新しい脆弱性にもすぐに対応できます。24時間365日の日本語サポートがあるため、誤検知やトラブルがあった際にも安心です。
さらに改ざん検知機能が搭載されているので、WafCharmを導入することでWebアプリケーションの改ざんにもすぐに対応できます。
WafCharmの詳細について資料にまとめたので、こちらからダウンロードしてください。