Webアプリケーションのセキュリティ対策である「WAF」には、大きく分けてクラウド型とアプライアンス型の2種類がある。両者は何が違うのか。WAFの基礎を含めて徹底解説する。
現在の情報漏えい事件で目立つのは、外部のサイバー犯罪者によるものだ。彼らがよく狙うのは、侵入が難しい企業の社内向けシステムではなく、社外向けに公開しているWebシステムだ。オンラインバンキングやEコマースが一般化した今、Webサイトは個人情報や決済情報など貴重な情報の宝庫となっている。
一方、Webシステムには多くの脆弱性が報告されている。もちろん、ほとんどは修正プログラムが配布されており、定期的なメンテナンスや適切なアップデートで回避できる問題も多い。Webアプリケーションフレームワーク「Apache Struts」の脆弱性など、比較的新しく発見された脆弱性を突かれるケースもあるが、「SQLインジェクション」といった古くからある脆弱性攻撃が成功することも珍しくない。脆弱なWebサイトを探す自動攻撃ツールがインターネットで比較的容易に手に入るという現状も、この問題に拍車を掛けている。
Webシステムを保護するシステムの代表例として挙げられるのが「Webアプリケーションファイアウォール(WAF)」だ。従来は、運用が煩雑で高価になりがちなアプライアンスが中心だったが、昨今ではクラウドサービスとして提供される「クラウド型WAF」という選択肢も登場し、利用が広がっている。企業が今選ぶべきはどちらか。幾つかの導入事例を交えつつ、両者の違いを探る。
提供:合同会社シマンテック・ウェブサイトセキュリティ(旧 日本ベリサイン株式会社)
アイティメディア営業企画/制作:TechTargetジャパン編集部
ITmediaはアイティメディア株式会社の登録商標です。
