クラウドWAFによるWebアプリ保護の可能性安全なWeb/モバイルアプリ開発【後編】

Webアプリケーションの保護手段として、GartnerはクラウドWAFに注目する。主要なクラウドWAFプロバイダーとサービスの一部を紹介する。

2021年09月15日 08時00分 公開
[Cliff SaranComputer Weekly]

 前編(アプリ開発者が実践すべきセキュアコーディングの初歩の初歩)では、Webアプリケーションやモバイルアプリケーションの開発者が絶対にやるべき基本的な事項を紹介した。

 後編ではクラウドWAF(Webアプリケーションファイアウォール)の効果と注目すべきクラウドWAFプロバイダーを紹介する。

Webアプリケーションの保護

 レイヤー7(L7)攻撃として知られるアプリケーション層への攻撃は、正当なHTTP要求を連続的に送信することでサーバに過剰な負荷を掛ける。

 Cloudflareによると、大半のDDoS(分散型サービス拒否)攻撃の効果は、攻撃を仕掛けるのに利用するリソースの量とその攻撃を吸収または軽減するのに必要なリソースの量の相対的な格差から生まれるという。つまり、アプリケーション層への攻撃は総帯域幅が少ないほどダメージが大きくなる。

 ユーザーが「Gmail」などのサービスにアクセスしたりEコマースサイトで取引したりしようとすると、ブラウザからの要求をサーバが受け取る。サーバはデータベースクエリを実行したりAPIを呼び出したりすることでユーザーの要求に応える。

 多くの機器が1つのWebプロパティを対象にアクセスすると、サーバがこのタスクを完了する能力に格差が生まれる。DoS攻撃はこの格差を利用するとCloudflareは指摘する。「その効果は標的のサーバの処理能力を上回る恐れがある。多くの場合、レイヤー7攻撃でAPIを標的にするだけで、十分そのサービスをオフラインにできる」と同社は警告している。

 Gartnerの「Webアプリケーションファイアウォールのマジッククアドラント」レポート(2020年10月公開)は、パブリックに公開されるWebアプリケーションとAPIの30%は2023年までにクラウドWAAP(Web Application and API Protection)サービスによって保護されるようになると予測している。Gartnerの想定では、運用環境のWebアプリケーション用にマルチクラウド戦略を実装する企業の大半が、2024年までにクラウドWAAPサービスのみを使うようになるという。

パブリッククラウドWAF

 前述のマジッククアドラントレポートでは、WAFの分野でAkamai TechnologiesとImpervaを「リーダー」に指名している。

 「チャレンジャー」クアドラントには、Cloudflare、Fortinet、F5 Networks、Barracuda Networksが挙げられている。リーダーに指名された2社とチャレンジャーがWAFを探すIT意思決定者の候補リストに載るだろう。

 Gartnerの「ビジョナリー」クアドラントにはDDoS保護サービスプロバイダーRadwareとWAFスタートアップ企業Signal Sciencesが挙げられており、製品提供における技術の革新的な使い方が認められている。Gartnerは、RadwareのWAFが機械学習を使っていること、Signal Sciencesがクラウドネイティブアプリケーションのセキュリティに重点を置いていると指摘している。

 パブリッククラウドプロバイダーもプラットフォームの一部としてWAF機能を提供している。ただし、Gartnerは「Microsoft Azure」と「Amazon Web Services」(AWS)を「ニッチ」プレイヤーと見なしている。

 このマジッククアドラントレポートの執筆者は、AWSのWAFは基本的なbot保護を提供するが、機器のフィンガープリント機能、ユーザーの行動検知、JavaScriptチャレンジ(訳注)といった競合製品にある高度なbot保護機能の多くが欠けていると注意を促す。

訳注:アクセス元がブラウザ(人間による正当な操作)なのかbot(攻撃ツール)なのか、JavaScriptで問い合わせ(チャレンジ)を送って識別すること。相手がブラウザであればJavaScriptによる問い合わせに対してレスポンスを返す。

 Gartnerは、AzureのWAFが多くのAzureリージョンで利用可能になりつつあると述べ、Azure WAFを他のAzureサービスと統合するMicrosoftの取り組みに注目する。例えば、Azure WAFが「Azure Kubernetes Service」のイングレスコントローラーとネイティブに統合されてイベントを「Azure Sentinel」に送信できるようになる。そのため、既知のbotのブロックにMicrosoftの技術インフラをより適切に利用できるようになるとGartnerは指摘している。

 Gartnerのレポートは、「Google Cloud Platform」で使えるWAF「Google Cloud Armor」とDDoS軽減サービスも取り上げている。同レポートによると、GoogleはIP制御リストや地理的位置に基づくIPフィルタリングなどを追加し、XSS(クロスサイトスクリプティング)攻撃やSQLインジェクション攻撃をブロックするルールを事前定義している。カスタムルールの作成も可能だ。Googleは機能を拡張する意欲の兆しを見せているというのがGartnerの見解だ。

ITmedia マーケティング新着記事

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...

news108.jpg

今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...