クラウドWAFによるWebアプリ保護の可能性:安全なWeb/モバイルアプリ開発【後編】
Webアプリケーションの保護手段として、GartnerはクラウドWAFに注目する。主要なクラウドWAFプロバイダーとサービスの一部を紹介する。
前編(アプリ開発者が実践すべきセキュアコーディングの初歩の初歩)では、Webアプリケーションやモバイルアプリケーションの開発者が絶対にやるべき基本的な事項を紹介した。
後編ではクラウドWAF(Webアプリケーションファイアウォール)の効果と注目すべきクラウドWAFプロバイダーを紹介する。
関連記事
- RPAに組み込むべきセキュリティ対策
- モバイルアプリの実装方法と開発&テストツール選び
- Webベースアプリのパフォーマンス&セキュリティ最適化まとめ
- 次世代クラウドアプリを担う、話題の「マイクロサービス」とは
- Androidのライブラリに致命的なバグ――多数のアプリが未対応
Webアプリケーションの保護
レイヤー7(L7)攻撃として知られるアプリケーション層への攻撃は、正当なHTTP要求を連続的に送信することでサーバに過剰な負荷を掛ける。
Cloudflareによると、大半のDDoS(分散型サービス拒否)攻撃の効果は、攻撃を仕掛けるのに利用するリソースの量とその攻撃を吸収または軽減するのに必要なリソースの量の相対的な格差から生まれるという。つまり、アプリケーション層への攻撃は総帯域幅が少ないほどダメージが大きくなる。
ユーザーが「Gmail」などのサービスにアクセスしたりEコマースサイトで取引したりしようとすると、ブラウザからの要求をサーバが受け取る。サーバはデータベースクエリを実行したりAPIを呼び出したりすることでユーザーの要求に応える。
多くの機器が1つのWebプロパティを対象にアクセスすると、サーバがこのタスクを完了する能力に格差が生まれる。DoS攻撃はこの格差を利用するとCloudflareは指摘する。「その効果は標的のサーバの処理能力を上回る恐れがある。多くの場合、レイヤー7攻撃でAPIを標的にするだけで、十分そのサービスをオフラインにできる」と同社は警告している。
Gartnerの「Webアプリケーションファイアウォールのマジッククアドラント」レポート(2020年10月公開)は、パブリックに公開されるWebアプリケーションとAPIの30%は2023年までにクラウドWAAP(Web Application and API Protection)サービスによって保護されるようになると予測している。Gartnerの想定では、運用環境のWebアプリケーション用にマルチクラウド戦略を実装する企業の大半が、2024年までにクラウドWAAPサービスのみを使うようになるという。
パブリッククラウドWAF
前述のマジッククアドラントレポートでは、WAFの分野でAkamai TechnologiesとImpervaを「リーダー」に指名している。
「チャレンジャー」クアドラントには、Cloudflare、Fortinet、F5 Networks、Barracuda Networksが挙げられている。リーダーに指名された2社とチャレンジャーがWAFを探すIT意思決定者の候補リストに載るだろう。
Gartnerの「ビジョナリー」クアドラントにはDDoS保護サービスプロバイダーRadwareとWAFスタートアップ企業Signal Sciencesが挙げられており、製品提供における技術の革新的な使い方が認められている。Gartnerは、RadwareのWAFが機械学習を使っていること、Signal Sciencesがクラウドネイティブアプリケーションのセキュリティに重点を置いていると指摘している。
パブリッククラウドプロバイダーもプラットフォームの一部としてWAF機能を提供している。ただし、Gartnerは「Microsoft Azure」と「Amazon Web Services」(AWS)を「ニッチ」プレイヤーと見なしている。
このマジッククアドラントレポートの執筆者は、AWSのWAFは基本的なbot保護を提供するが、機器のフィンガープリント機能、ユーザーの行動検知、JavaScriptチャレンジ(訳注)といった競合製品にある高度なbot保護機能の多くが欠けていると注意を促す。
訳注:アクセス元がブラウザ(人間による正当な操作)なのかbot(攻撃ツール)なのか、JavaScriptで問い合わせ(チャレンジ)を送って識別すること。相手がブラウザであればJavaScriptによる問い合わせに対してレスポンスを返す。
Gartnerは、AzureのWAFが多くのAzureリージョンで利用可能になりつつあると述べ、Azure WAFを他のAzureサービスと統合するMicrosoftの取り組みに注目する。例えば、Azure WAFが「Azure Kubernetes Service」のイングレスコントローラーとネイティブに統合されてイベントを「Azure Sentinel」に送信できるようになる。そのため、既知のbotのブロックにMicrosoftの技術インフラをより適切に利用できるようになるとGartnerは指摘している。
Gartnerのレポートは、「Google Cloud Platform」で使えるWAF「Google Cloud Armor」とDDoS軽減サービスも取り上げている。同レポートによると、GoogleはIP制御リストや地理的位置に基づくIPフィルタリングなどを追加し、XSS(クロスサイトスクリプティング)攻撃やSQLインジェクション攻撃をブロックするルールを事前定義している。カスタムルールの作成も可能だ。Googleは機能を拡張する意欲の兆しを見せているというのがGartnerの見解だ。
Copyright © ITmedia, Inc. All Rights Reserved.