2020年3月の時点では、Webサービスのセキュリティ対策は非常に重要とされています。というのも、ハッキングをされて、webサイトがのっとられたりした事例が散見されているからです。
有名企業でも発生している、webサイトが乗っ取られた事例として、有名なのは、郵便局のwebサービスがのっとられた事例があります。
2017年におきた問題で、日本郵便株式会社の運営している「国際郵便マイページサービス」において、2017年3月12日~13日にかけてWebサイト改ざんが発生しました。
これによって、個人情報が流出した可能性がある、ということが、日本郵便株式会社から発表されています。
参考:「国際郵便マイページサービス」における不正アクセス及び情報流出の可能性について
https://www.post.japanpost.jp/notification/pressrelease/2017/00_honsha/0314_01.html
このように、大手の企業でも、Webサイトに対して、サイバー攻撃の被害がある世の中です。セキュリティ対策は非常に重要です。
そこで、登場したのが、WAF(Web Application Firewall)、通称 ワフ というセキュリティサービスです。
今回は、webサービスに特化したセキュリティサービスである WAF(ワフ)について解説しますね。
WAF(ワフ)とは?
WAF(ワフ)は、「Web Application Firewall(ウェブアプリケーションファイアウォール)」を意味する略称です。
要するに、ファイヤーウォールの一種です。
そのため、WAF(ワフ)は、ネットワーク経由の外部からの攻撃(ウィルス、不正なアクセス)を防御するセキュリティになります。
WAF(ワフ)の特徴としてあげられる点としては、WAF(ワフ)は、webサービス、ホームページ、Webアプリケーションに特化しているセキュリティソリューションという点ですね。
それゆえ、WAF(ワフ)の対象は、主に、
- webサービス
- ホームページ、web更新のCMS
- webアプリケーション
- ECサイト
- SNS関連のログイン
が主なセキュリティ保護対象となります。
webサービスのセキュリティ被害の状況
webサービスの運営者側で、見えているセキュリティ被害の状況を調査したデータがありますので、ご紹介します。
2006年11月29日の情報です。
独立行政法人 情報処理推進機構 セキュリティセンターがまとめたものです。
「企業における情報セキュリティ事象被害額調査」及び「国内におけるコンピュータウイルス被害状況調査」
中小企業 被害額(参考値) 約 4,300万円/社
大手・中堅企業 被害額(参考値) 約 1億3,000万円/社
引用:IPA
「企業における情報セキュリティ事象被害額調査」及び「国内におけるコンピュータウイルス被害状況調査」
https://www.ipa.go.jp/security/fy17/reports/virus-survey/index.html
すごい金額ですよね。。。
つまり、セキュリティ対策をおろそかにしていると、上記のような被害金額が、一気に襲い掛かってくる可能性があるのです。
考えてみてください。会社がつぶれるくらいの金額ですよね。。
WAF(ワフ)が必要な理由は、セキュリティ対策
WAF(ワフ)が必要な理由は、いくつかあります。
- セキュアなプログラミングの限界
- プログラマーの人手不足
- チェックする人のスキル不足
- ファイやウォール、IPS、IDSとの役割の違い
1番最後に書いたファイやウォール、IPS、IDSとの役割の違いについては、実はわかりやすい話です。
前述のとおり、WAF(ワフ)は、Webアプリケーションに対してのセキュリティです。
しかし、ファイアウォールは、ネットワークレベルのセキュリティ。
そして、IPSやIDSは、サーバのOSやミドルウェアレベルのセキュリティ。
つまり、WAF(ワフ)とは、役割の違うセキュリティなんですよね。
ここを勘違いしていると、そもそも論が発生していきます。
そのほかの項目についても、簡単に解説していきます。
WAFが必要な理由は、セキュアなプログラミングの限界
SQLインジェクション、クロスサイトスクリプティングといったサイバー攻撃。
これらのアタックによる情報漏えい被害は、日々増えていっています。
しかし、これらのアタックは、基本、Webサイトやwebアプリケーションに向けられています。
そして、Webサイトやwebアプリケーションは、日々、誰もが見られる環境においていないと、意味がないものです。そして、更新、アップグレードも、日々求められます。
それゆえ、限界があるんですよね、プログラミングに。
セキュリティの高いプログラミングをするには、
- 優秀なプログラマーが必要
- チェックする人のスキルも必要
コストもそうですが、人が、そもそも、足りていないんですよね。
一方で、スピードが要求されます。
サービスが、情報だから、鮮度を要求されるためです。
今買えないECサイトの情報、ほしがる人は少ないですよね。
結果的に、
- コスト
- 人の数
- 管理者のスキル
といった部分の問題で、セキュリティ対策が常時、プログラミングの部分で解決できる時代ではなくなっているのです。
WAF(ワフ)がセキュリティに役立つ仕組みとは?
WAF(ワフ)は、不正なアクセスや攻撃パターンを定義したファイル(シグニチャ)によって、悪質なアクセスを判断します。WAF(ワフ)のセキュリティの仕組みは、このようなセキュリティのファイル定義によって行われているのです。
WAF(ワフ)は、
- インストール型
- クラウド型
が、2020年3月時点では、メインストリームになってきています。
これは、上記の仕組みの観点からです。
悪質なものと定義するためのファイル設定を共有化しやすいため、インストール形式と、クラウド形式のサービス形式になっています。
主なセキュリティ対策のWAF(ワフ)サービス
WAF(ワフ)には、どんなサービスがあるか、いくつか紹介します。
攻撃遮断くん
攻撃遮断くん公式webサイト
https://www.shadan-kun.com/
クラウド型WAFで、国内で実績の多いサービスです!
攻撃遮断くんの料金は、個別のお見積りとなるので、都度、お問い合わせが必要です。
SiteGuard
SiteGuard公式webサイト
https://siteguard.jp-secure.com/
純国産ソフトウェア型WAF(ワフ)。
こちらも、実績の多いWAF(ワフ) サービスです。
SiteGuardの料金は、
サーバエディッションで、
初年度 252,000円~
更新 126,000円~
となっているようです。
ボリューム割引やアカデミック利用等での割引もやっているそうですね!
Akamai Kona WAF
Akamai Kona WAF公式webサイト
https://www.akamai.com/jp/ja/resources/waf.jsp
世界的に有名なAkamai。
そこから出されているwafサービスですね。
Kona WAFの特長は、やはり、Akamaiのグローバル分散アーキテクチャですね。分散に強い企業ですからね。また、クラウド形式での提供となっています。
まとめ:WAF(ワフ)でwebのセキュリティ対策を意識していきましょう。
Webサイトのセキュリティ対策において、WAF(ワフ)は重要です。
そもそも、webサービスのセキュリティ対策は、他のセキュリティ製品では守れないのですから。
プログラマーなど、作り手に依存したセキュリティ対応は、難しい現代。
2020年、webサービスのセキュリティ対策は、WAFを実施しておかないわけにはいかないと思います。
個人情報などの流出になったら、大変です。
被害額を考えたら、会社がつぶれるレベルです。
しっかりと、web制作会社とも話し合いをしてみましょう。
また、そういった知識のあるweb制作会社と付き合うようにしたほうがいいですよね。
2020年 web制作会社 売上の上がる18のビジネスモデル解説
https://saras-wati.net/web-make/webmake-business-model2002/
