WAF(Webアプリケーション・ファイアウォール)とは

Webアプリケーション・ファイアウォールの定義

Webアプリケーション・ファイアウォールは、ボット、インジェクション、アプリケーション層のDoS(Denial of Service)などの悪意のある攻撃や迷惑なインターネット・トラフィックからWebアプリケーションを保護するのに役立ちます。WAFは、IPアドレス、HTTPヘッダー、HTTP本文、URI文字列、クロスサイト・スクリプティング(XSS)、SQLインジェクション、およびOWASPにより定義されているその他の脆弱性など、インターネットの脅威を回避するためのルールを設定および管理するのに役立ちます。Webアプリケーション・ファイアウォールは、Webに直接接続されているアプリケーションを保護し、コンプライアンスや分析に使用するアクセスログを収集するためにデプロイされます。

WAFセキュリティが重要な理由

Webアプリケーション・ファイアウォールは、地理的位置データ、ホワイトリストおよびブラックリストに登録されたIPアドレス、HTTP URL(Hypertext Transfer Protocol Uniform Resource Locater)、HTTPヘッダーに基づくアクセス制御により、パブリッククラウド、オンプレミス、マルチクラウド環境にデプロイされたアプリケーションを保護するのに役立ちます。WAFは、JavaScript、CAPTCHA(Completely Automated Public Turing Test to tell Computers and Humans Apart )、デバイス解釈、ヒューマン・インタラクション・アルゴリズムなどの一連の高度な検証手法により、悪意のあるボットトラフィックを特定してブロックすることができます。WAFは、複数のソースから集約された統合脅威インテリジェンスとOpen Web Application Security Project(OWASP)検出ルールの結果として、インターネットに直接接続されているアプリケーションを攻撃から保護します。

Webアプリケーション・ファイアウォール・サービスのコンポーネント

WAFには多くのコンポーネントがありますが、特に次のコンポーネントがあります。

  • Webアプリケーション・ファイアウォール・ポリシー

    WAFポリシーには、オリジン管理、保護ルール設定およびボット検出機能など、WAFサービスの全体的な構成が含まれています。
  • オリジン

    WAFポリシーで定義された保護ルールやその他の機能を設定するように設計された、Webアプリケーションのオリジン・ホスト・サーバー。
  • 保護ルール

    保護ルールでは、保護ルールで指定した基準を満たしているネットワーク・リクエストを許可、ブロック、ログ記録するように構成できます。WAFは、Webアプリケーションへのトラフィックを長期間監視し、適用する新しいルールを提案します。
  • ボット管理

    WAFサービスには、Webアプリケーションに対する特定のボットトラフィックを検出し、複数のブロックまたは許可機能があります。ボット管理機能には、JavaScriptチャレンジ、CAPTCHAチャレンジ、およびGoodBotホワイトリストなどがあります。ボット管理ソリューションでは、IPレート制限、CAPTCHA、デバイス・フィンガープリンティング、ヒューマン・インタラクション・チャレンジなどの検出技術を使用して、Webアプリケーション内の疑わしいボットアクティビティを識別してブロックできます。同時に、WAFでは、公開されているボットプロバイダからの正規のボットトラフィックがこれらの制御をバイパスすることを許可できます。

WAFの機能

Webアプリケーション・ファイアウォールの機能

WAFの主な機能には、次のものがあります。

  • ドメイン・ネーム・システム(DNS)によるダイナミックなトラフィック・ルーティング:DNSベースのトラフィック・ルーティング・アルゴリズムを活用し、世界中の何千もの拠点からのユーザーレイテンシを考慮して、最も低レイテンシのルートを決定します。
  • WAFサービスの高い可用性:Webアプリケーション配信を構成する場合、WAFには、複数の送信元サーバーを追加できる高可用性構成オプションが複数用意されています。これらの設定は、プライマリ送信元サーバーがオフラインであるか、正常性チェックに正しく応答しない場合に使用できます。
  • 柔軟な方法によるポリシー管理:WAF構成では、組織のニーズに合わせて機能を構成および管理することができます。
  • 監視とレポート:WAFでは、ユーザーが自分のコンテンツライブラリに関連したレポートにアクセスでき、それらをコンプライアンスや分析に使用できます。
  • エスカレーション:WAFからの情報により、サポートチームは緊急度に応じてチケットを発行およびエスカレーションできます。

クラウドベースのWebアプリケーション・ファイアウォールのデプロイ

クラウドベースのWAFは、オンプレミス、クラウド、ハイブリッド、マルチクラウドなどの複数のWebアプリケーション・ホスティング環境をサポートしている必要があります。つまり、WAFでは、使用するインフラストラクチャ・プロバイダの数に関係なく、悪意のあるトラフィックからネットワークエッジを保護できます。適切なクラウドベースのWAFには、配置されている場所に関係なく、インターネットに直接接続しているすべてのアプリケーションおよびAPIを保護するための独立したプラットフォームが用意されています。

優良なクラウドベースのWAFは、環境を監視し、問題が発生したときには脅威を軽減するための実証済みの手順を推奨してくれる、経験豊富なインターネット・セキュリティ専門家チームによって24時間365日管理されています。マネージドWAFサービスのメリットには、リスクの大幅な軽減があります。WAFの構成、監視、チューニング、インシデント・レポートをクラウドプロバイダに任せることができるので、管理の負担を軽減できます。継続的に監視することで、計画外のダウンタイムとそれに伴うブランドの評判へのダメージから組織を保護できます。さらに、マネージド・サービスにより、より多くの時間をコア・ビジネス・タスクに集中できるようになるため、収益が向上します。クラウドベースのWAFは、リソースへの大規模な先行投資や、メンテナンス、ハードウェアの交換、ソフトウェアのアップグレードなどに関連した継続的なコストなしに、最高レベルのWebアプリケーション・セキュリティを提供することができます。クラウドベースのWAFは、導入が簡単で、予測可能なサブスクリプション価格であるため、予算の計画が容易になります。

Webアプリケーション・ファイアウォールのメリット

Webアプリケーション・ファイアウォール(WAF)は、WebアプリケーションまたはAPIへの悪意のあるリクエストを除外できます。また、トラフィックの発生元に関する可視性を向上させ、レイヤー7のDDoS(Distributed Denial of Service)攻撃を軽減できるため、アプリケーションの可用性を確保し、コンプライアンス義務をより適切に履行するのに役立ちます。

ボット管理ソリューションは、IPレート制限、CAPTCHA、デバイス・フィンガープリント、ヒューマン・インタラクション・チャレンジなどの検出技術を使用して、悪意のあるボット・アクティビティや疑わしいボット・アクティビティを特定し、競合データのWebサイトをスクレイピングからブロックします。同時に、WAFではGoogle、Facebookなどからの正当なボット・トラフィックが、意図どおりに継続してWebアプリケーションにアクセスすることを許可できます。WAFでは、データ駆動型アルゴリズムを使用したインテリジェントなドメイン・ネーム・システム(DNS)により、最適なグローバル・ポイント・オブ・プレゼンス(POP)を決定し、特定のユーザーにリアルタイムでサービスを提供します。その結果、ユーザーは、可能な限り最高のアップタイムとサービス・レベルを実現しながら、グローバル・ネットワークの問題と潜在的な遅延を回避できます。

Oracle Cloud Storageを無料で試す

無料のOracle Cloudアカウントを使用すると、2つのOracle Autonomous Databaseやその他のさまざまな機能を含め、多数のAlways Freeサービスにアクセスできます。これらのAlways Freeリソースは、時間の制約なしに中断されることなく利用できます。