技術営業部の大原です。

今回のテーマは「Webセキュリティ」です。

各社Webでの集客・販売の取り組みとして、トレンドデザインや遊び心を意識した
Webアプリケーションが数多くありますが、これからは「Webセキュリティ」ついても
意識したいところでもあります。
本稿では、そのセキュリティ対策を可能にする「WAF」について書いていきたいと思います。

■ WAFっなに？

「WAF」（Web Application Firewall）とは、
Webサイト上のアプリケーションに特化したファイアウォールです。

主に役割としては、

・ユーザーからの入力を受付するサイト
・リクエストに応じて動的なページ生成するサイト　など

上記のようなWebサイトを、不正な攻撃から守る役割を果たします。
一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで
解析できるのが特徴です。

数年前のWAFは、導入作業の難しさや導入コストの高さ、運用にセキュリティの専門知識が
必要なことなどから、限られた企業だけが利用できる、敷居が高いソリューションでしたが、
現在は、面倒な運用が不要で、安価なクラウド型WAFが登場したことで、
Webサイト防御において最適な選択肢の一つとなっています。

■ Webアプリケーションの現状

Webアプリケーションをリリースする前に、より入念なテストや評価が重要視するのが理想ですが、
Webアプリケーション開発は、常に時間との戦いでもあります。限られた開発スケジュールで、
どのように作業を進めても脆弱性を完全に排除することは難しく、
どこかのタイミングで見切りをつけてサービスを開始する、というのが実情かと思います。

■ 脆弱性の種類と危険度

Webアプリケーションへの攻撃で狙われやすい脆弱性としては、代表的なものだと
「SQLインジェクション」や「クロスサイトスクリプティング(XSS)」･
「クロスサイトリクエストフォージェリ(CSRF)」をはじめ、約10種類ほどが挙げられます。

セキュリティを担保したWEBアプリケーション開発を行うために、これらの情報と対策を
常に理解し続けることが、開発者にとって大きな負担になっています。

● SQLインジェクション

データベースと連動したWebサイトで、データベースへの問い合わせや操作を行なうプログラムに対して不正に操作し、データベースを改ざんしたり情報を入手する攻撃。

● クロスサイトリクエストフォージェリ (CSRF)

掲示板やオンラインショップ等のWebアプリケーションで「投稿」「削除」「購入」「退会」
「メッセージ送信」等のコマンドを実行するURLへ誘導し、利用者が意図しないコマンドを
実行させる攻撃。

● クロスサイトスクリプティング (XSS)

動的にWebページを生成する、アプリケーションのセキュリティ上の不備を意図的に利用し、
悪意のあるスクリプトを混入させる攻撃。

このようにWebアプリケーションの脆弱性は、開発･運営には常に付きまとう、
身近な問題となっています。

■ まとめ

Webサイトの改ざんや情報漏洩などは、いまや会社・個人を問わず他人事ではない
状況になってきていると感じています。

Webセキュリティ対策で予算があまりかけられない企業でも
「クラウド型」ならお手軽ですぐに導入が可能なのでオススメです。

個人的にオススメと思う、クラウド型WAFを少し紹介します。

●スキュータム

https://www.scutum.jp/

クラウド型のWAFとしては世界初とのことで、1,500サイトの導入実績があります。

●IIJ WAFソリューション

http://www.iij.ad.jp/biz/waf-sol/

こちらのWAFは、オンプレ型とクラウド型の両方で提供されています。

※ちなみに弊社ビヨンドでも、上記のクラウド型WAFサービスを取り扱っておりますので、
Webセキュリティ対策を検討している方は、ぜひ一度ご相談ください！