BLOG No.5 WAFの性能を最大化するアプローチ

WAFはその名の通り、アプリケーションに向けたセキュリティ対策の装置であり、インバウンドアクセスに対して万能に対応をするものではありません。脆弱性対策のためにWAFを導入した結果、サービスの応答性が低下したという話を耳にしますが、これはWAFに過大なセキュリティ対策を負わせた結果であり、1.4で示したすべてのHTTPリクエストをWAFに配信したためです。

外部からの攻撃に対して対応するネットワーク装置は目的に応じて多様に分類されます。最も一般化された装置ではファイアウォールがあります。今やイントラネットなどのネットワーク環境を構築する上で外せない装置ですが、この装置がインバウンドアクセスに対して担当するレイヤーはL3/L4です。またIPS(Intrusion prevension System)というL7に対応した装置があります。その装置はHTTPのL7ヘッダーが正しく実装されているかをチェックしますが、アプリケーションのチェックは行いません。一方、WAFはアプリケーションへの要求が正しいかどうかをチェックします。このチェックが他の装置にないWAF本来の機能といえます。

WAF導入にあたっては従来からのセキュリティシステムをベースに、アプリケーションの脆弱性対策にフォーカスしWAF本来の機能に特化することで、高いセキュリティを持ったアプリケーションエクスペリエンスの提供が可能になります。WAFのルールセットで対策可能な項目は、OS、Webサーバ、アプリケーションサーバの脆弱性から、HTTPヘッダーやアプリケーションの問題まで幅広い範囲に及びます。この全てをWAFに負わせることは、WAFのオーバヘッドを必要以上に高め、アプリケーションエクスペリエンスの低下を招きます。WAFの導入においては脆弱性対策を細分化し、可能な対策をOSやWebサーバのバージョンアップ、セキュリティ機器への分配などを行い、WAF本来の機能に特化させることが重要です。