クラウド型WAFのニーズが高まっている

　現在、多くの企業がシステムのクラウド化をすすめている。それは、セキュリティでも例外ではない。これまでオンプレミスで稼働していたセキュリティシステムを、クラウドに移行する例が増えている。WAFもその1つだ。

　WAFは「Web Application Firewall」の略で、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するソリューションだ。現在のWebサイトは、ユーザーによって表示する情報を変えたり、バックエンドのデータベースと接続して検索ができたりと、内容を動的に変更できる場合がほとんどだ。攻撃者は、こうした動的な仕組みを悪用して攻撃を仕掛ける。それを保護するのがWAFである。

　従来、WAFというと、Webサーバの前に設置するアプライアンスのイメージが強かった。Webサイトが稼働しているWebサーバの前に設置して、外部の攻撃からWebサーバを守るわけである。ところが、最近、クラウド型のWAFが注目を集めている。Matt Soldo氏は、次のように説明する。

「近年、ハードウェアよりもクラウド型のWAFへのニーズが高まっています。理由はハードウェアを購入する必要がなく、導入も手軽で、導入後の運用も不要だからです。米国はもちろん、ヨーロッパでもクラウド型WAFへのニーズが非常に高まっています」（Soldo氏）

動的コンテンツへの攻撃を防ぐ「Limelight Web Application Firewall」

　動画をはじめとするコンテンツ配信を高速化するCDNを提供するベンダーとして知られるライムライト・ネットワークスは、2016年9月、クラウド型WAF「Limelight Web Application Firewall」をリリースした。

　実は、それに先だって同社は、DDoS対策のソリューションである「DDoS Attack Interceptor」もリリースしている。CDNベンダーとして確固たる地位を築いた同社が、セキュリティソリューションに力を注いでいるのは理解できるが、なぜ、いまWAFなのか。

「実は以前から、我々のCDNサービスおよびDDoS Attack Interceptorを利用されているお客様から、WAFも提供してほしいという要望が増えていました。なぜなら、弊社のCDNを使っているお客様の場合、すべてのWebのトラフィックが弊社のCDNを経由するため、弊社側でWAFを提供すれば、お客様側でWAFを運用する必要がなくなるからです」（Soldo氏）

　ライムライト・ネットワークスは、2001年にCDNベンダーとして創業した企業だ。その特徴は、世界最大規模のプライベートネットワークを持っていることだ。「DDoS Attack Interceptor」は、このプライベートネットワークを、企業のWebサーバを守るバリアとして活用してDDoS攻撃を防ぐソリューションだが、これにWAFを組み合わせることで、Webサイトへのパフォーマンスにほとんど影響を与えることなく、攻撃を防御できるという。ライムライト・ネットワークス・ジャパン カントリーマネージャー 田所 隆幸氏は、次のように説明する。

「Webサイトは静的コンテンツと動的コンテンツで構成されています。静的コンテンツへの攻撃はプライベートネットワーク上に配置されたキャッシュサーバで吸収されます。したがって、Limelight Web Application Firewallでは、それ以外の動的コンテンツだけを処理すればよいのです」（田所氏）


　CDNのネットワークには「エッジ」と呼ばれるキャッシュサーバが存在する。ユーザーのリクエストに対しては、エッジがオリジナルのWebサーバに代わってデータを返す。文字や画像などの静的コンテンツはエッジにキャッシュできるため、DDoS攻撃が発生してもオリジナルのWebサーバは保護される。

　しかし、動的コンテンツはキャッシュできないため、ユーザーのリクエストはオリジナルのWebサーバに到達する。これはWebサーバへの攻撃でも同様だ、Limelight Web Application Firewallはその攻撃を防御する。

　DDoS Attack Interceptorは静的コンテンツ、Limelight Web Application Firewallは動的コンテンツと役割分担して防御することで、オリジナルWebサーバへのアクセスを抑え、パフォーマンスへの影響を最小化するのである。

独自フィルターの作成や攻撃状況のリアルタイムな把握も可能

　クラウド型のWAFは、すでにいくつかのベンダーがリリースしている。では、Limelight Web Application Firewallの特徴は何か。当然ながら、エンタープライズ向けのWAFに必要とされる機能は、すべて揃っている。

　Webアプリケーションのセキュリティについては、OWASP^（注1）が公開している脆弱性のトップ10が知られている。これには「SQLインジェクション」や「クロスサイトスクリプティング」などが含まれるが、Limelight Web Application Firewallでは、これらすべてのフィルタリングに対応している。さらに、独自のフィルターを作ることも可能だ。


「標準的なフィルターで不十分な場合は、お客様自身でフィルターを作ることが可能です。また、必要であれば、弊社側でフィルターを作成して、ご提供することもできます。また、フィルタリングのルールをグルーピングし、ドメインごとにグルーピングしたルールを個別に適用することで、最適な防御を実現できます」（Soldo氏）

　また、ユーザーに提供されているポータルサイトで、攻撃の状況をリアルタイムに把握できるのも大きな特徴だ。

「ポータルのダッシュボードを見ると、現在、行われている攻撃の種類や規模を、グラフや画像を用いて視覚的に確認することができます。それを見てアラートを出すのか、ブロックするのか等を判断することができます」（Soldo氏）


　なお、WAFの製品・サービスによっては、ドメインが1つ増えるごとに課金が発生する場合があるが、Limelight Web Application Firewallではドメインの数に制限はない。このため、多くのドメインを運用していても、直接コストに反映されない点も特徴的だ。またWAFを導入したことによるパフォーマンスの劣化については体感には至らない程度、最小限に抑えられている点もありがたい。加えて、WAFの管理・運用などをお任せできるフルマネージドサービスであるため、ユーザーは安心して本来のコア業務に集中できるだろう。

Limelight Web Application Firewallを支える世界最大規模のCDNネットワークのキャパシティ

　まだリリースされたばかりのLimelight Web Application Firewallだが、すでにグローバルで展開するECサイト、タイヤメーカー、ゲーム会社、化粧品会社などで先行導入されているという。現在、アプライアンスのWAFを導入している企業からのリプレイスに関する問い合わせも多いようだ。Limelight Web Application Firewallの強みについて、Soldo氏は次のように強調する。

「1つは、世界最大規模のCDNネットワークのキャパシティです。Webサーバへの攻撃にともなう巨大なトラフィックを受け止められるのは、弊社だけといっても過言ではありません。また、お客様専用のポータルで攻撃の状況をリアルタイムに把握できることと、お客様自身にフィルターをカスタマイズしていただけるのも強みです」（Soldo氏）

　また、田所氏は、同社がクラウド型のWAFを提供する意義と日本市場での展開を、次のように説明する。

「我々のミッションは、Webサイトを含めたお客様の大切なコンテンツを、グローバルに、より早く、よりセキュアにお届けすることです。Limelight Web Application Firewallは、"よりセキュアに"という我々のミッションが反映されたサービスです。日本市場においては、まずは弊社の既存のお客様にご提案しつつ、パートナー戦略も含めて、さまざまな可能性を柔軟に検討したいと考えています」（田所氏）

　日本では、クラウド型WAFの認知度はまだそれほど高くない。しかし、今後、そのメリットが知られるようになれば、一気に広がる可能性が高い。もしも、現在、アプライアンス型WAFのコストや運用に頭を悩ませているなら、ぜひLimelight Web Application Firewallに注目していただきたい。