Article square balloon green
2017-11-12

WAFの導入事例 | サイバー攻撃を無害化するWAF活用術

Webアプリケーションのぜい弱性を狙った悪質なサイバー攻撃が後を絶たない中、効果的な対策としてWAFが注目されています。SaaS/クラウド型の登場によって導入しやすくなったWAFについて、導入事例の紹介を交えて解説します。
セキュリティWAF
Large

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
WAFの資料を無料一括DL

WAFは、Webアプリケーションのぜい弱性を狙ったサイバー攻撃を無効化するセキュリティ対策ツールです。

従来はさまざまな理由から導入へのハードルが高かったWAFですが、近年ではクラウド型WAFが普及したことで、より多くの企業で導入が進んでいます。

その有効性は、サイト閉鎖の危機を回避したはとバスや、スマートフォン対応を迫られたエムティーアイなど、実際に効果が目に見えるものに限りません。

スカパーJSATやタワーレコードのように、被害がなかったにもかかわらず攻撃を受けていた事実が明確化するケースまで、さまざまな形で確認できます。

有効なセキュリティ対策であるWAFを解説すると同時に、導入のヒントとなる事例を紹介していきます。

WAFとは

WAF(Web Application Firewall)とは、悪意ある攻撃からWebアプリケーションを保護するセキュリティ対策のことです。ファイアウォールなどでは対応できない攻撃を検知し、遮断できます。

Webアプリケーションにぜい弱性がある場合でもWAFは有効に機能するため、クラウド型の登場と普及が進んだ現在では、手軽で有効なWebサイト防御手段となり、注目を集めています。

WAFの詳しい特徴やファイアウォールなどとの違いはこちらで解説しています。

WAFとは | ファイアウォールやIPS/IDSとの違いと関係性・仕組みや導入方法 | ボクシルマガジン
WAFは多様化するサイバー攻撃の脅威から自社のWebサイトやシステムを守るセキュリティシステムです。ファイアウォー...

WAFの役割

WAFは通常Webサーバの前面に配置され、ユーザーからの入力やリクエストに対して、動的なページを生成するようなWebアプリケーションを防御する役割を果たします。

不正アクセスがWebサーバに到達する前に、データの中身をアプリケーションレベルで解析して無害化するため、ファイアウォールの外(DMZ)に配置されるような企業Webサーバでもアプリケーション/ソフトウェア/OSレベルで防御できるのです。

WAF、IPS、IDS、FWの違い

WAFとは別に、ネットワークやWebサイトに関連するセキュリティ手法でよく利用されるものに、IPS/IDS、FW(ファイアウォール)がありますが、それぞれ防御可能な通信レイヤーに違いがあります。

WAFとは何か?セキュリティの仕組み・導入事例を解説、IPS・IDSとの違いは? | ボクシルマガジン
Webアプリケーションに対する不正アクセスに対応するためのセキュリティ対策製品WAFについて解説します。

主にパターンマッチングという方法によって、ネットワークレベルでの攻撃を検出するファイアウォールでは、サーバOSやWebソフトウェア/アプリケーションは保護できません。

また、IPS/IDSの場合はサーバOSまで保護可能ですが、Webソフトウェア/アプリケーションは保護できないのです。

WAFはこれらのセキュリティ対策を補間し、Webソフトウェア/アプリケーションレベルまでを保護します。

さらに詳しくIPS/IDSについて知りたい方はこちらの記事をお読みください。

IDS・IPS(不正侵入検知・防御)とは?システム紹介 | 導入の注意点 | ボクシルマガジン
不正な通信を検知・ブロックするIDS・IPSとは?導入の注意点、似たようなものとして挙げられるWAFやファイアーウ...

WAFの特徴と種類

WAFには、大きく分けて3つの種類があります。

オンプレミス型WAF

オンプレミス型WAFとは、専用のハードウェアをネットワークのゲートウェイに設置する方法です。
ハードウェアが高価なため初期費用の負担が大きいこと、設定やチューニングを自社で行う必要があります。

ソフトウェア型WAF

サーバ構築時に専用のソフトウェアを組み込む方法です。初期費用が大きいこと、設定やチューニングが必要になるのはオンプレミス型同様です。

クラウド型WAF

クラウド上の仮想WAFを利用する方法です。ネットワークの設定変更だけで導入できる手軽さと、コストを抑えた運用が可能です。

クラウド型WAF

WAFはWebアプリケーション保護に有効なため、セキュリティ意識の高い企業などでは導入されていました。

しかし、オンプレミス型が主流であったため、規模が小さく予算が厳しい企業にはハードルの高いセキュリティ対策でした。

これを解決するために登場したのがクラウド型WAFです。

従来型WAFの問題点

オンプレミス型が主流であった従来型のWAFには、数百万単位で発生する導入費用、自社によるチューニングが必要という他に、専門的な理由から以下のような問題がありました。

  • 導入/撤去/チューニングの際にサービス停止時間が生じる
  • アプリケーション改修が発生するたびに高コストのチューニングが必要になる
  • セキュリティエンジニアの配置が必須

非常に優れたセキュリティ対策であるオンプレミス型WAFの導入が進まなかったのは、上記のような理由によります。

クラウド型WAFのメリット

オンプレミス型に対するクラウド型WAFのメリットには、以下のものが挙げられます。

  • 低コスト運用
  • 短期間での導入
  • システム構成変更の必要なし
  • サービス停止の必要なし
  • 常に最新のセキュリティパッチが適用
  • 短期間のみの利用が可能

セキュリティの強固さという点ではオンプレミス型に一歩譲りますが、その分導入へのハードルが大幅に下がり、運用への道が大きく開かれたともいえます。

以下では、主にクラウド型WAF導入に成功した活用事例を紹介します。

導入事例:Symantecクラウド型WAF

Symantecクラウド型WAFは、その名のとおり、クラウド上のWAFセンターを経由してWAF機能を提供する、クラウド型(SaaS/ASP)WAFです。

Webアプリケーションやソフトウェアにぜい弱性がある場合でも、高いセキュリティ効果を発揮するだけでなく、SSL証明書による接続の安全性も確保しています。

Symantecクラウド型WAFを導入することにより、低コストでWebサイトのセキュリティを強化することが可能になります。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
Symantecクラウド型WAFの資料を無料DL

事例1. はとバス

会社名:はとバス業種:運送業
事業内容:一般乗合旅客自動車運送事業、一般貸切旅客自動車運送事業

課題:Webサイト閉鎖危機

東京名所観光をはじめ、さまざまなバス旅行の企画・販売を行うはとバスでは、Webサイトからの予約申し込みが30%を超えるなど、年々その重要性を増してきており、24時間365日稼働停止せずに運営を続けてきた。
しかし、FWでは防げないSQLインジェクション攻撃を受け、Webサイトが改ざんされてしまい、サイト閉鎖の危機に陥った。

効果:攻撃の遮断が功を奏し、攻撃自体が激減

Symantecクラウド型WAFの存在を知った同社では、急遽導入作業に入り、7日間でWebサイトを復旧。
直後は1日400件以上あったブロックログも、WAFの遮断効果で日に日に減り始め、3か月経過した頃には攻撃自体の数が0.1%以下まで激減した。
同社では2020年にWebサイトからの予約を40〜50%まで増やすことを目標にしており、WAFにさらなる期待を寄せている。

事例2. エムティーアイ

会社名:エムティーアイ業種:IT
事業内容:コンテンツ配信事業

課題:スマートフォン向けのレイヤー7対応セキュリティ対策

総合音楽配信サイト「music.jp」などを運営するエムティーアイは、スマートフォンに向けたモバイルコンテンツ配信に乗り出した。

しかし、セキュリティ対策で導入済のIPSでは、レイヤー3までしかカバーせず、モバイル環境で必須となる、Webアプリケーションを保護するレイヤー7対応のセキュリティ対策が急務となった。

効果:危険性の高いセキュリティホールにも高い安全性

レイヤー7をカバーするSymantecクラウド型WAFを導入してから1年、Webサーバに大きなぜい弱性を持つセキュリティホールが発見されたこともあったが、修正が完了するまでサービスを止めることなく安心して運用できる、高い安全性が確保された。

導入事例:Scutum

Scutumは、Scutumセンター経由でサービスを提供する、クラウド型WAFです。

レイヤー7をカバーする保護機能はもちろんのこと、不正アクセス検出をモニタリングして記録するログ機能、最新のセキュリティパッチを適用するシグネチャ更新機能、特定のIPからのアクセスを制限するIPアドレス拒否/許可機能など、低コストでいながら充実したセキュリティ環境を提供します。

また、さらなるセキュリティ強化を実現するオプションも用意されています。

事例1. スカパーJSAT

会社名:スカパーJSAT業種:情報・通信業
事業内容:スカパー!を展開するメディア事業、17機の通信衛星を保有する宇宙・衛生事業

課題:社内全部署でのセキュリティレベル向上

内部統制・情報セキュリティチームを持っていたスカパーJSATだが、約50部署ある全社でみると、すべてが同レベルでのセキュリティレベルを持っているわけではなかった。
すべての部署で同水準のセキュリティを確保したうえでレベルアップが必要ということから、2015年のWebセキュリティガイドラインを機に、Scutumを導入・運用開始した。

効果:気付かないうちに攻撃されていたことが明確に

WAF導入以来、定期的にログをチェック、その数や頻度をグラフにして判明したことは、現場でも気づかないうちに数多くの攻撃を受けていた可能性が高いということだった。
そのログチェックも国内開発されたScutumらしく、日本語で読み取ることが可能であり、汎用性を高く評価している。

事例2. タワーレコード

会社名:タワーレコード業種:小売業
事業内容:音楽ソフト、映像ソフト、書籍、雑誌、その他雑貨などの輸入・卸・販売

課題:クラウド環境でのフロントサーバ構築

タワーレコードでは、年々増加するタワーレコードオンライン利用に対応するため、従来オンプレミスで運用していたWeb用フロントサーバをクラウドへ移行することを決断、親会社であるNTTドコモのセキュリティガイドラインにしたがって、WAFの同時導入が必須の状況となった。

効果:攻撃の可視化で予算確保

ある程度予想されたことではあったが、WAF導入後のログ解析によって、キャンペーンやセール時には大量の攻撃の痕跡が発見された。
現場ではセキュリティの重要性については意見の一致を見ていたが、継続した予算確保のため、経営陣を納得させるには、このログ解析が有効になっている。

導入事例:攻撃遮断くん

攻撃遮断くんは、最短で翌営業日からの導入が可能な国産クラウド型WAFです。

高トラフィックのWebサイトを含むあらゆるWebシステムに対応し、24時間365日体制の技術サポートで、個別のカスタマイズを柔軟に行うことも可能です。

用途に応じたプランを複数用意するほか、最大1,000万円を保証するサイバー保険も付帯していて、万全の体制でWebサイトへの攻撃を遮断します。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
攻撃遮断くんの資料を無料DL

事例1. アールオーアイ

会社名:アールオーアイ業種:IT
事業内容:モニターポータルサイト「ファンくる」の運営・開発

課題:Webサイトへの攻撃頻度確認

モニターポータルサイト「ファンくる」を運営するアールオーアイでは、自社が展開するなかにPHPで管理画面を動作させるWebサービスを持っており、ぜい弱性の問題から攻撃の頻度を把握しておく必要があった。
しかしサービスを停止させることができなかったため、クラウド型WAFの導入を検討していた。

効果:軽快な動作で安全性を確保

運用をはじめてからは攻撃頻度の確認ができたのはもちろん、軽快な動作のためサーバに負荷をかけない安定性を保ちながら、高い安全性を確保できていることを確認した。
また、月次のレポートがそのまま社内で使用できる、正確なものであったことも効果のひつということだ。

事例2. イオシス

会社名:イオシス業種:卸売業
事業内容:コンピューターのハードウェア並びにソフトウェアの仲介、制作、販売、保守業務、古物売買並びにその受託業務

課題:クラウド環境でのサーバ構築

従来イントラネットによって社内のみでシステム構築を行っていたイオシスだが、社外や海外を含めたアクセスが必要になってきたため、クラウド環境にシステムを構築することになった。
必然的にセキュリティ強化を行うため、WAF導入が検討された。

効果:攻撃の傾向を反映した対策が可能に

イオシスのWebサイトは外部公開されていないため、ほとんど攻撃を受けることがないと考えられていたが、それでもログは検出された。
こういった攻撃の意図や理由を反映し、対策が可能となったことは大きな効果だが、それを助言してくれるサポート体制にも満足している。

導入事例:Barracuda WAF

Barracuda WAFは、2007年のリリースからWebアプリケーションを保護する、レベル7カバー、DDos攻撃に威力を発揮する、オンプレミス型WAFです。

ハードウェアベースながら、ブラックリスト型を採用することによって、ネットワーク接続〜電源投入で運用開始できるという柔軟性を持っています。

管理画面が日本語に対応したユーザーインターフェースも使いやすく、処理能力に応じて複数のモデルが用意されるほか、仮想オンプレミスとしての使用も可能です。

事例1. ディレクターズ

会社名:ディレクターズ業種:IT
事業内容:ホスティング事業、SSL取得事業

課題:顧客のコーポレートサイト改ざん対策

ホスティング事業を展開しているディレクターズに、自社のコーポレートサイトが改ざんされたため対策してほしいという依頼があった。
調査してみるとWebアプリケーションのぜい弱性を悪用したものと断定され、WAFの導入が進められることになった。

効果:仮想オンプレミスの優位性

改ざんされたサイトの復旧と再発防止のためには、導入が迅速に行えること、設定が容易なこと、価格と機能のバランスが必要だったが、仮想オンプレミスで発注後すぐに運用できる迅速性が優先され、Barracuda WAFの採用が決定、すべての点でバランスが取れた解決策だと評価されている。

巧妙なサイバー攻撃をWAFで撃退しよう!

情報のデジタル化とグローバル化が進み、ネットワークの重要度が高まる中、サイバー攻撃もますます増加していくことが予想されます。

このような状況の中、従来のファイアウォールでは防ぎきれなかった攻撃からWebサイトを保護し、情報漏えいを防ぐWAFは、現在もっとも有効なセキュリティ対策であるともいえます。

また、紹介してきたように、現在ではクラウド型の優秀なWAFも多く登場しており、導入へのハードルも低くなっています。

取り返しのつかなくなる前に、WAF導入を検討されてみてはいかがでしょうか。

WAFの人気関連記事ランキング

WAFの導入事例 | サイバー攻撃を無害化するWAF活用術 | ボクシルマガジン
Webアプリケーションのぜい弱性を狙った悪質なサイバー攻撃が後を絶たない中、効果的な対策としてWAFが注目されてい...
ランサムウェアに有効な5つの対策と感染時の対処法【保存版】 | ボクシルマガジン
現在ネット上最大の危機と恐れられるランサムウェア。データ復元のために金銭を要求されることも!ランサムウェアのその実...
DDos攻撃とは | Dos攻撃との違い・対策・サービス【図解】 | ボクシルマガジン
「DDos攻撃」と「Dos攻撃」の違いとは?サーバーダウンを招く両者の攻撃パターンの概要や違い、対策や対処法までを...
サイバーテロとは何か?事例と対策、東京五輪までに注意すべき企業のリスク | ボクシルマガジン
現在、日本企業が晒されているサイバー攻撃についての基本的な解説と、国内外のサイバーテロの現状や事例について説明しま...
WAFとは | ファイアウォールやIPS/IDSとの違いと関係性・仕組みや導入方法 | ボクシルマガジン
WAFは多様化するサイバー攻撃の脅威から自社のWebサイトやシステムを守るセキュリティシステムです。ファイアウォー...
クラウドWAF徹底比較12選【価格&機能比較表あり】 | ボクシルマガジン
Webサイトを外部攻撃から守るセキュリティ対策ツール「WAF」を徹底解説。 ツールの比較紹介とともに、WAFを理解...

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

Article whitepaper bgS3 0
WAF
選び方ガイド
資料請求後に下記のサービス提供会社、弊社よりご案内を差し上げる場合があります。
株式会社オロ
利用規約とご案内の連絡に同意の上
Article like finger
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
月間100万PV
掲載社数1,000
商談発生10,000件以上
この記事で紹介されたサービス
この記事とあわせて読まれている記事