Ruby on Railsのテストコード実装方針を考えた
shimo
デロイト トーマツ ウェブサービス株式会社(DWS)公式ブログ
WAFとRASPの違いと当社での導入事例
tecchan
近年Web アプリケーションに対する攻撃は複雑化しており、セキュリティへの関心がますます高まっています。外部からの不正なアクセスからWebアプリケーションを保護するソリューションとしてWAFとRASPが存在します。
この記事では、WAFとRASP違いや活用方法について、実際に当社が活用している事例を交えながら紹介していきます。
WAFとは?
WAFは「Web Application Firewall」の略で、外部からのアクセスがアプリケーションに到達する前のネットワーク層に展開されます。
送信元のIPアドレスやリクエストの内容について事前にルールを設定し、それに該当するリクエストをブロックすることでアプリケーションのセキュリティを保護します。つまりWAF は第一線の防御手段として、Web アプリケーションへ脅威が到達する前にブロックします。
製品の例として、当社ではAWSのマネージドツールであるAWS WAFを使用しています。
RASPとは?
RASPは「Runtime Application Self Protection」の略で、アプリケーションの内部に保護ツールを埋め込みます。
外部のアクセスがアプリケーションに届き、アプリケーションが動作する際にその振る舞いをモニタリングします。異常を検出した場合に、そのリクエストをからアプリケーションを保護します。したがってRASPは未知の攻撃であっても、保護対象のアプリケーションに与える影響から検出することができます。これにより、追加の保護レイヤーを与え、ゼロデイ脆弱性さえもブロックすることが可能になります。
製品の例として、当社ではTrend Micro Cloud One - Application Securityを使用しています。
WAFとRASPの併用
WAFとRASPではどちらが良い悪いということでなく、その特性を理解して適切に使い分けることが大切です。大きな違いとして、不正アクセスを検出する場所が異なります。
先述の通り、WAFではアクセスがアプリケーションに到達する前のネットワーク層で、RASPではアクセスがアプリケーションに到達した後のアプリケーション層でセキュリティを保護します。
したがって、WAFでブロックすればアプリケーションまでアクセスが届かないので、アプリケーション自体に負荷はかかりません。一方でWAFは事前に定義したルールで不正アクセスを検出するため、そのルールに当てはまらない不正アクセスの場合は検出できずアプリケーションに届きます。その際には、事前のルールに沿った保護でなく、アプリケーションの振る舞いを見てから保護をするRASPにより不正アクセスからアプリケーションを保護することが可能です。
WAFの活用事例
上記の通り、アプリケーションに届く前に不正アクセスをブロックしたいという場合にはWAFが有効です。当社での活用事例として、株式会社センターラインレコード様(以下「お客様」と表記)の事例をご紹介いたします。
お客様のワークロード環境では、海外のbotネットワークから大量の不必要な問い合わせが発生しておりました。これによりリソースを不要に消耗しており、また業務においての不要なメールの確認をする作業があり、お客様の運用で余計な作業が発生しておりました。また、メール配信基盤として利用しているAmazon SESにおいても、この影響でバウンスメール(宛先に届かなかったメール)が大量発生しており、こちらについても業務の妨げとなっておりました。
当社ではサービスサイトのエンドポイントにWAFを導入することを提案しました。そして、現状に合わせてWebACLのルールをカスタマイズすることにより、不必要なアクセスをアプリケーションに届く前にブロックすることを検討しました。アクセス解析を行ったところ、規則的な海外拠点からのアクセスであることが判明したため、サービスサイト内の特定のAPIのアクセスを一部の国からのみ許可するように制限いたしました。
このお客様のアーキテクチャ図を以下に添付します。
WAFの導入により、正しいユーザ様からのアクセスのみの問い合わせを受け付けることが可能となり、全ての不正アクセスをブロックすることに成功しました。
この結果、全体のリクエストの50%を占めていたbot由来のリクエストを全てブロックすることにより、サーバの負荷を軽減させることに成功しました。また、お客様がメールを見極めるためにかかっていた時間(運用コスト)を60%削減、バウンスメールも5%超から3%まで削減させることができました。
RASPの活用事例
RASPでは社内システムに導入している事例を紹介します。このコラムも掲載している当社のコーポレートサイトでは、WAFによるアクセス制限と同時にRASPによるセキュリティ保護を実現しています。
DWSでは、WordPressで運用している当社のブログを、WordPressやPHPのバックエンドに潜む未知の攻撃や脆弱性から保護するためにRASPを使用しています。
幸い当社ではWAFをすり抜ける不正アクセスは現状発生しておりませんが、仮に発生した場合にもRASPで攻撃をブロックすることが可能です。
まとめ
この記事ではお客様の事例と当社の事例をベースに、WAFとRASPによるアプリケーションの保護について見てきました。DWSではいずれのソリューションに関するノウハウを保持しており、これらを組み合わせて高いセキュリティを担保した設計構築の提案をする事が可能です。セキュリティにお悩みのお客様は、ぜひ当社がお力になれると思いますのでお問い合わせくださいませ。
AUTHOR
金融業界のSIerにて5年間勤務。大小様々な規模の案件にてプロジェクトマネジメントを経験後2022年5月にDWSへ入社。最先端の技術を用いる開発業務を担当。最近では先端技術への理解とマネジメントの経験を活かし、スクラムマスターとして案件を推進。AWS認定資格全12種取得。認定スクラムマスターPSMⅡ取得。
