ご利用ガイド ConoHaのWAFについて

WAFとは

セキュリティの対策には様々な手段があり、「ファイアウォール」「IDS」「IPS」といったものがあります。これらのセキュリティ対策では以下のようなことできます。

• ファイアウォール

あらかじめiptables等でポート番号、IPアドレスを指定し、許可された通信以外を遮断することができます。ファイアウォールは通信が不正かどうかの判断ができないので設定したルールにより許可された通信が不正であっても通してしまいます。

• IDS・IPS

サーバーへ入ってきた通信を監視し、シグネチャをもとに不正な通信かどうかを検知し不正と判断された場合遮断します。通信データの内容の解析は行えないのでWebアプリケーションの脆弱性をついた攻撃に対して有効ではありません。

Webアプリケーションの脆弱性を狙った攻撃として代表的な例としては「クロスサイトスクリプティング」や「SQLインジェクション」があります。これらの攻撃は不正なスクリプトやSQL文の値を送信することでWebサイトの改ざんや情報の抜き出しを行いますが、情報の解析が行えない上記のような対策だけでは攻撃を許してしまう可能性があります。

• WAF

「Webアプリケーションファイアウォール」の略称で、Webサイトへの通信を監視、解析し攻撃を検知、遮断することができるのでWebアプリケーションの脆弱性を狙った攻撃に対して有効なセキュリティ対策となります。近年ではCMSなどWebアプリケーションを利用したWebサイトも増えていることからWAFの導入は有効であると考えられます。

クラウド型WAFとは

WAFにも様々種類があり名称にも差異がありますが「ハードウェア型」「ソフトウェア型」「クラウド型」といったようなものがあります。

• ハードウェア型

専用のハードウェアを設置し運用しますのでサーバーの台数に左右されることはないですが導入コスト、運用管理にコストがかかります。

• ソフトウェア型

サーバーへソフトウェアをインストールするWAFです。専用機器の設置が不要となるため導入コストは低いですが、サーバーごとにインストールが必要となるため運用しているサーバーの台数が多いと高いコストがかかります。

• クラウド型

導入時にネットワークの設定をすることで利用可能なWAFです。機器の設置もなく、システムのチューニングはサービス提供側で行うのでコストを抑えることができます。

ConoHaのWAFについて

ConoHaのWAFはクラウド型となっており導入作業もかんたんで、リーズナブルな料金設定であるため総合的なコストを抑えることができます。

サイバー攻撃への対策としてWAFのチューニングをお客様にて行う必要がなく、攻撃があった際のデータの閲覧やWAFの動作のログを確認していただくことになります。

また、攻撃元IPアドレスのブラックリストへの追加、遮断する必要のないIPアドレスのホワイトリストへの追加がお客様にて設定できますのでより高いセキュリティを保持できます。