シマンテック クラウド型WAF導入の流れ

2016年6月13日by 林正人

WAFを導入するプロセスは、各ハードウェア・ソフトウェア・クラウドといったソリューション形態により違いがあることを既に過去のブログ記事で紹介しましたが、今回は2010年のサービス開始以来、数百社に導入をしてきたシマンテック クラウド型WAF導入の流れを例にとって紹介します。その導入の際に遭遇した課題や注意点を踏まえて、見積もり/トライアル/検証/モニタリングの流れを解説し、WAF本番導入を考慮する一助となれば幸いです。

1.見積もり、検証から発注まで

WAFの導入検討を行い、製品を選択した(もしくは選択する)時点で、まず必要になるのが自社でソリューションを導入するコストと導入課題の洗い出しです。

製品種類やネットワーク構成・運用をどうするかによって、コストが変化することは前回のブログ記事でもご紹介しましたが、このフェーズでは現実的に複数の製品・サービスを同時に見積もることがあると思います。つまりは、その際のコストと仕様要件の重要度(またはその迂回策の実現可能性)を総合的に検討しながら比較をすることになります。

クラウド型の導入に関する注意点は、過去のブログで紹介したX-Forwarded-Forの設定を行えばサーバアプリ側は外部のIPアドレスを認識するので問題ありませんが、それ以外のセキュリティ要件(例えば、クライアント証明書やIP接続制限)や会社独自のネットワーク構成に依存する導入課題などが無いかを確認し、ネットワーク構成図を作成・検証しておくと課題が事前に洗い出せます。しかし、調査をするのが面倒であったり、外部業者に委託していてブラックボックスである場合は実際のネットワークを利用して検証テストをおこなうことをお勧めします。

ハードウェアやソフトウェアの場合、この事前検証は実機を借りてテストサイトなどで行う必要がありますので、どのようなテストを行うか知識や準備などが必要ですが、クラウド型の検証は、クラウドサービス側で検証用インスタンスの設定を行い、その検証クラウド環境を疑似的に操作してみることが可能です。テストを行う企業では検証用のPCを用意し、そのPCのHostsファイルを変更してクラウド型WAFの検証環境に接続するように設定します。そうするとWAF経由の通信状況を疑似体験することができ、その検証PCですべての操作が問題なく行えることが確認できれば本番導入時にも問題ないと言えます。

図1 Hosts型検証

検証で問題が無いことを確認し、コストも承認されれば、発注を行い導入に向けて進むことになります。

2.トライアルから検証まで

弊社ではご契約時、もしくはご契約前に図1で示した検証を行いご契約後にさらにDNSトライアルを行う事があります。これは、導入直前に本番ネットワーク環境で通信を行って、影響が起きない事を確認する目的で行います。その際には図1で示したHosts型の検証とは違い、図2のように本番環境を利用しDNSサーバの設定を変更することで行います。初めはWAFを完全にOFFにして、通信だけがWAFの環境を通過して問題なく通信が行われることを確認します。

通信がWAFのネットワークを経由しても正常に行われることを確認したら、WAFをOFFにしたままでシグネチャが誤検知を起こすことが無いかをログもしくはシマンテックを通じて確認します。(すでにHosts型検証で問題が無いことが確認されている場合はこのステップをスキップすることもあります。)誤検知が無いことを確認したら、WAFをONにしてサービスの開始となります。

図2 DNS型検証/トライアル

3.モニタリングからサービス開始まで

ハードウェアなどでは、導入までに数か月の検証を行うのが一般的です。その間、WAFの最適シグネチャを設定したり、ウェブの入力制限をWAFにより制御する設定を入れる作業をして防御やエラー入力を防ぎます。

一方、クラウド型WAFは、既知の攻撃を対策するシグネチャがセットされていますので、それを標準的に使う事になります。これらはすでに多数のサイトで防御の実績もあり、かつ誤検知への対策が数千サイトの導入実績により行われているものですので、上記のHosts型、DNS型の検証をおこなう事で非常に短い期間で導入が完了します。事実、攻撃に直面しているサイトに対し、一週間で導入相談の問い合わせから防御開始をした実績があります。標準シグネチャ以外の追加対策は別途相談に応じて検討されます。

4. まとめ

今回のブログでは実際の導入を例にとり、導入プロセスをどのように進めるかを紹介しました。当然、クラウド型の場合はセキュリティ面の運用をクラウド側に任せてしまえる為、導入判断の際のポイントからは割愛しています。しかし、ハードウェア型、ソフトウェア型で導入する場合には運用をどのような責任で誰が行うかという話も社内で詳細に詰めておくことが勧められますので、IPAが提供するWeb Application Firewall 読本などもあわせて参照して導入を行ってください。導入後の運用体制をどのように構築するかも含めて導入判断を下さないとせっかくWAFを導入しても、セキュリティが甘いままになってしまう恐れが出てきます。その為には導入後のWAFのログのチェック体制の構築、チェックにより発見された攻撃や誤検知に対してシグネチャの微調整・ウェブサイトの修正計画といった対策をシームレスに行えるかが、そもそもの目的である安全なWebサイトの構築・運用につながります。