クラウド開発とは?トレンドの背景やメリット、導入すべきケースを解説
クラウド開発について詳しく知りたいと思っているのではないでしょうか。今回は、クラウド開発の概要から向いているケースと向いていないケースまで解説いたします。
COLUMN
クラウドWAFとは?防げる攻撃やメリット、導入すべきケースを解説
クラウドWAFとは、Web上のアプリケーションに対するサイバー攻撃を防ぐことができるセキュリティ対策ツール「WAF」のクラウド版です。クラウドWAFは、主に、Webサイトを多様化する不正なアクセスの被害から守る目的で導入します。
近年デジタル化の進展などによって、ビジネスにおけるWebアプリケーションの利用やWebサイト運営の重要性が増したことに伴い、Webサイトなどを狙った攻撃は、巧妙化かつ頻発しているのが現状です。これに伴い、以下のような被害が増加しています。
◆Webサイトを狙ったサイバー攻撃による被害例
- Webサイトを改ざんされて、誤った情報に書き換えられた
- Webサイトに不正にマルウェアを仕込まれた
- ECサイトからクレジットカード情報を盗まれた
サイバー攻撃は、サイトの規模の大小や運営する企業の知名度などにかかわらず、同じように被害に遭う危険性があります。だからこそ、Webサイトのセキュリティ対策は特に大切です。今回ご紹介するクラウドWAFを導入することで、コストを抑えて手軽に、サイバー攻撃からWebサイトを守れるようになるでしょう。
ただし、ここで注意しておきたいのが、基本的にセキュリティ対策は、ツールによって守備範囲が違うということです。クラウドWAFにも防げる攻撃と防げない攻撃があるので、クラウドWAFさえ導入すれば、絶対に安心ということにはなりません。
すでに別のセキュリティ対策を行っていることが、クラウドWAFを導入しなくてもよい理由にはならないことを認識しておかないと、サイバー攻撃からWebサイトを守ることはできません。セキュリティ対策を確実に機能させるには、そのセキュリティ対策ツールがどういうツールなのかを正確に理解して、導入検討することが大切です。
そこで今回は、Webサイトなどのセキュリティ対策を正しく行うために必要となる、クラウドWAFの仕組みやメリット・デメリットなどについて、確認していきましょう。
【この記事の内容】
- クラウドWAFとは
- クラウドWAFで対策できる攻撃・できない攻撃
- クラウドWAFのメリット・デメリット
- クラウドWAF導入が特におすすめのケース
この記事をご確認いただくことで、クラウドWAFの基礎知識を身に付けたうえで、今あるWebサイトのセキュリティ対策として、クラウドWAFを導入すべきかどうかを正しく判断できるようになるでしょう。
この機会に、ぜひ、クラウドWAF及びWebサイトなどのセキュリティ対策について基本を把握し、御社のセキュリティ対策アップデートにお役立てください。
目次:
- 1. クラウドWAFとは
- 1-1. クラウドWAFが注目される背景
- 1-2. クラウドWAFの仕組み
- 1-3. クラウドWAFの基本的な機能
- 1-4. クラウドWAFとFW・IPSの違い
- 2. クラウドWAFで対策できる攻撃・できない攻撃
- 2-1. クラウドWAFで対策できる攻撃
- 2-2. クラウドWAFで対策できない攻撃
- 3. クラウドWAFのメリット・デメリット
- 3-1. クラウドWAFのメリット
- 3-2. クラウドWAFのデメリット
- 4. クラウドWAF導入が特におすすめの2つのケース
- 4-1. 会員向けサイトなど、個人情報を取り扱うサイト
- 4-2. ECサイトなど支払い関係の情報を扱うサイト
- 5. 初めてクラウドWAFを導入・検討するなら、NTT東日本にご相談ください!
- 5-1. クラウドの専門家のアドバイスが受けられる
- 5-2. トータルコストを可視化できるから、費用対効果を最大化!
- 5-3. 24時間365日の対応保守サポートがある
- 6. まとめ
1. クラウドWAFとは
クラウドWAFとは、クラウドサービスとして提供されるWAFのことです。そして、WAFは「Web Application Firewall」の略称で、WebサイトやWebアプリケーションを、サイバー攻撃などから保護することのできるセキュリティ対策ツールです。
以上からわかるとおり、クラウドWAFの特徴を正確に理解するには、
①WAFとは何か
②それがクラウド型になったことによる優位性は何か
の2つの視点から特性を把握しておくことが必要です。
| クラウドWAFとは、クラウドサービスとして提供されるWAF | |
|---|---|
| ①WAFとは | Webアプリケーションの外側に設置することで、サイバー攻撃などをリアルタイムで監視・不正な通信を検出・遮断し、WebサイトやWebアプリケーションを保護できるセキュリティ対策ツール |
| ②WAFがクラウド型だと何が変わるのか |
|
それでは、クラウドWAFの導入を検討するうえで欠かせない、次の基礎知識について確認していきましょう。
◆クラウドWAFを導入検討するうえで欠かせない基礎知識
- Webサイトのセキュリティ対策ツールであるクラウドWAFが注目される背景
- クラウドWAFが攻撃からWebサイトを守る仕組み
- クラウドWAFの種類
- クラウドWAFとFW・IPSの違い
1-1. クラウドWAFが注目される背景
最近クラウドWAFに注目が集まっている背景には、デジタル化の進展やグローバル化・ニューノーマル時代の到来などを受けて、Web上で多くのサービスを提供・利用できるようになったことがあります。
情報発信や商品・サービスの販売におけるWebサイトのウエイトが大きくなったことや、ストレージやアプリケーションをインターネット越しに利用する機会が増えたことなどが、例として挙げられるでしょう。
このようにWeb上でのビジネスのウエイトが大きくなるにつれ、
- WebアプリケーションやWebサイトが、サイバー攻撃に狙われやすくなる
- サイバー攻撃を受けた際の被害が大きくなる
という傾向が出てきました。また、厄介なのは、Web上で不特定多数からのアクセスを受けることが前提のWebサイトなどは、事前にアクセスできる人を限定するのが難しいことです。とりあえず間口は開いておいて、アクセスの仕方を確認してから防御するという対応が必要になります。そのため、従来のセキュリティ対策ツールでは、十分な対応ができないのが課題でした。
以上のような要請に応えられるセキュリティ対策ツールがクラウドWAFであったため、注目が集まっています。
◆ポイント
- 社会情勢の変化に伴いビジネスにおけるWebの重要性が高まったことで、サイバー攻撃によるダメージが大規模化しやすくなった
- 不特定多数のアクセスを受けることが前提のWebアプリケーション類は、従来のセキュリティ対策ツールでは十分な対応が難しかった
それでは、クラウドWAFは、どのような仕組みでWebアプリケーションやWebサイトを守っているのか、次項で見ていきましょう。
1-2. クラウドWAFの仕組み
クラウドWAFは、基本的に、シグネチャをもとに攻撃を遮断するという仕組みになっています。シグネチャとは、アクセスの特徴(パターン)に関するリストのようなものです。
ざっくりと言うと、
「重要な拠点(Webサイトなど)の外でリスト(シグネチャ)を持ったガードマン(クラウドWAF)がいて、リストの条件に合致する対象(アクセス)は、拠点内に入れないようにする」
といったイメージをしておくとよいでしょう。
なおクラウドWAFには、シグネチャのパターン検知方法によって、
①アクセスをさせない対象のパターンをリスト化するもの(ブラックリスト)
②アクセスさせてもよい対象のパターンをリスト化するもの(ホワイトリスト)
の2種類があります。ブラックリストとホワイトリストでは、リスト化が簡単なブラックリストのタイプが一般的です。
| クラウドWAFには、ブラックリストとホワイトリストの2種類がある | |
|---|---|
| ブラックリスト |
|
| ホワイトリスト |
|
1-3. クラウドWAFの基本的な機能
クラウドWAFを導入することで利用できる基本的な機能には、次のようなものがあります。
◆クラウドWAFの基本的な機能
- リアルタイムで通信を監視し、シグネチャに基づき通信の許可や拒否をする
- 安全性の高いURLを特定しておくことで監視対象から外し、通信速度の遅延を防止する
- 危険性が確認されたIPアドレスを指定しておくことで自動的に拒絶し、通信速度の遅延を防止
- Cookieを暗号化して保護することで、セキュリティを高める
- シグネチャを自動更新する
- 拒否した通信のログなどを保存しレポート出力する
クラウドWAFは、単にシグネチャから通信の許可・拒否をするだけでなく、総合的にWebサイトの安全性を高める機能や、今後のセキュリティ対策の参考資料が得られる機能なども含まれています。
1-4. クラウドWAFとFW・IPSの違い
インターネット関係のセキュリティ対策としてよくあるものとして、WAF以外にFW・IPSなどもあります。それぞれの大きな違いは、セキュリティ対策を行うことのできる守備範囲です。
| クラウドWAFとFW・IPSの違い | |
|---|---|
| クラウドWAF |
|
| FW(Firewall) |
|
| IPS(Intrusion Prevention System) |
|
以上のとおり、セキュリティ対策ツールは、種類によって、守ることができる部分や守り方が異なります。
セキュリティ対策を行いたいシステムなどの使用形態(外部に公開するのか・しないのか)や、対策をしたい攻撃(どこの脆弱性を狙った攻撃か)を踏まえて、使い分けることが大切です。
2. クラウドWAFで対策できる攻撃・できない攻撃
クラウドWAFには、対策できる攻撃と対策できない攻撃があります。
| クラウドWAFで対策できる攻撃・できない攻撃 | |
|---|---|
| クラウドWAFで対策できる攻撃 |
|
| クラウドWAFで対策できない攻撃 |
|
それぞれどのような攻撃なのか、もう少し詳しく見ていきましょう。
2-1. クラウドWAFで対策できる攻撃
| クラウドWAFで対策できる攻撃 |
|
|---|
クラウドWAFは、WebアプリケーションやWebサイトのセキュリティ対策に適したツールです。そのため、Webアプリケーションの脆弱性を狙った攻撃であっても、通信データの内容を分析して防ぐことができます。
その他に、次のようなサイバー攻撃にも、クラウドWAFであれば対応することが可能です。
| SQLインジェクション | SQLと呼ばれるデータベース言語で、誤作動を誘因するSQL文章をWebサイトに送り付ける |
|---|---|
| バッファオーバーフロー | 許容量を超えるデータをまとめて送りつけて、誤作動を起こさせる |
| クロスサイトスクリプティング | Webサイトの脆弱性を突いて不正なスクリプトを挿入し、サイトの閲覧者を別の有害サイトに遷移させるなどする |
| DDoS攻撃 | 処理能力を超えるアクセスを集中させ、対象となるWebサイトなどを機能停止させる |
| ブルートフォースアタック | 総当たり攻撃とも呼ばれ、膨大な回数試行することで、不正にパスワードを特定する |
| ディレクトリトラバーサル | Webアプリケーション内にあるフォルダなどの位置を特定して不正にアクセスし、情報を盗んだり改ざんしたりする |
上記のような攻撃を防ぎきれないと、不正アクセスされて、情報漏えいやサイトの改ざんなどの被害につながる危険性があります。
2-2. クラウドWAFで対策できない攻撃
| クラウドWAFで対策できない攻撃 |
|
|---|
クラウドWAFは、Webアプリケーションの保護に特化したセキュリティ対策ツールなので、ネットワーク層やOS・ソフトウェアをターゲットにする攻撃は防げません。また、botを使った不正アクセスについても、脆弱性を狙う攻撃でもなく通信内容自体は不正ではないので、クラウドWAFでの対応は難しいと言えます。
対策できない攻撃は、FWやIPS・認証システムの設定などで防ぐ必要があるでしょう。
このように、セキュリティ対策ツールは、どれも万能ではないので、複数を組み合わせて多層防御することが重要です。
3. クラウドWAFのメリット・デメリット
WAFの中でも、クラウドサービスとしてWAFの機能を利用するクラウドWAFには、次のようなメリット・デメリットがあります。
| クラウドWAFのメリット・デメリット | |
|---|---|
| クラウドWAFのメリット |
|
| クラウドWAFのデメリット |
|
クラウド型ならではのメリット・デメリットを把握し、クラウドWAFがニーズに合うものかどうか、検討してみましょう。
3-1. クラウドWAFのメリット
クラウドWAFの代表的なメリットは、以下のとおり、気軽に少ない負担で利用できるところです。
◆クラウドWAFの主なメリット
- 導入までの期間が短くコストも抑えられる
- 運用時の負担が少ない
- 短い期間でも無駄なく利用できる
クラウドWAFは、インターネット上で申し込みをするだけで、すぐに利用を開始できます。WAF専用の機器の購入やソフトウェアのインストールが不要なので、これらを準備する費用や手間を削減できるでしょう。
また、シグネチャの更新などクラウドWAFの運用はクラウドサービス提供事業者が行うので、専門知識を持った人材を準備する必要がなく、運用の労力も減らせます。
さらに、利用の終了は申し込みだけで完了し、利用料金も使った分だけ発生するので、一時的に利用したいときでも無駄がありません。
3-2. クラウドWAFのデメリット
クラウドWAFのデメリットとしては、自由度は多少下がることなどが挙げられます。
◆クラウドWAFの主なデメリット
- シグネチャのカスタマイズの幅に制約がある
- 利用量が増えるとコストがかさむ可能性がある
クラウドサービス提供事業者が準備しているWAFの機能を利用するクラウドWAFでは、シグネチャなどのカスタマイズの幅に制約が出てきます。クラウドサービスによって差があるので、事前にどの程度カスタマイズできるのか確認しておくと安心です。
また、料金は使った分だけ発生するので、当然、たくさん使えば料金もかさみます。大体の相場は月額数万円程度ですが、通信量が非常に多い場合や監視したい対象がとても多い場合などは、料金が増えがちです。事前に料金体系を確認しておきましょう。
カスタマイズの範囲や料金体系などは、クラウドサービスのホームページで確認することができます。なお、多くのクラウドWAFで無料トライアルを実施しているので、カスタマイズなどの機能面は実際に試して確認するのがおすすめです。
4. クラウドWAF導入が特におすすめの2つのケース
クラウドWAFは、基本的にWebサイトを運営する企業であればどこでも、導入することが望ましいセキュリティ対策ツールと言えます。これまでお伝えしたように仮に、脆弱性を突いてマルウェア感染するサイトに遷移するように自社のサイトを改ざんされてしまうと、信用問題に発展しかねないからです。
そのなかでもWebサイトを運営している場合など、特に優先してクラウドWAFを導入すべきケースは、次のとおりです。
| クラウドWAF導入が特におすすめのケース |
|---|
|
※注意点:前章でお伝えした下記の点を検討しておきましょう。
◆クラウドWAFの主なデメリット
- シグネチャのカスタマイズの幅に制約がある
- 利用量が増えるとコストがかさむ可能性がある
4-1. 会員向けサイトなど、個人情報を取り扱うサイト
会員だけが利用できるなど個人情報を取り扱っているサイトでは、クラウドWAFを導入することを強くおすすめします。
サイバー攻撃を防げず個人情報の漏えいにつながると、企業イメージの低下や損害賠償請求など、被害が大きいからです。個人情報はいったん流出すると、不正に売買されるなどして、利用者にも大きな迷惑がかかってしまいます。
4-2. ECサイトなど支払い関係の情報を扱うサイト
クレジットカード情報や口座情報など、支払関係の情報を取り扱うサイトを運営している場合も、積極的にクラウドWAFを導入すべきでしょう。
支払い関係の情報が漏えいすると、クレジットカードの不正利用など金銭的な被害に直結しやすいからです。顧客に被害が及ぶことはもちろん、情報漏えいとなれば、顧客離れやサイトの閉鎖につながりかねず、ビジネス上も大きな痛手となってしまうでしょう。
5. 初めてクラウドWAFを導入・検討するなら、NTT東日本にご相談ください!
「クラウドWAFの導入を検討したいけれど、何から着手すればよいのかわからない」
「専門家の意見も参考にして、最適なツールを導入したい」
このようにお考えでしたら、NTT東日本でクラウドWAFの導入をご検討ください。
NTT東日本のクラウド導入・運用 for AWS/Microsoft Azureを活用すると、「わからない」「面倒」とは無縁のまま、導入すべきかどうかの検討から導入・環境構築・セキュリティ・運用まで、ワンストップで解決できます。
NTT東日本で、クラウドWAFの導入を検討することをおすすめする理由は、次のとおりです。
| リモートアクセスはNTT東日本がおすすめ!3つの理由 | |
|---|---|
| おすすめの理由1 | クラウドの専門家のアドバイスが受けられるからおすすめ |
| おすすめの理由2 | トータルコストの可視化で、費用対効果を最大化できるからおすすめ |
| おすすめの理由3 | 24時間365日の対応保守サポートがあるからおすすめ |
なぜ、おすすめなのか、詳しく見ていきましょう。
5-1. クラウドの専門家のアドバイスが受けられる
NTT東日本のクラウド導入・運用 for AWS/Microsoft Azureでは、AWS認定有資格者などクラウドの専門家が、中立的な立場からアドバイスをします。
クラウドのサービス内容・特徴・運用実例を知り尽くしたプロフェッショナルが、お一人お一人のお客さまの状況に合わせた最適なご提案をしますので、ニーズと食い違ったサービスを導入するリスクがなく、安心です。
「クラウドWAFやクラウド型のセキュリティ対策ツールに興味はあるけれど、最適なサービスがわからない」とお考えなら、まずは、NTT東日本にご相談いただくのをおすすめします。
5-2. トータルコストを可視化できるから、費用対効果を最大化!
「コストを抑えられるなら、導入を検討したい」
それなら、初期費用だけでなく運用コストやリスク面まで含めトータルで、費用対効果のよいご提案をするNTT東日本のクラウド導入・運用 for AWS/Microsoft Azureです。
コストはトータルで最適化してこそ、コストパフォーマンスを最大化できます。目先の費用だけでなく、これからの運用段階のことまで含めて最適化できるNTT東日本なら、現在も数年後も、費用対効果を最大化できて安心です。
まずは、無料でお気軽にお問い合わせください。
5-3. 24時間365日の対応保守サポートがある
クラウド型のセキュリティ対策ツールは、導入して終わりではなく使い続けるものだから、サポート体制が重要になります。NTT東日本では、24時間365日体制で運用開始後も徹底的にサポート。しかも、「もしものとき」だけでなく、「いつもの運用業務」もご支援可能です。
「新しいツールやシステムを導入すると、運用担当者の負担が増えて大変」という事態も、NTT東日本なら無縁です。
まずは、お気軽にお話をお聞かせください。
6. まとめ
クラウドWAFとは、クラウド型のセキュリティ対策ツールです。WebサイトやWebアプリケーションなどをサイバー攻撃などから保護することのできるセキュリティ対策ツールを、クラウドサービスで利用することができます。
WebアプリケーションやWebサイトの利用頻度が上がったことで、サイバー攻撃の被害が拡大しやすくなったことや、WAFでないと防げない攻撃もあることから、注目されているツールです。
クラウドWAFには、ブラックリストとホワイトリストの2種類があります。
| クラウドWAFには、ブラックリストとホワイトリストの2種類がある | |
|---|---|
| ブラックリスト |
|
| ホワイトリスト |
|
クラウドWAFのメリット・デメリットは、次のとおりです。
| クラウドWAFのメリット・デメリット | |
|---|---|
| クラウドWAFのメリット |
|
| クラウドWAFのデメリット |
|
導入を検討するときは、メリット・デメリットの両面に納得したうえで、判断するようにしましょう。
また、クラウドWAFでは、対策できる攻撃と対策できない攻撃があることにも注意が必要です。セキュリティ対策ツールは、どれも万能ではないので、複数を組み合わせて多層防御することが重要と言えます。
| クラウドWAFで対策できる攻撃・できない攻撃 | |
|---|---|
| クラウドWAFで対策できる攻撃 |
|
| クラウドWAFで対策できない攻撃 |
|
Webサイトの運営をしていたり、Web上でサービスを提供したりしている企業は、基本的にクラウドWAFを導入すべきです。その中でも、特に導入を積極的に検討すべきケースがあります。
| クラウドWAF導入が特におすすめのケース |
|---|
|
上記のケースに当てはまるなら、できるだけ早く導入検討をしたほうがよいでしょう。
デジタル化やグローバル化の進展に伴い、WebサイトやWebアプリケーションは、ビジネスで欠かせないツールとなりつつあります。サイバー攻撃で、ビジネスチャンスや顧客・社会的信用を失うなどの事態に陥らないためにも、クラウドWAFを含め、セキュリティ対策を徹底させておきましょう。
ネットワークからクラウドまでトータルサポート!!
NTT東日本のクラウド導入・運用サービスを確認してください!!
無料ダウンロード
自社のクラウド導入に必要な知識、ポイントを
この1冊に総まとめ!
あなたはクラウド化の
何の情報を知りたいですか?
- そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
- 【AWS・Azure・Google Cloud】
どれが自社に最もマッチするの? - 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
- 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?
初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。
NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!
クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・
- システムインフラの維持にかかるトータルコストがあまり変わらない。。
- 情シス担当者の負担が減らない。。
- セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
-
そもそも”クラウド化”とは?
その本質的なメリット・デメリット - 自社にとって
最適なクラウド環境構築のポイント - コストを抑えるための
具体的なコツ - 既存環境からスムーズにクラウド化を
実現するためのロードマップ
など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。
クラウドのわからない・
面倒でお困りのあなたへクラウドのご相談できます!
面倒でお困りのあなたへ
クラウドのご相談できます!
無料オンライン相談窓口
NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!
NTT東日本が選ばれる5つの理由
- クラウド導入を
0からワンストップでサポート可能! - 全体最適におけるコスト効率・業務効率の改善を
中立的にご提案 - クラウド環境に問題がないか、
第3者目線でチェック
してもらいたい - 安心の24時間・365日の対応・保守
- NTT東日本が保有する豊富なサービスの組み合わせで
”課題解決”と”コスト軽減”を両立
特に以下に当てはまる方はお気軽に
ご相談ください。
- さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
- オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
- オンプレミスとクラウド移行した際のコスト比較を行いたい
- AWSとAzure、どちらのクラウドが自社に適切かわからない
- クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
- クラウド利用中、ネットワークの速度が遅くて業務に支障がでている
クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。