デジタル化の推進によりビジネスにおけるWebの利用は着実に進んでいて、年々その重要度が増しています。その一方、Webを狙ったサイバー攻撃も更に複雑化しています。特に、Webサイト改ざんや不正アクセスなどのWeb脅威は情報漏洩につながり、Webサイトにアクセスした利用者に二次被害が及ぶケースも増加しています。Web攻撃による事件数・被害額のいずれも年々増加傾向にあります。
このような状況で、 IPSやFWなどネットワークレベルのセキュリティ対策だけでは防ぎきれないWeb攻撃を検知・防御できるため、IPSやFWとともにWebアプリケーションセキュリティに最適なWAFを導入する企業が増えています。
*FW(Firewall:ファイアウォール): 通信における送信元情報と送信先情報(IP アドレスやポート番号等)を基にアクセスを制限する製品
*IPS (Intrusion Prevention System, 侵入防止システム):ウェブサイト運営者が設定する検出パターンに基づいて、様々な種類の機器への通信を検査する製品
*NGFW(Next Generation Firewall)・UTM(Unified Threat Management、統合脅威管理):ファイアウォールやIPS等の複数のセキュリティ機能を一つに統合した製品
WAF(Web Application Firewall、ワフ)は、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを安全に保護するセキュリティ対策です。 WAFは、従来のネットワークセキュリティである FW、IPS、NGFWと異なり、防御可能な通信レイヤー及び攻撃の種類に違いがあります。サーバやネットワークを広く保護するFWやIPSと違って、Webアプリケーションの脆弱性を狙った攻撃の防御に特化したセキュリティを提供します。Web攻撃への対応の他にも、情報漏洩防止、不正ログイン、Webサイト偽・変造を防ぐ総合的なセキュリティ対策を提供します。
| WAF | IPS | UTM/NGFW | |
| ハッカーから Webサイトを保護 |
◎ OWASP Top 10の 全ての脆弱性を遮断 |
✖ 新規の攻撃パターンの 検知不可 |
✖ 8割のNGFW製品が迂回攻撃を 検知できない(NSS Labs 2017) |
| 暗号化された攻撃の遮断 (攻撃のうち41%は暗号化を使用:Cisco 2018) |
◎ SSLトラフィックの復号化及び暗号化された攻撃の検知可能 |
✖ SSLトラフィックの復号化及び検査不可 |
✖ SSLトラフィックの処理により、平均92%の性能低下及び672%のネットワーク延長が発生(NSS Labs 2018) |
| セキュリティにおける リソースの削減 |
◎ データ侵入原因1位に対応するWebセキュリティ・ソリューション⇒設備運用・人的費用削減 |
◎ 誤検知が発生するケースが多いため、別途対応策にコストがかかる⇒追加設備費用・人的費用発生 |
◎ ハードウェア統合により電力消費、冷房維持及びアプライアンスのラックスペースを節約⇒設備費用の削減 |
| クレジットカード向けのセキュリティ規格「PCI-DSS要件6.6」への準拠 | ◎ 繰り返し脆弱性検出を行う必要なく、常に攻撃を検知及び遮断 |
✖ 準拠していない |
✖ 準拠していない |
| インフラ拡張に対応 | ◎ Webサービスの拡張の際、増加が予想されるHTTP/HTTPSトラフィックに対応するWAFのみ拡張すれば解決 |
◎ L3/L4パケットの検査機能を向上させるには、ベンダーを変えIPSをアップグレードする必要あり |
✖ 従来の独立製品から移転する際に発生しうるリスク+単一プロバイダーに対する従属性が伴う |
従来のWAFとCloudbric WAF+、
ここが違う!
- クラウドブリック(Cloudbric)はクラウドベースで提供されるため、企業側での複雑な手続きが必要なく、DNS情報の変更だけでWAFサービスが利用できます。
- 従来のシグネチャーの更新作業が不要です。当社開発のロジックベースの検知エンジンを搭載し、新種・亜種の攻撃パターンにも包括的に対応できる高精度のセキュリティを提供します。
- ユーザ別に独立したサービス環境を構築し、カスタマイズされたセキュリティポリシーにより運用することができます。
- クラウドブリックは全方位型のWebセキュリティ対策を実現します。クラウドブリックを導入することで、追加料金なくDDoS対策及びSSL証明書をすべて利用できます。
Cloudbric WAF+は、高度のセキュリティ専門性と経験をもとに、お客様に「安全なWeb環境」の構築・運用をサポートいたします。
導入事例
Healthbanks
医療分野においてWebセキュリティ対策は重要な課題です。患者様の個人情報の取り扱いやアクセス制御などについて、医療機関には徹底したセキュリティ対策が求められます。
Cloudric WAF+は、Healthbanks社が提供している患者管理オンラインポータルの「PatientPulse」に導入されております。SSL/TLSを実装し送受信するデータを暗号化することでWebサーバ上の機密情報を安全に保護しております。Cloudbric WAF+は「医療保険の相互運用性と説明責任に関する法律(HIPAA)」に準拠し、安全なWeb環境をサポート致します。
OneShield Software
企業向けサービス、ポリシー管理、財務、製品環境設定、雇用保険など敏感な情報を取り扱うには強力なWebセキュリティが必須です。
Cloudbric WAF+は、グローバル・ビジネス・インテリジェンス企業のOneShield Softwareが運営するWebアプリケーションサーバに高レベルのセキュリティを提供しております。敏感な企業情報をクローリングする「ボット制御」や3世代論理基盤エンジンのみ検知できるZero Day Web攻撃防御まで全て防御します。
