Azure Managed Service Column ＜Azure運用コラム＞Webアプリケーションを保護するAzure WAFとは？

WAFについての基本的な仕組みと導入メリットについて解説します。

近年クラウドサービスが進化したことで情報発信のみならず、 EC サイト、金融取引、公共、学術、医療、保険、業務システム、などあらゆるジャンルで Web サービスの重要性が高まっています。

しかしこのような Web サービスは一般に公開されており誰でもアクセスができるためサイバー攻撃のターゲットになりやすく、クラウドサービスが普及した近年、 WAF の重要性が改めて注目を集めています。

1. WAFとは

まずは前提となる WAF について基礎知識を解説します。

WAFの仕組み

WAF とは「 Web Application Firewall 」の略で頭文字をとり WAF 「ワフ」と呼ばれ Web サービスの保護機能に特化したファイアウォールです。 Web サーバーにアクセスしてきた通信内容をスキャンすることで攻撃を検出し防御します。

Web サービスは基本的に公開されているシステムです。様々なクライアントから多くのアクセスがあります。この時、「通常のアクセス」なのか「不正なアクセス」なのかを検出する基本的な仕組みとして「シグネチャ」が用いられます。

このシグネチャは不正な通信、不正な攻撃パターンをまとめた定義ファイルであり、シグネチャにマッチングするものを不正な通信として検出します。つまりこのシグネチャの精度が WAF の要なのです。

このシグネチャは OWASP（ Open Web Application Security Project 通称：オワスプ）と呼ばれる Web セキュリティのプロフェッショナルたちがボランティアとして所属、活動しているセキュリティ団体のレポート「 OWASP TOP 10 」 が活用されています。OWASP TOP 10 は Web サービスのセキュリティとして警戒をしなければいけない項目の TOP 10 を記載しています。

WAF とファイアウォールの違い

名前は似ていますが、WAF と普通のファイアウォールは全く別ものです。ファイアウォールは、基本的にネットワーク層を保護するセキュリティ製品です。インターネット通信パケットのヘッダーと呼ばれる情報を元にアクセス制御を行なっています。

ヘッダーには通信元、通信先の IP アドレスや TCP / UDP やサービスポート番号といった情報が記載されています。WAF の場合、Web サービスへの通信の中身であるペイロードをシグネチャに照らし合わせ検査します。

WAF と IDS / IPS との違い

IDS / IPS は不正侵入検知、防御システムであり、ミドルウェア層を保護するセキュリティ製品です。 IDS は攻撃を検知するのに対し、IPS は攻撃を検知した上に防御することもできる機能を持っています。

WAF と同様に IDS / IPS がシグネチャを用いて攻撃かどうかを判断しますが、IDS / IPS は OS やミドルウェア層に対する「振る舞い」や「通信パターン」を見ており、WAF のようにペイロードまでは検査しません。

このように、ファイアウォール、IDS / IPS との違いとして、大前提になるのが防御できる範囲の違いです。

2. Azure WAF とは

それではここから Azure が提供する Web アプリケーション保護ソリューションである Azure Web Application Firewall （通称： Azure WAF ） について解説します。

Azure WAF の概要

Azure WAF は、 Web サービスを保護するクラウドサービスです。Azure WAF のエンジンとなるシグネチャは OWASP によって提供される OWASP Core Rule Set （通称： CRS ）に基づいて定義されている規則が使用され、Web サイトへの通信をリアルタイムに可視化し不正なアクセや攻撃をブロックします。

Azure WAF の主な機能とメリット

Azure WAF にはクラウドサービスのメリットを活かした多くの機能を利用することができます。主な機能とメリットを紹介します。

マネージドルールを利用できる

Azure WAF は事前に定義されたマネージドルールセットを利用できるため、ユーザーによる煩雑な設定は不要で最新のシグネチャをすぐに利用できます。また必要に応じてカスタマイズも可能です。

Azure WAF （ CRS ）で防ぐことのできる攻撃は、主に OWASP TOP 10 でレポートされる攻撃を中心に保護することが可能です。

設定モードを使い分けることができる

設定された CRS のポリシーに基づき Azure WAF は「検出モード」と「防止モード」の 2 つのモードで動作します。「検出モード」では侵入や攻撃を検知した場合に、ログの記録のみを行い、「防止モード」では侵入や攻撃を検知した場合、その攻撃をログ記録し通信もブロックします。

Azure WAF 導入直後はどうしても誤検知が発生してしまいます。正常なアクセスを誤って不正と判定してしまう誤検知や、逆に不正アクセスを見過ごして正常と判定してしまう検知漏れなどがあります。このような誤検知の影響を最小限とするため、導入直後は「検出モード」が推奨されています。

Azure 内の様々なサービスに導入できる

Azure WAF は Azure 内の様々なサービスで展開し効率的に利用することができます。主に以下のサービスで導入可能です。

Azure Application Gateway

Azure Application Gateway は、 Web アプリケーションに対するトラフィックを管理する L7 ロードバランサーサービスです。このロードバランサ―に Azure WAF を展開することで Web アプリケーションへの攻撃、一般的な脆弱性から Web アプリケーションを一元的に保護します。

Azure Front Door

Azure Front Door は、マイクロソフトのクラウドコンテンツ配信ネットワーク（ CDN ）サービスです。世界中の Azure ネットワークエッジに Azure WAF を配備することが可能です。大規模なグローバル環境でパフォーマンスを損なうことなく利用することができ、 WAF のポリシーは Front Door プロファイルにリンクすることが可能です。

図版出典：Microsoft 公式サイト

Azure Content Delivery Network（ Azure CDN ）

Azure Front Door 同様、世界中の Azure ネットワーク エッジで展開することが可能です。マイクロソフトの Azure CDN の WAF は現在パブリック プレビュー段階であり、プレビュー版の SLA で 提供されています。特定の機能はサポート対象ではなく、機能が制限されることがあり注意が必要です。

図版出典：Microsoft 公式サイト

この他にも Azure WAF には利用にあたり制限事項が存在します。制限は CRS のバージョンによって異なる制限もあるため、利用前にはマイクロソフトの公式サイトをご確認下さい。

Azure 内の様々なサービスと統合できる

Azure WAF は Azure 内の様々なサービスと統合し機能を連携させることができます。主に以下のサービスと統合が可能です。

Azure Monitor との統合

Azure WAF を通る通信ログは、Azure Monitor と統合することで WAF のアラートやログなどの診断情報の追跡が可能となります。

Defender for Cloudとの統合

Azure WAF のアラートを Defender for Cloud にストリーミングし、 Defender for Cloud で Azure WAF アラートを表示することが可能です。

Microsoft Sentinelとの統合

Microsoft Sentinel と Azure WAF を組み合わせるとセキュリティ情報イベントを管理し WAF データを簡単に分類して表示することが可能です。

3. Azure WAFの提供プランと料金について

Azure WAF はデプロイした時の固定料金に加え、データ処理＋データ転送（受信は無料）で価格が構成されています。通信量や処理状況によって変動するため利用前にはマイクロソフトの公式サイトを確認の上、料金計算ツールなどを活用しご確認ください。

4. まとめ

Azure WAF は Web サービスを保護するクラウドサービスです。

Azure のメリットを活かしグローバル規模なアクセスにも対応し、Azure 内の様々なサービスへ展開、統合できる堅牢性、柔軟性、拡張性に富んだクラウドサービスを簡単に利用開始することができます。文中でも紹介しましたが、誤検知が起こりやすいサービスでもあるので専門家のサポートを受けながら導入を検討されることをお勧めします。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： Azure WAF Azureセキュリティ

• 

  DR対策としての遠隔地バックアップをAzureで実現するには

• 

  クラウドとオンプレミスを同期する Azure File Sync とは？