どのようなときに Azure Web Application Firewall を使用するか

  • 8 分

Azure Web Application Firewall とはどのようなもので、どのように動作するかがわかりました。 次に、会社にとって Azure Web Application Firewall が適切な選択肢であるかどうかを評価するために役立ついくつかの条件が必要です。 判断しやすいように、次のシナリオについて考えてみましょう。

  • 機密性の高いデータまたは保有財産であるデータが含まれる Web アプリがある
  • ユーザーがサインインする必要のある Web アプリがある
  • Web アプリの開発者に、セキュリティの専門知識がない
  • Web アプリの開発者には、他に優先するものがある
  • Web アプリの開発予算に制約がある
  • Web アプリの開発時間に制約がある
  • Web アプリをすばやく構築してデプロイする必要がある
  • Web アプリの発表が注目を集める

あなたの Azure Web Application Firewall の評価の一部として、Contoso はこれらのシナリオのいくつかに当てはまることがわかっています。 詳細については、対応するセクションを参照してください。

機密性の高いデータまたは保有財産であるデータが含まれる Web アプリがある

動機がシステムへの侵入に挑戦することだけである Web 攻撃者もいます。 しかし、悪意のあるハッカーのほとんどは、何らかの見返りを目当てにして、インジェクションやプロトコル攻撃のような悪用を使用します。 見返りとしては、次のようなものがあります。

  • 顧客のクレジット カード番号
  • 運転免許証番号やパスポート番号などの機密性の高い個人情報
  • 会社の所有データや機密データ

攻撃者は、このデータを直接使用する場合があります。 たとえば、ユーザーは盗んだクレジット カード番号で商品を購入するおそれがあります。 しかし、より可能性が高いのは、攻撃者が犯罪マーケットでデータを販売したり、身代金のためにデータを手元に置いたりするということです。

機密性の高いデータや独自のデータを格納する Web アプリが会社で実行されている場合は、Azure Web Application Firewall でそのデータを侵入や流出の試みから保護できます。

ユーザーがサインインする必要のある Web アプリがある

多くの場合、Web アプリの攻撃者はアカウントのユーザー名とパスワードを取得しようとします。 ユーザー アカウントの資格情報を手に入れると、攻撃者にとって次のような利点があります。

  • 攻撃者は、承認されたユーザーとしてアプリにアクセスできます。
  • 攻撃者は、昇格された特権でスクリプトまたはコマンドを実行できる場合があります。
  • 攻撃者は、ネットワークの他の部分にアクセスできるおそれがあります。
  • 攻撃者は、アカウントの資格情報を使用して、他のサイトやサービスにサインインできる場合があります。

ユーザーがサインインする必要のある Web アプリをビジネスで使用していますか? Azure Web Application Firewall を使用すると、アカウントの資格情報を表示または盗もうとする、SQL インジェクションやローカル ファイル インクルージョンなどの攻撃を検出できます。

重要

Azure Web Application Firewall は、必要な多面的ネットワーク セキュリティ戦略の 1 つの側面に過ぎない点にご注意ください。 サインイン データの場合、その戦略には、厳格なパスワード要件の適用や、暗号化された形式でのパスワードの保存が含まれる場合があります。

Web アプリの開発者に、セキュリティの専門知識がない

起こりうるすべての Web アプリの悪用に対応してコーディングを行うには、非常に多くの専門知識が必要です。 この専門知識には、次の概念に関する詳細な知識が含まれます。

  • HTTP/HTTPS の要求と応答の一般的な構造
  • GET、POST、PUT など、特定の HTTP/HTTPS 要求の種類
  • URL と UTF のエンコード
  • ユーザー エージェント、クエリ文字列、その他の変数
  • 複数のサーバー オペレーティング システムのコマンド、パス、シェル、類似データ
  • HTML、CSS、JavaScript などのフロントエンド Web テクノロジ
  • SQL、PHP、ユーザー セッションなどのサーバー側の Web テクノロジ

会社の Web 開発チームにこれらの概念の 1 つまたは複数についての知識が欠けているとしたら、どうなりますか? その場合、Web アプリは複数の悪用に対して脆弱になります。 これに対し、Azure Web Application Firewall は、Microsoft のセキュリティ専門家のチームによって保守および更新されます。

Web アプリの開発者には、他に優先するものがある

SQL インジェクションやリモート コマンド実行などの悪用を阻止するためだけに、会社が Web アプリをデプロイすることはほとんどありません。 通常、会社の Web アプリには他にもいくつかの目的があります。 たとえば、製品販売、サービスの提供、ビジネスの促進といった目的です。

Web 開発チームには、堅牢なアプリ セキュリティ コードを記述するより、これらの目的を達成することに優先的に集中してもらいたいことがあります。 Azure Web Application Firewall なら、セキュリティの管理は Microsoft に任せて、お客様のチームはビジネスに集中できます。

Web アプリの開発予算に制約がある

OWASP のすべての悪用に対するコーディングを社内で行うと、非常にコストがかかります。

  • 必要なセキュリティの専門知識を持つ Web 開発者は多くありません。 このような開発者は、そのような専門知識を持っていない同僚より高い給与を要求することがあります。
  • Web アプリのあらゆる悪用に対するコーディングは、1 回限りの作業ではありません。 新しい悪用や変更された悪用が認識されたら、チームは絶えずセキュリティ コードを保守および更新する必要があります。 セキュリティの専門家を、常に Web 開発チームのメンバーにし、常に予算の項目にしておく必要があります。

Azure Web Application Firewall は無料ではありません。 しかし、Web セキュリティ専門家のチームを常に雇っておくよりは、コスト効率のよいソリューションかもしれません。

Web アプリの開発時間に制約がある

多くの Web 開発チームは、OWASP のすべての悪用に対するコーディングを社内で行います。 しかし、このようなチームのほとんどは、このコードの作成と管理には手間と時間がかかることに間もなく気付きます。 新しい Web アプリの公開までの厳しい期限を達成しようとしている場合、OWASP のすべての悪用からアプリを保護するために必要な何千人時もの作業は、大きなハードルになります。

Azure Web Application Firewall を使用する Azure Application Gateway インスタンスまたは Azure Front Door プロファイルなら、数分で構成できます。

Web アプリをすばやく構築してデプロイする必要がある

多くの Web アプリは、完全な開発処理を必要としません。 たとえば、次の 2 種類のアプリを考えてください。

  • 概念実証: このアプリは、何らかの手法、提案、または設計が実現可能であることを証明することのみを目的としています。
  • 実用最小限の製品 (MVP): このアプリには、将来のバージョンのためのフィードバックを提供する早期採用者が使用するのに十分な機能のみが含まれています。

概念実証と MVP の Web アプリはどちらも、迅速に作成してデプロイすることが意図されています。 このような場合、一般的な悪用に対して手作業でコーディングすることは意味がありません。 そうではあっても悪意のあるアクターからこれらのアプリを保護する必要はあるので、Web アプリケーション ファイアウォールの内側に配置するのが理にかなっています。

Web アプリの発表が注目を集める

マーケティング チームは、間もなくリリースされる Web アプリのキャンペーンを強力に行っていますか? いくつものソーシャル メディア プラットフォームにメッセージを投稿して、リリース前にアプリを大々的に宣伝していますか? それはすばらしいことですが、他にどのような人がアプリのリリースに関心を持っているかわかりますか? 悪意のあるユーザーが、アプリに対していくつかの一般的な攻撃を仕掛けることにより、アプリのリリースを邪魔しようとしているかもしれません。

邪魔されないようにするには、Azure Web Application Firewall で Web アプリを保護することが理にかなっている場合があります。