WAFのセキュリティレベルとパラメータ設定：Webアプリケーションファイアウォールの必要性（最終回）（4/4 ページ）

WAF運用者を助ける管理機能

●管理画面での閲覧

　どのような違反がどれだけ発生しているかを把握するために、何種類かの統計情報を管理画面で閲覧することができる。ここでは代表的な2種類を紹介する。

1．Events

　違反と判断されたリクエストがどのような違反に該当するかを表示することができる。

画面11　Events

2．Reports

　ある期間にどのような種類の違反がどれだけあったかを表示することができる。

画面12　Reports

●ログ

　リクエストが違反と判断された場合は、ログファイルに出力することができる。BIG-IP ASM上のほとんどすべてのログ出力機能はsyslog-ngを使用しているため、外部のsyslogサーバにログを送信し、そこで管理することが可能である。

WAFの未来、WAFの必要性

　4回にわたってWAFについて説明してきた。連載中にも、WAFの市場には変化が見られている。WAF単体でビジネスを展開していた小さな会社は、その多くがより著名で大きな会社に吸収されており、各社の製品展開もWAF単体のものではなく、アプリケーションデリバリ製品に搭載されることが増えてきている。この状況から考えて、WAF単体でのビジネス展開に限界があったといってよいのではないかと思う。

　F5ネットワークスにおいても、会社の主力製品である「BIG-IP Local Traffic Manager」との製品統合が図られ、BIG-IPが持っているネットワーク機能、アクセラレーション機能、レイヤ7スイッチング機能などとともにBIG-IP ASMを利用できるようになっており、WAFの機能は製品の一部と化してきている。

　WAFが単体でのビジネス展開に限界を見せた理由は、WAFが導入する企業にとって新たな投資であるからだと考える。セキュアプログラミング、脆弱性検査という形でWebアプリケーションの脆弱性を防いでゆく試みはWAFの登場以前から続けられてきた。WAFは、それらの対抗となり駆逐してゆくものではなく、相互補完の関係にあるために、導入する企業にとっては新たな投資となる。

　WAFが使用されているからといってセキュアプログラミングが軽視されることはなく、セキュアプログラミングに対する投資も現在以上に続けられていくであろう。脆弱性検査についても同様である。それでも防ぎきれていない脆弱性を防ぐためにWAFは存在している。

　Webアプリケーションの脆弱性に伴う事件がこれだけ発生していても、「まずはWAFを導入しよう」という考えにならないのは、いたしかたのないところだろう。Webサイトの安全性を保つには、まずはセキュアプログラミングにて、安全なプログラムを作成するという基本ありきであり、投資はまずセキュアプログラミングに対して行われるものであるし、またそうあるべきであるとも思える。

　この状況の中、WAFの使い方も現実に即したものとなってきている。脆弱性検査などで発見されたプログラムの脆弱性に対する、即座の対応を行うためにWAFを使用するというものである。

　セキュアプログラミングにおいて、脆弱性の修正を行うことは、脆弱性が発見されたその場ですぐにできるものではないし、テストにもある程度の時間が必要となってくる。そういうときのために、あらかじめWAFを導入しておくと、ある特定のページのある特定のパラメータにだけ、即座になんらかのセキュリティをかけるということが可能となる。

　つまり、Webアプリケーションのセキュリティにおいて、WAFありきという考え方ではなく、WAFの即効性に期待して、あらかじめ導入しておくというやり方である。WAFが市場に現れてからある程度の時間が過ぎ、価格も落ち着き始めている。セキュアプログラミング、脆弱性検査とともに、WAFが担う役割、またリスク回避のために投資すべき対策の1つとしてその必要性の理解が進むことを期待しつつ、WAFについての解説を終わりたい。