WAFソリューションの選択に役立つサードパーティの評価

今日の新しいデジタルビジネスモデルには、消費者と社員の両方が多様なエンドポイントデバイスを使用してデータとリソースに即座にアクセスすることが求められます。そのため、企業はWebベースのアプリケーションの利用を増やしてこのようなニーズに応え、アジャイル開発戦略によってこれらのアプリケーションを継続的に更新してニーズの変化に対応しています。この新しいパラダイムでは、HTTP接続を検査および保護し、クロスサイトスクリプティング（XSS）やSQLインジェクションなどのWebベースの攻撃を防止するWebアプリケーションファイアウォール（WAF）は、ユーザー、デバイス、アプリケーション、およびリソースを脅威から保護する上で重要な役割を担います。

しかし、外部向けのすべてのアプリケーションには目に見えない数多くのバックエンドコンポーネントが関係し、これらのコンポーネントもアプリケーションと同様にWebベースの攻撃に対して脆弱です。たとえば、オンラインショッピングでは、在庫確認、プルリクエストの送信、支払い処理、配送の調整、顧客のデータベースファイル更新などのアプリケーションが使用されます。これらのアプリケーションのプロセスを中断またはハイジャックする攻撃は、企業とその顧客に深刻な影響をもたらします。Webベースのアプリケーションは幅広く導入され、さまざまなバックエンドネットワーク環境を横断できるため、それらを保護するには、同じように幅広い管理が可能なWAFソリューションが必要です。

ガートナーの2018年WAFマジッククアドラント

フォーティネットは、ガートナーの2018年「Webアプリケーションファイアウォールマジッククアドラント」レポートによってチャレンジャークアドラントに位置づけられましたが、その実行力はリーダークアドラントに年々近づいています。FortiWebの最大の特長は、その運用が孤立していないことにあります。そのため、他のセキュリティソリューションと緊密に統合して、包括的なセキュリティファブリック戦略の構成要素として幅広く活用できます。

今日の高度な攻撃は単独で実行されることはありません。多くの攻撃は検出を回避するために、宛先の書き換え、マルチベクトル型攻撃、アプリケーションやトラフィックへのマルウェアの埋め込みなどを戦略的に組み合わせています。孤立したWAFソリューションでは、このような攻撃戦略の一部（1つのWebアプリケーションの侵害やWebベースのマルウェア挿入など）は検出できても、攻撃チェーン全体を特定して包括的に阻止することはできません。

広範なアプローチ

前述のような攻撃に対抗するため、当社はAIベースの機械学習の導入などにより、FortiWebの全体的なパフォーマンスとセキュリティの効果を継続的に向上させると同時に、フォーティネットセキュリティファブリックとファブリックに対応したパートナーコミュニティの機能を超えたシームレスな統合の強化を開発の軸にしています。このような統合アプローチは相互接続された現在のネットワーク環境の保護には不可欠ですが、残念ながら、いまのところこのような機能はガートナーの評価の対象にはなっていません。

そのため、当社はガートナー以外のさまざまなサードパーティによるテストや評価にも参加しています。その1つであるNSS Labsの評価では、FortiWebソリューションはパフォーマンス、セキュリティの有効性、価値、総所有コストで最高の評価を得て、「推奨」ソリューションに認定されています。

WAFソリューションの評価における検討事項

組織で使用するWebアプリケーションファイアウォールソリューションや関連するセキュリティソリューションを評価する場合、2つの観点からさまざまな事項を検討する必要があります。

1つ目は、必要なタスクがすべて実行されるかどうかです。WAFソリューションのコア機能には、マルウェア保護、ITレピュテーションチェック、プロトコル検証などがあります。また、高い精度と低い誤検出で未知の脅威を検出し、防止する機能も評価する必要があります。脅威対策にとって、AIベースの機械学習は重要な機能です。デジタルビジネスに不可欠なWebアプリケーションを標的とした未知の脅威が出現しても、最も高度な技術によって組織を保護できます。

2つ目は、既存のセキュリティインフラストラクチャの強化と相互作用です。

• 幅広いセキュリティアーキテクチャと緊密に統合できれば、管理とポリシーオーケストレーションが簡略化されるだけでなく、重要なイベントを相関付けて、攻撃に対して包括的なセキュリティ対策を実行できます。
• また、スループットも重要です。WAFソリューションでビヘイビアプロファイルとトラフィックを比較する間にWebアプリケーションの応答速度が低下すると莫大な損失が発生します。
• Webアプリケーションのトラフィックボリュームが増加の一途をたどっているため、スケーラビリティも慎重に評価する必要があります。
• サイバースキルの格差の拡大を考慮すると使いやすさも重要です。ソリューションの管理が簡単なだけでなく、脅威対策ルールのシームレスな導入、構成、微調整も簡略化される必要があります。また、管理とオーケストレーションを可能な限り既存の管理コンソールに統合できれば、管理のオーバーヘッドと総所有コストを削減できます。
• さらに、レポート機能はソリューションの履歴の側面から重要な情報を提供するだけでなく、NIST 800のセキュリティ対策やPCI-DSSセキュリティ基準などの規制要件に準拠している必要があります。

まとめ

WAFソリューションの評価には時間がかかるため、ガートナーのWAFマジッククアドラントのレポートやNSS Labsの認定などによって提供されるリソースには大きな価値があります。ただし、最終的には、既存のセキュリティアーキテクチャにシームレスに適合し、既存のセキュリティプロファイルを強化するWAFソリューションを選択する必要があります。また、互換性、統合性、パフォーマンスなども導入と運用の成否にかかわるため重視してください。Webアプリケーションは今後ますます利用が増えるため、その保護には時間と労力を惜しまないでください。