Webアプリケーションを保護する「Azure WAF」の特長

クラウドサービス部の小川です。Microsoft Azure（以下、Azure）製品を取り扱う部門でグループリーダーを担当し、特にクラウドセキュリティの分野に注力しています。クラウドの便利さを実感する一方で、その容易さゆえに危機感も感じ、クラウドセキュリティの向上に日夜取り組んでいます。

ランサムウェア攻撃がますます巧妙化し、企業や組織に深刻な被害をもたらしている昨今、WAFの導入は非常に効果的な防御策です。特に、Azure上でWebアプリケーションを構築したもののセキュリティに不安がある場合、Azure WAFは堅牢で頼りになるセキュリティ対策です。

この記事では、セキュリティ対策を強化したいと考えている方に向けて、Azure WAFが提供する保護機能をご紹介します。攻撃リスクを軽減し、安心してビジネスを展開するための土台を築くお手伝いができれば幸いです。

WAFとは

WAF（Web Application Firewall）とは、Webアプリケーションを攻撃から保護するための機能です。外部からの不正アクセスや攻撃を検知し、ブロックすることでWebアプリケーションを保護します。

従来のファイアウォールがネットワークレベルでのトラフィックを制御するのに対し、WAFはWebアプリケーションがやり取りするHTTPやHTTPSのリクエストとレスポンスを監視し、異常な動きを検知して攻撃を防ぎます。

WAFには、ホスト型、ネットワーク型、クラウド型の3種類があり、システムの構成や要件に応じて選択します。

種類	概要
ホスト型WAF	サーバー上にソフトウェアをインストールして動作するWAF
ネットワーク型WAF	ネットワーク上に配置して動作するWAF
クラウド型WAF	クラウドサービスとして提供されるWAF

Azure WAFとは

導入の容易さと優れた拡張性に加え、Azureサービスとの高い親和性が大きなメリットです。AzureのサービスであるAzure Application GatewayとAzure Front Doorで利用できます。これらのサービスにAzure WAFを導入することにより、Webアプリケーションを効果的に保護できます。

• Azure Application Gateway：Webアプリケーションに対するトラフィックを管理するL7のロードバランサー
• Azure Front Door：L7のロードバランサーに加えて、グローバルでCDN（Contents Delivery Network）も備えたサービス

Azure WAFの機能

ここからは、Azure WAFの機能について説明します。

マネージドルール

Azure WAFには、あらかじめ用意されたマネージドルールがあり、これを利用することで多くの攻撃から保護できます。ルールセットは、以下の3種類があります。

種類	概要
OWASP CRS（Core Rule Set）	OWASP（Open Web Application Security Project）によって開発されたルールセットで、一般的なWebアプリケーション攻撃（SQLインジェクション、XSSなど）に対応している。Azure Application Gatewayのみで利用が可能。
DRS（Default Rule Set）	Microsoft社によって開発されたルールセットで、一般的なWebアプリケーション攻撃に対応しており、さらにMicrosoft脅威インテリジェンスも含まれる。Azure Application GatewayとAzure Front Doorで利用が可能。
BotManagerRuleSet	問題のあるボットからの攻撃（スクレイピング、スキャン、脆弱性の検索など）に対応している。Azure Application GatewayとAzure Front Doorで利用が可能。

CRSとDRSは、いずれか一方を選択します。OWASP Top10などの攻撃に対して対策したい場合はCRS、Microsoft社の脅威インテリジェンスも活用したい場合はDRSを選択するといったかたちで、要件に応じて選択してください。

カスタムルール

マネージドルールで多くの攻撃に対応できますが、システムの要件や特定の攻撃に応じて細かく対応したい場合は、カスタムルールの利用がおすすめです。カスタムルールでは、以下のような設定ができます。

種類	概要
一致の種類	IPアドレス、文字列などに一致しているかどうかを指定
レート制限	時間内にレート制限（アクセス数のしきい値）を超過していた場合に検知・防御
許可とブロック	ルールに合致した場合にアクセスを許可（検知のみ）するかブロックするかを指定

Azure WAFの特長

Azure WAFには、以下のような特長もあります。

機密データの保護

機密データ（個人を特定できる情報など）がWAFログに保存されないよう、ログ スクラブツールでマスクできます。これにより、ログ内の機密データが不適切に表示されることを防ぎ、データ漏えいのリスクを軽減します。

異常スコアによるブロック

WAFルールに合致したトラフィックをブロックする際に、即時ブロックを行うのではなく、異常スコアがしきい値以上になったトラフィックのみをブロックします。WAFを利用していると誤検知に悩まされることも多いため、誤検知対策として有用な機能です。

JavaScriptチャレンジ

JavaScriptチャレンジとは、正当なユーザーとボットを区別するために使用される、非表示のWebチャレンジの仕組みです。ユーザーの介入を必要としないため、ボット対策を行いながらユーザーの手間を減らす利点もあります。

Copilot for Securityの統合

Microsoft社の生成AI、「Copilot for Security」がAzure WAFに統合され、Copilot for Securityを利用した以下の分析が簡単に行えるようになりました。

• トリガーされた上位ルールの取得
• IP別の上位ブロックの取得
• WAFによるSQLインジェクションブロックの取得
• WAFによるXSSブロックの取得

Microsoft Sentinelへの連携

AzureのSIEM（Security Information and Event Management）サービスである、Microsoft Sentinel（以下、Sentinel）へのログ連携も可能です。SentinelでもAzure WAFの分析ルールが用意されているため、高度なログ分析が可能です。

おわりに

Azure WAFは一般的なWAFの機能に加え、多くの機能が利用できます。また、JavaScriptチャレンジやCopilot for Securityは2024年に導入されたばかりの新機能で、現在進行形で機能が拡張されています。クラウドセキュリティの強化と利便性の向上を考慮すると、Azure上でWebアプリケーションを導入する際は、Azure WAFの導入が欠かせません。

Azure WAFの機能を最大限に活用するには、WAFやAzureに関する知識やノウハウが必要です。ラックでは、Azure WAFを含むWAF全般や、AWSやOCIなどのパブリッククラウドに関する豊富な知識とノウハウを有し、総合的な導入支援や活用支援が可能です。

Azure WAFの導入を検討される際は、ぜひラックまでお問い合わせください。