Azure WAFでWeb アプリケーションのセキュリティを強化

■「Azure WAFで出来るWebセキュリティ対策」を動画でご紹介

■Webセキュリティの急務

年々サイバー攻撃は増え続け、その手口は高度化しています。特筆すべきは、その対象が金融機関や顧客情報を大量に扱っているサイトに限らず、全ての業種全てのサイトへ広がって来ていることです。

　

■Azureの機能

Azureとは、データベース、ネットワークなど様々な用途に合わせたMicrosoft社のクラウドサービスです。この数多くある提供サービスの中にWAFも内包し、それがAzure WAFと言われるものとなります。
Azureはニーズに合わせたカスタマイズが可能で、セキュリティ面でのオプションが多いのも魅力の一つと言えます。

・SQLインジェクションからの保護
・クロスサイトスクリプティングからの保護
・その他の⼀般的なWeb 攻撃からの保護（※1）
・HTTPプロトコル違反に対する保護
・HTTPプロトコル異常に対する保護（※2）
・クローラーおよびスキャナーに対する保護
・⼀般的なアプリケーション構成ミスの検出（※3）
・下限と上限を指定した、構成可能な要求サイズ制限
・除外リストを使⽤すると、WAFの評価から特定の要求属性を省略（※4）
・特定のアプリケーションのニーズに合わせて、カスタムルールを作成
・特定の国/地域を対象に、アプリケーションへのアクセスの許可/ブロックの仕分(プレビュー) （※5）
・ボット軽減策ルールセットを使⽤して、アプリケーションをボットから保護(プレビュー)
・要求本⽂でJSONとXMLを検査

※1コマンドインジェクション、HTTP要求スマグリング、HTTPレスポンススプリッティング、リモートファイルインクルードなど。
※2ホストユーザーエージェントと承認ヘッダーが⾒つからない場合など。
※3ApacheやIISなど。
※4⼀般的な例として、認証フィールドまたはパスワードフィールドにおいて使⽤される、Active Directoryで挿⼊されたトークンが挙げられます。
※5トラフィックをgeoフィルタリング。

　

■Azureのポイント

・国際基準
Azureは ISO 27001、HIPAA、FedRAMP などから「国際的なコンプライアンス基準を満たしている」と評価されています。

・ハードとオペレーションの分離
情報漏洩対策として、ハードを管理する部門とオペレーションを行う部門が分かれています。データ自体にも強力な暗号化を施し、理論上のアクセスは不可と言われています。

・プライベート接続
Express Routeというサービスを用いることで、プライベートネットワーク構築が可能。セキュリティ機能を維持したまま、企業独自のネットワークとすることができます。

　

PSCは国内わずか
8社しか認定されていない
Fast Track Ready Partner
（2022年9月現在）

　

　

■運用の勘所

高機能でハイスペックなAzureですがその運用には高い専門性が求められます。
プロフェッショナルへアウトソーシングするのも解決策の一つと言えます。

・コストダウン
高度の専門知識を有した優秀な人材は、人件費も高く、また負担が集中しがちです。アウトソーシングすることで、属人的でない一定水準の運用でコストダウンを実現。

・本業へ投資
アウトソーシングすることで本業に専念でき、本業のより高い生産性を。また削減した人件費で、未来へ向けた戦略的投資に時間とコストの投資を実現。

・サーバの安定
社内のスタッフより、社外の専門業者の方がより高い専門性とナレッジを保有しています。アウトソーシングすることで、プロフェッショナルによるセキュアで安定したサーバの運用が実現。

PSC SOCはセキュリティの
スペシャリストチーム

　

導入から運用までサポート

月額5万円から運用可能

　

株式会社ピーエスシーが提供しております「セキュリティマネージドサービス」は、経済産業省が策定した情報セキュリティ基準にした適合したサービスとして登録されております。なお、本登録は当社の「脆弱性診断サービス」に続く登録となります。