Azure Web アプリケーション ファイアウォールを使用する場合

Azure Web Application Firewall とは何か、そのしくみはわかっています。 次に、Azure Web Application Firewall が会社に適した選択肢であるかどうかを評価するのに役立ついくつかの条件が必要です。 判断の助けになるように、以下のシナリオについて考えてみましょう。

• 機密性の高いデータまたは独自のデータを含む Web アプリがある。
• ユーザーにサインインを要求する Web アプリがある。
• Web アプリ開発者にはセキュリティの専門知識がありません。
• Web アプリ開発者には、他の優先順位があります。
• Web アプリ開発予算の制約があります。
• Web アプリの開発時間の制約があります。
• Web アプリを迅速に構築してデプロイする必要があります。
• Web アプリのリリースは注目度が高いです。

Azure Web アプリケーション ファイアウォールの評価の一環として、Contoso がこれらのシナリオのいくつかに適合していることがわかります。 詳細については、対応するセクションを参照してください。

機密性の高いデータまたは独自のデータを含む Web アプリがある

システムへの侵入自体が一部のWeb攻撃者の唯一の動機です。 しかし、ほとんどの悪意のあるハッカーは、支払いを念頭に置いて、インジェクション、プロトコル攻撃、および同様の悪用を使用します。 そのペイオフは、次のいずれかの場合があります。

• 顧客のクレジット カード番号
• 運転免許証番号やパスポート番号などの機密情報
• 会社の独自データまたは秘密データ

攻撃者はこのデータを直接使用する可能性があります。 たとえば、ユーザーは盗まれたクレジット カード番号を持つアイテムを購入できます。 しかし、攻撃者が犯罪マーケットプレースでデータを販売したり、身代金のデータを保持したりする可能性が高くなります。

会社が機密データまたは独自のデータを格納する 1 つ以上の Web アプリを実行している場合、Azure Web Application Firewall はそのデータを侵入や流出の試行から保護できます。

ユーザーにサインインを要求する Web アプリがある

Web アプリの攻撃者は、多くの場合、アカウントのユーザー名とパスワードを取得しようとしています。 ユーザー アカウントの資格情報を持つことは、攻撃者にとって次の方法で役立ちます。

• 攻撃者は、承認されたユーザーとしてアプリにアクセスできます。
• 攻撃者は、昇格された特権でスクリプトまたはコマンドを実行できる可能性があります。
• 攻撃者は、ネットワークの他の部分にアクセスできる可能性があります。
• 攻撃者は、アカウントの資格情報を使用して他のサイトやサービスにサインインできる可能性があります。

ビジネスでは、ユーザーがサインインする必要がある Web アプリを使用していますか? Azure Web Application Firewall は、アカウント資格情報の表示または盗用を試みる SQL インジェクションやローカル ファイルインクルードなどの悪用を検出できます。

Web アプリ開発者にセキュリティの専門知識がない

さまざまな潜在的な Web アプリの悪用に対するコーディングには、重要な専門知識が必要です。 この専門知識には、次の概念に関する詳細な知識が含まれます。

• HTTP/HTTPS 要求と応答の一般的な構造
• GET、POST、PUT などの特定の HTTP/HTTPS 要求の種類
• URL と UTF エンコード
• ユーザー エージェント、クエリ文字列、およびその他の変数
• 複数のサーバー オペレーティング システムのコマンド、パス、シェル、および同様のデータ
• HTML、CSS、JavaScript などのフロントエンド Web テクノロジ
• SQL、PHP、ユーザー セッションなどのサーバー側 Web テクノロジ

会社の Web 開発チームにこれらの概念の 1 つ以上の知識がない場合はどうでしょうか。 その場合、Web アプリは複数の悪用に対して脆弱です。 これに対し、Microsoft のセキュリティ専門家チームは、Azure Web Application Firewall を維持および更新します。

Web アプリ開発者には、他の優先順位があります

SQL インジェクションやリモート コマンド実行などの悪用を阻止する目的でのみ、会社が Web アプリをデプロイする可能性は低いです。 会社が Web アプリの他の目的を持っている可能性がはるかに高くなります。 その目的は、製品の販売、サービスの提供、ビジネスの宣伝などです。

Web 開発チームが、堅牢なアプリ セキュリティ コードを記述するのではなく、これらの目的を達成することに重点を置いた方が望ましいと思うでしょう。 Azure Web Application Firewall を使用すると、チームがビジネスに重点を置きながら、Microsoft がセキュリティを管理できます。

Web アプリ開発予算の制約がある

すべての OWASP の悪用に対する社内でのコーディングは、コストのかかる提案です。 必要なセキュリティの専門知識を持つ Web 開発者は比較的まれです。 これらの開発者は、このような専門知識を持たない同僚よりも高い給与を求めることができます。

また、さまざまな Web アプリの悪用に対するコーディングは、1 回限りの提案ではありません。 新規または変更された悪用が既知になると、チームはセキュリティ コードを常に維持および更新する必要があります。 セキュリティの専門家は、あなたのWeb開発チームの恒久的なメンバーとなり、予算の恒久的な項目になるべきです。

Azure Web アプリケーション ファイアウォールは無料ではありません。 ただし、これは、フルタイムの Web セキュリティ専門家のチームを採用するよりもコスト効率の高いソリューションである場合があります。

Web アプリの開発時間の制約がある

多くの Web 開発チームは、すべての OWASP 悪用に対して社内でコードを作成します。 しかし、これらのチームのほとんどは、このコードを作成して維持することは手間がかかり、時間がかかることにすぐに気付きます。 新しい Web アプリを起動するために厳しい期限を満たそうとしている場合、すべての OWASP 悪用からアプリを保護するために必要な何千時間もの時間が大きなハードルになります。

Azure Web Application Firewall を使用して、Azure Application Gateway インスタンスまたは Azure Front Door プロファイルを数分で構成できます。

Web アプリを迅速に構築してデプロイする必要がある

多くの Web アプリでは、完全な開発処理は必要ありません。 たとえば、次の 2 種類のアプリについて考えてみましょう。

• 概念実証: アプリは、いくつかの手法、提案、または設計が実現可能であることを証明することのみを目的としています。
• 実用最小限の製品 (MVP):アプリには、将来のバージョンに関するフィードバックを提供する早期導入者が使用できる十分な機能のみが含まれています。

概念実証アプリと MVP Web アプリの両方が、迅速に作成およびデプロイされるように意図されています。 このような場合、一般的な悪用に対して手動でコードを記述しても意味がありません。 これらのアプリは引き続き悪意のあるアクターから保護する必要があるため、Web アプリケーション ファイアウォールの背後に配置するのが理にかなっています。

あなたのウェブアプリのローンチは非常に注目されるでしょう

マーケティング チームは、すぐにto-beリリースされる Web アプリを強く宣伝していますか? 彼らは、リリース前にアプリへの関心を高めるために、複数のソーシャルメディアプラットフォームにメッセージを投稿していますか? これは素晴らしいことですが、アプリのリリースに関心がある他のユーザーを知っていますか? アプリに対していくつかの一般的な攻撃を開始して、アプリのリリースを中断しようとする可能性のある悪意のあるユーザー。

中断を回避するには、Azure Web Application Firewall を使用して Web アプリを保護することが理にかなっている場合があります。