Azure WAF あじゅーる わふ
簡単に言うとこんな感じ!
Azure WAFは、マイクロソフトのクラウド(Azure)上でWebサイトやAPIを悪意ある攻撃から守る「デジタルの用心棒」だよ。SQLインジェクションやクロスサイトスクリプティングなど、よくある攻撃パターンを自動で検知・ブロックしてくれるんだ!
Azure WAFとは
Azure WAF(Azure Web Application Firewall) は、Microsoft Azureが提供するマネージド型のWebアプリケーションファイアウォールサービスです。Webアプリケーションを標的にした代表的な攻撃(SQLインジェクション、XSS、パストラバーサルなど)をHTTP/HTTPSレイヤーで検知・遮断することを目的としています。
Azure WAFは単独のサービスではなく、Azure Application Gateway(Webトラフィックの入り口となるロードバランサー)やAzure Front Door(グローバルCDN・ロードバランサー)、Azure CDNなどのサービスと組み合わせて動作します。自前でWAFソフトウェアを管理・アップデートする必要がなく、Microsoftがルールセットを継続的にメンテナンスしてくれる点が、ビジネス部門にとっての最大の魅力です。
発注側・意思決定側として押さえておくべきポイントは、「Webサービスを公開するなら、WAFは選択肢ではなく必須の検討事項」という点です。クレジットカード情報や個人情報を扱うサービスではPCIDSSやGDPRなどの規制対応にも直結するため、Azure WAFの導入有無はシステム選定段階で確認すべき事項です。
Azure WAFの仕組みと構造
Azure WAFは、受信したHTTPリクエストをルールセットと照合し、攻撃パターンと一致した場合にブロックまたはアラートを発します。
| 構成要素 | 役割 |
|---|---|
| ルールセット(Managed Rules) | OWASPが定義する攻撃パターンをもとにMicrosoftが管理するルール群 |
| カスタムルール | 特定のIPアドレスや地域、ヘッダー条件などを管理者が独自に定義するルール |
| ポリシー | ルールセット+カスタムルールをまとめた設定単位。複数のリソースに適用可能 |
| 動作モード | 検知のみ行う「検出モード」と実際にブロックする「防止モード」の2種類 |
| ログ・監視 | Azure Monitor / Log Analytics と連携してアクセスログ・ブロックログを記録 |
動作モードの使い分け
| モード | 挙動 | 典型的な用途 |
|---|---|---|
| 検出モード(Detection) | 攻撃を検知してもブロックせずログに記録のみ | 導入初期のチューニング期間 |
| 防止モード(Prevention) | 攻撃と判定したリクエストを即座にブロック | 本番稼働時の通常運用 |
OWASPルールセットとバージョン
Azure WAFが標準で採用している OWASP Core Rule Set(CRS) は、世界標準のWebセキュリティガイドラインを策定する非営利団体OWASPが公開するルール集です。
| バージョン | 特徴 |
|---|---|
| CRS 3.2 | 現在の推奨バージョン。誤検知率の低減が改善 |
| CRS 3.1 | 安定版として広く使われてきた旧バージョン |
| CRS 3.0 | レガシー。新規導入では非推奨 |
歴史と背景
- 2010年代前半 — クラウド普及に伴い、WebアプリをオンプレミスのWAFなしでインターネット公開するケースが増加。標的型攻撃・SQLインジェクションによるデータ漏えい事件が多発
- 2016年 — MicrosoftがAzure Application GatewayにWAF機能を統合して提供開始
- 2019年 — Azure Front DoorにもWAFポリシーを適用できるよう機能拡張。グローバル展開するサービスへの対応が強化される
- 2020年 — WAFポリシーの一元管理機能が強化され、複数リソースへの統一ポリシー適用が容易に
- 2021年〜現在 — CRS 3.2への対応、Bot保護ルールの強化、レート制限ルールの追加など継続的に機能拡張。Azure DDoS Protectionとの組み合わせによる多層防御が推奨構成として確立
Azure WAFの配置パターンと関連サービス
Azure WAFはどのAzureサービスに乗せるかによって守備範囲が変わります。
主要な競合・比較サービス
| サービス | 提供元 | 特徴 |
|---|---|---|
| Azure WAF | Microsoft | Azureサービスと深く統合。OWASP CRSベース |
| AWS WAF | Amazon | AWSネイティブ。CloudFront/ALBと連携 |
| Cloud Armor | GCP向け。機械学習ベースのアダプティブ保護 | |
| Cloudflare WAF | Cloudflare | CDN一体型。マルチクラウド対応が強み |
| Imperva WAF | Imperva | オンプレ・クラウド両対応の老舗WAFベンダー |
Azure WAFが守る主な攻撃カテゴリ
| 攻撃カテゴリ | 概要 | OWASPランキング |
|---|---|---|
| SQLインジェクション | データベース操作コマンドを埋め込む攻撃 | Top 3 |
| XSS(クロスサイトスクリプティング) | 悪意あるスクリプトをページに埋め込む攻撃 | Top 3 |
| パストラバーサル | 許可されていないファイルへのアクセス | Top 10 |
| プロトコル攻撃 | 不正なHTTPリクエストによる攻撃 | Top 10 |
| Botトラフィック | 自動化ツールによるスクレイピング・総当たり | Bot管理ルール |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 7235 | HTTP認証フレームワーク(WAFが認証周りの攻撃を検知する際の基礎) |
| RFC 7230 | HTTPメッセージ構文(WAFがリクエストを解析する際の仕様基盤) |
| RFC 7239 | Forwarded HTTPヘッダー(WAF経由時の送信元IP記録に関連) |
関連用語
- WAF(Webアプリケーションファイアウォール) — HTTPレイヤーでWeb攻撃を防ぐファイアウォールの総称
- Azure Application Gateway — AzureのWebトラフィック向けロードバランサー。WAFを内包できる
- Azure Front Door — Azureのグローバルエントリーポイント。CDN・WAF・ロードバランシングを統合
- OWASP Top 10 — Webアプリケーションの重大な脆弱性トップ10を定義する業界標準ガイドライン
- SQLインジェクション — データベースへの不正なSQLコマンド挿入攻撃
- XSS(クロスサイトスクリプティング) — Webページに悪意あるスクリプトを埋め込む攻撃手法
- DDoS攻撃 — 大量のトラフィックでサービスを停止させる分散型サービス妨害攻撃
- ゼロトラストセキュリティ — 「何も信頼しない」を前提とした現代的なセキュリティ設計思想