Cloudflare

10分でWAF導入?調達なし!今すぐCloudflareでサイトを守ろうー コラム ー
2019年6月21日号


10分でWAF導入?調達なし!今すぐCloudflareでサイトを守ろう

こんにちは。私は普段、お客様向けにWeb Application FirewallやDDoS対策などの導入提案をさせて頂いています。今回は、クラウド型WAF導入の手軽さや迅速さについて、当社で取り扱っているCloudflareをベースにお話したいと思います。
10分でWAF導入?

Cloudflare導入

「自身が管理するWAF未導入サイトで脆弱性を発見した」「導入済みWAFのサポート終了を目前に控えている」など、迅速にWAFを導入したいケースはあるのではないでしょうか。また、誰だって出来るだけ労力をかけずに導入したいはずです。 Cloudflareでは、ハードウェア調達、設置、既存ネットワークの変更などが不要なため、最短で10分~1時間程度とたいへん短い時間で導入することも出来ます。 仕組みとしては、DNSの登録内容を変更し、該当のURLへアクセスするとCloudflare経由でアクセスされるようにします。

【Cloudflare導入前】

Cloudflare導入前


【Cloudflare導入後】

Cloudflare導入後

上記のように、既存サイトのホスト名に対する別の名前を定義し、アクセスをCloudflareへ誘導します。イラストのイメージの通り、既存設備への大きな変更はありません。




導入手順
最短の導入手順の概要を説明致します。

1.サインアップとCloudflare上のドメイン定義(お客様作業)
まずお客様ご自身でCloudflareへサインアップして頂き、そのウィザードの流れで新しいドメインを定義します。当社ではエンタープライズプランを提供していますが、まずはフリープランにてデプロイして頂きます。「無料なだけに一時的とはいえ心配」と思われた方もいるかもしれませんが、この時点ではまだDNSを変更しないため、通信には影響しません。切り替えに備えて環境を準備しているだけです。

2.エンタープライズプランへのアップグレード(当社作業)
当社へご連絡頂き、当社からCloudflare社へ依頼しエンタープライズプランへアップグレードさせます。エンタープライズプランの事前評価が可能となっていますので、エンタープライズプランへアップグレードしてもすぐに料金が発生することはありません。正式に契約することが前提だったとしても、取り急ぎ事前評価の名目で使い始め、後で正式に契約することが可能です。料金が発生し始めるタイミングは契約時に協議の上決定致します。

3.TXTレコードの登録
メールのやり取りにてDNSサーバへご登録頂くべき情報(TXTレコード)をお伝えします。 当社がお伝えするレコードをDNSサーバへ登録して頂くことでCloudflareがそれを認識し、ステータスがActiveになって通信を受け付けられる準備が整います。

4.通信切り替え
最後にご自身の都合の良いタイミングでDNSサーバへ該当サイトへのCNAMEを登録し、トラフィックを切り替えます。CNAMEとして登録すべき内容も当社にてサポート致します。

・導入手順まとめ(全てのお客様作業は当社がサポート致します)

導入手順まとめ

実際にはもっと時間をかけて導入し設定のチューニングも当社へご依頼頂くケースが多いのですが、場合によってはあっという間に終わってしまう程導入プロセスが簡単である旨を説明するため記事を投稿させていただきました。



さいごに
IPA発表の「情報セキュリティ10大脅威」では、「脆弱性対策情報の公開に伴う悪用増加」が、ここ数年ランクインしています。公開される既知の脆弱性情報を悪用し、攻撃が行われている訳です。脆弱性に該当したOSや、アプリケーションのパッチを、きちんと適用していれば防ぐことができたはずの被害も多くなっています。しかし、それが難しいことも理解できます。使用中の様々なプロダクトの脆弱性情報をリアルタイムに把握し、迅速に適用することは体制やシステムへの影響懸念の観点から不可能に近いと考えられます。CloudflareのWAFで防御することでRule(攻撃のパターンファイル)が自動でアップデートされ、常にセキュアに保つことが出来ます。手動や定期実行でのアップデートや選別は必要ありません。皆さんが管理するWebサイトで使用するOSやパッケージソフトウェア等において脆弱性が発見され、対応を急がねばならないケースがあるかもしれません。また、脆弱性に該当せずとも、日々発表される新しい脆弱性の該当・非該当を確認するプロセスそのものが別の業務を圧迫することもあろうかと思います。Cloudflareなら迅速に導入することができ、またメンテナンスも軽減されます。






角田貴寛

 執筆者:角田 貴寛

三井情報株式会社
ソリューション技術本部 次世代基盤第二技術部 第一技術室
CISSP、CEH
現在、セキュリティ関連調査研究・教育業務に従事