HTTP/2対応とWAFの導入
WAF導入によるセキュリティ対策と高速化の一石二鳥を狙う
前回の記事では、サーバー証明書の最近の動向として、Googleが推進する「HTTPS Everywhere」、および、ブラウジング速度を向上させる「HTTP/2技術」、HTTP/2対応のためには、「サーバー証明書が必須」であることについてご紹介しました。
構築済みのWebサイトをHTTP/2対応とするためには、WebサーバーソフトウェアをHTTP/2に対応したバージョンに上げる、もしくは、HTTP/2に対応したモジュールの適用が必要となります。その上で、設定ファイルの編集と再起動を行うだけでHTTP/2対応になります。また、前回お伝えしたとおり、サーバー証明書の導入も必要です。
Webコンテンツの変更は必要ないため、新しくWebサイトを構築するのであれば、最初からHTTP/2対応のWebサーバーソフトウェアを用いることにより、作業は本当にシンプルなものになるでしょう。反対に、既存のWebサイトをHTTP/2に対応させるためには、多少なりとも作業が必要になります。このため、十分な作業時間がとれない状況や、スキルが不足していて簡単にはできないといったことがあるかもしれません。
こういう時に検討いただきたいことは、WAF(Web Application Firewall)の活用です。
本来のWAFの役割は、Webサイトの脆弱性を突いた攻撃を遮断することです。脆弱性を悪用され不正アクセスを許し、結果として、顧客情報が漏えいしたといった事件は、後を絶ちません。こうした事件の内、一般にニュースとして流れるのは、漏えいの件数が多い場合や、比較的有名な企業で発生した場合だけですが、お客様と会話していると、実際には、多くの企業が攻撃を受けていると感じます。Webサイトの脆弱性を突いた攻撃は、今や対策が講じなければならない深刻な脅威です。
WAF 製品の中でも、昨今では、クラウド型WAFの普及が進んでいます。お客様のWebサービスが自社のデータセンターだけではなく、クラウドサービスも併用するなど多様化した環境で利用されることが増えているためです。クラウド型WAFでは、クラウド上に存在するサーバーを経由することでサービスの設置場所を選ばず適用することができるのです。
クラウド型WAFでは、複数の拠点のデータセンターによって全世界のお客様のWebサーバーを守っています。その複数のデータセンターを活用しお客様のWebコンテンツをスマートにキャッシュし効率よく配信するCDN(コンテンツデリバリネットワーク)機能や、各拠点によってDDoS攻撃を防御するDDoS緩和機能が追加されているWAFサービスも存在しています。加えてWAFサービスにてHTTP/2 に対応している場合には、お客様のサーバーを個別にHTTP/2化しなくても、迅速にHTTP/2 に対応させることができるのです。
サイバートラストのWAF Plusというクラウド型WAFサービスでは、本来のWAF機能に加えDDoS緩和機能、CDN機能を搭載し、HTTP/2も利用できます。これにより、お客様のオリジンはHTTP/1.1のままであっても、エッジでHTTP/2に対応します。ユーザーはオリジンでなくエッジサーバーにアクセスするわけですから、安心且つ快適にページが描画されるHTTP/2がユーザー側で実現されるのです。
なお、HTTP/2にはサーバー証明書が不可欠なわけですが、サイバートラストは認証事業者(証明書を発行する事業者)のため、WAFサービスにセットで提供することができます。これによって、WAFサービスと証明書のサポートを同時に受けることができますし、お客様での証明書の管理作業が軽減されるという特徴もあります。
常時SSLが到来する中で、HTTP/2が普及するのは時間の問題です。また、Web脆弱性を突いた攻撃が高度化し、頻発している状況において、WAFサービスの導入を検討されてはいかがでしょうか。