コラム

誰にでもわかるWAF・Dockerコンテナ

誰にでもわかるWAF・Dockerコンテナ

解説
株式会社グレスアベイル 取締役CTO 根岸 寛徳
WAFとは?

私たちグレスアベイルは、「WAF(ワフ)」と呼ばれるセキュリティサービスを開発・提供しています。

WAFとは「 Web Application Firewall (ウェブアプリケーションファイアウォール)」の略で、簡単に言うと「Web アプリケーションに特化した防御システム」を意味します。

WAFはWebサーバの前段に設置します。そうすることでWAFがWebサイトへの通信を監視し、Webアプリケーションの脆弱性を衝いた攻撃からWebサイトを防御してくれます。

ファイアウォールとの違いは?

WAF=ウェブアプリケーションファイアウォールと、「ファイアウォール」という言葉が入っているため、「従来型のファイアウォールと何が違うの?」と思う方もいるかもしれません。

両者の違いは明確で、WAFは前述の通り「Web アプリケーションに特化した防御システム」であることに対して、ファイアウォールは「ネットワークへの攻撃を防御するシステム」です。

もう少しかみ砕いて説明しましょう。私たちがインターネットを利用する際、アプリやソフトウェアごとに与えられたポートを用いて通信を行います。ポートは0~65535番まであり、ファイアウォールはこの中で“ポートを特定して制御する”ことでネットワークへの攻撃を防御します。

ただ、ファイアウォールは「通信の中身まではチェックしない」という弱点があります。そのため、ファイアウォールのみを設置している場合は、ポートによる制御はすり抜けてしまい、Webサイトに攻撃を与えるというケースが実際にあります。

そこで重要になるのがWebサイトへの攻撃を監視して攻撃を遮断する「WAF」の存在というわけです。つまり、万全のセキュリティ体制をとるためには、上図のように「WAF+従来型のファイアウォール」と、両者を組み合わせて導入する必要があるのです。

新しい概念でつくられたWAF「GUARDIAX」

弊社は2019年11月に“新しい概念”に基づいて開発したWAF「GUARDIAX」をリリースしました。“新しい概念”とは、クラウドネイティブの思想に基づいており、「Dockerコンテナ型」という技術を導入している点を指しています。

クラウドネイティブとは、様々な見解がありますが、ここでは「クラウドの利点を最大限活用すること」と定義致します。この定義を理解するためには「オンプレミス」と「クラウド」というシステム基盤の構築方法を知る必要があります。

現在、システム基盤を構築する際は、サーバやソフトウェアなどを自社で構築する「オンプレミス」と、AWS(Amazon Web Service)やGCP(Google Cloud Platform)などの大手パブリッククラウドが提供する外部サービスを利用する「クラウド」と、主に2つのパターンがあります。

GUARDIAXは後者のクラウド環境を前提として、そのうえで実行されるアプリケーションまで含め、クラウドに最適化しているのです。では、クラウドに最適化したDockerコンテナ型WAFによって、何が実現できるのでしょうか?

これまで世の中に出回っていたWAFは「アプライアンス型(ソフトウェア型)」「SaaS型」「ホスト型」と、主に3つのタイプがありましたが、これらのWAFには「インストールに時間がかかる」「通信コストが高い」「アクセス遅延が発生する」「クラウド環境でしか利用できないオートスケール機能に未対応」(オートスケールとは、リソース負荷に応じて必要リソースを自動的に増減させる機能のこと)など、さまざまな課題を抱えていました。

私たちがリリースしたDockerコンテナ型WAF「GUARDIAX」は、これらの課題を全て解決することが可能なのです。

そもそも、Dockerコンテナとは?

GUARDIAXを語るうえで最もキーになる技術が「Dockerコンテナ」です。Dockerコンテナとは、Docker社が2013年にリリースした、コンテナ型の仮想環境を提供するオープンソースソフトウェアです。

少し専門的な話になりますが、Dockerコンテナとは、必要なアプリケーション、ミドルウェア、ライブラリ等、実行に必要なものをパッケージ化し、即時動作させることができる仮想化技術です。アプリケーション仮想化技術を用いており、OSを含む必要がないため、起動・停止処理などが早いため、システム資源の負担が小さく、可搬性は高いという特徴があります。

簡単に言えば、上図のようにWebアプリケーションを動かすために必要なものだけをまとめて“コンテナ”として1つにしてしまうことで、「軽量でシンプル」「クラウドと相性がよい」などのさまざまなメリットを生み出す技術です。

なぜ、Dockerコンテナ型WAFは従来のWAFの課題を解決できるのか?

前述の通り、Dockerコンテナ型WAF「GUARDIAX」は、従来のWAFが抱えていた「インストールに時間がかかる」「通信コストが高い」「アクセス遅延が発生する」「オートスケールに未対応」などのさまざまな課題を解決することができます。

なぜ、それが可能になるのでしょうか? それぞれの課題解決について解説しましょう。

「インストールに時間がかかる」を解決する理由

Dockerコンテナとして必要な要素を1つにまとめることでインストールやバージョンアップ/ダウンも簡単に、スピーディにできるようになります。それにより起動も早くなります。

「通信コストが高い」「アクセス遅延が発生する」を解決する理由

Dockerコンテナは「お客様のクラウド環境内」に導入することができます。ここでいうクラウド環境とは、Dockerが動作する環境であれば制約はなく、AWS、GCP、Azure、Alibaba Cloudなどのパブリッククラウドでも、プライベートクラウド(自社内に独自で構築したクラウド環境)でも問題ありません。お客様のクラウド環境内に導入できるため、余計な通信経路が不要になるため通信コストが最小限で済み、ネットワーク的にも近いためアクセス遅延を抑えることができるのです。

「オートスケールに未対応」を解決する理由

Dockerコンテナ型WAFは「お客様のクラウド環境内」に導入することができるクラウドネイティブの発想でつくられたWAFのため、クラウドのメリットであるオートスケールにも対応することが可能です。

“日本初”のDockerコンテナ型WAF

2020年2月現在、Dockerコンテナ型WAFを日本で開発、提供しているのは弊社グレスアベイルのみです。そのため、「GUARDIAX」も“国内唯一”のDockerコンテナ型WAFになります。

従来のWAFで悩みや課題を抱えているユーザーの方は、ぜひ一度ご連絡ください。

GUARDIAX(ガーディアックス)について
詳しくはこちら

取締役 CTO 根岸寛徳
プロフィール メーカー系システムインテグレータにて計7 年間のシステム研究・開発・構築経験を有する。特に大手通信事業者向けプロジェクトにおいて、ミッションクリティカルかつ大規模システムに関する要件定義、設計、開発、運用まで一気通貫して技術リードを行い、成功裡に収めた実績を持つ。 2016 年初頭より当社製品開発に関わり、その後、 2017 年 5 月より当社正式参画。当社製品の開発・実装および顧客への導入サポート等を担当。

関連記事

まだ関連記事はありません。

トップページへ戻る

販売代理店様向け
(お試し版)Web/ネットワーク診断サービス
初回無償キャンペーン!!

販売代理店様よりご紹介のお客様向けに、
グレスアベイルが、お試し版Web/NW診断サービスを初回無償にてご提供いたします。

詳しくはこちら

当社のサービス、サポート、採用に関するお問い合わせやその他のお問い合わはこちらから承ります。
ご希望に添えるよう柔軟にご提案・対応しておりますのでお気軽にこちらよりお問い合わせください。

Contact us