コンテンツ
WAFとは~ウェブアプリケーションへの不正侵入を防ぐためのシステム~
「WAF(ワフ)」とは、「Web Application Firewall」の略称で、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。
WAFでは、攻撃への検知に「シグネチャ」を使用します。
「シグネチャ」とはアクセスのパターンを記録したもので、WAFはWebアプリケーションへのアクセスのパターンをシグネチャを用いて照合し、通信の可否を判断します。
なお、サーバー向けセキュリティ全般については、下記コラムにて特集しておりますので合わせてご覧ください。
WAFはなぜ必要?WAFの必要性について解説!
セキュリティ対策には、WAFの他にも「ファイアウォール」や「IDS」「IPS」などがよく知られています。その中で、なぜWAFが必要となるのでしょうか。
Webアプリケーションには脆弱性がある
一般に公開され、誰もがアクセスできるWebサイトは、それゆえにサイバー攻撃の対象となりやすい危険性をはらんでいます。
Webアプリケーションの仕組みは年々複雑化しており、さまざまなシステムとの連携が進んでいます。しかし、それゆえに思いがけない脆弱性が生まれてしまうことがあります。
このような脆弱性をついたサイバー攻撃も多様化し、手口も巧妙になっています。
WAFにしかブロックできない領域がある
WAFとともにセキュリティ対策に高い効果を発揮するファイアウォールやIDS・IPSですが、それぞれが対応できる攻撃の種類は異なります。
WAF以外のセキュリティ対策ではWebアプリケーションへの対応が難しいこともあるため、WAFが必要となるのです。
WAFの役割は?機能や種類、仕組みを詳しく解説!
WAFには、大きく分けて次のような機能があります。
通信の監視と制御
WAFは通信を監視し、アクセスがあるたびにシグネチャを用いて通信の許可/不許可を決定します。
通信を許可しないパターンを記録しておいて該当する通信をブロックする方式をブラックリスト方式、通信を許可するパターンを記録し該当する通信を許可する方式をホワイトリスト方式といいます。
シグネチャの自動更新
クラウド型のWAFの場合、シグネチャが定期的に自動更新されます。
これにより、新たなサイバー攻撃に対しても迅速に対応できます。
Cookieの保護
サイバー攻撃の中にはCookieを標的としたものが多くあります。
WAFにはCookieの保護機能が実装されています。
特定URLの除外やIPアドレスを拒否する
WAFでは警戒が不要なURLのみを防御対象から除外することができます。
また、特定のIPアドレスからの通信をブロックすることができます。
ログを収集しレポートを出力する
検出された不正な通信はログ機能やレポート機能によって閲覧でき、セキュリティ対策の強化に役立ちます。
次に、WAFの種類についてみていきましょう。
クラウド型
「クラウド型」は、事業者が用意するサービスをクラウドで利用する形態です。「サービス型」とも呼ばれます。
専用機器が不要で導入までの時間が短く済むので、最も導入コストが安く、導入しやすい方法といえるでしょう。
デメリットとして、カスタマイズがしづらいこと、サービスの提供者側でシステムやネットワークの障害がおこるとその影響を受ける可能性があります。
ソフトウェア型
Webサーバーにソフトウェアをインストールし、通信内容を形態する方法で、「ホスト型」とも呼ばれます。
専用機器を必要とせず、低コストで導入できます。
ただし、Webサーバーごとにソフトウェアをインストールする必要があるため、複数のWebサーバーを保護したい場合は「アプライアンス型」のほうがコストをおさえられることがあります。
アプライアンス型
「ゲートウェイ型」または「ネットワーク型」とも呼ばれ、ネットワーク内にWAFの専用機器を設置して通信内容を監視します。
Webサーバーから独立して設置するので、Webサーバーに負荷がかかりません。また、設定を柔軟に行うことができます。
「ソフトウェア型」「クラウド型」とくらべると導入・運用のコストは高くなります。
「アプライアンス型」は柔軟で強固なセキュリティ対策ができますが、専門知識を持った情報システム担当者が必要となります。そのため、大規模な情報システムに向いているといえるでしょう。
WAF導入によるメリットとは?防御できる攻撃もご紹介!
WAFを導入することで、もしサイバー攻撃を受けてもWAFが防いでくれます。
さらに、サイバー攻撃によって被害が出てしまっても、WAFを導入していれば迅速に対応でき、Webサイトを復旧することができます。
サイバー攻撃を受けても、運用上の理由でメンテナンスに時間をかけられなかったり、Webアプリケーションを修正できないといったことがおこります。
このような場合でもWAFを導入していれば、稼働中のWebに対する影響を極力抑えながらセキュリティ対策をすることができます。
次に、WAFを導入することによって防御できる攻撃をみていきましょう。
パスワードリスト攻撃
多くの人は、複数のサイトで同じログインID、パスワードを使用しています。
「パスワードリスト攻撃」はこの状況を悪用したもので、他のサイトで入手したログイン情報を利用して不正にログインを行います。
WAFには、このようなパスワードリスト攻撃への防御機能があります。
POODLE攻撃
「POODLE攻撃」は、パスワードやCookieにアクセスし、Webサイト上にあるユーザーの個人情報を盗み出す攻撃です。
XSS(クロスサイトスクリプティング)攻撃
掲示板や入力フォームのあるサイトに不正なスクリプトを挿入して、マルウェアに感染させるサイトに誘導する攻撃です。
SQLインジェクション攻撃
データベースと連動したWebサイトで、設置された入力フィールドに特定のコマンドを入力させ、データベースを操作する攻撃で、データベースの情報を盗み出します。
ディレクトリ・トラバーサル(パストラバーサル)
ファイル名をあつかうようなプログラムに対し、特殊な文字列を組み込んでディレクトリをさかのぼることで、アクセスが禁止されているディレクトリにアクセスします。
これにより個人情報や機密情報を盗み出します。
DoS攻撃、DDoS攻撃
「DoS攻撃」「DDoS攻撃」は、WebサイトやWebサーバの機能を停止させたり、不正にポートスキャンを行います。
これらの攻撃は、Webサイトの脆弱性につけこんだ攻撃であるため、WAFを導入することによって防御することが可能です。
徹底比較!WAFはIDS・IPS・ファイアウォールとの違い
WAFと同じようにセキュリティ対策をしているものに「ファイアウォール」「IDS」「IPS」があります。
これらとWAFにはどのような違いがあるのでしょうか。
ファイアウォール
ファイアウォール(Firewall)は、ネットワークレベルのセキュリティ対策です。
通信における送信元と送信先の情報を元にして、アクセスを制御します。
ファイアウォールは社内でのみ使用する情報システムへのアクセスを制御することはできますが、外部に公開するWebアプリケーションのセキュリティ対策はできません。
また、正常な通信を装った攻撃に対応することができません。
IDS・IPS
IDS(Intrusion Detection System)は不正侵入検知システムとも呼ばれ、異常な通信を検知します。
IPS(Intrusion Prevention System)は不正侵入防止システムとも呼ばれ、異常な通信を検知すると自動的にネットワークを遮断します。
Webアプリケーションへの攻撃は多様化しており、IDS・IPSでは検知できないような場合でも、WAFを導入することで詳細に検知できます。
WAFを導入する際のポイントをチェック!
最後に、実際にWAFを導入するときに、比較するポイントについてみていきましょう。
費用対効果
WAFには無料で利用できるオープンソースのものから、導入費・運用費がかかるものまで、さまざまなサービスがあります。
自社が必要とするセキュリティのレベルをよく検討し、見合ったサービスを導入しましょう。
WAFの種類
WAFには大きく「ソフトウェア型WAF」「アプライアンス型WAF」「クラウド型WAF」があります。
自社のWebサイトの運用形態やシステム管理者の有無によっても選択肢はかわるでしょう。
サポート体制
万が一サイバー攻撃を受けてしまった時にどのような対応が期待できるのか、電話やメールによる問い合わせが可能かなど、導入後のサポート体制も重要な要素です。
しっかり確認して検討しましょう。
Webアプリケーションの仕組みは年々複雑化しており、サイバー攻撃の手口も増え、多様化しています。
セキュリティ対策はその種類によって対応できる攻撃の種類が異なり、 Webアプリケーションに特化したセキュリティ対策として、WAFの必要性が高まっています。
その特性を理解し、他のシステムとうまく組み合わせて導入することが必要となるでしょう。
セキュリティに強いシステム開発を行うには?
「WAF」について、ご説明させて頂きました。
クラウドサーバーは非常に便利ですが、セキュリティの対策をおろそかにすることはできません。
Samuraiでは、システムの構築に精通しており、構想段階からの相談が可能です。ご要望に合わせた提案も可能です。ぜひお気軽にお問い合わせください。
この記事を書いた人
