ICT Digital Column

ICTビジネスに役立つ様々なノウハウ・サービス情報をお届けします

【比較表】WebサイトのセキュリティにWAFが必要な理由を解説

  • セキュリティ
  • WAF
このエントリーをはてなブックマークに追加

WAF(ワフ)とはWeb Application Firewall(Webアプリケーションファイアウォール/以下WAF)の略語になり、FW(ファイアウォール/以下FW)やIPS/IDSなど他のセキュリティ製品では守ることのできない攻撃を検知・遮断するWebアプリケーションの保護に特化したセキュリティ製品です。
近年、サイバー攻撃によるセキュリティリスクが高まり、Webサイトのセキュリティ向上は必要不可欠なものとなりました。
一般的にセキュリティ製品としてはFWがよく知られていますが、WAFについてはあまり認知がされておらず、その他のセキュリティ製品との違いや特長についてはまだ広く浸透していないように思われます。
今回はWAFの役割と仕組み、そしてWAFが必要な理由を紹介します。

目次

WAFの役割と仕組み

WAFは冒頭に記載したようにWebアプリケーションの防御に特化したセキュリティ製品です。
保護の基本となる仕組みは、WAF内には「シグネチャ」と呼ばれる不正な攻撃のパターンをまとめた定義ファイルが存在しています。
WAFではWebアプリケーションが宛先のHTTP/HTTPSの通信の内部に、シグネチャに該当する攻撃パターンが存在した場合にその通信を攻撃と判断し、検知や防御することができます。
Webアプリケーションへの攻撃パターンは日々更新されていきますので、その度に新しい攻撃パターンを記録した定義ファイルに更新し続ける必要があります。

WAFが防御できる攻撃

WAFが防御できる攻撃は主に次のリストになります。

  • バッファオーバーフロー
  • クロスサイトスクリプティング
  • SQLインジェクション
  • DDoS攻撃

これらは、Webアプリケーションを対しておこなわれる攻撃です。
WAFはハードウェアとして、アプリケーションサーバの直前に設置されるため、このような攻撃に対処できます。

WAFを導入するメリット

導入する主なメリットは、Webアプリケーションの脆弱性に対処できる点です。Webアプリケーションは、他のシステムと連動することでプログラムが複雑化します。その結果セキュリティ面の脆弱性が生まれ、悪意ある攻撃を受けてしまう可能性が高まります。

しかし、WAFであれば、Webアプリケーションへの攻撃を防ぐことができます。WAFには一般的なセキュリティ対策とは異なる「事後対策」というメリットもあります。
通常のセキュリティ対策は、攻撃を未然に防ぐことに重きを置いていますが、WAFの場合、攻撃を受けたとしてもその被害が拡大しないようにブロックできるという特長があります。
ただし、WAFはWebアプリケーションへの一時的に攻撃を凌ぐことはできますが、Webサーバー側の脆弱性に対しては、別のセキュリティ対策をすることが重要です。

FWやIDS/IPSではWebサイトを完全に保護できない

上記で説明したようにWAFはあくまでもWebアプリケーションに対する攻撃に特化したセキュリティ製品です。
一方、WAFと似たようなセキュリティ製品としてFWやIDS/IPSが挙げられます。
これらのセキュリティ製品はお互いが補完関係となっており、強固なセキュリティシステムの構築のためにはFWやIDS/IPS、WAFを組み合わせる必要があります。

FWで対応できるセキュリティ範囲と特長

FWはIPやポート単位の攻撃に対し、ネットワーク層で防御を行うことに特化しています。
ただし、FW自体がアクセスの正常・不正を判断するのではなく、あくまでも人が設定したルールに基づきアクセスを透過・遮断します。
FWは通信の中身までは確認せず、正常な通信に偽装した80番や443番ポートなどへの攻撃には対処しきません。
そのため、FWだけではWebサイトを守ることは困難です。

IPS・IDSで対応できるセキュリティ範囲と特長

IDS/IPSはDos攻撃などのOS・ミドルウェア・プラットフォームレベルなどへの攻撃を防御することに特化しています。
IDSは「Intrusion Detection System」を意味しており、「不正侵入検知システム」と言われています。不正アクセスと判定した通信を検知し、管理者へ通知します。
一方、IPSとは「Intrusion Prevention System」の意味で、「不正侵入防止システム」とも呼ばれます。IDSが不正なアクセスを検知するのに対して、IPSは不正なアクセスの侵入を遮断するのが特長です。

WAFの種類と特長を比較

WAFには次の図に記載のようにクラウド型、ソフトウェア型、アプライアンス型の3つの種類が存在します。

型名 メリット デメリット
クラウド型 専門的なスキルが不要
初期費用・運用コストが安い
すぐに導入できる
他Webサイトとリソースを共有
サービスによってはサイトの特性に合った細かいセキュリティルールが設定不可
導入後のサポートが不安
ソフトウェア型 低コスト
カスタマイズ性がある
専用機器が不要
複数サーバーで運用すると高コスト
専門的な運用スキルが必要
維持・運用コストが必要
アプライアンス型 独自のWAFシステムを構築できる
サーバーの性能に関係しない
サーバー数が多いとコスパが良い
高コスト
専門的なスキルが必要
設置スペースが必要

運用者のスキルやコストに応じて状況に適した種類のWAFを選択することが必要となりますが、それぞれ種類においてどのような特長があるのかをあらかじめ知っておくことが大切です。

クラウド型WAFの特長

クラウド型WAFはその名の通り、クラウド上で仮想的なアプライアンスとして動作するWAFです。
その他のWAFでは、セキュリティの専門家による運用が必要なため運用にスキルが必要でしたが、複雑な設定やシグネチャの更新はベンダーによって行われるため、運用にスキルが必要ないことが大きなメリットとしてあげられます。
また、高額なアプライアンス製品を購入する必要もなく、運用方法を勉強する教育コストもかからないため他のWAFに比べて初期料金と運用コストを抑えることが可能です。

24時間365日の有人監視でWebサイトの改ざん・情報漏えいを守るクラウドWAFセキュリティ

ソフトウェア型WAFの特長

ソフトウェアをWebサーバーに導入することにより動作するWAFです。
ソフトウェア型のWAFの特長としては、まずクラウド型WAFと同様、高額なアプライアンス製品を購入する必要がないため、初期料金が抑えられることです。
初期設定やチューニングについては自分で行わなければならない分、カスタマイズ性があることがメリットとして挙げられます。

アプライアンス型WAFの特長

アプライアンス型のWAFはその名の通りアプライアンス製品として存在するWAFのことです。ソフトウェア型WAFのように既存のWebサーバーに導入する必要がないため、Webサーバーのリソースを使用する必要がなく、初期設定やチューニングについては自分で設定できるため、カスタマイズ性があります。
また、最大のメリットは独自にWAFを運用できるため、管理者によってよりセキュリティを高めることができることです。

低コストで簡単に導入できるNTTPCのクラウドWAFがオススメ

WAFを導入するにあたってオススメなのが、やはり低コストで簡単に導入できるクラウドWAFです。
なかでもNTTPCのクラウドWAFなら、WAFに加えて、FW、IDS/IPSをワンストップで提供。さらに、24時間365時間の有人監視によるセキュリティ運用も付帯しているので、より強固にサイトの安全を守り、また、Webセキュリティに関する日々の運用軽減も期待できます。

24時間365日の有人監視でWebサイトの改ざん・情報漏えいを守るクラウドWAFセキュリティ

まとめ

WAFはそれぞれの特長を把握した選択が大切になってきます。
ファイアウォール、IDS/IPS、WAFそれぞれの担当レイヤを考慮し、バランスよく組み込むことによりセキュリティレベルの高いシステムの構築を目指すことが大事となります。
また、3種類のWAFのそれぞれの特長を把握して状況に応じたWAFの選択が、セキュリティレベルのみならず、運用やコストの削減にもつながります。

※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。

関連のオススメ記事