WAFとは? セキュリティ向上に必要な理由、種類や仕組みをわかりやすく解説
既存のファイアウォールやIDS/IPS では保護することが難しい、Webアプリケーションを保護することのできるWAF(Web Application Firewall)。今回はWAFとはどういうものか、どのような攻撃に有効なのかなどを解説するとともに、WAFサービス選択する際のポイントについても解説します。
- 目次
WAFとは?
WAF(Web Application Firewall、ワフ)はWebアプリケーションの保護に特化したセキュリティ対策です。従来のファイアウォールやIPS/IDSなどのセキュリティ製品では守ることのできない攻撃を検知・遮断し、Webアプリケーションを保護することができます。
WAFはWebアプリケーションがやり取りするデータを監視することで保護を行うため、通常はファイアウォールとWebサーバーとの間に設置します。
WAFの必要性
近年、Webアプリケーションは、ほかのシステムと連動して動作するなど高度化・複雑化の一途をたどっています。その結果、セキュリティ面のぜい弱性が生じ、悪意ある攻撃を受けてしまう可能性が高まっています。また、Webアプリケーションの様々なぜい弱性を狙うなど、攻撃も多様化しています。こうした攻撃に対処するためにも、WAFを導入する必要性があるのです。
IPA(独立行政法人 情報処理推進機構)の集計によれば、2024年4月~6月におけるぜい弱性関連情報の届出件数は合計19,011件で、うちウェブサイトに関するものが13,177件と、約7割近くに達していることからもWebアプリケーションのセキュリティ対策が重要な課題であることが分かります。
参考:IPA「ソフトウェア等の脆弱性関連情報に関する届出状況[2024年第2四半期(4月~6月)]」
また、WAFはほかの一般的なセキュリティ対策とは異なり、「事後対策」が可能である点も重要です。従来のセキュリティ対策では、一般的に「攻撃を未然に防ぐ」ことに重きを置いてきました。しかし、WAFでは、万一攻撃を受けた場合でも、攻撃によって生じる被害の拡大を防ぎ、被害を最小化できるという特長があります。
以上のような理由から、Webアプリケーションのセキュリティを向上するためにはWAFの導入が必要不可欠ということができるでしょう。
WAFとIDS/IPS、ファイアウォール(FW)の違い
WAFと同様にWebサーバーを守るセキュリティ対策として「IDS/IPS」「ファイアウォール(FW)」があります。簡単にいうと、WAFが高階層と呼ばれるWebアプリケーションを保護するのに対し、IDS/IPSはミドルウェアからOSの中階層を、ファイアウォールはOSからネットワークの低階層を保護します。
これらのセキュリティ製品はお互いが補完関係となっており、強固なセキュリティシステムを構築するためにはWAF、IDS/IPS、FWを組み合わせることも重要です。
WAFとIDS/IPSの違い
IDS/IPSは、Dos攻撃などのOS・ミドルウェア・プラットフォームレベルなどへの攻撃を防御することに特化しています。IDSは「Intrusion Detection System」を意味しており、「不正侵入検知システム」といわれています。不正アクセスと判定した通信を検知し、管理者へ通知します。
一方、IPSとは「Intrusion Prevention System」の意味で、「不正侵入防止システム」とも呼ばれます。IDSが不正なアクセスを検知するのに対して、IPSは不正なアクセスの侵入を遮断するのが特長です。
IPS/IDSともに不正アクセスからWebサーバーを守る機能を持ちますが、Webアプリケーションを標的とし、多様化した攻撃を防ぐには不十分なケースも増えてきました。そこで、Webアプリケーションに特化したWAFの重要性が増しているのです。
WAFとファイアウォール(FW)の違い
FWはIPやポート単位の攻撃に対し、ネットワーク層で防御を行うことに特化しています。
ただし、FW自体がアクセスの正常・不正を判断するのではなく、あくまでも人が設定したルールに基づきアクセスの透過・遮断を判断します。
FWは通信の中身までは確認せず、正常な通信に偽装した80番や443番ポートなどへの攻撃には対処しきません。そのため、FWだけではWebサイトを守ることは困難です。
WAFの種類
WAFには、形態別に「ソフトウェア型WAF」「アプライアンス型WAF」「クラウド型WAF」の3種類があります。それぞれ特長が異なりますので、自社の状況に応じてまずはどの種類のWAFを導入するかを決定しましょう。
種類 | クラウド型WAF | ソフトウェア型WAF | アプライアンス型WAF |
---|---|---|---|
導入方法 | 各ベンダーからサービスの提供を受ける | Webサーバーにソフトウェアを インストール |
専用のハードウェアを設置 |
料金 | 比較的安価 | 比較的安価 | 比較的高価 |
メンテナンス | ベンダー側で行うため不要 | 一般的に自社で行う | 一般的に自社で行う |
クラウド型WAF
クラウド上でWAFのサービスを受ける形態が「クラウド型WAF」です。特別な機器やソフトウェアを購入する必要がなく、すぐに導入できる点がメリットです。また、更新やメンテナンスもベンダー側で実施するため、自社スタッフの運用・管理負担が小さいという点も見逃せません。サービスによっては多層防御などWAF以外の機能を備えたものもあり、自社のセキュリティを一気に向上できる可能性もあります。例えばNTTPCの「クラウドWAFセキュリティオペレーションサービス」では、WAFに加えてIPS/DDoS対策など主要なセキュリティ機能も併せて提供しています。
注意点としては、サービスにより提供される機能が異なる点があります。導入する際には、事前に防げる攻撃の種類などについてしっかりと確認しておきましょう。また、サービス提供側にシステム障害やネットワーク障害などが発生した場合に影響を受ける危険性があることも弱点の1つです。
ソフトウェア型WAF
自社でWebサーバーを運用していて、サーバーの能力にも余裕がある場合には、「ソフトウェア型WAF」(ホスト型WAF)の導入を検討しましょう。比較的安価で、既存のWebサーバーにインストールするだけで導入が可能です。一般的にWebサーバー数により購入ライセンス数が決定されるため、通信量が変動する場合などでも料金の見通しが立てやすいというメリットもあります。
ただし、初期設定や運用・保守などは自社で行う必要があります。Webサーバー毎にインストールする必要があるため、特にサーバーの数が多い場合などでは適切な維持管理が課題となることもあるでしょう。また、ソフトウェアや使用状況によってはWebサーバーへの負荷が課題となるかもしれません。
アプライアンス型WAF
WAF専用に作成されたハードウェアを通信経路上に配置する形態が「アプライアンス型WAF」(ゲートウェイ型WAF)です。比較的高価ですが、既存のサーバーに負荷を与えることなくWAFを導入できます。また、設定変更により柔軟な運用が可能であることもメリットです。
ただし、ソフトウェア型WAF同様、初期設定や運用・保守などは自社で行う必要がある点が弱点といえます。柔軟な運用が可能である反面、設定変更や保守作業には高度な知識や技術が必要となる点には留意しておきましょう。
WAFで防げる攻撃の種類
WAFは具体的にはどのような攻撃を防ぐことができるのでしょうか。WAFでは次にあげるような攻撃を防ぐことができます。ただし、WAFのみですべての攻撃からWebサーバーを防御できるわけではありません。WAFでは防ぎきれない攻撃に対策するため、IDS/IPSやFWなどと組み合わせて利用する必要があることに留意しましょう。
SQLインジェクション
「SQLインジェクション」は、データベースへの命令文である「SQL」を使用し、Webアプリケーションのぜい弱性を突いてデータの消去や改ざん、情報漏えいを狙う攻撃です。
ファイアウォールやIDS/IPSでは保護することが困難なこの種の攻撃には、Webアプリケーション層の保護に特化したWAFがうってつけです。
OSコマンドインジェクション
「OSコマンドインジェクション」は、SQLインジェクションと同じように、WebサーバーへのリクエストにOSへの命令文を紛れ込ませ、不正に実行させる攻撃です。サーバー内のファイルの消去や改ざん、情報漏えいなどの被害を受ける可能性があります。
こちらもWebアプリケーションを標的とした攻撃のため、WAFにより防御することができます。
パス名パラメータの未チェック/ディレクトリ・トラバーサル
「パス名パラメータの未チェック/ディレクトリ・トラバーサル」は、外部から寄せられるリクエスト内にWebサーバー内のファイル名を直接指定している場合に、不正なファイルを指定して意図しない処理を行わせる攻撃です。ファイルの消去や改ざん、情報漏えいなどの被害を受ける可能性があります。こちらも、WAFにより被害を防止することができます。
クロスサイトスクリプティング
「クロスサイトスクリプティング」は、Webページを動的に生成するWebアプリケーションのぜい弱性を突いて任意のスクリプトを実行する攻撃です。クッキーの漏出や個人情報の漏えいの被害を受ける恐れがあります。
この種の攻撃は、まさにWebアプリケーションのぜい弱性保護を主目的とするWAFの得意分野といえます。
DDoS攻撃
「DDoS攻撃」(Distributed Denial of Service attack、分散型サービス拒否攻撃)は、Webサーバーに対して過剰な接続要求やデータを送付し、サーバーの停止を狙うサイバー攻撃です。
WAFはWebアプリケーションへの通信やアクセスを監視し、そのうち不正なものを検知・遮断できるため、IDS/IPSと同様にDDoS攻撃への対策として有効です。
バッファオーバーフロー
「バッファオーバーフロー」は、Webサーバーに許容量以上のデータを送りつけ、誤作動を狙う攻撃です。攻撃によりサーバーが乗っ取られ、ほかのサーバーへの攻撃などに悪用される恐れがあります。
WAFによりあらかじめ許容量を細かく設定しておけば、バッファオーバーフロー攻撃を効果的に遮断することができます。
WAFの仕組み
具体的にはWAFはどのような仕組みでWebアプリケーションへの攻撃を防いでいるのでしょうか。実はWAFでは「シグネチャ」と呼ばれる通信のパターンを使用して攻撃を探知しています。
ブラックリスト方式
ブラックリスト方式は、ブラックリストに不正な通信のシグネチャを定義しておき、それに該当する通信を不許可とする方式です。
リストに含まれない正規の通信を妨げることがないというメリットがある反面、新たな攻撃方法が登場した場合にはシグネチャを逐次更新(追加)する必要が生じます。
ホワイトリスト方式
ホワイトリスト方式は、ホワイトリストに許可する通信のパターンを定義しておき、それ以外の通信をすべて不許可とする方式です。
ホワイトリストの作成にはある程度のコストと時間が必要ですが、不正な通信を確実に拒絶できるという利点があります。ただし、リストにない正規の通信まで拒否してしまう可能性もあります。
WAFを導入する時の比較ポイント
実際にWAFを導入するにあたり、数あるサービスの中からどのように自社に適したものを選択すればよいのでしょうか。次に主なポイントを3点あげます。
WAFの種類
WAFには大きく分けて「ソフトウェア型WAF」「アプライアンス型WAF」「クラウド型WAF」の3種類があります。自社のWebサイトの運用形態やシステム担当部署の有無などにより選択する必要があります。
費用対効果
WAFの導入には一般的に初期料金、月額使用料などが必要となります(一部、無料で利用できるオープンソースのWAFなどもあります)。自社が必要とするセキュリティのレベルを決定し、それに見合った性能をもつサービスを選びましょう。
サポート体制
導入後のサポート体制も確認しておきましょう。万一攻撃を受けた場合にどのような対応を受けることができるのか、メールや電話による問い合わせは可能か、などは必須の確認事項でしょう。また、定期レポートなど付加サービスの有無についても確認しましょう。
WAFの導入をおすすめしたい企業・事業内容の一例
ECサイトの信頼性向上を目指す企業には、特にWAFの導入がおすすめです。WAFを導入しておけば、「SQLインジェクション」などデータベースを標的とした攻撃を受けた場合にも通信を遮断し、情報漏えいを防止することができます。
AWS、Azure、オンプレミスサーバーなど、環境の異なる複数サイトを運営しているグループ企業さまにもおすすめです。WAFを導入すれば、環境に関わらずWebサイトのセキュリティ対策を一元的に管理でき、効率的に運用することが可能となります。
また、オンライン証券サイトなどにもおすすめです。WAFを導入することで、顧客の個人情報や売買履歴などのいわゆる「クリティカルなデータ」の漏えいを防ぎ、システムの安定稼働が可能となります。
まとめ
今回はWAFがどのようなものか、またWebアプリケーションをどのような攻撃から保護することができるのかについて解説しました。
Webアプリケーションには今後も多様化、高度化が求められていくことでしょう。この機会に自社のWebアプリケーションのセキュリティ対策についていま一度見直し、必要に応じてWAFの導入も検討してみてはいかがでしょうか。
※AWSは、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。
※Microsoft Azureは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。