【初心者向け】WAFとは?導入の比較ポイント・防げる攻撃・仕組みを紹介
既存のファイアウォールやIDS/IPS では保護することが難しい、Webアプリケーションを保護することのできるWAF(Web Application Firewall)。今回はWAFとはどういうものか、どのような攻撃に有効なのかなどを解説するとともに、WAFサービス選択する際のポイントについても解説します。
- 目次
WAFとは?
WAF(Web Application Firewall、ワフ)はWebアプリケーションの保護に特化したセキュリティ対策です。従来のファイアウォールやIPS/IDSなどのセキュリティ製品では守ることのできない攻撃を検知・遮断し、Webアプリケーションを保護することができます。
WAFの必要性
近年、Webアプリケーションは、他のシステムと連動して動作するなど高度化・複雑化の一途を辿っています。その結果、セキュリティ面の脆弱性が生じ、悪意ある攻撃を受けてしまう可能性が高まっています。こうしたWebアプリケーションの脆弱性に対処するためにも、WAFを導入する必要性があります。
また、WAFは他の一般的なセキュリティ対策とは異なり、「事後対策」が可能である点も重要です。従来のセキュリティ対策では、一般的に「攻撃を未然に防ぐ」ことに重きを置いてきました。しかし、WAFでは、万一攻撃を受けた場合でも、攻撃によって生じる被害の拡大を防ぎ、被害を最小化できるという特長があります。
以上のような理由から、Webアプリケーションのセキュリティを向上するためにはWAFの導入が必要不可欠と言うことができるでしょう。
WAFを導入するときの比較ポイント
では、実際にWAFを導入するにあたり、数あるサービスの中からどのように自社に適したものを選択すればよいのでしょうか。次に主なポイントを3点あげます。
WAFの種類
後ほど詳しく説明しますが、WAFには大きく分けて「ソフトウェア型WAF」「アプライアンス型WAF」「クラウド型WAF」の3種類があります。自社のWebサイトの運用形態やシステム担当部署の有無などにより選択する必要があります。
費用対効果
WAFの導入には一般的に初期費用、月額使用料などが必要となります(一部、無料で利用できるオープンソースのWAFなどもあります)。自社が必要とするセキュリティのレベルを決定し、それに見合った性能をもつサービスを選びましょう。
サポート体制
導入後のサポート体制も確認しておきましょう。万一攻撃を受けた場合にどのような対応を受けることができるのか、メールや電話による問い合わせは可能か、などは必須の確認事項でしょう。また、定期レポートなど付加サービスの有無についても確認しましょう。
WAFとファイアウォール(FW)、IPSの違い
WAFと同様にWebサーバーを守るセキュリティ対策として「IDS/IPS」「ファイアウォール(FW)」があります。簡単に言うと、WAFが高階層と呼ばれるWebアプリケーションを保護するのに対し、IDS/IPSはミドルウェアからOSの中階層を、ファイアウォールはOSからネットワークの低階層を保護します。
これらのセキュリティ製品はお互いが補完関係となっており、強固なセキュリティシステムを構築するためにはWAF、IDS/IPS、FWを組み合わせることも重要です。
WAFとIDS/IPSの違い
IDS/IPSは、Dos攻撃などのOS・ミドルウェア・プラットフォームレベルなどへの攻撃を防御することに特化しています。IDSは「Intrusion Detection System」を意味しており、「不正侵入検知システム」と言われています。不正アクセスと判定した通信を検知し、管理者へ通知します。
一方、IPSとは「Intrusion Prevention System」の意味で、「不正侵入防止システム」とも呼ばれます。IDSが不正なアクセスを検知するのに対して、IPSは不正なアクセスの侵入を遮断するのが特徴です。
WAFとファイアウォール(FW)の違い
FWはIPやポート単位の攻撃に対し、ネットワーク層で防御を行うことに特化しています。
ただし、FW自体がアクセスの正常・不正を判断するのではなく、あくまでも人が設定したルールに基づきアクセスの透過・遮断を判断します。
FWは通信の中身までは確認せず、正常な通信に偽装した80番や443番ポートなどへの攻撃には対処しきません。そのため、FWだけではWebサイトを守ることは困難です。
WAFの種類
WAFには、形態別に「ソフトウェア型WAF」「アプライアンス型WAF」「クラウド型WAF」の3種類があります。それぞれ特徴異なりますので、自社の状況に応じてまずはどの種類のWAFを導入するかを決定しましょう。
| 種類 | クラウド型WAF | ソフトウェア型WAF | アプライアンス型WAF |
|---|---|---|---|
| 導入方法 | 各ベンダーからサービスの提供を受ける | Webサーバーにソフトウェアを インストール |
専用のハードウェアを設置 |
| 価格 | 比較的安価 | 比較的安価 | 比較的高価 |
| メンテナンス | ベンダー側で行うため不要 | 一般的に自社で行う | 一般的に自社で行う |
クラウド型WAF
クラウド上でWAFのサービスを受ける形態が「クラウド型WAF」です。特別な機器やソフトウェアを購入する必要がなく、すぐに導入できる点がメリットです。また、更新やメンテナンスもベンダー側で実施するため、自社スタッフの運用・管理負担が小さいという点も見逃せません。
ソフトウェア型WAF
自社でWebサーバーを運用していて、サーバーの能力にも余裕がある場合には、「ソフトウェア型WAF」(ホスト型WAF)の導入を検討しましょう。比較的安価で、既存のWebサーバーにインストールするだけで導入が可能です。ただし、初期設定や運用・保守などは自社で行う必要があります。
アプライアンス型WAF
WAF専用に作成されたハードウェアを通信経路上に配置する形態が「アプライアンス型WAF」(ゲートウェイ型WAF)です。比較的高価ですが、既存のサーバーに負荷を与えることなくWAFを導入できます。ただし、ソフトウェア型WAF同様、初期設定や運用・保守などは自社で行う必要があります。
WAFの導入なら低コストで多層防御できる
NTTPCのクラウドWAFがおすすめ
「クラウドWAF セキュリティオペレーションサービス」は、NTTPCが提供するクラウド型WAFサービス。WAFに加え、IDS/IPS、ファイアウォールなどの機能も備え、24時間365日の有人監視を通じて御社のWebサイトをさまざまなサイバー攻撃から守ります。
NTTPCのデータセンターやクラウドはもちろん、自社内の「オンプレミス環境」や「他社のクラウドサービス」も含め、一元監視が可能です。
WAFの導入をおすすめしたい企業・事業内容の一例
次のような事業を営んでいる、または次のような課題を抱えている企業様には特にWAFの導入がおすすめです。
ECサイトの信頼性向上
ECサイトでは、時に情報漏洩を狙った「SQLインジェクション」などデータベースへを標的とした攻撃を受けることがあります。WAFを導入しておけば、通信を遮断し、インターネットを通じた情報搾取を防止することができます。
ECサイトに限らず、個人情報を取り扱うWebサービスを運営する企業様ではWAFの導入が効果的といえます。
環境の異なるグループ企業各社のWebサイトを一元監視
AWS、Azure、オンプロミスサーバーなど、環境の異なる複数サイトを運営しているグループ企業様などでは、従来、稼働している各サイトのセキュリティを保つために複雑な運用・管理が求められてきました。WAFを導入すれば、環境に関わらずWebサイトを一元的に管理することができ、効率的に運用することが可能となります。
結果として、グループ全体のWebセキュリティを劇的に向上することができるでしょう。
オンライン証券サイトなどクリティカルなデータ漏洩リスクを低減
オンライン証券サイトなどでは、顧客データや売買に関するデータなど、クリティカルなデータを多数取扱う必要があります。万一、そういった情報が漏洩した場合、事業に与えるダメージは計り知れません。WAFを導入すれば、不正コードの実行を遮断することができるため、外部からの不正アクセスなどによる情報搾取を防ぐことができます。
証券業界に限らず、システムの安定稼働や顧客データの保護が必須となる企業に関しては、WAFの導入は必須と言えるでしょう。
WAFで防げる攻撃の種類
WAFは具体的にはどのような攻撃を防ぐことができるのでしょうか。次に例をあげます。
SQLインジェクション
「SQLインジェクション」は、データベースへの命令文である「SQL」を使用し、Webアプリケーションの脆弱性を突いてデータの消去や改ざん、情報漏えいを狙う攻撃です。
ファイアウォールやIDS/IPSでは保護することが困難なこの種の攻撃には、Webアプリケーション層の保護に特化したWAFがうってつけです。
OSコマンドインジェクション
「OSコマンドインジェクション」は、WEBサーバーへのリクエストにOSへの命令文を紛れ込ませ、不正に実行させる攻撃です。サーバー内ファイルを改ざん、削除、流出される恐れがあります。
こちらもWebアプリケーションを標的とした攻撃のため、WAFにより防御することができます。
パス名パラメータの未チェック/ディレクトリ・トラバーサル
「パス名パラメータの未チェック/ディレクトリ・トラバーサル」は、外部から寄せられるリクエスト内にWEBサーバー内のファイル名を直接指定している場合に、不正なファイルを指定することで意図しない処理を行わせる攻撃です。ファイルの消去や改ざん、情報漏えいなどの被害を受ける可能性があります。こちらも、WAFにより被害を防止することができます。
クロスサイトスクリプティング
「クロスサイトスクリプティング」は、Webページを動的に生成するWebアプリケーションの脆弱性を突いて任意のスクリプトを実行する攻撃です。クッキーの漏出や個人情報の漏えいの被害を受ける恐れがあります。
この種の攻撃は、まさにWebアプリケーションの脆弱性保護を主目的とするWAFの得意分野と言えます。
DDoS攻撃
「DDoS攻撃」(Distributed Denial of Service attack、分散型サービス拒否攻撃)は、Webサーバーに対して過剰な接続要求やデータを送付し、サーバーの停止を狙うサイバー攻撃です。
WAFはWebアプリケーションへの通信やアクセスを監視し、そのうち不正なものを検知・遮断できるため、IDS/IPSと同様にDDoS攻撃への対策として有効です。
バッファオーバーフロー
「バッファオーバーフロー」は、Webサーバーに許容量以上のデータを送りつけ、誤作動を狙う攻撃です。攻撃によりサーバーが乗っ取られ、他サーバーへの攻撃などに悪用される恐れがあります。
WAFによりあらかじめ許容量を細かく設定しておけば、バッファオーバーフロー攻撃を効果的に遮断することができます。
WAFの仕組み
具体的にはWAFはどのような仕組みでWebアプリケーションへの攻撃を防いでいるのでしょうか。ある通信を許可するか不許可とするかを判定する方式には、「ブラックリスト方式」と「ホワイトリスト方式」の2方式があります。
ブラックリスト方式
ブラックリスト方式は、事前に「シグネチャ」と呼ばれるブラックリストに不正な通信のパターンを定義しておき、それに該当する通信を不許可とする方式です。
リストに含まれない正規の通信を妨げることがないというメリットがある反面、新たな攻撃方法が登場した場合にはシグネチャを逐次更新(追加)する必要が生じます。
ホワイトリスト方式
ホワイトリスト方式は、通信を許可する通信のパターンをホワイトリストに詳細に定義しておき、それ以外の通信をすべて不許可とする方式です。
ホワイトリストの作成にはある程度のコストと時間が必要ですが、不正な通信を確実に拒絶できるという利点があります。ただし、リストにない正規の通信まで拒否してします可能性もあります。
まとめ
今回はWAFがどのようなものか、またWebアプリケーションをどのような攻撃から保護することができるのかについて解説しました。
Webアプリケーションには今後も多様化。高度化が求められていくことでしょう。この機会に自社のWebアプリケーションのセキュリティ対策についていま一度見直し、必要に応じてWAFの導入も検討してみてはいかがでしょうか。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
