WAFはWebサイトのセキュリティ対策に必要です。とはいえ、WAFとほかのセキュリティとの差を詳細に理解していない方も多いのではないでしょうか。
今回はWAFの役割や仕組み、導入メリットを説明します。
WAFの必要性を理解したうえで、自社に合うWAFを見つけていきましょう。
この記事の目次
結論:WAFは総合的なセキュリティ対策に必要なツールの1つ!
近年、Webアプリケーションを狙ったサイバー攻撃が増加傾向にあります。Webアプリケーションには商品の購入や銀行の入出金など、便利なものが多くある一方で、利用者が多い分セキュリティの脅威にさらされやすい弱点があります。
そこで注目されるシステムが「WAF」です。WAFは、総合的なセキュリティ対策を構築するうえで必要なツールの1つです。
ここからは、WAFがセキュリティ対策で必要とされる背景と、WAFで防げるサイバー攻撃について紹介していきます。
WAFが必要とされる背景
WAFが必要とされる背景には以下があります。
- Webサイトのインフラ化
- 業務でのWebサイト利用
- Webサイトの脆弱性を狙った攻撃の増加
スマホの普及によって、Webサイトへのアクセスが日常的に行われるようになりました。そのためWebサイトは、現代の日常生活に欠かせないインフラの一部となりつつあります。加えて、リモートワークの普及によって業務でのWebサイト・Webアプリケーションの利用も日常的となりました。リモートワークの増加に伴い、Webサイトの脆弱性を狙った攻撃が増加しています。
またWebアプリケーションがサイバー攻撃の標的になった場合、顧客情報の流出やサーバーダウン、Webサイトの改ざんなど甚大な被害がもたらされ、企業の信頼の失墜につながりかねません。そこでWebアプリケーションに特化したセキュリティとして、WAFが必要とされています。
WAFで防ぐことが出来るサイバー攻撃とは?
WAFで防げるサイバー攻撃には次の5種類があります。
- DDoS攻撃
- バッファオーバーフロー
- SQLインジェクション
- クロスサイトスプリプティング
- OSコマンドインジェクション
それぞれ詳しく説明していきます。
DDoS攻撃
DDoS攻撃は複数のパソコンを使って、標的のサイトに大量のデータやアクセスを送りサーバーに負荷をかけ、アクセス障害を起こしたり、サービスを停止する攻撃です。DDoS攻撃では、サービス停止による金銭的損失やユーザーからの信用低下リスク、個人情報の搾取リスクがあります。
WAFはWebアプリケーションへの不正なアクセスを検知・遮断できるため、DDoS攻撃に有効です。
バッファオーバーフロー
バッファオーバーフローは、Webサーバーの許容量を超えるデータを送りつけ、プログラムの誤作動を狙う攻撃です。マルウェア入りのデータがサーバー内で実行されると、乗っ取られてしまいます。
WAFで許容量を細かく設定することで、バッファオーバーフローの遮断が可能です。
SQLインジェクション
SQLインジェクションは、外部から不当なSQL文を送信してWebアプリケーションのデータベースを不正に操作する攻撃です。SQLインジェクションでは情報漏洩やWebサイトの改ざん、改ざんされたWebサイトの閲覧によるウイルス感染などの被害がもたらされます。
WAFはWebアプリケーション層の保護ができるため、SQLインジェクションにも対応可能です。
クロスサイトスプリプティング(XSS)
クロスサイトスプリプティングは、HTMLに悪質なスクリプトを埋め込む攻撃です。例えば、Webサイトのフォームにユーザーが情報を入力・送信すると、悪質なスクリプトが実行され、攻撃者に個人情報等が送信されます。
WAFはユーザーが送信したリクエスト内容を監視し、不正な攻撃だと検知した場合は通信を遮断するため、クロスサイトスプリプティング攻撃からの防御が可能です。
OSコマンドインジェクション
OSコマンドインジェクションは、WebサーバーへのリクエストにOSコマンドを紛れ込ませ、Webアプリケーションで不正に実行させる攻撃です。この攻撃は、サーバー内のファイル流出や改ざんを引き起こします。
WAFはユーザーからのリクエストを検査するため、OSコマンドインジェクションへの対策として有効です。
WAFと他のセキュリティ対策の違い
WAFとほかのセキュリティ対策との機能における違いは以下の通りです。
比較項目 | WAF | ファイアウォール | IDS/IPS | SSL証明書 |
---|---|---|---|---|
機能 | Webアプリケーションへの不正アクセスの検知・防御 | ネットワークへの不正アクセスの検知・防御 | サーバー・ネットワークの侵入検知・防御 | サーバー・ユーザー間の通信内容の暗号化 |
WAFは、Webアプリケーションの脆弱性を狙った攻撃を防ぐため、通信を監視し不正アクセスを防御します。このような機能から、WAFはオンラインショッピング事業やECサイト運営など、Web経由でサービス提供で必要です。
WAFとファイアウォールの違い
WAFとファイアウォールでは、防御するレイヤーに違いがあります。WAFの防御レイヤーはWebアプリケーション層で、一方のファイアウォールはネットワーク層です。
ファイアウォールはIPアドレスやポート番号をもとに通信の遮断可否を決めるため、SQLインジェクションやクロスサイトスプリプティングなど、Webフォームを利用した攻撃は防御できません。
WAFとIDS/IPSの違い
WAFとIDS/IPSは、防御の守備範囲が違います。IDSは「侵入検知システム」、IPSは「侵入防御システム」です。IDSとIPSの対応可能範囲は広く、サーバーやネットワークを広く検知・防御可能です。
一方でWAFは、Webアプリケーションの防御のみです。
WAFとSSL証明書の違い
SSL証明書は、通信内容の暗号化を使ったセキュリティ対策です。SSL証明書では、顧客が入力した個人情報を暗号化して、HTPS通信に変換して保護します。
一方WAFは、Webサイトの保護に特化したセキュリティ対策です。通常、WAFはHTTPS内の通信内容が見られないため、HTTPS内の不正な通信は検知できません。
セキュリティ対策におけるWAFの役割
ここでは、セキュリティ対策におけるWAFの役割を以下の2つの観点から解説します。
- ISMSの実現
- PCI DSSの準拠
それぞれ順番に解説します。
ISMSの実現
ISMS(Information Security Management System)とは、企業の情報セキュリティを管理する仕組みです。組織のマネジメントとして決められたセキュリティ方針に基づきシステムを運用し、総合的な情報セキュリティを目指します。
Webアプリケーションはサイバー攻撃の標的となりやすいので、WAFの導入によるWebアプリケーションの脆弱性保護が、ISMSの実現にとって必要です。
PCI DSSの準拠
PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード業界のセキュリティ基準です。PCI DSSの準拠は、最新のセキュリティ基準に沿ったクレジットカード情報の取扱いができるWebサイトのアピールとなるので、ECサイトの信用向上やブランド力の向上につながります。
PCI DSSの要件には、「安全性の高いシステムとアプリケーションを開発し、保守する(要件6)」があります。PCI DSSに準拠したWAF製品を導入すれば、要件をクリアできます。
参照Payment Card Industry データセキュリティ基準 / PCI Security Standards Council LLC
WAFの仕組み
WAFの仕組みを理解するのに必要な「シグネチャ・ブラックリスト型・ホワイトリスト型」について、これから詳しく説明していきます。
シグネチャとは?
シグネチャとは、不正な通信や攻撃パターンの組み合わせリストです。WAFは日々の通信を記録して、シグネチャにマッチしたものを不正な通信やプログラムとして検出しています。シグネチャを使った防御には、「ブラックリスト型」と「ホワイトリスト型」があります。
ブラックリスト型
ブラックリスト型は不正通信や攻撃パターンなど「拒否する」アクセスをあらかじめ登録し、登録内容とマッチングしたアクセスを拒否するWAFの防御方式です。新たな攻撃に対応するためには、定期的なシグネチャの更新が必要となります。
ホワイトリスト型
ホワイトリスト型は「許可する」アクセスを登録し、許可外の通信をすべてブロックするWAFの防御方式です。定義されたアクセス以外は遮断されるため、不正アクセスを確実に遮断できるメリットがある一方で、事前の定義が不足すると正常なアクセスがストップしたり、業務が停止するリスクがあります。
WAFの種類
WAFには以下の3種類があります。
- アプライアンス型
- ホスト型
- クラウド型
これから詳しく説明していきます。
アプライアンス型
アプライアンス型WAFは、ベンダーが供給する専用機器をインターネットとWebサーバーの間に設置するタイプのWAFです。
専用機器を導入するため初期費用が高くなりがちで、メンテナンスやカスタマイズにも専門家を必要とします。自社にセキュリティの専門家がいれば柔軟に構築できるため、自社用にカスタマイズできれば強固なセキュリティ対策が可能です。
ホスト型
ホスト型WAFは、Webサーバーにインストールするソフトウェア形式のWAFです。
アプライアンス型より低コストで導入できますが、それぞれのWebサーバーにつき1つのライセンスが必要となるため、保有サーバーの数が少ない企業に向いています。
クラウド型
クラウド型WAFは、インターネットサービスを利用して導入するWAFです。
専用機器を導入する必要がないので、短期間で導入ができ、初期費用を抑えられます。また、運用をベンダーに任せられるため、セキュリティ専門スタッフが在籍していなくても導入可能です。
一方でアプライアンス型のように自社でカスタマイズができないため、性能がベンダー次第となったり、クラウドサービス側の通信障害を受ける可能性が高いデメリットがあります。
WAFの導入メリット、選定ポイント
ここからは、WAFを導入するメリットとWAFを選定するポイントを紹介します。
導入メリット
WAFを導入するメリットには以下の2つがあります。
- Webアプリケーションの脆弱性をカバーできる
- 攻撃を受けた際の事後対策ができる
WAFを導入する大きなメリットは、Webアプリケーションに対するサイバー攻撃のリスクを下げられることです。
またサイバー攻撃を受けた場合でも、WAFは不正アクセスや攻撃を遮断するので、被害の拡大を防ぎ、対策までの時間が捻出できます。
選定ポイント
WAFは以下のポイントを基準に選ぶとよいでしょう。
- 保護したいWebサイトと範囲
- 導入するWAFの形態(アプライアンス型・ホスト型・クラウド型)
- コスト(導入・運用コスト)
- サポート体勢
- 導入実績
一度導入したWAFの変更は難しいため、導入予定のWAFの形態が自社のシステムと親和性が高いかどうかの確認が特に重要です。また自社にセキュリティ専門スタッフがいる場合といない場合では、選定する製品も異なります。
検討中のWAF製品では、導入や運用時、攻撃を受けた際にベンダーからどの程度のサポートが受けられるかも確認しておきましょう。
自社環境に似た企業での導入実績がある製品を検討するのも、大切なポイントです。
よくある質問
ここからは、WAF導入に関するよくある質問に回答します。
WAFを導入する際のデメリットを教えて下さい
WAFを導入する際のデメリットは「コストがかかる」点です。
どのタイプの製品を選ぶかにもよりますが、専用機器を必要とするWAFでは初期費用がかかります。またセキュリティ人材がいない場合、サポートの少ない製品を選んでしまうと運用コストがかさむ場合があります。
WAFの誤検知を防ぐ方法を教えて下さい
WAFの誤検知対策には、クラウド型WAFの導入が有効です。
クラウド型WAFはベンダー側がシグネチャのチューニングを行うため、誤検知にも素早く対応できます。
まとめ:WAFはセキュリティ対策に必要!機能を理解して他のセキュリティ製品と一緒に使おう!
WAFは、Webアプリケーションへの攻撃に有効なセキュリティ対策システムです。WAFにはアプライアンス型・ホスト型・クラウド型があり、それぞれメリットとデメリットがあります。
WAFを導入することで、Webアプリケーションの脆弱性をカバーし、対策が難しい攻撃からWebサイトの保護が可能です。また、攻撃に遭った場合でも、事後処理をスムーズにし、被害の拡大を防ぎます。
またWAFはIPSシステムやファイアウォールとの組み合わせで強固なセキュリティ対策ができるため、機能を理解してほかのセキュリティ製品と一緒に使いましょう。