WebアプリケーションやWebサーバの構築・運用に関わる人なら、誰でも一度は「WAF」という言葉を耳にしたことがあるのではないでしょうか。WAFとは、IT化がめざましく加速している現代において必須のセキュリティ対策です。

ここでは、WAFの種類や仕組み、メリットなど、セキュリティ対策にあまり詳しくない初心者の方にもわかりやすく解説します。

WAFとは？

WAF（ワフ）とは、「Web Application Firewall」を略したファイアウォールの一種で、「Webアプリケーションの脆弱性を悪用した攻撃」から、Webサイトを保護するセキュリティ対策のひとつです。保護対象となるWebアプリケーションは、GmailやSkypeなどのコミュニケーションツールから、ネットショッピングやインターネットバンキングなど、個人情報のやり取りが発生するWebサービスまで多岐にわたります。

WAFは、Webサーバーの前段に設置をして通信を解析・検査し、攻撃と判断した通信を遮断することで、Webサイトを保護しています。

WAFとファイアウォールの違い

一般的なファイアウォールとWAFの大きな違いは、防御の対象と言えるでしょう。ファイアウォールは、ネットワークレベルでのセキュリティ対策の一種で、送信元とIPアドレスやポート番号などの送信先の情報を元にアクセスを制限します。そのため、ファイアウォールは外部へ公開せず、社内でのみ使用する情報システムへの外部からの不正アクセスを防ぐのに適している対策方法です。

一方で、外部へ公開をすることで成り立っているWebアプリケーションには、ファイアウォールで外部アクセスを遮断することはできません。外部に公開するアプリケーションを保護しているのが、WAFなのです。

WAFとIPS/IDSの違い

IPS（Intrusion Prevention System）は、「不正侵入防止システム」とも呼ばれるプラットフォームレベルでのセキュリティ対策です。OSやミドルウェアの脆弱性を悪用した攻撃や、ファイル共有サービスへの攻撃など、さまざまな種類の攻撃に対して通信を検査し、遮断することが可能です。

IDS（Intrusion Detection System）は「不正侵入検知システム」とも呼ばれている、異常な通信を検知するものを指します。

IPSやIDSはさまざまな攻撃への対策手段となり得ますが、近年Webアプリケーションへの攻撃は多種多様となり、さらに高度化しています。そのため、IPSでは攻撃を防ぎきれなかったり、解析のためにネットワークの性能劣化や遅延が起きてネットワークが使えなくなったりする場合があります。

WAFは、ファイアウォールやIPSよりも上位で、Webアプリケーションに特化した防御対策です。Webアプリケーションへの通信内容を検査し、本来流出しないはずのデータがレスポンスに含まれていないかをチェックしています。

WAFとファイアウォール、IPS、IDSはそれぞれ異なるネットワークレベルで機能しています。WAFを導入したらファイアウォールやIPSなどが不要になるということではなく、どれかひとつが欠ければセキュリティレベルも落ちるため、それぞれの特長を活かし補完しあうことが必要です。

WAFの仕組み

WAFでは、アクセス元とWebサーバーとの間で通信に介在し、攻撃の検知に「シグネチャ」を用いて不正アクセスを防止します。「シグネチャ」とは、アクセスのパターンを定義したもので、Webアプリケーションへのアクセスのパターンをシグネチャを用いて照合して、通信許可と拒否の判断を行うという仕組みです。WAFは、攻撃を検出すると通信を遮断してログに記録しながら、同時にアクセス元にWebサーバーに代わって警告メッセージを返します。

攻撃の検出能力は、シグネチャの品質に依存するともいえます。信頼できるシグネチャを有していること、また最新の脅威に対応できるよう常に最新のシグネチャに更新していることは、WAFを選択する上で非常に重要なポイントとなるでしょう。

WAFの不正アクセス検知方式には「ブラックリスト方式」と「ホワイトリスト方式」の2種類があります。ここでは、それぞれの検知方式について見ていきましょう。

ブラックリスト型

ブラックリスト型では、既知の攻撃パターンをシグネチャに定義して、一致する通信を拒否して不正アクセスを防止します。複数のWebアプリケーションに適用することができますが、未知の攻撃に対応することはできません。しかし、Webアプリケーションへの過度なアクセス制限は防げるでしょう。

ブラックリスト型で細心の攻撃を検知するには、シグネチャを定期的にアップデートすることが重要です。従来は、ベンダーが提供したものを自社でアップデートするのが基本でしたが、最近はクラウド型WAFの普及が拡大し、現在ではベンダーがクラウド上でシグネチャをアップデートしてくれる製品が多くなっています。

ホワイトリスト型

ホワイトリスト型では、「許可する通信」をシグネチャに定義して、一致しない通信をすべて拒否することで不正アクセスを防ぎます。ホワイトリスト型はWebアプリケーションの作りに応じて柔軟にシグネチャを定義できるだけでなく、未知の攻撃も防げるというメリットがあります。

しかし、ホワイトリスト型では「許可する通信」の定義を個々の企業で行う必要があります。シグネチャにはWebアプリケーションのURLのほか、アプリケーションに渡す文字や数値なども細かく定義しなければならず、Webアプリケーションごとにホワイトリストを用意する必要があるため、運用にはWebアプリケーションやセキュリティに詳しい技術者が必要不可欠です。そのため、ホワイトリスト型の場合は、人員や運用にかかるコストが高くなってしまうでしょう。

WAFの必要性

さまざまなセキュリティ対策があるなか、なぜWAFを導入する必要があるのでしょうか。ここでは、その必要性について解説します。

Webアプリケーションには脆弱性がある

プログラムに設計ミスや不具合があると、攻撃者はここを突いて不正アクセスが行われます。脆弱性とは、不正アクセスのための抜け穴となってしまうミスや不具合のことです。

どんなに優秀な人が作っても、どれだけ時間をかけて設計やテストを行っても、Webアプリケーションにはどうしても脆弱性が含まれてしまいます。Webアプリケーションの制作時に脆弱性を完全に排除することは非常に困難です。また、Webアプリケーションはインターネットを通じて、常に世界中からアクセスが可能な状態です。そのため、WAFのような「不正アクセスを検知して攻撃を遮断する仕組み」が必要です。

WAFにしかブロックできない領域がある

一般的なファイアウォールでは、通信の中身や通信方法まではチェックしていません。システムの入り口であるポートを通過した通信は、その内容がたとえ不正なものであってもWebアプリケーションに到達してしまいます。

また、IDS(不正侵入検知システム)やIPS(不正侵入防御システム)はWAFと同様にシグネチャを用いて不正アクセスを検知しますが、Webアプリケーションに対する不正アクセスの検知精度は低く、十分なセキュリティ対策を行うことができません。Webアプリケーションへの攻撃は、WAFにしかブロックできない領域なのです。

WAFの導入メリット

次に、WAFの導入メリットについて見ていきましょう。

Webアプリケーションの脆弱性を補える

先述のように、Webアプリケーションには脆弱性があります。WAFは、この脆弱性を保護して、アプリケーションの安全性を高めてくれます。近年はIT化が進み、Webアプリケーションに依存する企業が増えてきているため、リスクから守ってくれるWAFは必須のセキュリティ対策と言えるでしょう。

事後対策が可能

WAFは事後対策ができるのもメリットのひとつです。連続した攻撃によってシステムに不具合が生じる前に検知して、迅速に対応することが可能なのです。未知の攻撃が発生した際にいち早く対応し、被害の拡大を未然に防ぐ必要があるため、WAFによって事後対策ができることは心強い対策でしょう。

WAFの種類

WAFには大きく3つの種類があります。ここでは、それぞれの特長について解説します。

ソフトウェア型WAF

ソフトウェア型WAFは、既存のWebサーバやWebアプリケーションサーバにインストールして使用します。「ホスト型」と呼ばれる場合もあります。

専用機が不要で、アプライアンス型と比べて低コストで導入できます。ネットワーク環境の構成変更も必要ないため、他のサーバーや端末への影響もありません。

アプライアンス型WAF

アプライアンス型WAFは、WAFの機能を持つ専用のハードウェアで、外部ネットワークとWebサーバの間に設置して使用します。「ゲートウェイ型」「ネットワーク型」と呼ばれる場合もあります。専用機器はWebサーバーから独立して動作するため、Webサーバーに負荷は掛かりません。また、専用機器の性能や設定などを柔軟に行うことが可能です。

一方で、他の2つのWAFに比べると導入・運用のコストは高くなります。さらに、企業に合わせた柔軟で強固なセキュリティ対策ができる分、情報システム担当者は専門知識を持つ必要があります。アプライアンス型は、スペックの高いWebサーバーを複数使用しているような、大規模な情報システムに向いているでしょう。

クラウド型WAF

クラウド型WAFは、セキュリティベンダーが提供するWAFの機能をインターネットを経由してクラウドサービスとして使用します。クラウド型は、「サービス型」とも呼ばれます。

クラウド型WAFは、専用機器が不要で、導入までの期間が短いことから、WAFの中では最も導入費用が低い傾向にあります。また、通信量や監視対象となるURLの数で費用が決まることが多いため、コストの調整も可能です。企業のネットワーク構成を変更する必要もありません。したがって、クラウド型WAFはコストを抑えてセキュリティ対策を行いたい企業に向いています。

一方で、カスタマイズが容易にできないこと、サービス提供者側で起こるシステム障害やネットワーク障害などの影響を受ける可能性があるというデメリットも、把握しておかなければなりません。通信量や監視対象のURLが増えると費用が高くなる可能性があるため、定期的に適正価格かどうかを見直すことも必要でしょう。

WAFで対応可能な攻撃の種類

WAFでは、以下のような種類の攻撃に対応することができます。

バッファオーバーフロー

悪意ある第三者が標的のコンピューターに許容量以上のデータを送りつけ、コンピューターが誤作動を起こした後に、コンピューターを乗っ取る攻撃手法。

クロスサイトスクリプティング

SNSや掲示板サイトなどに仕掛けられたスクリプトをユーザーが実行すると、個人情報の入力画面に遷移したり、意図しない投稿が拡散されたりする。

SQLインジェクション

SQLというデータベースの言語を使って、Webアプリケーションの入力画面で不適切なSQLを入力し、アプリケーションが想定していない動作を実行させる。

OSコマンドインジェクション

SQLインジェクションと同じように、OSに誤動作を起こさせる攻撃。

DDoS攻撃

標的のコンピューターに大量の処理負荷を与えて、機能停止に追い込ませる攻撃。

ブルートフォースアタック

Webアプリケーションのパスワードを総あたりで解析する行為。

ディレクトリトラバーサル

ファイルやフォルダの位置を相対パスを使って把握し、不正アクセスを起こす攻撃。

まとめ

今回は、Webアプリケーションの脆弱性を悪用した攻撃へのセキュリティ対策「WAF」についてご紹介しました。

WAFはWebアプリケーションが全盛となった今、どの企業にとっても必須のセキュリティアイテムと言えます。一方で、WAFによるセキュリティ対策は非常に有効な対策ですが、セキュリティレベルが厳しくなりすぎるとWAFが大量のアラートを出したり、ユーザーが利用できなくなったりする可能性もあります。

導入を検討するときは、しっかりと自社に合ったものかどうかを検討した上で、選定をするようにしましょう。

WAFについてもっと知りたい！という方はぜひ当サイト主催の無料ウェビナーにご参加ください！

よくある質問

WAFとは？

WAF（ワフ）とは、「Web Application Firewall」を略したファイアウォールの一種で、「Webアプリケーションの脆弱性を悪用した攻撃」から、Webサイトを保護するセキュリティ対策のひとつです。詳細はこちら

どんな企業・組織がWAFを導入するべきですか？

ECサイトやオンラインショッピングの事業を行っている企業や、会員制のWebサイト運営、Web経由で他社へサービスを提供している組織は特にWAFの導入が望ましいでしょう。詳しくはこちら

WAFを導入したいが、いろいろなサービスがあってよく分かりません。

求めるセキュリティレベルや、技術者の運用状況、コストなどによって選定基準もさまざまです。気になるところから資料請求を行い、比較をすることをおすすめします。詳しくはこちら