無料会員登録
企業の社内ネットワークを標的としたサイバー攻撃は、高度化の一途を進み、攻撃の種類も増えています。
特にWebアプリケーションへのサイバー攻撃は、従来のセキュリティ対策では防御が難しくなってきています。そこでWAFを導入することで、Webアプリケーションへの攻撃に対して、社内ネットワークの保護が可能です。
今回は、WAFの主な機能やサポートに関する情報、WAFで防御可能なサイバー攻撃について詳しく解説します。
企業のセキュリティ対策にお悩みの方は、本記事を参考にしてWAFの導入を検討してみましょう。
この記事の目次
WAFとは?一覧でメイン機能をご紹介!
WAF(Web Application Firewall)は、Webアプリケーションを守る機能を備えています。
以下の表で主なWAFの機能を紹介しているので、参考にしてください。
| WAFの機能 | 機能内容 |
|---|---|
| 通信を監視・制御 | 通信の可否を決める |
| シグネチャの自動更新 | シグネチャを最新の状態に自動更新する |
| Cookieの保護 | Webブラウザ内のCookieを保護する |
| 特定URLの除外・IPアドレスを拒否 | 特定のURLを防御対象から除外
IPアドレスのみでの通信の可否判断が可能 |
| ログ・レポートの発行 | サイバー攻撃についての情報閲覧が可能 |
ここからは、WAFのそれぞれの機能を具体的に解説します。
通信を監視、制御
WAFの主な機能の一つが、通信の監視・制御です。WAFはシグネチャと呼ばれる定義ファイルを利用して、通信の可否を判断します。
判断方法は、正常な通信を許可する「ホワイトリスト方式」と、不正な通信を遮断する「ブラックリスト方式」の2種類があります。
シグネチャの自動更新
WAFは、通信パターンを記録する役割を持つ「シグネチャ」を自動で更新できます。WAFのなかでも特にクラウド型WAFは自動更新が基本であるため、未知の攻撃にも対処が遅れる心配がありません。
またアプライアンス型のWAFにも、自動更新機能があります。更新間隔の変更や、手動更新への切り替えにも対応しています。
Cookieの保護
Webブラウザで行った操作を次の画面へ引き継ぐ際に、Cookieも保護可能です。
Cookieも、サイバー攻撃のターゲットにされる可能性があります。WAFにはCookieを暗号化する機能を持っているため、なりすましによる被害の防止が可能です。
特定URLの除外、IPアドレスを拒否
特定URL除外機能とは、業務に関わる外部アプリケーションや、警戒する必要のないWebページを防御対象から外せる機能です。またIPアドレスを拒否する機能は、攻撃側で使用されているIPアドレスからのアクセスを拒否できます。
これらの機能により、すべての通信を監視する必要がなくなるため、通信パフォーマンス低下を回避できます。
ログ、レポートの発行
ログ機能では、WAFで検知した不正な通信の閲覧が可能です。製品によっては、WAFが防いだサイバー攻撃についての統計や、攻撃の種別について閲覧ができるレポート機能を備えています。
ログやレポート機能は、今後起こりうるサイバー攻撃への対策を構築する際に活用できます。
WAFの費用対効果とサポート体制は?種類別で解説
WAFには数種類のタイプがあり、それぞれ異なる特徴を持っています。
タイプ別の費用対効果やサポート体制は以下の通りです。
| WAFの種類 | 費用対効果 | サポート体制 |
|---|---|---|
| アプライアンス型 | 専門スタッフがいる場合には費用対効果が見込める | 自社の専門スタッフによる対応 |
| ホスト型 | 運用規模が拡大するにつれ、費用対効果は低くなる | メーカーのエンジニアによる電話・メールでの対応 |
| クラウド型 | クラウド上での運用のため費用対効果は高め | 24時間365日対応可能(電話・メール) |
次にタイプ別の特徴やサポート体制を踏まえて、それぞれの費用対効果について詳しく解説していきます。
アプライアンス型
アプライアンス型は、自社サーバーに専用機器を構築して運用をします。自社運用を基本としているため、独自のセキュリティ体制の構築が可能である一方で、トラブルが発生した際には自社スタッフによる対応がメインです。
そのため専門知識を持ったスタッフがいない場合は、新たに確保する必要があるため、人員コストは高くなり、費用対効果は低くなる傾向にあります。一方で既に専門スタッフを自社で確保している場合は、外部から委託する費用が必要ないため、費用対効果はhくなります。
ホスト型
ホスト型は既存のシステムにインストールすることで、WAFの運用が可能です。
またホスト型は専用機器を用意する必要がないため、運用コストを抑えられます。しかし運用規模が増えるにつれて、WAFを増設する必要があるため、大規模な運用が必要な場合には費用対効果が低くなります。
クラウド型
現在注目を集めているのがクラウド型です。クラウド上での運用なので、コストを抑えつつ最短で当日中に運用を始められます。
シグネチャの更新といった運用に必要な作業は、ベンダーに一任できます。そのため自社で専門スタッフを確保する必要がなく、また運用に必要な機器の導入の必要がないため、費用対効果は高めです。
WAFで対応できるサイバー攻撃一覧
WAFを導入すると、Webアプリケーションを標的とした数々のサイバー攻撃に対応できます。
以下の表にて、WAFで対応可能なサイバー攻撃の特徴や防げる理由を解説します。
| サイバー攻撃の種類 | 攻撃の特徴 | WAFで防げる理由 |
|---|---|---|
| Webアプリケーションの脆弱性を突く攻撃 | 脆弱性を利用して情報漏えいやサイト改ざんを行う | 通信データを精査し、正常なアクセスのみ通過できるから |
| ゼロデイ攻撃 | 脆弱性の発見から修正までの間に攻撃を仕掛ける | 脆弱性を狙った攻撃の検知・遮断が可能だから |
| バッファオーバーフロー | プログラムの容量以上のデータを送る | キャパ以上のデータが流れないよう制限されるから |
| クロスサイトスクリプティング | 不正スクリプトを挿入しマルウェア感染を狙う | エスケープ機能でスクリプトの無効化を実行できるから |
| SQLインジェクション | 不正なSQL文を読み取らせ、情報を抜き取る | エスケープ機能でシステム防御を行うから |
| DoS攻撃・DDoS攻撃 | 不正なデータを送り、サーバーダウンを狙う | 不正なプログラムを遮断できるから |
| ブルートフォースアタック(総当たり攻撃) | パスワード入力してシステムへの侵入を試みる | 不正なアクセスの検知・遮断で防御をするから |
| ディレクトリトラバーサル | 不正アクセスで侵入し、ファイル内の情報を抜き取る | 不正なアクセスを検知・攻撃を無効化できるから |
| クロスサイトリクエストフォージェリ | 偽サイトを利用してなりすまし攻撃を行う | HTTP/HTTPS通信のチェックを行い、不正アクセスを遮断できるから |
| OSコマンドインジェクション | Webサイトへの不正な入力でWebサーバーを攻撃 | 攻撃側へのコマンド入力を許可せずに遮断するから |
| 改行コードインジェクション | 改行コードを挿入しWebページに不正な動きを引き起こす | 攻撃と思われる動きを検知し遮断するから |
| XXE(XML External Entity) | XMLに細工を施し、サーバー内の情報を盗み取る | 不正なプログラムを検知・遮断できるから |
| クリックジャッキング | 不正なサイトを透明化し、クリックを促す | 不正なプログラムを発見し遮断するから |
次にそれぞれの攻撃と、WAFによる対応方法について詳しく解説していきます。
Webアプリケーションの脆弱性を突く攻撃
WAFの特徴として、通信データを精査し問題のないデータのみを許可します。仮に脆弱性を持ったアプリケーションが、攻撃側に脆弱性を突かれたとしても、WAFでの遮断が可能です。
サイバー攻撃からWebアプリケーションを守るには、WAFの導入は不可欠です。
ゼロデイ攻撃
「ゼロデイ攻撃」は、ソフトウェアに脆弱性が見られ、修正が行われるまでの間に攻撃を実行します。
WAFは脆弱性をターゲットとした攻撃を検知すると、プログラムを遮断し攻撃を防ぎます。
バッファオーバーフロー
「バッファオーバーフロー」は、プログラムの許容範囲以上の容量を持ったデータを流し、プログラムの不安定化を狙う攻撃です。
攻撃を受けると、システムは短時間でのデータ処理を行わなければならず、キャパオーバーに陥ってしまいます。
この攻撃があると、WAFは通信データを確認しキャパ以上のデータが流れないよう制限をかけます。
クロスサイトスクリプティング
「クロスサイトスクリプティング」は、脆弱性のあるWebサイトに攻撃側が不正なスクリプトを挿入します。その後スクリプトを踏んだユーザーのWebアプリケーションに、マルウェアを侵入させる攻撃です。
WAFの「エスケープ」と呼ばれる機能により、スクリプトに組み込まれている記号や単語を無効化。さらにスクリプトを実行しないよう書き換えて防御します。
SQLインジェクション
「SQLインジェクション」は、Webアプリケーション上の脆弱性を悪用します。その際アプリケーションにとって想定外のSQL文を読み取らせることで、データベースへの侵入を行う攻撃です。
この攻撃にはクロスサイトスクリプティング同様、エスケープ機能を利用して、システムの防御が可能です。
DoS攻撃・DDoS攻撃
「DoS攻撃」は、特定の端末から大量のデータや不正なデータを送りつけてサーバーダウンを狙う攻撃です。一方の「DDoS攻撃」は複数のIPから分散してDoS攻撃を行い、サーバーへ過剰な負担をかける攻撃パターンです。
WAFを用いることで、不正なプログラムを検知・遮断を行ってサーバーの過負荷状態を抑えます。
ブルートフォースアタック(総当たり攻撃)
「ブルートフォースアタック(総当たり攻撃)」は、Webアプリケーションや企業に対して、さまざまなパスワードを試行して侵入を試みる攻撃です。
WAFを用いることで、この攻撃による不正なアクセスを検知して遮断が可能です。
ディレクトリトラバーサル
「ディレクトリトラバーサル」とは、Webサーバーへ不正アクセスし、本来公開されていないファイルへ侵入します。その後ファイル内の情報を抜き取る攻撃です。
「‥/‥/」と記載されている相対パスがあると、攻撃を受ける可能性があります。
WAFの導入により、想定外のアクセスを防ぎ、ディレクトリトラバーサルを防御できます。
クロスサイトリクエストフォージェリ
「クロスサイトリクエストフォージェリ」は、攻撃側が用意した偽のサイトにユーザーを誘導します。
ユーザーがアクセスすると、ユーザーがログインしたサイトに攻撃側から偽装したリクエストが送信される仕組みの攻撃です。Webサイトの退会や、意図しない犯罪予告の書き込みなどが実行されます。
この攻撃に対してWAFは、Webサイトとクライアント間でやりとりが行われる「HTTP/HTTPS通信」の内部をまずチェック。その後不正なアクセスの検出・遮断を行って防ぎます。
OSコマンドインジェクション
「OSコマンドインジェクション」は、攻撃側によるコマンドの実行により、想定しない命令を下される可能性がある攻撃です。
WAFでの対策は、不正なプログラムが見つかった際に、Webアプリケーションへ入力を渡さずに遮断する方法が挙げられます。
改行コードインジェクション
「改行コードインジェクション」は、ヘッダを生成するWebページ内に改行コードを挿入し、その後通常とは異なる文字列を作り出して、Webページに不正な動きを引き起こすように仕掛ける攻撃です。
この攻撃に対してWAFは、アプリケーションの通信を監視し、攻撃と思われる通信を遮断し防御します。
XXE(XML External Entity)
「XXE(XML External Entity)」は、マークアップ言語の「XML」の特殊な構文を悪用し、アプリケーションがXMLを解析する際に攻撃を仕掛けます。
WAFはXXE攻撃も検出可能で、検出・遮断を行うことで外部からの攻撃を回避します。
クリックジャッキング
「クリックジャッキング」は、通常のWebサイト上に透明化した有害なリンクを設置。ユーザーに疑われることなく、悪意のあるサイトへのクリックを促す攻撃です。
不正なサイトは透明化されているので、ユーザーからは通常のWebサイトしか見えません。そのためユーザーは気づかずに、不正なサイトのリンクを踏んでしまう危険性があります。
WAFは、不正なプログラムを検出・遮断が可能なため、クリックジャッキングからの攻撃を防げます。
WAFの機能では防げない3つの攻撃
Webアプリケーションの脆弱性を狙った攻撃には効果を発揮するWAFですが、防御が不可能な攻撃があります。
以下の表にて、WAFでは防げない攻撃を3点紹介します。
| サイバー攻撃の種類 | 攻撃の特徴 | WAFで防げない理由 |
|---|---|---|
| botによる不正アクセス | ID・パスワードを組み合わせてログインを試みる | 脆弱性を突いた攻撃ではないから |
| OS・ミドルウェアへの標的型攻撃 | OS・ミドルウェアの脆弱性を狙って攻撃 | プラットフォームレイヤーは防御対象外であるため |
| ネットワークに対する標的型攻撃 | 企業に対してウイルスを添付したメールを送付 | ネットワーク層への攻撃は防御の対象ではないから |
次はそれぞれについて詳しく解説します。
botによる不正アクセス
基本的にWAFは、Webアプリケーションの脆弱性に対して効果を発揮します。そのためbotを利用した不正アクセスは脆弱性を突いた攻撃ではないため、WAFでの防御は不可能です。
OS・ミドルウェアへの標的型攻撃
OSやミドルウェアの脆弱性を標的とした攻撃は、WAFの守備範囲外となるため、防御ができません。
WAFとは別にIPSを導入することで、OS・ミドルウェアへの攻撃への対処が可能です。
ネットワークに対する標的型攻撃
ネットワーク層への標的型攻撃に対抗するには、WAFではなくファイアウォールの導入が必要です。
ネットワーク層はWebアプリケーションとは別物であるため、WAFを利用した防御は効果がありません。
【機能の特徴から見る!】こんな企業にWAFがおすすめ!
Webアプリケーションのセキュリティ対策で、WAFを導入しようかお悩みの企業もあるかと思います。
ここでは、特にWAFの導入をおすすめしたい企業を紹介しますので、導入を検討している企業はぜひ参考にしてください。
ECサイトの信頼性を向上したい
ECサイトは利用者の個人情報を取り扱います。そのため「SQLインジェクション」のような、情報漏えいを目的とした攻撃を受ける可能性もあります。
その点、情報漏えいを狙った攻撃にもWAFは効果を発揮します。そのためECサイトを運営する企業や個人情報を取り扱うWebサイトをお持ちの企業は、WAFの導入を検討するとよいでしょう。
環境の異なるWebサイトを一元で監視したい
WAFはWebサーバーの入り口で、不正アクセスに対応します。もしWebサーバー内で異なるサイトやシステムを運用している場合でも、WAFのみで一括管理が可能です。
そのためAWSやAzureといった、異なる環境でのサイト運営が必要な企業に、WAFはおすすめです。
オンライン証券サイトなどハイリスクなデータ漏洩を減らしたい
オンライン証券サイトでは、商品の売買データや顧客情報など重要データを扱っています。そのため、サイバー攻撃に対する対策は非常に重要です。
その点WAFでは外部からの不正アクセスを遮断できるだけでなく、不正なコードの遮断も可能です。情報漏えいのリスクを軽減できるため、オンライン証券サイト等を運営する企業にとってWAFを導入する必要性は大きいでしょう。
まとめ:機能や目的を把握したうえでのWAF導入が大切
WAFはWebアプリケーションの脆弱性を狙った、さまざまなサイバー攻撃の防御が可能です。
一方でbotによる不正アクセスや、標的型攻撃に対しては対応していません。ファイアウォールや、IPSと組み合わせてのセキュリティ対策が必要です。
またWAFにはアプライアンス型やホスト型、クラウド型があり、それぞれ特徴やコスト面が異なります。自社で運用する際は、それぞれの機能や目的を把握したうえで検討してから導入しましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
