サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

WAFとは?その必要性から種類と選び方のポイントを徹底解説

  • LINEで送る

ECサイト上でのネットショッピング、Web上での旅行予約など、Webサイトでサービスを提供している事業者にとって、サイトのセキュリティ対策は欠かすことのできないものです。

Webサイトのセキュリティ対策として有効なサービスがWAF(Webアプリケーション・ファイアーウォール)です。今回は、WAFの概要や有効性、他のセキュリティ対策との違いなどさまざまな点について解説します。

WAFとは?

従来、セキュリティ対策といえばファイアーウォールやIDS/IPSのようなネットワークへの侵入防御システム、マルウェアなどのウィルス対策などさまざまな方法が利用されてきました。

しかし、これらでは防げないのがWebアプリケーションへの攻撃です。WAFは、こうしたWebアプリケーションに対する攻撃に特化したセキュリティ対策です。

WAF導入の必要性

なぜ、Webサイトには従来のセキュリティ対策ではなく、WAFを使う必要があるのか、改めて整理してみましょう。具体的にWAFが必要な理由は以下の2つです。

  • ファイアーウォールやIDS/IPSなど従来の対策では保護できない
  • Webアプリケーションの脆弱性はゼロにはならない

このように、WAFはとくに従来のセキュリティ対策でWebアプリケーションを保護しきれないために導入が必要だと理解してください。

WAFの機能・役割とは

セキュリティ対策としてWAFにはどういった機能があり、具体的に導入が必要なケースにはどういったものがあるのでしょうか。

どのような攻撃が防げるのか?

WAFの導入によって、具体的に以下の攻撃を防ぐことができるようになります。

  • SQLインジェクション攻撃
  • クロスサイトスクリプティング
  • バッファオーバーフロー
  • DDoS攻撃
  • 総当たり攻撃

この中でも特にSQLインジェクション攻撃やクロスサイトスクリプティングはWAFでしか防げないものです。

どのような企業に必要なのか?

セキュリティ対策は、導入すべきところに適切なものを採用する必要がありますが、WAFを必要とするのはどういった企業でしょうか。具体的にWAFを導入すべき企業のケースとしては、以下のようなものがあります。

  • オンラインショッピングなどの事業を行なっている
  • 会員制Webサイトなど、個人情報をサイトで扱っている
  • Web経由で他社にサービスを提供している

WAFとその他のセキュリティとの違いを比較

今までのネットワークのセキュリティ対策といえばファイアーウォールを設置するというのが一般的です。こうしたファイアーウォールなど従来の方法とWAFはどのように違うのでしょうか。

WAFとファイアウォールの違い

まずは、ファイアーウォールとWAFの違いについて考えてみましょう。

WAF ファイウォール
多くの攻撃に対応できる ポートスキャン等、内部ネットワークへの不正アクセスを防ぐ
DDoS攻撃やWebアプリケーションの脆弱性を悪用した攻撃には対応できない

WAFとIPS/IDSとの違い

次に、 ネットワーク侵入検知装置(IDS)、あるいは侵入防止装置(IPS)とWAFの違いについて解説します。

WAF IDS/IPS
多くの攻撃に対応できる 不正アクセスにつながる攻撃の検知や防御を行う
Webアプリケーションの脆弱性を悪用した攻撃には対応できない

WAFとSSLとの違い

では、インターネット上の通信を暗号化し、盗聴や改ざんを防ぐ仕組みであるSSLとは、WAFとどのような違いがあるのでしょうか。

WAF SSL
攻撃を防ぐもの 通信を暗号化する仕組み

このように両者はもともと違う次元のものです。ただし、WAFでSSLによって暗号化された通信を監視する仕組みを整えるといった意味で、関係性は把握しておく必要があります。

組み合わせて使用することが望ましい

ファイアーウォール、IPS/IDS、SSLとWAFとを比較した上で言えることは、「ひとつの対策だけでなく、複数の対策を組み合わせることが望ましい」ということです。必ず、複数の方法を併用して使うようにしましょう。

WAFの種類とは

単にWAFといっても実際にはいくつかの種類に分けられます。以下では、3種類のWAFについて解説します。

Host/ホスト型WAF(ソフトウェア型WAF)

Host/ホスト型WAF(ソフトウェア型WAF)

Host/ホスト型WAF(ソフトウェア型WAF)

Webサーバーにソフトウェアとして導入します。比較的安価ですが、初期設定等は行う必要があります。

Gateway/ゲートウェイ型WAF(ネットワーク型WAF)

GATEWAY/ゲートウェイ型WAF(ネットワーク型WAF)

GATEWAY/ゲートウェイ型WAF(ネットワーク型WAF)

別途WAFサーバーを設置する方法。負荷はかかりませんが、WAFサーバーの保守が必要になるほか、WAFサーバーがダウンするとインターネット接続が利用できないデメリットがあります。

Service/サービス型WAF(SaaS/クラウド利用)

SERVICE/サービス型WAF(SAAS/クラウド利用)

SERVICE/サービス型WAF(SAAS/クラウド利用)

Webサーバーにエージェントを導入し、クラウドサービスとして提供されるWAFに接続するもの。負荷がほとんどかからずネットワーク機器の変更も不要です。

WAFのメリットとデメリットとは

Webサーバーのセキュリティ対策として欠かせないWAFですが、導入によるメリットやデメリットにはどういったものがあるのでしょうか。方法を選択する意味でも、種類別に説明します。

WAFの種類別のメリットとデメリット一覧

種類別のWAFのメリットやデメリットは以下のようになります。

メリット デメリット
Host/ホスト型WAF(ソフトウェア型WAF) 導入が安価 負荷がかかる
設定等を自前で行う必要がある
Gateway/ゲートウェイ型WAF(ネットワーク型WAF) Webサーバのリソースを消費しない 費用がかかる
WAFが停止するとインターネット接続が利用できない
Service/サービス型WAF(SaaS/クラウド利用) 負荷がかからない
利用が手軽
ネットワーク機器の変更が不要
特になし

WAFを選択する際の4つのポイント

WAFの種類やそれぞれのメリット、デメリットについて解説しましたが、具体的に選択するにはどうすれば良いのでしょうか。以下では4つのポイントを紹介します。

「どんな設置形態」を利用すると良いのか

WAFには、紹介したように3つの形態があります。目的や予算に合わせてどれを利用するかを検討します。

「どの程度のコスト」がかかるか

「導入コスト」「運用コスト」「使用性」など、導入して運用する場合、どれくらいのコストがかかるのか把握しましょう。タイプによっては物理機器を導入する必要があり、減価償却費等も考えておくことが大切です。

「サポート体制」はしっかりとしているか

問題が発生した場合、すぐに対応できる体制を持っていると安心です。サービスを選択する場合は、どんな場面でどういったサポートをしてくれるのかも含めて検討することが必要です。

「これまでの実績」は十分か

セキュリティ関連サービスは、とくにこれまでの実績が安心感をもたらします。実績十分かどうかしっかりと見極めましょう。

まとめ

ECサイトやWeb上でサービスを提供している場合、Webサイトの安全性はとくに重要なものとなります。しかし、Webサイトへの攻撃は従来のファイアーウォールやIDS/IPSなどといった対策では防ぎきれません。

そこで使われるのがWAFです。WAFは、従来の対策では対応しきれなかったWebアプリケーションの脆弱性などにも対応できるもので、Webサイトを運用する上で不可欠なサービスとなっています。

WAFにはいくつか種類があり、それぞれメリットやデメリットがあります。利用する場合は、今回の記事を参考に、目的や予算にあったものを選ぶようにしましょう。

  • LINEで送る

情報漏洩セキュリティ対策ハンドブックプレゼント


メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?


メルマガ登録はこちら

SNSでもご購読できます。