
ECサイト上でのネットショッピング、Web上での旅行予約など、Webサイトでサービスを提供している事業者にとって、サイトのセキュリティ対策は欠かすことのできないものです。
Webサイトのセキュリティ対策として有効なサービスがWAF(Webアプリケーション・ファイアーウォール)です。今回は、WAFの概要や有効性、他のセキュリティ対策との違いなどさまざまな点について解説します。
この記事の目次
WAFとは?
従来、セキュリティ対策といえばファイアーウォールやIDS/IPSのようなネットワークへの侵入防御システム、マルウェアなどのウィルス対策などさまざまな方法が利用されてきました。
しかし、これらでは防げないのがWebアプリケーションへの攻撃です。WAFは、こうしたWebアプリケーションに対する攻撃に特化したセキュリティ対策です。
WAF導入の必要性
なぜ、Webサイトには従来のセキュリティ対策ではなく、WAFを使う必要があるのか、改めて整理してみましょう。具体的にWAFが必要な理由は以下の2つです。
- ファイアーウォールやIDS/IPSなど従来の対策では保護できない
- Webアプリケーションの脆弱性はゼロにはならない
このように、WAFはとくに従来のセキュリティ対策でWebアプリケーションを保護しきれないために導入が必要だと理解してください。
WAFの機能・役割とは
セキュリティ対策としてWAFにはどういった機能があり、具体的に導入が必要なケースにはどういったものがあるのでしょうか。
どのような攻撃が防げるのか?
WAFの導入によって、具体的に以下の攻撃を防ぐことができるようになります。
- SQLインジェクション攻撃
- クロスサイトスクリプティング
- バッファオーバーフロー
- DDoS攻撃
- 総当たり攻撃
この中でも特にSQLインジェクション攻撃やクロスサイトスクリプティングはWAFでしか防げないものです。
どのような企業に必要なのか?
セキュリティ対策は、導入すべきところに適切なものを採用する必要がありますが、WAFを必要とするのはどういった企業でしょうか。具体的にWAFを導入すべき企業のケースとしては、以下のようなものがあります。
- オンラインショッピングなどの事業を行なっている
- 会員制Webサイトなど、個人情報をサイトで扱っている
- Web経由で他社にサービスを提供している
WAFとその他のセキュリティとの違いを比較
今までのネットワークのセキュリティ対策といえばファイアーウォールを設置するというのが一般的です。こうしたファイアーウォールなど従来の方法とWAFはどのように違うのでしょうか。
WAFとファイアウォールの違い
まずは、ファイアーウォールとWAFの違いについて考えてみましょう。
WAF | ファイウォール |
---|---|
多くの攻撃に対応できる | ポートスキャン等、内部ネットワークへの不正アクセスを防ぐ DDoS攻撃やWebアプリケーションの脆弱性を悪用した攻撃には対応できない |
WAFとIPS/IDSとの違い
次に、 ネットワーク侵入検知装置(IDS)、あるいは侵入防止装置(IPS)とWAFの違いについて解説します。
WAF | IDS/IPS |
---|---|
多くの攻撃に対応できる | 不正アクセスにつながる攻撃の検知や防御を行う Webアプリケーションの脆弱性を悪用した攻撃には対応できない |
WAFとSSLとの違い
では、インターネット上の通信を暗号化し、盗聴や改ざんを防ぐ仕組みであるSSLとは、WAFとどのような違いがあるのでしょうか。
WAF | SSL |
---|---|
攻撃を防ぐもの | 通信を暗号化する仕組み |
このように両者はもともと違う次元のものです。ただし、WAFでSSLによって暗号化された通信を監視する仕組みを整えるといった意味で、関係性は把握しておく必要があります。
組み合わせて使用することが望ましい
ファイアーウォール、IPS/IDS、SSLとWAFとを比較した上で言えることは、「ひとつの対策だけでなく、複数の対策を組み合わせることが望ましい」ということです。必ず、複数の方法を併用して使うようにしましょう。
WAFの種類とは
単にWAFといっても実際にはいくつかの種類に分けられます。以下では、3種類のWAFについて解説します。
Host/ホスト型WAF(ソフトウェア型WAF)
Webサーバーにソフトウェアとして導入します。比較的安価ですが、初期設定等は行う必要があります。
Gateway/ゲートウェイ型WAF(ネットワーク型WAF)
別途WAFサーバーを設置する方法。負荷はかかりませんが、WAFサーバーの保守が必要になるほか、WAFサーバーがダウンするとインターネット接続が利用できないデメリットがあります。
Service/サービス型WAF(SaaS/クラウド利用)
Webサーバーにエージェントを導入し、クラウドサービスとして提供されるWAFに接続するもの。負荷がほとんどかからずネットワーク機器の変更も不要です。
WAFのメリットとデメリットとは
Webサーバーのセキュリティ対策として欠かせないWAFですが、導入によるメリットやデメリットにはどういったものがあるのでしょうか。方法を選択する意味でも、種類別に説明します。
WAFの種類別のメリットとデメリット一覧
種類別のWAFのメリットやデメリットは以下のようになります。
メリット | デメリット | |
---|---|---|
Host/ホスト型WAF(ソフトウェア型WAF) | 導入が安価 | 負荷がかかる 設定等を自前で行う必要がある |
Gateway/ゲートウェイ型WAF(ネットワーク型WAF) | Webサーバのリソースを消費しない | 費用がかかる WAFが停止するとインターネット接続が利用できない |
Service/サービス型WAF(SaaS/クラウド利用) | 負荷がかからない 利用が手軽 ネットワーク機器の変更が不要 |
特になし |
WAFを選択する際の4つのポイント
WAFの種類やそれぞれのメリット、デメリットについて解説しましたが、具体的に選択するにはどうすれば良いのでしょうか。以下では4つのポイントを紹介します。
「どんな設置形態」を利用すると良いのか
WAFには、紹介したように3つの形態があります。目的や予算に合わせてどれを利用するかを検討します。
「どの程度のコスト」がかかるか
「導入コスト」「運用コスト」「使用性」など、導入して運用する場合、どれくらいのコストがかかるのか把握しましょう。タイプによっては物理機器を導入する必要があり、減価償却費等も考えておくことが大切です。
「サポート体制」はしっかりとしているか
問題が発生した場合、すぐに対応できる体制を持っていると安心です。サービスを選択する場合は、どんな場面でどういったサポートをしてくれるのかも含めて検討することが必要です。
「これまでの実績」は十分か
セキュリティ関連サービスは、とくにこれまでの実績が安心感をもたらします。実績十分かどうかしっかりと見極めましょう。
まとめ
ECサイトやWeb上でサービスを提供している場合、Webサイトの安全性はとくに重要なものとなります。しかし、Webサイトへの攻撃は従来のファイアーウォールやIDS/IPSなどといった対策では防ぎきれません。
そこで使われるのがWAFです。WAFは、従来の対策では対応しきれなかったWebアプリケーションの脆弱性などにも対応できるもので、Webサイトを運用する上で不可欠なサービスとなっています。
WAFにはいくつか種類があり、それぞれメリットやデメリットがあります。利用する場合は、今回の記事を参考に、目的や予算にあったものを選ぶようにしましょう。