マンガでわかる「おしえて！WAFくん」ECサイト編

ある地方の和菓子屋さん。これからネット販売を始めようと考えているようです。でも、アルバイトのユミちゃんは少しセキュリティ面が不安のようです・・・。

Web アプリケーション ファイアウォールの略で、WebサイトやWebサービスを守るセキュリティシステムです。
ネットワークを介したウイルスや不正アクセスなど、Webアプリケーションの脆弱性をついた外部からの攻撃を防御します。

WAFはWebサイトの前面に配置することで、ファイアウォールやIPS/IDS（不正侵入防止/不正侵入検知システム）では守ることができない攻撃を検知・遮断します。
Webサーバの前に設置するので、サーバそのものにハッカーやウイルスなどが侵入しないようにするという機能を持っています。

WAFは、Webサーバやデータベースの前面に配置して、ハッカーからの通信がないかどうかを解析・検査し、もし不正な攻撃だと検知した場合にその通信を遮断するという動きをします。

アクセスの解析と遮断という2つのアクションを行うのが、WAFの基本的なしくみです。

アクセスの解析に必要なものが「シグネチャ」です。

シグネチャとは、過去に起きたり、これから起こると想定される攻撃のパターン、通信の手法、ウイルスなどのデータをまとめた定義ファイルです。すべてのアクセスは、このシグネチャと照合され、不正な攻撃と検知された場合に通信を遮断します。

こうすることで、不正攻撃を未然に防ぐことが可能になります。

「Webサイト改ざん」や「情報漏えい」などの直接的な被害だけでなく、「ブランドイメージの毀損」や「株価の下落」などの間接的な被害も多く、対応範囲は想像以上のものになります。

・SQLインジェクション
・ブルートフォースアタック
・クロスサイトスクリプティング(XSS)
・OSコマンドインジェクション
・改行コードインジェクション
・コマンドインジェクション
・LDAPインジェクション
・ディレクトリトラバーサル
・ファイルインクルード
・URLエンコード攻撃
・Dos/DDoS攻撃
＃各社サービス内容やプランにより対応できない場合もあり
・その他のWEB攻撃全般

これらの攻撃は、ファイアウォールやIDS/IPSでは防ぐことのできない攻撃なので、従来のセキュリティ製品に加えてWAFを使うことで、セキュリティ対策を強化できます。

また、脆弱性もカバーすることができます。開発環境や体制が整っていない場合、脆弱性が発見されてもすぐに改修作業を行うことが難しいことがあります。だからといってそのままの状態にしておくことは非常に危険で、攻撃者の標的になってしまいます。

WAFはこういった「すぐには対応できない」という脆弱性もしっかりとカバーすることもできます。

WAFにはアプライアンス型、ホスト型、クラウド型の3種類があります。
予算・リソース・ポリシーに応じて最適なものを選択することが重要です。

・アプライアンス型：ネットワーク上に専用機器を設置

・ホスト型：Webサーバにインストール

・クラウド型：インターネット経由で導入

クラウド型WAFの特徴は、大がかりな機器が不要のため、導入が簡単で必要な費用も最小限で済むことがあげられます。
WAFの運用をセキュリティベンダーにおまかせできます。

セキュリティ対策は技術的にも難しく、日々新たな脅威も発生し、誤検知が発生することも十分ありえます。

トラブルが発生したとき、ベンダーのサポート体制が重要です。

自社の必要性に適したベンダーを慎重に選ぶようにしましょう。

本マンガに補足説明を加えたPDF資料をダウンロードできます。

ダウンロードはこちら

https://www.shadan-kun.com/

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。

攻撃遮断くんの資料をダウンロード

（2021/11執筆）