WAFがなぜWebアプリケーションのセキュリティ対策に必要なのか？理由を徹底解説

近年「SQLインジェクション」や「クロスサイトスクリプティング(XSS)」といったサイバー攻撃による情報漏えいの被害が急増しています。

ニュースでもたびたび報道されるようになり、こうした攻撃手法も世の中に広く知られるようになりました。サイバーセキュリティの最新情報に精通していないWebサイト制作の担当者でも、こうしたサイバー攻撃を認識するようになっています。もはやWebサイトのセキュリティ対策はすべての企業が積極的に取り組むべき課題なのです。

しかしながら、「ファイアウォールやIDS/IPSを導入していれば安全」とWebサイトのセキュリティ対策に誤解を持つ人が多くいることも事実です。このような誤解から、Webサイトに十分なセキュリティ対策が施されず、いつサイバー攻撃の被害にあってもおかしくない危険なWebサイトが多く存在しています。

Webサイトをサイバー攻撃から保護するにはWAF（ワフ：Web Application Firewall）が必要であり、最近ではWebサイトセキュリティの主流となってきています。
それでは、なぜWAFが必要なのか解説いたします。

WAF とは？

Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。
SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW（ファイアウォール）やIPS/IDS（不正侵入防止システム/不正侵入検知システム）では守ることが出来ない攻撃を検知・遮断することができます。

誰にでもアクセス可能なWebアプリケーション

あらゆるサービスがWebを通して利用できるようになり、日常の生活やビジネス面での利便性が格段に向上しました。

しかしながら、このように公開されているWebサイトやWebアプリケーションには、当然、ユーザーだけでなく攻撃者もアクセスできるため、サイバー攻撃の対象にもなってしまいます。

WebサイトやWebアプリケーションを提供している企業は、このような状況に危機感を持ち、セキュリティ対策に取り組むことが大切です。

そのセキュリティ対策として、欠かせなくなっているものがWAFです。

Webサイトのセキュリティ対策がWAFでなければいけない理由

限界があるセキュアプログラミング

WAFがWebサイトのセキュリティ対策の主流となる前は、「Webセキュリティ」といえば、Webアプリケーションに脆弱性が発生しないような完璧なプログラミングを目指すセキュアプログラミングが主流でした。

しかし、セキュアプログラミングによるWebサイトのセキュリティ対策は、開発者のスキルに依存するというデメリットもあります。

Webアプリケーション開発に携わる開発者全員が同等のスキルを保有しているか、スキルを保有するただ1人で開発する必要があります。しかし、ほとんどの場合、全員が同等のスキルを保有していることはなく、1人で開発するには開発期間が大幅に伸びてしまいます。

さらに、セキュアプログラミングの実現には、何度もソースコードのレビューとテストを行う必要があるため、コストが肥大化してしまうといった悩ましい問題もあります。

顧客であるクライアントにコストアップは受け入れられず、短期間でチェックも不十分なままWeb上に公開してしまうということもあります。

Webアプリケーションの脆弱性はなくならない

Webアプリケーションが人の手で開発されている以上、脆弱性がなくなることはありえないと言ってよいでしょう。

また、前述したように、その脆弱性をセキュアプログラミングで対応することは現実的ではありません。全ての脆弱性を排除するには十分な開発コストや期間が必要になるため、多くの場合は主要な脆弱性しか排除できません。

また、Webアプリケーションは定期的に改修されることがあり、その度に新たな脆弱性が発生することもあります。現状では問題のないプログラムであっても、他の改修されたシステムやプログラムと連動することで新たな脆弱性につながるからです。

Webアプリケーションの脆弱性まとめ

Webアプリケーションケーションは多くの企業や団体が提供しているWebサービスに利用されています。ネットワークプログラムやアプリケーションは脆弱性とは縁を切ることができないため、セキュリティ対策を検討するのであれば、Webアプリケーションの脆弱性を知る必要があるでしょう。

Webアプリケーションはファイアウォール（FW）やIDS/IPSでは保護できない？

ファイアウォール（FW）やIDS/IPS製品は、重要なセキュリティ対策の1つです。

しかし、Webサイトを完全に保護することはできません。なぜなら、ファイアウォールやIDS/IPSのみでは、保護できるレイヤーが限定されWebアプリケーションに対してのサイバー攻撃を完全に防ぎきれません。

ファイアウォールやIDS/IPSは、主にネットワーク層やオペレーションシステム層などを監視し、不正な通信を検知・遮断します。つまり、ネットワークやオペレーションシステムとは別の層にある、Webアプリケーションに対してのサイバー攻撃を防御することはできないのです。

こういった理由からWAFを検討する企業が多くなります。

セキュリティの基本！ファイアウォールについて知ろう

ファイアウォールとは、firewall: 防火壁のことですが、コンピュータ・セキュリティの分野では、予め設定したルールに従い、通してはいけない通信を止める機能のことを指します。

IDSとIPSの意味とその違いとは

サイバー攻撃の種類は多く、手口は増々巧妙になっています。サイバー攻撃から身を守るには、セキュリティ対策が必要不可欠です。今回は「IDS」「IPS」という不正な通信を検出するセキュリティ対策についてご紹介します。

クラウド型WAFで効率的なWebアプリケーションのセキュリティ対策

Webサイトのセキュリティ対策においてWAF対策は、他のセキュリティ製品では守れない層を保護するセキュリティとして重要視されています。

しかし、WAFの運用は決して簡単ではありません。専任の技術者による設定や日々のアップデートなど、煩雑な作業をこなすリソースが必要です。WAFを導入することで、作業負荷が増え運用に追われてしまっては意味がありません。
そのため従来型のWAFではコストや運用リスクを理由に、導入を諦める企業が多くありました。

こうした課題の解決策として採用されているのが、クラウド型のWAFです。
機器を購入する必要はなく、運用はメーカー側で対応するため、運用は全てお任せ。運用コストも抑えることができます。機器購入の必要があるアプライアンス型に取って代わり、WebサイトやWebサービスのセキュリティ対策として多くの企業で採用されています。

クラウド型WAF「攻撃遮断くん」は、保守運用に一切の手間を掛けることなく24時間365日高セキュリティを実現します。
クラウド型のWAFは、月額1万円〜/最短1日から導入可能なので、これからWebセキュリティ対策を行う企業様には有力な選択肢になるのではないでしょうか。

WAFの必要性まとめ

今回はWebサイトにWAFが求められている理由について紹介しました。Webアプリケーション層を保護することが出来るWAFは、現在のWebサービスには不可欠です。さらにクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。ぜひこの機会にWAFの導入を検討してみてはいかがでしょうか。

安価で高セキュリティなサービスを提供するクラウド型WAF「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

（2017/5/29 執筆、2019/1/22修正・加筆, 2021/7/20修正・加筆）

https://www.shadan-kun.com/