なぜWebサイトにWAFが必要なのか?その理由を解説

2019.01.22

WAF

Open-source-CMS-Vulnerability

近年「SQLインジェクション」や「クロスサイトスクリプティング」といったサイバー攻撃による情報漏えい被害が増加しています。ニュースでもたびたび報道されるようになり、こうした攻撃手法も世の中に広く知られるようになりました。情報システムに精通していないWebサイト制作の担当者でも、こうしたサイバー攻撃を認識してきました。もはやWebサイトのセキュリティ対策はすべての企業が積極的に取り組むべき課題となっています。
しかしながら、「ファイアウォールやIDS/IPSを導入していれば安全」とWebサイトのセキュリティ対策に誤解を持つ人が多くいることも事実です。このような誤解から、Webサイトにセキュリティ対策が施されず、いつサイバー攻撃の被害にあってもおかしくない危険なWebサイトが多く存在しています。
Webサイトをサイバー攻撃から保護するにはWAFが必要であり、最近ではWebサイトセキュリティの主流はWAF(Web Application Firewall)となってきています。
それでは、なぜWAFが必要なのかご紹介します。

目次

誰にでもアクセス可能なWebアプリケーション

あらゆるサービスがWebを通して利用できるようになり、日常の生活やビジネス面での利便性が格段に向上しました。しかしながら、このように公開されているWebサイトやWebアプリケーションには、当然、ユーザーだけでなく攻撃者もアクセスできるため、サイバー攻撃の対象にもなってしまいます。WebサイトやWebアプリケーションを提供している企業は、このような状況に危機感を持ち、セキュリティ対策に取り組むことが大切です。そのセキュリティ対策として、欠かせなくなっているものがWAFになります。

Webサイトのセキュリティ対策がWAFでなければいけない理由

限界があるセキュアプログラミング

WAFがWebサイトのセキュリティ対策の主流となる前は、Webアプリケーションに脆弱性が発生しないよう、完璧なプログラミングを目指すセキュアプログラミングが主流でした。しかし、セキュアプログラミングによるWebサイトのセキュリティ対策は、開発者のスキルに依存するというデメリットもあります。Webアプリケーション開発に携わる開発者全員が同等のスキルを保有しているか、1人で開発をする必要があります。もちろん、全員が同等のスキルを保有することはなく、1人で開発するには開発期間が大幅に伸びてしまいます。さらに、セキュアプログラミングの実現には、何度もソースコードのレビューとテストを行う必要があるため、コストが肥大化してしまうといった悩ましい問題もあります。顧客であるクライアントにコストアップは受け入れられず、短期間でチェックも不十分なままシステムやOSをWeb上にアップしてしまうということもあります。

Webアプリケーションの脆弱性はなくならない

Webアプリケーションが人の手で開発されている以上、脆弱性がなくなることはありえないと言ってよいでしょう。また、前述したように、その脆弱性をセキュアプログラミングで対応することは現実的ではありません。全ての脆弱性を排除するには十分な開発コストや期間が必要になるため、多くの場合は主要な脆弱性しか排除できません。また、Webアプリケーションは定期的に改修されることがあり、その度に新たな脆弱性が発生することもあります。現状では問題のないプログラムであっても、他の改修されたシステムやプログラムと連動することで新たな脆弱性につながるからです。

ファイアウォールやIDS/IPSでは保護できない?

ファイアウォールやIDS/IPS製品は、重要なセキュリティ対策の1つです。しかし、Webサイト保護することはできません。なぜなら、WAFとファイアウォールやIDS/IPSは、保護できるレイヤーが異なるからです。ファイアウォールやIDS/IPSは、主にネットワーク層やオペレーションシステム層などを監視し、不正な通信を検知します。つまり、ネットワークやオペレーションシステムとは別の層にあるWebアプリケーションに対してのサイバー攻撃を防ぐことはできないのです。こういった理由からWAFを検討する企業が多くなります。

クラウド型WAFで効率的なWebセキュリティ対策

Webサイトのセキュリティ対策においてWAF対策は、他のセキュリティ製品では守れない層まで保護するセキュリティとして重要視されています。しかし、WAFの運用は決して簡単ではありません。専任の技術者による設定や日々のアップデートなど、煩雑な作業をこなすリソースが必要です。WAFを導入することで、作業負荷が増え運用に追われてしまっては意味がありません。
そのため従来型のWAFではコストや運用リスクを理由に、導入を検討しない企業が多くありました。

こうした課題の解決策として採用されているのが、クラウド型のWAFです。
機器を購入する必要はなく、運用はメーカー側で対応するため、運用は全てお任せ。運用コストも抑えることができます。機器購入の必要があるアプライアンス型に取って代わり、WebサイトやWebサービスのセキュリティ対策として多くの企業で採用されています。

クラウド型WAF「攻撃遮断くん」は、保守運用に一切の手間を掛けることなく24時間365日高セキュリティを実現します。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢になるのではないでしょうか。

まとめ

今回はWebサイトにWAFが求められている理由について紹介しました。Webアプリケーション層を保護することが出来るWAFは、現在のWebサービスには不可欠です。さらにクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。ぜひこの機会にWAFの導入を検討してみてはいかがでしょうか。

安価で高セキュリティなサービスを提供するクラウド型WAF「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

(2017/5/29 執筆、2019/1/22修正・加筆)

この記事と一緒に読まれています