WAFとは？Webサイトのセキュリティ対策

企業を狙うサイバー犯罪は年々増加し、件数・被害総額ともに軽視できない事態となってきています。

特にWebアプリケーションを利用する企業は、システムOSと並行してセキュリティ対策を実行していく必要があります。

今回はセキュリティ対策として普及しつつあるWAFについて紹介します。

WAFとは何か、その役割や他のセキュリティシステムとの違いなど、ポイントを押さえて解説します。

WAF（ワフ）は、正式名称Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、短く頭文字を集めて「ワフ」と呼称するのが一般的です。

WAFは、名前の通り、Webアプリケーションに特化したセキュリティシステムの一種です。Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策のシステムです。

サイバー攻撃のターゲットとなる企業は大手企業だけではなく、中小企業に向けられる可能性も大いにあります。

オンラインバンキングやECサイトと言った、ユーザーからの入力を受け付けたり、リクエストに応じて動的ページを生成したりするようなWebサイトのセキュリティ対策として、WAFは大変有効です。

WAFの特徴としては、一般的なファイアウォールとは異なり、「Webアプリケーションレベル」でのセキュリティを強化できるということが挙げられます。

Webサーバやデータベースの前面に配置して通信を解析・検査し、不正な通信・攻撃を通さないという役割を果たしています。

多様化しているサイバー犯罪には有用な対策だと評価されています。

WAFは「シグネチャ」と呼ばれる定義ファイルに基づいて動作します。

シグネチャにはWebアプリケーションに関連する正しいアクセスが含まれています。

サーバやデータベースにアクセスしようとするセッションが始まると、WAFはシグネチャとアクセスプログラムの対比を実行することが役目です。

問題があると判断されたアクセスには遮断や無効化の対処を実行します。

WAFを導入するメリットは、Webサイトを守るセキュリティ対策としてよく知られるFW（ファイアウォール）やIPS（不正侵入防御）では対応できない攻撃を検知・遮断することができる点です。

Webサイト上のアプリケーション自体にセキュリティ上の問題があっても、WAFであればそれを無害化できるという、とても利便性の高いシステムです。

近年増え続けているサイバー犯罪の被害により、情報を盗まれると企業の運営どころか社会的信用が失われる可能性もあります。システムに熟練したエンジニアをもってしても、脆弱性を突いたサイバー攻撃を必ず防げるとは言い切れません。

WAFは脆弱性を利用した攻撃に対する耐性が強いため、WAFを利用することでセキュリティ対策の強化が見込めます。

以下の記事では、WAF導入におけるメリットについて詳しく解説しています。

WAFはWebアプリケーションの脆弱性を突いたサイバー攻撃に効果が期待できます。WAFとその他のセキュリティシステムには、どのような違いがあるのでしょうか。その他のセキュリティとWAFとの違いについて紹介します。両セキュリティの違いを把握することで、今後のセキュリティ対策の運用に役立ちます。

FW（ファイアウォール）は、ネットワークレベルでのセキュリティ対策です。インターネット回線やIPアドレスを監視し、通信を制限します。

通常のネットワークアクセスは、利用するポートやIPアドレスが定まっていることが多く、ファイアウォールはそのポイントに着目して、ネットワーク上で不正アクセスを防御します。

通信時にやりとりされる送信先および送信元の情報から、その通信を許可するかどうかを判断し、内部ネットワークへ侵入する不正なアクセスを遮断する仕組みです。

しかし、ファイアウォールはWAFのように通信の中身までチェックすることはできません。また、ファイアウォールではWAFがカバーしているWebアプリケーションへの攻撃を防ぐことはできません。

インターネット上のセキュリティ対策としてよく使われるシステムとして、IPS（侵入防止検知システム）とIDS（不正侵入検知システム）があります。

それぞれ、Instrusion Detection System（＝IDS）とIntrusion Detection and Protection System（＝IPS）が正式名称です。

IPS／IDSは、OSやミドルウェアなどプラットフォームレベルでのセキュリティシステムで、リアルタイムにネットアクセスを監視することが特徴です。

サイバー攻撃など不正なアクセスや異常な通信が発生した時には管理者へ通知し、IPSにはアクセスそのものを遮断する機能があります。

OSやミドルウェア層への攻撃に対して効果を発揮しますが、こちらもWAFのようにWebアプリケーションへの攻撃を防ぐことはできません。

以下の記事では、WAFとIPS/IDSとの違いについて詳しく解説しています。

WAFはインターネット上にあるサーバやWebサイトを攻撃から守ることに特化しているのに対し、SSLはアクセスしてくれた顧客の情報を守ることに特化しています。顧客が入力した個人情報などはSSLによって暗号化され、第三者に盗まれるリスクをなくします。

上記のセキュリティ対策もWAFも、それぞれ特徴が異なるものです。

WAFを導入すればFWやIPSが不要になるといったことではなく、得意とするブロック方法や場所・対象、カバーできる範囲が違うということを意識して、それぞれで補完しあうことが必要です。

WAFが防ぐことができる攻撃の種類として
SQLインジェクション
クロスサイトスクリプティング
ディレクトリトラバーサル
ブルートフォースアタック
といったものが挙げられます。
これらの攻撃はWebアプリケーション層への攻撃に含まれています。

対応できるレイヤー別に分けると以下のような分類になります。

ファイアウォール：ネットワーク層
IPS/IDS：ソフトウェア/OS層
WAF：Webアプリケーション層

それぞれのセキュリティサービスの特徴をうまく使い分け、組み合わせることで、より強固なセキュリティの構築を実現できます。扱っているサービスに合わせた併用をおすすめします。

初期のWAFは、高い有用性の反面、導入作業の難しさや導入コストの高さ、運用にセキュリティの専門知識が必要なことなどから、利用できる企業が限られていました。

しかし、近年のシステム開発技術向上の成果により、現在では、WAFはWebサイト防御の最も現実的な選択肢の一つとなりました。

WAFには3つのタイプがあります。それぞれのWAFの特徴と使用する上でのポイントについて紹介します。WAFの導入を検討されている方は、サーバの特性に合わせたWAFを導入することをおすすめします。

アプライアンス型WAFとは、専用の機器を設置するタイプです。これは従来からあるWAFのかたちで、導入するためには「アプライアンス」と呼ばれる専用機器を購入する必要があります。機器購入に伴う初期費用が高額になること、複雑な設定変更作業が必要なこと、自社での運用が必要なことから、導入後は専任の技術者の存在が必須になります。専用の技術者がいる分、独自にWAFを運用することが可能になるため、セキュリティ性を高めることができるメリットがあります。

ソフトウェア型WAFとは、既存のサーバにソフトウェアをインストールするタイプのWAFです。

専用機器の購入が不要になるため、導入コストの削減や短期間での導入が可能です。

規模とコストが比例するため、規模によっては運用コストが大きく膨らむ可能性があり、導入には十分な検討が必要です。

また、ソフトウェア型WAFもアプライアンス型WAFと同様に、技術者による運用が必要になります。

クラウド型WAFは、セキュリティベンダーが運用するWAFをインターネット経由で利用するタイプのWAFです。

専用機器の購入やサーバへソフトウェアをインストールする必要はないため低コストで利用でき、導入時もDNSを切り替えるだけで設定できます。また、環境や条件にもよりますが、導入までの期間も短く、最短約1週間以内にサービスを開始することができます。

運用もベンダーが行うため、専門のセキュリティ技術者は不要です。
アプライアンス型、ソフトウェア型、クラウド型の中で、クラウド型は最も手軽にセキュリティ対策を行うことができる手段の一つと言えるでしょう。

WAFの導入にあたり、事前に準備が必要なものがあります。導入検討しているWAFの選定や、導入後の設定などに関わる情報を事前に準備しておくと導入検討やWAFメーカーとの打ち合わせが円滑になるので、しっかり準備しましょう。

導入予定のサービスがどのようなネットワーク構成になっているか図にしたもので、導入検討しやすくなります。特に、アプライアンス型WAFを導入するか、ソフトウェア型WAFを導入するのか、クラウド型WAFを利用するかはネットワーク構成や利用しているシステム環境によって異なるので、正確なネットワーク構成図を準備して検討することをおすすめします。また、IPアドレスによるアクセス制限やロードバランサーによるロードバランシングなどを行っている場合は変更が必要な場合もあるため、影響しそうな範囲についても確認しておくことも重要です。

WAFの導入は、しっかりとした計画を立てた上で実行することが理想です。防御範囲の確認やシステムの影響範囲、動作検証手順などをあらかじめ準備しておきます。社内で計画が難しい場合は、導入先の業者などの専門業者に協力してもらうとよいでしょう。

利用しているクラウド環境によっては、WAF機能が備わっている場合もあります。次に、クラウドベンダーが提供しているWAFについて紹介させていただきます。

AWS WAFとはAWS（Amazon Web Services）で提供されている。WAF（Web Application Firewall）のことです。AWS WAFはAWSで提供されている「Amazon CloudFront」や「ELB（Elastic Load Balancer）」、「ALB（Application Load Balancer）」に付属される形で提供されています。AWS環境でをAWS WAFを使用したい場合はまずは自社でこれらを利用しているか確認する必要があります。

azureとはマイクロソフト社が提供しているクラウドサービスです。azureの特徴として、セキュリティオプションや設定機能が多くあり、オプション追加や設定が出来るセキュリティセンターで、WAFを用途に合わせて追加設定することが出来ます。

WAFにはシグネチャの更新など新たな脆弱性対応やWAFの障害対応、ハードウェアやソフトウェアの更改などの運用が必要です。アプライアンス型WAFの場合、ほとんど自社で運用しなければいけません。クラウド型WAFの場合、すべてWAFベンダーが実施する運用となので、導入後も手間がかかりません。

シグネチャとは攻撃かどうか判断するルールのことです。シグネチャはログなどのアクセスの中身がルールに該当しないか都度チェックを実施し、該当した時は検知または防御します。アプライアンス型WAFの場合、このシグネチャを自社で運用する必要があります。クラウド型WAFの場合は、全てWAFベンダーが実施します。シグネチャの更新には定期更新と緊急更新の2種類です。

定期更新は公的機関やベンダーなど様々なところから脆弱性情報を収集し、アップデートすることです。

DrupalやWordpress、Apache Struts2など利用されている数が多いOSやミドルウェアに緊急度の高い脆弱性が公表された時にアップデートすることです。

WAFの導入後、正常なアクセスがシグネチャのルールに該当していないか確認し、該当していた場合はシグネチャのルールを変更する必要があります。これをチューニングといいます。チューニングは、正常なアクセスが遮断されてしまう誤検知を防ぐことを目的にしています。WAFを導入する前はアクセス出来ていたのに、WAFを経由した通信ではエラーが出てしまう場合、誤検知を疑う必要があります。

今回は、WAFについて紹介しました。

WAFは、種類によって導入方法や運用方法、特徴が異なり、自社の状況に適したサービスを選ぶ必要があります。

値段も手ごろになってきているWAFをぜひこの機会に検討してみてはいかがでしょうか。

WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAFも選択肢が多いですが、導入しやすいものとしておすすめするものに「攻撃遮断くん」があります。

システム変更不要のため最短翌営業日で導入でき、ユーザー側での運用は一切必要ないため低価格かつ簡単に高セキュリティを実現できます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

（2018/4/12 執筆、2019/11/5修正・加筆）

https://www.shadan-kun.com/