Webサイトのセキュリティ対策WAFとは？

企業を狙うサイバー犯罪は年々増加し、件数・被害総額ともに軽視できない事態となってきています。

特にWebアプリケーションを利用する企業は、システムOSと並行してセキュリティ対策を実行していく必要があります。

今回はセキュリティ対策として普及しつつあるWAFについて紹介します。

WAFとは何か、その役割や他のセキュリティシステムとの違いを、ポイントを押さえて解説します。

WAF（ワフ）は、正式名称Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、短く頭文字を集めて「ワフ」と呼称するのが一般的です。

WAFは、名前の通り、Webアプリケーションに特化したセキュリティシステムの一種です。Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策のシステムです。

サイバー攻撃のターゲットとなる企業は大手企業だけではなく、中小企業に向けられる可能性も大いにあります。

オンラインバンキングやECサイトと言った、ユーザーからの入力を受け付けたり、リクエストに応じて動的ページを生成したりするようなWebサイトのセキュリティ対策として、WAFは大変有効です。

WAFの特徴としては、一般的なファイアウォールとは異なり、「Webアプリケーションレベル」でのセキュリティを強化できるということが挙げられます。

Webサーバやデータベースの前面に配置して通信を解析・検査し、不正な通信・攻撃を通さないという役割を果たしています。

多様化しているサイバー犯罪には有用な対策だと評価されています。

WAFは「シグネチャ」と呼ばれる定義ファイルに基づいて動作します。

シグネチャにはWebアプリケーションに関連する正しいアクセスが含まれています。

サーバやデータベースにアクセスしようとするセッションが始まると、WAFはシグネチャとアクセスプログラムの対比を実行することが役目です。

問題があると判断されたアクセスには遮断や無効化の対処を実行します。

WAFを導入するメリットは、Webサイトを守るセキュリティ対策としてよく知られるFW（ファイアウォール）やIPS（不正侵入防御）では対応できない攻撃を検知・遮断することができる点です。

Webサイト上のアプリケーション自体にセキュリティ上の問題があっても、WAFであればそれを無害化できるという、とても利便性の高いシステムです。

近年増え続けているサイバー犯罪の被害により、情報を盗まれると企業の運営どころか社会的信用が失われる可能性もあります。システムに熟練したエンジニアをもってしても、脆弱性を突いたサイバー攻撃を必ず防げるとは言い切れません。

WAFは脆弱性を利用した攻撃に対する耐性が強いため、WAFを利用することでセキュリティ対策の強化が見込めます。

以下の記事では、WAF導入におけるメリットについて詳しく解説しています。

WAFはWebアプリケーションの脆弱性を突いたサイバー攻撃に効果が期待できます。WAFとその他のセキュリティシステムには、どのような違いがあるのでしょうか。その他のセキュリティとWAFとの違いについて紹介します。両セキュリティの違いを把握することで、今後のセキュリティ対策の運用に役立ちます。

FW（ファイアウォール）は、ネットワークレベルでのセキュリティ対策です。インターネット回線やIPアドレスを監視し、通信を制限します。

通常のネットワークアクセスは、利用するポートやIPアドレスが定まっていることが多く、ファイアウォールはそのポイントに着目して、ネットワーク上で不正アクセスを防御します。

通信時にやりとりされる送信先および送信元の情報から、その通信を許可するかどうかを判断し、内部ネットワークへ侵入する不正なアクセスを遮断する仕組みです。

しかし、ファイアウォールはWAFのように通信の中身までチェックすることはできません。また、ファイアウォールではWAFがカバーしているWebアプリケーションへの攻撃を防ぐことはできません。

インターネット上のセキュリティ対策としてよく使われるシステムとして、IPS（侵入防止検知システム）とIDS（不正侵入検知システム）があります。

それぞれ、Instrusion Detection System（＝IDS）とIntrusion Detection and Protection System（＝IPS）が正式名称です。

IPS／IDSは、OSやミドルウェアなどプラットフォームレベルでのセキュリティシステムで、リアルタイムにネットアクセスを監視することが特徴です。

サイバー攻撃など不正なアクセスや異常な通信が発生した時には管理者へ通知し、IPSにはアクセスそのものを遮断する機能があります。

OSやミドルウェア層への攻撃に対して効果を発揮しますが、こちらもWAFのようにWebアプリケーションへの攻撃を防ぐことはできません。

以下の記事では、WAFとIPS/IDSとの違いについて詳しく解説しています。

WAFはインターネット上にあるサーバやWebサイトを攻撃から守ることに特化しているのに対し、SSLはアクセスしてくれた顧客の情報を守ることに特化しています。顧客が入力した個人情報などはSSLによって暗号化され、第三者に盗まれるリスクをなくします。

上記のセキュリティ対策もWAFも、それぞれ特徴が異なるものです。

WAFを導入すればFWやIPSが不要になるといったことではなく、得意とするブロック方法や場所・対象、カバーできる範囲が違うということを意識して、それぞれで補完しあうことが必要です。

WAFが防ぐことができる攻撃の種類として
SQLインジェクション
クロスサイトスクリプティング
ディレクトリトラバーサル
ブルートフォースアタック
といったものが挙げられます。
これらの攻撃はWebアプリケーション層への攻撃に含まれています。

対応できるレイヤー別に分けると以下のような分類になります。

ファイアウォール：ネットワーク層
IPS/IDS：ソフトウェア/OS層
WAF：Webアプリケーション層

それぞれのセキュリティサービスの特徴をうまく使い分け、組み合わせることで、より強固なセキュリティの構築を実現できます。扱っているサービスに合わせた併用をおすすめします。

初期のWAFは、高い有用性の反面、導入作業の難しさや導入コストの高さ、運用にセキュリティの専門知識が必要なことなどから、利用できる企業が限られていました。

しかし、近年のシステム開発技術向上の成果により、現在では、WAFはWebサイト防御の最も現実的な選択肢の一つとなりました。

WAFには3つのタイプがあります。それぞれのWAFの特徴と使用する上でのポイントについて紹介します。WAFの導入を検討されている方は、サーバの特性に合わせたWAFを導入することをおすすめします。

アプライアンス型WAFとは、専用の機器を設置するタイプです。これは従来からあるWAFのかたちで、導入するためには「アプライアンス」と呼ばれる専用機器を購入する必要があります。機器購入に伴う初期費用が高額になること、複雑な設定変更作業が必要なこと、自社での運用が必要なことから、導入後は専任の技術者の存在が必須になります。

ソフトウェア型WAFとは、既存のサーバにソフトウェアをインストールするタイプのWAFです。

専用機器の購入が不要になるため、導入コストの削減や短期間での導入が可能です。

規模とコストが比例するため、規模によっては運用コストが大きく膨らむ可能性があり、導入には十分な検討が必要です。

また、ソフトウェア型WAFもアプライアンス型WAFと同様に、技術者による運用が必要になります。

クラウド型WAFは、セキュリティベンダーが運用するWAFをインターネット経由で利用するタイプのWAFです。

専用機器の購入やサーバへソフトウェアをインストールする必要はないため低コストで利用でき、導入時もDNSを切り替えるだけで設定できます。また、環境や条件にもよりますが、導入までの期間も短く、最短約1週間以内にサービスを開始することができます。

運用もベンダーが行うため、専門のセキュリティ技術者は不要です。
アプライアンス型、ソフトウェア型、クラウド型の中で、クラウド型は最も手軽にセキュリティ対策を行うことができる手段の一つと言えるでしょう。

今回は、レンタルサーバなどでも目にすることが多いWAFについて紹介しました。

WAFは、種類によって導入方法や特徴が異なり、自社の状況に適したサービスを選ぶ必要があります。

値段も手ごろになってきているWAFをぜひこの機会に検討してみてはいかがでしょうか。

WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAFも選択肢が多いですが、導入しやすいものとしておすすめするものに「攻撃遮断くん」があります。

システム変更不要のため最短翌営業日で導入でき、ユーザー側での運用は一切必要ないため低価格かつ簡単に高セキュリティを実現できます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

（2018/4/12 執筆、2019/11/5修正・加筆）