運営しているWebサイトやWebアプリケーションを第三者の攻撃から守るためにはセキュリティ対策が欠かせません。そこで大きな注目を集めているのがWAFです。とはいうものの、WAFとは一体どういうものか今ひとつよく分からないという人も多いのではないでしょうか。ここでは、WAFの概要と種類、IPS/IDSやFWとは何が違うのか、ということについて詳しく解説します。
目次
WAFとは?
WAFとはWebアプリケーションの脆弱性を悪用したサイバー攻撃からWebサイトを守ることに特化したセキュリティシステムです。Web Application Firewall が正式名称ですが、WAF(ワフ)と略されます。
WAFはWebサーバーの前段に設置します。通信に介在することにより通信の解析や検査を行い、不正なアクセスかどうかを判断します。判断の手法は様々ですが、その一つとしてシグネチャマッチ型があります。シグネチャとは不正な通信やアクセスのパターンをまとめた定義ファイルです。第三者からのアクセスがシグネチャと一致した場合にそれを不正な通信として検出します。そのためシグネチャマッチ型のWAFを効果的に使うためには、常に最新のシグネチャに更新されている必要があります。クラウド型のWAFであれば、提供ベンダーによりシグネチャの更新が適切に行われ、ユーザによる作業は発生しません。
WAFを導入するメリットは様々あります。まず挙げられるのは、Webサーバーの前段に設置されることで、WebサイトやWebアプリケーション全体の防御対策を実現できる点です。次に、WAFはWebサイトやWebアプリケーションに予期しない脆弱性があった場合でも効果を発揮するという点です。すぐには修正が難しい既知の脆弱性や、直接修正に関与できない脆弱性などの場合の不正アクセス対策として有効です。そのほか、WebサイトやWebアプリケーションの脆弱性が修正されるまでのタイムラグに受けるような攻撃に対しても、通常とは異なる不審なアクセスをWAFが検知して防御できる場合もあります。
WAFはソフトウェア型、アプライアンス型、クラウド型という3つの種類があります。ソフトウェア型はWebサーバにソフトウェアをインストールするタイプです。有償のソフトウェアと無償のオープンソースソフトウェアがあります。ソフトウェア型は自社の環境に合わせた設定ができますが、インストール時の設定や検知チューニングなどの専門知識が必要になります。アプライアンス型は、Webサーバの通信経路にWAF専用のハードウェアを設置するタイプです。WAF専用ハードウェアはさまざまな会社から販売されています。アプライアンス型もソフトウエア型と同じく自社の環境に合った設定ができるというメリットがありますが、ソフトウエア型と同じように脆弱性への対応や検知チューニングといった運用に関わる専門知識が必要になるというデメリットがあります。
クラウド型WAFは、WAFサービスを提供しているベンダー企業と契約し、クラウド上で提供されるWAFを利用します。ソフトウェアや機器の購入がないため、ソフトウェア型やアプライアンス型よりも導入コストが比較的低くなります。また、WAFの運用はクラウド上でベンダー企業が行うので専門知識が必要ありません。導入期間もソフトウェア型やアプライアンス型より短くすみます。さらに、クラウド型であれば月単位で利用できるスポット契約が可能なサービス提供企業も多いため、短期間のみの契約でWAFを利用することも可能です。その一方で、シグネチャの更新やWAFの管理すべてをサービス提供しているベンダー企業が行うため、誤検知が発生した場合に、シグネチャカスタマイズなどの個別対応を依頼できない可能性がある等、クラウド型WAFのデメリットもあるため注意が必要です。どの会社が提供しているWAFサービスを選ぶかによって満足度が大きく異なります。導入の際には、どのようなリスクを懸念しているのかを明確にし、各企業が提供しているWAFについて対応可能な攻撃の種類や、導入後のサポート体制の充実度合い、また自社の環境や企業規模に合ったサービスであるかなどについても考慮する必要があります。
IPS/IDSやFWとの違い
WAFと同じようなセキュリティ対策商品に、IPS/IDSやFWがあります。IPSは不正侵入防御システムのことで、IDSは不正侵入検知システムのことです。どちらもサーバーの前段でトラフィックを引き込み、正常なトラフィックのみをサーバーに転送します。また、不正侵入や攻撃を検知した際、管理者に自動通知や自動防御を行います。IPS/IDSでは特定の通信を防御できるため、大量のアクセスを送りつけて負荷をかけるDoS/DDoS攻撃などに対して有効です。その一方、不正なSQL命令を攻撃対象に送りつけるSQLインジェクションなどの攻撃手法に対しては検知精度でWAFに劣ります。
FWはファイアウォールです。パソコン機器はインターネットに接続する際、ポートと呼ばれる侵入口を開きます。FWはこのポートの部分でパケットをフィルタリングして解析し、接続を許可するかどうかを判断します。また、FWはプロキシサーバ経由で接続を行うため、サービス毎にパケットのフィルタリングを認証するのが大きな特徴です。重要なのは、FWはデータ通信の出入り口を制御する防火壁のようなもの、ということです。そのため、FWもまたIPS/IDSと同じようにSQLインジェクションやクロスサイトスクリプティングといった通常の通信を装って攻撃を仕掛けてこられた場合には対処できません。
WAFだけですべてが防御できるわけではない!
WAFはアプリケーション層への通信を監視するセキュリティ対策システムです。IPS/IDSやFWが監視対象としないHTTPプロトコルでやり取りされた通信を監視し、Webアプリケーションの脆弱性を悪用したSQLインジェクションやクロスサイトスクリプティングなどの攻撃を防ぐことができます。監視対象が異なるため、WAFを導入すればIPS/IDSやFWは不要ということではありません。WAF、IPS/IDS、FWはそれぞれ役割が異なり、これら三つのセキュリティ対策すべてを活用することで相乗効果のあるセキュリティ対策を講じることができます。FWでポートを狙った攻撃に備え、DoS/DDoS攻撃やサーバーそのものを狙った攻撃にはIPS/IDSで防御します。そしてWebサイトやWebアプリケーションの脆弱性を狙った攻撃はWAFで守ることで多重防御を実現します。
こうした多重防御と似た言葉に多層防御があります。IPS/IDS、FW、WAFの活用や異常検知等を目的としたログ監視、ファイルの暗号化などにより入り口と出口、内部をそれぞれ防御するシステムです。一方、多重防御とは、入り口となるポート部分に何重ものセキュリティ対策を構築することです。多重防御はたくさんの鍵を取り付けた玄関口のようなものです。そうすると一見強固に思えるかもしれませんが、鍵を開けるエキスパートにとってはそうではありません。どの防御システムも基本的には似たような仕組みのものだからです。一方、多層防御は玄関口に鍵がかかっているだけでなく、内部に行く手を遮るブロック塀や内部を監視する監視カメラを取り付けるようなものだといえるでしょう。
IPS/IDS、FW、WAFの活用やログの監視、不審な動きを検知するサンドボックス型の標的型攻撃対策ツールなどを配置した多層防御を導入するメリットの一つとしてとして、マルウェアの脅威への対策が挙げられます。マルウェアは日々進化しており、これまで機能していたセキュリティ対策がいつ機能しなくなるか分かりません。多層防御によりマルウェアの侵入を許してしまった際の検出ポイントを多く持つことで監視を強化し、総合的な防御力を高めることができます。仮にひとつの防御システムが突破されても、別のセキュリティ対策システムでそれを対策できる可能性があります。また、多層防御はネットワークが分散しており、それぞれ突破方法の異なるセキュリティシステムであるという大きなメリットがあります。
WAFを導入してサイトやアプリケーションを攻撃から守ろう!
WAFはIPS/IDSやFWでは防御できなかった攻撃からWebサイトやWebアプリケーションを守ってくれるセキュリティシステムです。とはいうものの、WAFを導入すればそれで安心というわけではありません。WAFはWebサイトやWebアプリケーションのぜい弱性を防御することに特化したセキュリティシステムだからです。WAFだけでなくIPS/IDSやFWも同時に活用した多層防御でWebサイトやWebアプリケーションを守りましょう。
クラウド型WAF「攻撃遮断くん」
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するクラウド型WAFです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
