wafでのセキュリティ対策や選び方を紹介

2020.03.03

Webセキュリティ

wafでのセキュリティ対策や選び方を紹介

コンピューターネットワークを使用する限り、サイバーテロを防いでいくことが必要です。攻撃の対象になってしまうと、データの改ざんや漏洩・コンピューターの破壊など、大きな影響が出ます。よって、セキュリティを強化するといいでしょう。セキュリティ対策の一つにwaf(ワフ)があります。これから、wafの仕組みや導入メリット・種類・選び方をご説明しますので、参考にしてください。

WAF とは?

WAF とは?

Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。
SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることが出来ない攻撃を検知・遮断することができます。

 

目次

wafの仕組みや導入するメリットとは?

waf(ワフ)は「Web Application Firewall」の頭文字を取ったもので、セキュリティ対策ができるシステムです。サイバーテロでは、脆弱性を狙って攻撃することがあります。wafは外部からの不正アクセスを監視し、ネットワーク経由の不正行為を防止しているのです。wafは主に「不正アクセス」に対するセキュリティ対策を「アプリケーションレベル」で対処しています。その他のセキュリティ対策であるFW(ファイアウォール)はネットワークレベル、IPS/IDSはOSやサーバーなどのミドルウェアレベルです。つまり、セキュリティシステムの適用範囲を知り、適切なものを選択するといいでしょう。

wafが不正アクセスを検知する仕組みとして「ブラックリスト式」「ホワイトリスト式」の2つがあります。ブラックリスト式は、事前に不正パターンを定義しておき、それに該当した通信の検知と防御をする方法です。不正パターンは「シグネチャ」と呼び、そのリストと照合することで、不正アクセスを検知します。アプリケーションを狙ったサイバーテロは、定期的に新しい攻撃方法が生み出されてしまうため、シグネチャの更新が重要です。よって、常に不正パターンのリストを更新していき、最新の情報によって攻撃を防御しています。

ホワイトリスト式は、正当パターンのみ、通信の許可をする方法です。正当パターンも事前に定義しておき、それに該当する場合のみ通信できます。定義したパターン以外は全てブロックするため、防御性が高い方法と言えるでしょう。運用する時には、自社に適したパラメーターを設定できますが、設定に時間や手間がかかるため、運用の専任者を用意するのが望ましいです。ホワイトリスト式は状況に応じて定義パターンの変更や追加はありますが、最新の攻撃方法を意識した更新は必要ありません。ホワイトリスト式にはパターンの作成機器もあり、それを利用すれば運用コストを抑えられます。

wafはアプリケーションレベルで不正アクセスを検知・防御できることがメリットです。複数のアプリケーションを使っている場合、1つのアプリケーションの脆弱性を狙った攻撃があると、他にも影響が出てしまいます。そこで、それぞれのセキュリティレベルをwafで同様にできれば、脆弱性によって引き起こされる攻撃が少なくなるのです。よって、wafの導入でセキュリティレベルのばらつきを少なくできるのはメリットでしょう。また、検知した後の防御を素早く行えるのもメリットです。

wafの導入が求められるのは、「運営と開発者が異なるアプリケーションを使っている場合」です。自社内で開発したアプリケーションなら、不正の管理や修正パッチが分かりやすいでしょう。開発者が自社にいない時には、サイバーテロを未然に防ぐためにも、セキュリティシステムの利用が大切です。また、「開発者に改善依頼ができない場合」もwafの導入が求められます。開発ソースを確認しにくい時やサポートが終了している場合・開発者が事業から撤退しているなどのケースもあるのです。アプリケーションの更新や改善が期待できない時には、wafなどのセキュリティシステムで防御するしかないとされています。

wafの種類とは?

wafには「アプライアンス型」「クラウド型」「ソフトウェア型」の3種類があります。

アプライアンス型とは?

wafにおけるアプライアンス型は、ベンダーから提供される専用サーバーを設置する方法です。ネットワーク上にアプライアンスを設置する際、専用機器の購入が必要になります。専用機器代や初期設定に費用がかかるため、運用コストは高額になるでしょう。ただし、サーバー台数に制限がないため、何台でも設置できることがメリットです。インターネット環境にも左右されず、複雑な設置にも柔軟に対応できます。アプライアンス型の設置後は、基本的に自社内で運用する仕組みのため、管理する担当者を配置するのが望ましいです。よって、初期費用や運用代・人件費など、セキュリティ対策への予算が確保できる場合に向いています。

クラウド型とは?

クラウド型はwafをクラウド上で行い、セキュリティシステムの運用をしてもらう方法です。契約料を支払い、運用や更新などのアップデートを任せられます。wafに関するほとんどの業務を外注化できるため、専門の部署や担当者は必要ないでしょう。また、コストは契約料のみで、初期費用や運用に関する人件費などもいりません。つまり、少ない費用で運用でき、運用業務がないのはメリットでしょう。ただし、運用の全てをベンダーに任せるため、自社独自のカスタマイズができません。自由度が低くなってしまうのはクラウド型のデメリットです。

ソフトウェア型とは?

ソフトウェア型は、ベンダーが提供している「wafソフトウェア」をインストールする方法です。専用のハードウェアを購入しないため、導入や初期設定が簡単にできます。また、短時間で設定できるため、急いでセキュリティ対策をしたい時に向いているでしょう。ただし、既存サーバーごとにインストールしないといけないため、サーバー台数が多い時には注意が必要です。サーバー台数に比例してコストや手間もかかるため、場合によっては高額の運用コストになります。ソフトウェア型はインストール後に自社内で運用をしていくため、アプライアンス型と同様、管理の担当部署や担当者を配置するといいでしょう。

wafの選び方やポイントとは?

wafを選ぶ時には、運用目的と環境を意識することが大切です。最初に運用における人員や環境をしっかりと把握できれば、最適なwafが決まるでしょう。例えば、自社内にwafを運用できる人がいない場合は、クラウド型が向いています。初期設定や運用に関する予算が十分にあり、自社に適した設定がしたい場合には、アプライアンス型やソフトウェア型です。専用機器を購入する場合はアプライアンス型、既存のサーバーにインストールする場合はソフトウェア型になります。wafによるセキュリティ対策は長期的に運用する場合が多いです。予算内で運用できるかは、ベンダーから見積もりをもらい、シミュレーションをするといいでしょう。

wafで保護したいサイトや保護範囲を把握するのも重要です。保護範囲によって適した導入形態も異なってきます。保護範囲を細かく設定したい時には、自社内で設定のカスタマイズができるアプライアンス型やソフトウェア型です。また、導入後のサポート体制を考慮した選択も必要になります。導入だけでなく運用のサポートをしてくれるか、セキュリティレベルはどのぐらいかを把握することが大切です。さらに、拡張性も意識するといいでしょう。保護をするWebサイトを将来的に拡大する場合、wafでのセキュリティ範囲やレベルも高くなります。状況に応じた拡張ができない場合、トラブルや高額の導入コストがかかるため、事前の確認が必要です。

wafの特徴や種類を理解し、自社に合ったものを選択しよう!

wafは不正アクセスにおけるアプリケーションレベルの検知と防御ができます。アプライアンス型とクラウド型・ソフトウェア型の3種類は、それぞれ導入方法や特徴が異なるため、しっかりと内容を把握できるといいでしょう。導入の目的や環境によって、適したwafが見つかります。これを参考に、自社に適したwafを導入してみてください。

サイバー攻撃を可視化・遮断する「攻撃遮断くん」

クラウド型WAF 攻撃遮断くん Web Application Firewall
https://www.shadan-kun.com/

 

サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。

  • DDoS攻撃対策|導入社数、導入サイト数No.1|選ばれ続ける理由とは?クラウド型WAFでWebセキュリティ対策|今すぐ無料でダウンロード
  • 累計12,000サイトの導入実績 多数の事例から、導入までの経緯と抱えていた課題の解決方法をご紹介

この記事と一緒に読まれています