WAFはWebアプリケーションの脆弱性を防ぐうえで有効な対策として注目されています。WAFは「ウェブアプリケーションファイアーウォール」の略称で、Webアプリケーションを守るセキュリティ対策ツールです。今回はWAFを導入する意味とメリット、デメリットについて解説させていただきます。
Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。
SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることが出来ない攻撃を検知・遮断することができます。
目次
WAFとは?
サイトやデータベースに対して行われるサイバー攻撃を防ぐためにはWebアプリケーションの脆弱性を改善しておくことが重要です。現在世界中みられるサイバー攻撃はこのWebアプリケーションの脆弱性をついたSQLインジェクションなどが主流となっているからです。
SQLインジェクションなどのウェブアプリケーションに対する攻撃に対してWAFは優れた効果を発揮する点に大きな特徴を持っています。
WAFの種類について
メリットやデメリットを解説する前に基礎知識としてWAFの種類についても知っておく必要があります。どの種類を導入するかによってそれぞれの特徴や得られるメリットやデメリットが違ってくるからです。
アプライアンス型WAF
既存のネットワーク上に専用のハードウェアを設置する形で導入されるのがアプライアンス型WAFと呼ばれるものです。専用のハードウェアを設置することでサーバーやパソコンの数に関係なくネットワーク全体にWAF環境を構築することができます。
これは社内ネットワークなど企業のサイバー対策に優れていると言われています。複数のサーバーを導入したうえで社内ネットワークを構築している企業も少なくないため、このタイプを導入すればすべてまとめて環境を構築することができるのです。
こうした大規模なネットワークの問題点はひとつのサーバー、さらにはひとつのパソコンのセキュリティが突破されるだけで全体に大きな被害をもたらしてしまう可能性がある点です。メインのサーバーには厳重なセキュリティ対策を施していても、サブで使用しているサーバーが脆弱だった場合、そこからサイバー攻撃を受けて情報の漏洩や改ざんといった問題が生じてしまう恐れがあります。
そのため、ネットワークの規模が大きい環境であればあるほどこのタイプのメリットが大きくなります。
その一方で専用のハードウェアを設置する形になるため、初期費用が掛かってしまい維持・管理にコストが発生します。維持・管理には専門的な知識を持ったスタッフが必要になることもあり人件費も含めたコストがデメリットになります。
ソフトウェア型WAF
それに対して専用のハードウェアではなくソフトウェアをサーバーにインストールする形で導入されるのがソフトウェア型WAFです。こちらはアプライアンス型に比べて導入コストを抑えることが出来るメリットがあります。しかし、サーバーごとにソフトウェアを導入してインストールする形になるので、サーバーの台数が多い環境ではかえってコストがかかってしまう面もあります。先ほど触れたようにネットワーク全体に同じセキュリティ環境を導入しない場合、脆弱な部分に攻撃を受けてしまう可能性もあります。中小企業など比較的小規模なネットワークを構築している環境に適したタイプと言えるでしょう。
クラウド型WAF
最後にもっとも注目されているクラウド型WAFです。データベースをはじめIT関連のさまざまな分野でクラウドの導入が推進されていますが、セキュリティ対策でも同様の傾向が見られます。
クラウド上に仮想のアプライアンス型を導入するもので、実際にはネットワークに専用のハードウェアを導入していないにもかかわらず同等のセキュリティ環境を構築できるのが大きな魅力です。
もうひとつ大きなメリットとして挙げられるのは維持・管理をはじめとした運用を自ら行う必要はがなく、このサービスを提供している業者が行ってくれる点です。そのため、維持・管理に必要な専門知識を持ったスタッフの人件費が発生しません。
ハードウェアを導入・設置する必要もないので導入コストも時間もかからず、ソフトウェアをインストールする必要もないので面倒もない。さらに、アップデートやサイバー攻撃への最新の対応といった作業も業者が行ってくれます。極端な話、導入さえすれば何もしなくても最善のWAF環境を確保することができます。
WAFのメリットとデメリットは?
それぞれの特徴を見ると明らかにクラウド型WAFが最も適しているように思えます。それこそほかの二つはもう導入する意味はないんじゃないか?と思う方も多いはずです。しかし、このクラウド型にもデメリットがあります。この3種類の特徴を踏まえつつ改めてメリット・デメリットを見てみましょう。
アプライアンス型WAFのメリット・デメリット
アプライアンス型の場合、大規模なネットワークのセキュリティ環境の構築に非常に適しています。しかし、導入と維持・管理、両方にコストがかかってしまうデメリットを持っています。ただ逆に言えばセキュリティ効果はWAFの中でも最高レベル、コストをかけてでも導入する価値があるとも言えます。
ソフトウェア型WAFのメリット・デメリット
ソフトウェアタイプは一台のサーバーを活用している比較的小規模なネットワーク環境で最大限のメリットを得ることができます。導入コストがかからず、ネットワーク環境全体に平等なセキュリティ環境を導入できるからです。このタイプは向き不向きがかなりはっきり分かれる部分があると言えるかもしれません。
クラウド型WAFのメリット・デメリット
クラウド型ですが、最大のメリットともいえる維持管理の必要がほとんどないという点が逆にデメリットになってしまう面もあります。原則として業者に任せきりになるわけですから、その業者がしっかりやってくれるかどうかで環境が左右されるわけです。
これはクラウド関連のサービス全体に見られる問題点で、セキュリティ対策においても業者によってかなり差があると言われています。料金の安さばかりに目がくらんでしまうと十分なセキュリティ環境を得られない可能性も出てくるわけです。
なお、WAFで防ぐことができるサイバー攻撃の種類も増えており、SQLインジェクションやOSインジェクションをはじめ、Webアタックやコマンドインジェクション、Dos/DDos攻撃などに対応可能です。こうした攻撃をどの程度防ぐことができるかもクラウド型を選ぶうえでの基準にしましょう。
WAFを導入する意味
WAFを導入することでWebアプリケーションの脆弱性を改善し、サイバー攻撃を受けにくい環境を得ることができます。近年ではサイバー攻撃も巧妙化しており、以前のような不正アクセスやデータの流出だけにとどまらずデータの改ざんやマルウェアの拡散といった被害をもたらすケースも出てきています。
例えばWebアプリケーションの脆弱性をついてSQLインジェクション攻撃を行いサイトに訪問したユーザーがマルウェアに感染するような環境を作られてしまうこともあるのです。そうなるとマルウェアが拡散してどんどん被害が拡大するのはもちろん、企業や店舗としての信頼を一気に失うことになりかねません。自分たちがサイバー攻撃を受けた被害者にもかかわらず加害者として扱われてしまうのです。
まとめ
こうした点からみてもWAFを導入する意味は十分にあると言ってよいでしょう。とくに企業や店舗の場合、ユーザーから見ればセキュリティ環境が整えられていて当たり前。万一ユーザーに被害をもたらすようなことが起これば先ほども触れたように一瞬にして信用や評判を失ってしまうことになりかねません。
そんな問題を防ぐためには自分たちにもっとも適したWAFを導入すること、クラウド型の場合は評判や実績なども考慮したうえでよい業者選びことが重要になってくるでしょう。
サイバー攻撃を可視化・遮断する「攻撃遮断くん」
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
この記事と一緒に読まれています
-
2019.12.08
セキュリティ対策
-
2020.01.10
セキュリティ対策
-
2020.02.24
セキュリティ対策
-
WAFとはなにか?不正な通信を検知・遮断するセキュリティ対策
2020.02.25
セキュリティ対策
-
クラウド型WAFとアプライアンス(オンプレ)型WAF タイプ毎の違い
2020.03.09
セキュリティ対策
-
サイバー攻撃可視化ツールおすすめ6選!ツールを提供しているプロの目線でご紹介
2022.01.21
セキュリティ対策
