WAF(Web Application Firewall)はウェブアプリケーションに対する攻撃を防ぐためのセキュリティ製品です。従来型のファイアウォールでは攻撃を検出することが不可能だった、ウェブブラウザに対する不正な入力をも検出するという特徴を持っています。そんなWAFについて、機能や防御可能な攻撃の種類などを詳しく見ていきましょう。
Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることが出来ない攻撃を検知・遮断することができます。
WAFではSQLインジェクション、バッファオーバーフローを始め、クロスサイトスクリプティングやディレクトリトラバーサル、それに、ブルートフォースアタックなど数々の攻撃に対応できるようになっています。
最近、特に多発しているのがSQLインジェクションです。SQLインジェクションとは、顧客情報やクレジットカード情報などデータベース内の重要な情報を窃取する目的で行われます。発見が遅れると被害がどんどん広がって、気づいた時には企業の存亡にかかわるような深刻な被害をもたらしてしまうこともあるほどです。ところが、適切なセキュリティ対策を講じることが難しく、なかなか早期発見ができないため被害はかなりのスピードで広がっています。
最近の国内に限っても、SQLインジェクションによる大きな被害が報告されています。電気通信事業者のクレジットカード情報の漏洩や、ゲームソフト会社の会員サイトから会員の個人情報が漏洩した事件のことを記憶している方も多いでしょう。
たとえば、クレジットカード情報が漏洩すると、被害者への対応や情報漏洩の原因の調査、システムの再構築など、企業にはさまざまな面で多大なコストがかかり、その総額は1億円以上になるケースもあります。さらに、情報漏洩に伴う営業停止処分などもありますので、機会損失を含めるとその被害は果てしなく大きいです。そのため、SQLインジェクションの対策ができていないばかりに、企業の存続が危ぶまれるような重大な事態に発展することも珍しくなくなってきました。
では、どうやってSQLインジェクションの攻撃を防げばよいかというと、第一には、サイト開発の際に十分な安全対策を施して脆弱性のないようにすることです。サイトの運用開始後も常にアクセスの監視を行い、攻撃を検出するツールも用いながらいざという時にいち早く対応できるよう体制を構築することが求められます。それに加えて有効なのが、WAFの導入です。SQLインジェクション攻撃を検出できるだけでなく、データやCookieの改竄を防止することも可能なので、サイト運用の際には導入しておきたい製品です。
WAFが攻撃を検出する機能には、「ブラックリスト」と「ホワイトリスト」という2つの方式があります。ブラックリストという方式では、事前に不正パターンを定義しておき、その定義に当てはまるパターンの通信をブロックするという仕組みです。ホワイトリストという方式では、事前に定義した正統なパターンの通信のみ許可するという仕組みで、それ以外はすべてブロックしてしまいます。そのため、未知のパターンで攻撃を仕掛けられても防ぐことが可能というわけです。ウェブアプリケーションに対する攻撃は常に新しい手法が登場しており、企業のサーバーは常に脅威にさらされています。WAFの導入で少しでも脅威を軽減しましょう。
ここからは、WAFの機能をさらに詳しく見ていきましょう。先にも触れた通信の監視が一つです。ブラウザには情報を格納するためにCookieが使用されますが、これも攻撃者からのターゲットになっています。
WAFにはCookieを保護する機能も備えているので、攻撃者が関係者になりすまして不正を働こうとしてもその攻撃を事前に食い止めることが可能です。特定のURLのみ除外することも可能なので、警戒する必要のないページを防御対象から外せばパフォーマンスを落とすこともありません。また、特定のIPを拒否できる機能もあります。
さらに、WAFには、不正と思しき通信が検出されるとログとして記録される機能もあります。攻撃者やその攻撃パターンなどの情報を収集し、その統計をレポートとしてブラウザ上でチェックできるのも便利です。
ウェブサイトのセキュリティ対策としてSSLも有名ではないでしょうか。SSLとは「Secure Sockets Layer」のことですが、WAFはこのSSLとどのように違っているのでしょうか。
いちばんの違いは保護する対象がWAFとSSLでは異なることです。WAFは、先ほども解説したように、SQLインジェクション攻撃のようにサイトの改竄やデータの不正操作を防御するためのセキュリティ製品です。
一方、SSLとは、簡単に言えば通信を暗号化することです。訪問者とサイト間の通信を暗号化して、第三者がその情報やCookieを傍受できなくします。SSLがサイト訪問者を守るのに対して、WAFはサイト自体を攻撃から守るといえばわかりやすいでしょう。保護する対象が違っていますので、「WAFを導入すればSSLが必要ない」というものではなく、当然、その逆の「SSLがあるからWAFはなくても安心」というわけでもないのです。両方とも導入してしっかりセキュリティ対策を取ることが顧客の情報を守るために求められます。
WAFには、製品によって独自の機能を備えているものもあります。たとえば、SQLインジェクション攻撃に特化した製品もあり、特に被害が大きくて発生頻度も高いこの種の攻撃からサイトを守るのに最適です。ほかには、サイトのロード時間を短くしたり、消費帯域を低減したりといった、本来の目的とは異なるパフォーマンス改善のための機能を備えた製品も存在します。導入の際は、自社のニーズに応える機能を備えているかどうかをよく確認してから決めましょう。
そんな優秀なWAFですが、これまで普及が進んでいなかったことをご存じでしょうか。セキュリティ対策としてメリットの非常に大きなWAFですが、導入には非常に大きなコストがかかることが問題でした。そのため、大企業など資金が潤沢な一部の企業にしか導入されておらず、「セキュリティ対策は必要だが予算は限られている」といった中小企業では導入したくても導入できなかった事情があったのです。初期費用だけで数百万円から1千万円以上かかることもあり、それ以外にも年間数十万円にもなるサポート料金もあって、なかなか普及が進みませんでした。それに、運用にはかなりの手間がかかることも懸念材料として、導入をためらう企業が多かったのです。
近年ではクラウド型WAFが登場したことによって、低コストでの導入が可能になっています。しかも、更新やメンテナンスなどの作業はすべてベンダーが対応してくれるため、社内にリソースがない企業でも簡単に運用できるのが魅力です。オンラインサービスを提供する企業であれば、多数の機能でウェブサイトを攻撃から守ってくれるWAFの導入は欠かせないと言ってもよいでしょう。
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
この記事と一緒に読まれています
2019.12.08
セキュリティ対策
2020.04.30
セキュリティ対策
WAFとはなにか?不正な通信を検知・遮断するセキュリティ対策
2020.02.25
セキュリティ対策
2020.02.25
セキュリティ対策
2020.04.21
セキュリティ対策
2020.04.30
セキュリティ対策