menu
close
サービス資料を
ダウンロードする

導入についてご不明な点はお気軽に
お問合わせください/平日10〜18時

03-6416-1579
  1. クラウド型WAF 攻撃遮断くん TOP
  2. WAFとは?

WAFとは?

わかりにくい「WAF」について初歩から解説いたします。

WAF(ワフ)とは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、ウェブシステムの保護を目的としたシステムです。 WAF(ワフ)とは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、ウェブシステムの保護を目的としたシステムです。
お役立ち資料
「3分でわかるWAF」でもご紹介中

WAF(ワフ)とは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、Webサイト・Webサービスの保護を目的としたシステムです。ハッカーなど悪意のある攻撃者からの侵入・攻撃を検知して防ぐという働きをします。頭文字をとって「WAF(ワフ)」と呼称するのが一般的です。

WAFはWebサイトの前面に配置することでSQLインジェクション、クロスサイトスクリプティング(XSS)、OSコマンドインジェクション、パスワードリスト攻撃など、ファイアウォールやIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることができない攻撃を検知・遮断することができます

WAFは、Webサイトの前面に配置することでSQLインジェクション、クロスサイトスクリプティング(XSS)など、FWやIPS/IDSでは守ることができない攻撃を検知・遮断することができます。

サイバー攻撃への対策として、システム面やサービスの運営担当者のWebセキュリティに対する意識の向上など、個人や企業で自己防衛することはとても大切です。しかし、悪意のある第三者は、技術や知識も高く、全てのサイバー攻撃を防ぎきることが難しい場合もあります。この状況に対して、WAFが注目されています。

WAFは、OSや汎用ソフト、業務システムなどに存在する脆弱性を利用した攻撃を防ぐことができるので、システムの安定性や安全のために重要な役割を果たします。Webサーバの前に設置するので、サーバそのものにハッカーやウイルスなどが侵入しないようにするという機能を持っています。システム運用側にとっては、最前線で働いてくれるセキュリティ対策です。

近年、サイバー攻撃のターゲットとなる企業は大手企業だけではなく、中小企業にも向けられています。

オンラインバンキングやECサイトといった、ユーザーから入力を受け付けたり、リクエストに応じて動的ページを生成したりするWebシステムの場合、サイバー攻撃を受ける可能性が高くなってしまうため、WAFを導入することが必須になりつつあります。

WAFに関して、順番にわかりやすく説明していきます。

目次

WAFの特徴

WAFの特徴としては、一般的なファイアウォールとは異なり、「Webアプリケーションレベル」でのセキュリティを強化できるということが挙げられます。

Webサーバやデータベースの前面に配置して通信を解析・検査し、不正な通信・攻撃を通さないという役割を果たします。

多様化しているサイバー犯罪には有用な対策です。

WAFのしくみ

WAFは、Webサーバやデータベースの前面に配置して、ハッカーからの通信がないかどうかを解析・検査し、もし不正な攻撃だと検知した場合にその通信を遮断するという動きをします。アクセスの解析と遮断という2つのアクションを行うのが、WAFの基本的なしくみです。

アクセスの解析に必要なものが「シグネチャ」です。シグネチャとは、過去に起きたり、これから起こると想定される攻撃のパターン、通信の手法、ウイルスなどのデータをまとめた定義ファイルです。すべてのアクセスは、このシグネチャと照合され、不正な攻撃と検知された場合に通信を遮断します。こうすることで、不正攻撃を未然に防ぐことが可能になります。

すべてのアクセスは、シグネチャと照合され、不正な攻撃と検知された場合に通信を遮断します。こうすることで、不正攻撃を未然に防ぐことが可能になります。

WAFの仕組みについてもっと詳しく知るにはこちら

WAFの不正アクセス検知・遮断の仕組みなどを解説

WAFを導入するメリット

WAFを導入することで、下記のような多岐に渡るサイバー攻撃を防ぐことができます。

WAFで守ることができるサイバー攻撃例

  • SQLインジェクション
  • ブルートフォースアタック
  • クロスサイトスクリプティング
  • OSコマンドインジェクション
  • 改行コードインジェクション
  • コマンドインジェクション
  • LDAPインジェクション
  • ディレクトリトラバーサル
  • ファイルインクルード
  • URLエンコード攻撃
  • Webアタック
  • 各種OSやミドルウェアなどの脆弱性を突いた攻撃
  • Dos/DDoS攻撃(DDoSセキュリティタイプのみ対応)
  • その他のWEB攻撃全般

これらの攻撃は、ファイアウォールやIPS/IDSでは防ぐことのできない攻撃ですので、従来のセキュリティ製品だけでは、セキュリティ対策は不完全ということがわかります。

また、すぐに対応できない脆弱性もカバーすることができます。開発環境や体制が整っていない場合、すぐに改修作業を行うことが難しいことがあります。だからといってそのままの状態にしておくことは非常に危険で、攻撃者の標的になってしまいます。

WAFはこういった「すぐには対応できない」という脆弱性もしっかりとカバーすることもできます。

脆弱性に対応するための手段

OSや業務システムに脆弱性があると、その部分を突いて不正攻撃がなされます。脆弱性は通常発見されるとすぐにパッチが作られますが、脆弱性の種類や場所によっては修正をすぐに行うことが難しいケースがあります。

そのような時に、WAFがその脆弱性を使った不正通信を検知し、遮断するという形で攻撃を防げます。

OSや業務システムに脆弱性があり修正をすぐに行うことが難しい場合、WAFがその脆弱性を使った不正通信を検知し、遮断するという形で攻撃を防げます。

大きなシステムやサイトを効率よく防御できる

WAFはWebサーバの前に置いて、最前線で不正アクセスから守るものです。そのため、Webサーバの中に異なるアプリケーションが入っていたり、複数のサイトやシステムを同時に動かしたりしている場合でも、一つのWAFでセキュリティ対策を施せます。

それぞれのアプリケーションで異なるセキュリティ対策を施すとなると、かなりの手間とコストがかかりますが、WAFがあれば一つで済みますので効率の良いセキュリティ対策ができます。

複数のサイトやシステムを同時に動かしたりしている場合でも、一つのWAFでセキュリティ対策を施せます。

企業としての信頼性

Webアプリケーションによるサービスを提供しているのであれば、顧客の個人情報を保持していることが多いはずです。こうした情報が流出してしまうと、企業の信用を大きく落とす原因となります。

また、提供しているサービスが急にダウンして復旧しないとなれば、やはり信頼を失い顧客離れが進む原因となります。こうした事態を防ぐためにも、WAFによってセキュリティ対策をしっかりとすることは大事です。

どんなセキュリティ対策をしているかを公表することはあまりしませんが、やはり対策をきちんと講じているということが消費者に分かれば、より安心して利用してもらうことができます。

さらに詳しく知る

WAFを導入するメリットや効果とは?

Webアプリケーションに対する脅威

ここでは、WAFで守ることができるWebアプリケーションへのサイバー攻撃のいくつかを詳しく説明します。

SQLインジェクション

管理サーバのデータベースを参照することでサービスを提供するWEBサイト(ショッピング系、ECサイト)に対して、本来サイト側が想定している命令とは別にSQL文章を送信することで、不正に個人情報や機密情報を引き出すというサイバー攻撃です。

SQLインジェクションとは、WEBサイトに対して、本来サイト側が想定している命令とは別にSQL文章を送信することで、不正に個人情報や機密情報を引き出すというサイバー攻撃です。

OSコマンドインジェクション

攻撃者が脆弱性を持つアプリケーションを通じて不正なOSコマンドを送信することにより、攻撃対象となったPCやサーバに不正アクセスを行うサイバー攻撃です。

OSコマンドインジェクションとは、攻撃者が脆弱性を持つアプリケーションを通じて不正なOSコマンドを送信することにより、攻撃対象となったPCやサーバに不正アクセスを行うサイバー攻撃です。

クロスサイトスクリプティング(XSS)

Webサイトに利用されるアプリケーションの脆弱性を悪用した攻撃のこと。

特にWeb閲覧者側が制作することのできる動的サイト(例:TwitterなどのSNS、掲示板等)に対して、その脆弱性を利用して悪意にある不正なスクリプトを挿入することにより発生するサイバー攻撃です。

WAFとその他のセキュリティとの比較

WAFとファイアウォールとの違い

ファイアウォールは、ネットワーク層を保護するセキュリティ対策です。インターネット回線やIPアドレスの通信を制限し、社内向けのシステムなどの内部ネットワークへ侵入するような攻撃に対して有効で、パケットフィルタとアクセス制御によって外部からの攻撃をまさしく「防火壁」のように保護します。

しかし、IPアドレスやポート番号よりも上位の階層であるWebアプリケーションの通信の中身をチェックすることができません。

ファイアウォールを詳しく知る

セキュリティの基本!ファイアウォールについて知ろう

WAFとIPS/IDSとの違い

IPS/IDS(不正侵入検知・防御システム)はミドルウェア層を保護するセキュリティ対策です。WAF同様にシグネチャを使用して攻撃かどうかを判断しますが、WAFのようにWebアプリケーション層を保護することはできません。IPS/IDSを導入することで、ファイアウォールだけで対策するよりもセキュリティが強化されます。

IPSはリアルタイムにネットアクセスを監視することができます。IDSはOSやミドルウェア層への攻撃に対する攻撃を防ぐことはできます。

IPS/IDSについて詳しく知る

WAFとIPS/IDSのちがいとは?

WAFとSSL証明書との違い

WAFはインターネット上にあるサーバーやWebサイトを攻撃から守ることに特化しているのに対し、SSLはアクセスしてくれた顧客の情報を守ることに特化しています。顧客が入力した個人情報などはSSLによって暗号化され、第三者に盗まれるリスクをなくします。

WAFの種類

WAFにはアプライアンス型、ホスト型、クラウド型という3つの種類があります。

アプライアンス型はWebサーバの通信経路にWAF専用のハードウェアを設置するタイプ、ホスト型はWebサーバにソフトウェアをインストールするタイプのものです。クラウド型は、インターネット経由でベンダーのWAF導入します。

アプライアンス型もホスト型も、自社の環境にあった設定ができるというメリットがあるものの、運用するには専門知識が必要になるというデメリットがあります。その点、クラウド型は基本的にベンダーが運用を代理で行うので、専門の担当者が不要です。

WAFにはアプライアンス型、ホスト型、クラウド型という3つの種類があります。

アプライアンス型WAF

特徴 ベンダーが提供するWAF専用サーバを自社のWebサーバの直前に設置し運用するタイプ。
メリット ベンダーが提供するWAF機器を顧客環境(Webサーバを設置しているDC等)に設置するため、顧客自身で設計・構築・運用可能。
細かいチューニングにより、最適なWAF環境を実現。
デメリット 導入コスト(機器購入費+保守費等)が大きく、小規模なWebサイトの利用には不向き。
導入稼働(機器の設置と撤去)が大きいため、短期的な利用にも不向き。
WAF機器の保守運用・監視を24時間365日自社で行う必要あり。

ホスト型WAF

特徴 サーバなどに、セキュリティソフトをインストールし運用するタイプ。
メリット 既存のWebサーバにインストールするため、アプライアンス型のようなハードウェアの調達が不要。
アプリケーション型に比べて、導入コストや手間を削減。
デメリット 攻撃を受けた際にCPU負荷がかかるため、サーバの速度遅延などの危険性があり、入念な事前検証が必要。
Webサーバ毎に製品をインストールするため、コストが肥大化する場合あり。

クラウド型 WAF

特徴 ベンダー側の提供するWAFをクラウド経由で利用するタイプ。
メリット クラウド型WAFはハードウェアやソフトウェアを調達する必要がなく、導入コストや手間を最も低い。
運用や保守はベンダーがクラウド環境で行うため、専任の担当者は不要で迅速に最新の脅威に備えることが可能。
デメリット サービス内容がベンダーによって異なるため、実績や信頼性の高いサービスを慎重に選ぶ必要あり。

WAFを実際導入するために必要なことはこちら

WAFの導入をするために必要なものまとめ

クラウド型WAFの運用

WAFは、種類によって導入方法や運用方法、特徴が異なり、自社の状況に適したサービスを選ぶ必要があります。特に運用面では、シグネチャの更新など新たな脆弱性対応やWAFの障害対応、ハードウェアやソフトウェアの更改などが必要です。アプライアンス型WAFの場合、ほとんど自社で運用しなければいけませんが、クラウド型WAFの場合、この運用をすべてWAFベンダーが実施するので、導入後も手間がかかりません。

クラウド型WAFについて詳しく知る

クラウド型WAFサービスを導入するメリットとデメリットをそれぞれまとめてみた

クラウド型WAF「攻撃遮断くん」は、システム変更不要のため最短翌営業日で導入でき、ユーザー側での運用は一切必要ないため低価格かつ簡単に高セキュリティを実現できる日本国内で開発・運用されているWAFです。

「攻撃遮断くん」の
詳しい紹介資料はこちらから

サービス紹介資料を
ダウンロード