(Web Application Firewall)
Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。
SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることが出来ない攻撃を検知・遮断することができます。
WAFについて
WAF(ワフ)とは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。WAFをWebサーバーの前段に設置してトラフィックを解析・検知することによってサイバー攻撃を防ぐことができます。FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では検知できないサイバー攻撃に対しても有効です。
近年、サイバー攻撃のターゲットとなる企業は大手企業だけではなく、中小企業にも向けられています。WebサービスやECサイトといった、ユーザーから入力を受け付けたり、リクエストに応じて動的ページを生成したりするWebシステムの場合、サイバー攻撃を受ける可能性が高くなってしまうため、WAFを導入することが必須になりつつあります。
WAFの種類
アプライアンス型 WAF
メリット
アプライアンス型WAFはベンダーが提供するWAF機器をお客様環境(Webサーバを設置しているDC等)に設置し利用します。
お客様自身で設計・構築・運用できるため、お客様に合った最適なWAF環境を実現しやすくなっています。
デメリット
・導入コスト(機器購入費+保守費等)が大きいため、小規模なWebサイトの利用には向かない
・導入稼働(機器の設置と撤去)が大きいため、短期的な利用に向かない
・WAF機器の保守運用・監視をするために、24時間365日対応できる人員が必要となる
ソフトウェア型 WAF
メリット
ソフトウェア型WAFは既存のWebサーバにインストールするタイプのWAFです。ハードウェアを調達する必要がないため、導入コストや手間を削減することができます。
デメリット
攻撃を受けた際にCPU負荷がかかるため、サーバの速度遅延などの危険性があり、入念な事前検証が必要になります。
また、Webサーバ毎に製品をインストールする必要があるため、コストが肥大化することがあります。
クラウド型 WAF
メリット
クラウド型WAFはハードウェアやソフトウェアを調達する必要がなく、導入コストや手間を削減することができます。
また、運用や保守はベンダーがクラウド環境で行うため、専任の担当者は不要で迅速に最新の脅威に備えることができます。
デメリット
サービス内容がベンダーによって異なるため、実績や信頼性の高いサービスを慎重に選ぶ必要があります。
クラウド型WAFと従来型のWAFとの比較
|
アプライアンス型 ソフトウェア型 |
|||
|---|---|---|---|---|
| 防御 モデル |
シグネチャ モデル |
お客様のご要望に応じて柔軟にカスタマイズ可能。 カスタマイズも弊社で実施。 |
シグネチャ モデル |
カスタマイズ可能だが、設定が複雑で手間がかかる。 |
| 導入 | 簡単 | 最短翌営業日1営業日〜で利用開始。 | 複雑 | サイト毎にパラメータ設定が必要。導入に半年を要するなど手間と時間がかかる。 |
| 運用 | 簡単 | 原則弊社にて行います。 | 複雑 | アプリケーション変更のたびに技術者によるWAF設定の変更が必要。 |
| セキュリティエンジニア | 不要 | 導入時も運用も弊社にて実施するため、お客様でのセキュリティエンジニアは不要。 | 必要 | 導入時、運用時とシステムを理解したセキュリティエンジニアが必要。 |
WAFを導入するメリットとは?
WAFを導入する1番のメリットはFW(ファイアウォール)やIPS(不正侵入防御)では防御できない攻撃を検知・遮断することができる点です。
Webアプリケーションに脆弱性などのセキュリティ上の問題があっても、WAFなら脆弱性をつく攻撃からWebアプリケーションを守るとても利便性の高いシステムです。
WAFは脆弱性を利用した攻撃に対する耐性が強いため、WAFを導入することでセキュリティ対策の強化を見込むことができます。年々増加しているサイバー犯罪の被害により、個人情報などを盗まれると社会的信用が失われたり、Webサイトが閉鎖になる可能性もあります。システムに熟練したエンジニアでも、脆弱性を突いたサイバー攻撃を必ず防げるとは言い切れません。
WAFで守ることができるサイバー攻撃の一例
WAFを導入することで下記のサイバー攻撃を防ぐことができますが、これらの攻撃をFW(ファイアウォール)やIPS(不正侵入防御)では防ぐことができないのです。
- ブルートフォースアタック
- SQLインジェクション
- クロスサイトスクリプティング
- ディレクトリトラバーサル
- OSコマンドインジェクション
- LDAPインジェクション
- ファイルインクルード
WAFとIDS/IPSとFWのセキュリティとの違いを比較
WAFはWebアプリケーションの脆弱性を突いたサイバー攻撃に有効です。
IPS/IDS(不正侵入防止システム/不正侵入検知システム)やFW(ファイアウォール)との違いを説明します。IPS/IDSとFWとの違いを知ることで今後のWebセキュリティ対策の運用に役立ちます。
WAFとFWの違い
FW(ファイアウォール)は、ネットワークレベルでのセキュリティ対策です。インターネット回線やIPアドレスの監視や通信制限します。通信する際、送信先および送信元の情報から、その通信を許可するか判断し、内部ネットワークへ侵入する不正なアクセスを遮断する仕組みです。
しかし、FWはWAFのように通信の中身をチェックしていないため、Webアプリケーションへの攻撃を防ぐことはできません。
WAFとIPS/IDSとの違い
IPS/IDS(不正侵入防止システム/不正侵入検知システム)は、OSやミドルウェアなどプラットフォームレベルでのセキュリティ対策です。IPSはリアルタイムにネットアクセスを監視することができます。IDSはOSやミドルウェア層への攻撃に対する攻撃を防ぐことはできます。IPS/IDSもWebアプリケーションへの攻撃を防ぐことはできません。
FWやIPS/IDS、WAFを組み合わせて対策する
FWやIPS/IDS、WAFはそれぞれ守れるレイヤーが異なります。レイヤーに応じたセキュリティ対策を導入し、補完しあうことが必要です。
クラウドWAFの運用について
新たな脆弱性対応やWAFの障害対応、ハードウェアやソフトウェアの更改など、すべてベンダーが実施する運用となるため、導入後の運用も手間がかかりません。
Webセキュリティ対策は
「攻撃遮断くん」にお任せ!
