WAF(ワフ)とは、悪意のある攻撃者からのサイバー攻撃を検知してWebサイトを守るセキュリティシステムです。Web Application Firewall (ウェブアプリケーションファイアウォール)の頭文字をとって「WAF(ワフ)」と呼びます。
よくセキュリティ対策として「ファイアウォール」を耳にしますが、このファイアウォールは「インフラ/ネットワーク層」しか防御できません。しかし、それ以外にも「ソフトウェア/OS層」や「Webアプリケーション層」という守らなければならないエリアがあります。そこで、「Webアプリケーション層」へのサイバー攻撃からWebサイトを守る「WAF」やソフトウェア/OS層を監視・防御する「IPS/IDS」を使い、多層防御を実現することがサイバー攻撃対策には必須です。
オンラインバンキングやECサイトといったサイトだけではなく、お問い合わせフォームがあるサイトでもサイバー攻撃を受ける可能性があるので、Webサイトを運営している場合WAFは非常に効果的です。
このページでは、WAFについて、導入するメリットやファイアウォールとの違い、WAFのしくみ・種類などをわかりやすくご紹介します。
WAFについて、わかりやすく解説した動画もご用意しました。動画もぜひご覧ください。
WAFは、従来のファイアウォールやIDS/IPSでは防ぐことができない「Webアプリケーション層」へのサイバー攻撃を防ぐことができるため、WAFを導入することでWebサイトのセキュリティ対策を強化することができます。
本来「Webアプリケーション層」を守るには、脆弱性のないWebサイトを作成し、その後も脆弱性が発見される度に改修を行えばよいのですが、現実には脆弱性情報を毎日チェックして脆弱性が発見された場合にすぐに改修できる体制が整っていないことが多いです。
このような時にWAFがあると、Webアプリケーションへの通信をチェックし、不審な通信はサーバに届かないように遮断することができます。
具体的にWAFでは下記のような多くのサイバー攻撃を防ぐことができます。
WAFはWebサーバの前に置いて、最前線で不正アクセスから守るものです。そのため、Webサーバの中に異なるアプリケーションが入っていたり、複数のサイトやシステムを同時に動かしたりしている場合でも、一つのWAFでセキュリティ対策を施せます。
それぞれのアプリケーションで異なるセキュリティ対策を施すとなると、かなりの手間とコストがかかりますが、WAFがあれば一つで済みますので効率の良いセキュリティ対策ができます。
Webアプリケーションによるサービスを提供しているのであれば、顧客の個人情報を保持していることが多いはずです。こうした情報が流出してしまうと、企業の信用を大きく落とす原因となります。
また、提供しているサービスが急にダウンして復旧しないとなれば、やはり信頼を失い顧客離れが進む原因となります。こうした事態を防ぐためにも、WAFによってセキュリティ対策をしっかりとすることは大事です。
どんなセキュリティ対策をしているかを公表することはあまりしませんが、やはり対策をきちんと講じているということが消費者に分かれば、より安心して利用してもらうことができます。
ファイアウォールは、ネットワーク層を保護するセキュリティ対策です。インターネット回線やIPアドレスの通信を制限し、社内向けのシステムなどの内部ネットワークへ侵入するような攻撃に対して有効で、パケットフィルタとアクセス制御によって外部からの攻撃をまさしく「防火壁」のように保護します。
しかし、IPアドレスやポート番号よりも上位の階層であるWebアプリケーションの通信の中身をチェックすることができません。
WAFなら、このWebアプリケーションの通信の中身をチェックすることができます。ファイアウォールとWAFとでは、守ることができる範囲が異なり、どちらかだけを使えば安心というわけではありません。
IDS/IPS(不正侵入検知・防御システム)はミドルウェア層を保護するセキュリティ対策です。WAF同様にシグネチャを使用して攻撃かどうかを判断しますが、WAFのようにWebアプリケーション層を保護することはできません。IDS/IPSもWAFと異なる範囲を守るため、ファイアウォールとあわせて利用することでより強固なWebセキュリティを実現できます。
IDSはOSやミドルウェア層に対する攻撃を検知する(防御はしません)のに対し、IPSは攻撃を検知し、さらに防御することができます。
WAFはインターネット上にあるサーバーやWebサイトを攻撃から守ることに特化しているのに対し、SSLはアクセスしてくれた顧客の情報を守ることに特化しています。顧客が入力した個人情報などはSSLによって暗号化され、第三者に盗まれるリスクをなくします。
WAFは、Webサーバやデータベースの前面に配置して、ハッカーからの通信がないかどうかを解析・検査し、もし不正な攻撃だと検知した場合にその通信を遮断するという動きをします。アクセスの解析と遮断という2つのアクションを行うのが、WAFの基本的なしくみです。
アクセスの解析に必要なものが「シグネチャ」です。シグネチャとは、過去に起きたり、これから起こると想定される攻撃のパターン、通信の手法、ウイルスなどのデータをまとめた定義ファイルです。すべてのアクセスは、このシグネチャと照合され、不正な攻撃と検知された場合に通信を遮断します。こうすることで、不正攻撃を未然に防ぐことが可能になります。
WAFにはアプライアンス型、ホスト型、クラウド型という3つの種類があります。
アプライアンス型はWebサーバの通信経路にWAF専用のハードウェアを設置するタイプ、ホスト型はWebサーバにソフトウェアをインストールするタイプのものです。クラウド型は、インターネット経由でベンダーのWAF導入します。
アプライアンス型もホスト型も、自社の環境にあった設定ができるというメリットがあるものの、運用するには専門知識が必要になるというデメリットがあります。その点、クラウド型は基本的にベンダーが運用を代理で行うので、専門の担当者が不要です。
| 特徴 | ベンダーが提供するWAF専用サーバを自社のWebサーバの直前に設置し運用するタイプ。 |
|---|---|
| メリット | ベンダーが提供するWAF機器を顧客環境(Webサーバを設置しているDC等)に設置するため、顧客自身で設計・構築・運用可能。 細かいチューニングにより、最適なWAF環境を実現。 |
| デメリット | 導入コスト(機器購入費+保守費等)が大きく、小規模なWebサイトの利用には不向き。 導入稼働(機器の設置と撤去)が大きいため、短期的な利用にも不向き。 WAF機器の保守運用・監視を24時間365日自社で行う必要あり。 |
| 特徴 | サーバなどに、セキュリティソフトをインストールし運用するタイプ。 |
|---|---|
| メリット | 既存のWebサーバにインストールするため、アプライアンス型のようなハードウェアの調達が不要。 アプリケーション型に比べて、導入コストや手間を削減。 |
| デメリット | 攻撃を受けた際にCPU負荷がかかるため、サーバの速度遅延などの危険性があり、入念な事前検証が必要。 Webサーバ毎に製品をインストールするため、コストが肥大化する場合あり。 |
| 特徴 | ベンダー側の提供するWAFをクラウド経由で利用するタイプ。 |
|---|---|
| メリット | クラウド型WAFはハードウェアやソフトウェアを調達する必要がなく、導入コストや手間を最も低い。 運用や保守はベンダーがクラウド環境で行うため、専任の担当者は不要で迅速に最新の脅威に備えることが可能。 |
| デメリット | サービス内容がベンダーによって異なるため、実績や信頼性の高いサービスを慎重に選ぶ必要あり。 |
アプライアンス型が主流のときは専用機器の設置が必要なため、「WAFを導入する」=「高額」のイメージでしたが、現在は、クラウド型WAFが主流になり低価格で利用できます。
それではWAFを導入するときにどのような料金が発生するのでしょうか。
アプライアンス型は専用機器を購入するための料金、クラウド型はベンダーが提供するWAFを利用する料金がかかります。
専用機器を購入する料金は数百万円以上と高額となりますが、クラウド型の場合は数万円~数十万円(月額)程度で利用することができます。
クラウド型WAFは帯域が増加するほど料金が上がっていくという特徴があるため、どの料金プランになるか確認することが大切です。
ネットワーク上に機器を設置するアプライアンス型は、ネットワーク構成の見直しや再構築する費用が必要となります。
クラウド型であれば、サービス提供者が設定する際の作業費がかかります。
アプライアンス型の場合は、自社で保守運用・監視を24時間365日行うための運用コストがかかります。
WAFを運用する中で誤検知が発生した場合、自社のサービスに合わせたチューニングをする必要があります。また、新しい脆弱性が公表された場合はシグネチャの更新対応が必要です。自社内で対応するには専任技術者のコストが、他社へ依頼する場合は外注費用がかかります。
クラウド型の場合は、このような対応はベンダー側で対応するのが基本です。たとえ新たな脆弱性が発生しても月額費用内でベンダーが更新するため、一定の費用で運用できます。
WAFは、種類によって導入方法や運用方法、特徴が異なり、自社の状況に適したサービスを選ぶ必要があります。
特に運用面では、シグネチャの更新など新たな脆弱性対応やWAFの障害対応、ハードウェアやソフトウェアの更改などが必要です。
アプライアンス型WAFの場合、ほとんど自社で運用しなければいけませんが、クラウド型WAFの場合、この運用をすべてWAFベンダーが実施するので、導入後も手間がかかりません。
クラウド型WAF「攻撃遮断くん」は、システム変更不要のため最短1営業日で導入でき、ユーザー側での運用は一切必要ないため低価格かつ簡単に高セキュリティを実現できる日本国内で開発・運用されているWAFです。
