(Web Application Firewall)
Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。
SQLインジェクションやクロスサイトスクリプティング(XSS)など、FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることが出来ない攻撃を検知・遮断することができます。
WAFについて
WAF(ワフ)とは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、Webアプリケーションの脆弱性を突いた攻撃からWebサイトを守るためのセキュリティ対策です。WAFをWebサーバーの前段に設置してトラフィックを解析・検知することによってサイバー攻撃を防ぐことができます。FW(ファイアウォール)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では検知できないサイバー攻撃に対しても有効です。
近年、サイバー攻撃のターゲットとなる企業は大手企業だけではなく、中小企業にも向けられています。WebサービスやECサイトといった、ユーザーから入力を受け付けたり、リクエストに応じて動的ページを生成したりするWebシステムの場合、サイバー攻撃を受ける可能性が高くなってしまうため、WAFを導入することが必須になりつつあります。
WAFの種類
アプライアンス型 WAF
メリット
アプライアンス型WAFはベンダーが提供するWAF機器をお客様環境(Webサーバを設置しているDC等)に設置し利用します。
お客様自身で設計・構築・運用できるため、お客様に合った最適なWAF環境を実現しやすくなっています。
デメリット
・導入コスト(機器購入費+保守費等)が大きいため、小規模なWebサイトの利用には向かない
・導入稼働(機器の設置と撤去)が大きいため、短期的な利用に向かない
・WAF機器の保守運用・監視をするために、24時間365日対応できる人員が必要となる
ソフトウェア型 WAF
メリット
ソフトウェア型WAFは既存のWebサーバにインストールするタイプのWAFです。ハードウェアを調達する必要がないため、導入コストや手間を削減することができます。
デメリット
攻撃を受けた際にCPU負荷がかかるため、サーバの速度遅延などの危険性があり、入念な事前検証が必要になります。
また、Webサーバ毎に製品をインストールする必要があるため、コストが肥大化することがあります。
クラウド型 WAF
メリット
クラウド型WAFはハードウェアやソフトウェアを調達する必要がなく、導入コストや手間を削減することができます。
また、運用や保守はベンダーがクラウド環境で行うため、専任の担当者は不要で迅速に最新の脅威に備えることができます。
デメリット
サービス内容がベンダーによって異なるため、実績や信頼性の高いサービスを慎重に選ぶ必要があります。
クラウド型WAFと従来型のWAFとの比較
|
アプライアンス型 ソフトウェア型 |
|||
|---|---|---|---|---|
| 防御 モデル |
シグネチャ モデル |
お客様のご要望に応じて柔軟にカスタマイズ可能。 カスタマイズも弊社で実施。 |
シグネチャ モデル |
カスタマイズ可能だが、設定が複雑で手間がかかる。 |
| 導入 | 簡単 | 最短翌営業日1営業日〜で利用開始。 | 複雑 | サイト毎にパラメータ設定が必要。導入に半年を要するなど手間と時間がかかる。 |
| 運用 | 簡単 | 原則弊社にて行います。 | 複雑 | アプリケーション変更のたびに技術者によるWAF設定の変更が必要。 |
| セキュリティエンジニア | 不要 | 導入時も運用も弊社にて実施するため、お客様でのセキュリティエンジニアは不要。 | 必要 | 導入時、運用時とシステムを理解したセキュリティエンジニアが必要。 |
WAFを導入するメリットとは?
WAFを導入する1番のメリットはFW(ファイアウォール)やIPS(不正侵入防御)では防御できない攻撃を検知・遮断することができる点です。
Webアプリケーションに脆弱性などのセキュリティ上の問題があっても、WAFなら脆弱性をつく攻撃からWebアプリケーションを守るとても利便性の高いシステムです。
WAFは脆弱性を利用した攻撃に対する耐性が強いため、WAFを導入することでセキュリティ対策の強化を見込むことができます。年々増加しているサイバー犯罪の被害により、個人情報などを盗まれると社会的信用が失われたり、Webサイトが閉鎖になる可能性もあります。システムに熟練したエンジニアでも、脆弱性を突いたサイバー攻撃を必ず防げるとは言い切れません。
WAFで守ることができるサイバー攻撃の一例
WAFを導入することで下記のサイバー攻撃を防ぐことができますが、これらの攻撃をFW(ファイアウォール)やIPS(不正侵入防御)では防ぐことができないのです。
- ブルートフォースアタック
- SQLインジェクション
- クロスサイトスクリプティング
- ディレクトリトラバーサル
- OSコマンドインジェクション
- LDAPインジェクション
- ファイルインクルード
WAFとIDS/IPSとFWのセキュリティとの違いを比較
WAFはWebアプリケーションの脆弱性を突いたサイバー攻撃に有効です。
IPS/IDS(不正侵入防止システム/不正侵入検知システム)やFW(ファイアウォール)との違いを説明します。IPS/IDSとFWとの違いを知ることで今後のWebセキュリティ対策の運用に役立ちます。
WAFとFWの違い
FW(ファイアウォール)は、ネットワークレベルでのセキュリティ対策です。インターネット回線やIPアドレスの監視や通信制限します。通信する際、送信先および送信元の情報から、その通信を許可するか判断し、内部ネットワークへ侵入する不正なアクセスを遮断する仕組みです。
しかし、FWはWAFのように通信の中身をチェックしていないため、Webアプリケーションへの攻撃を防ぐことはできません。
WAFとIPS/IDSとの違い
IPS/IDS(不正侵入防止システム/不正侵入検知システム)は、OSやミドルウェアなどプラットフォームレベルでのセキュリティ対策です。IPSはリアルタイムにネットアクセスを監視することができます。IDSはOSやミドルウェア層への攻撃に対する攻撃を防ぐことはできます。IPS/IDSもWebアプリケーションへの攻撃を防ぐことはできません。
FWやIPS/IDS、WAFを組み合わせて対策する
FWやIPS/IDS、WAFはそれぞれ守れるレイヤーが異なります。レイヤーに応じたセキュリティ対策を導入し、補完しあうことが必要です。
クラウド型WAFの運用について
クラウド型WAFはシグネチャの更新など新たな脆弱性対応やWAFの障害対応、ハードウェアやソフトウェアの更改など、すべてベンダーが実施する運用となるため、導入後も手間がかかりません。しかし、誤検知対応等ベンダーとユーザーの連携が必要な作業もあります。
シグネチャの更新
シグネチャとは攻撃を識別するルールのことです。シグネチャはWebアクセスの内容がルールに該当しないか逐一チェックを行い、該当する場合は検知または防御します。
アプライアンス型WAFの場合、このシグネチャをシステム担当者自身で運用しなければいけないのですが、クラウド型WAFの場合、全てベンダーが実施します。シグネチャの更新には定期更新と緊急更新があります。
定期更新
定期更新は公的機関・ベンダーなど様々なソースから脆弱性情報を収集し、随時アップデートを実施するものです。
緊急更新
DrupalやWordpress、Apache Struts2などのシェアが多いOSやミドルウェアに緊急度の高い脆弱性が公表された場合に 実施します。早急な対応が必要なため、早いものだと脆弱性が公表されてから3時間で対応することもあります。
シグネチャのチューニング
クラウド型WAFの導入後、正常なアクセスがシグネチャのルールに該当していないか確認し、該当していた場合はシグネチャのルールを変更する必要があります。これをチューニングといいます。
チューニングは、正常なアクセスが遮断されてしまう誤検知を防ぐことを目的にしています。WAFを導入する前はアクセス出来ていたのに、WAFを経由した通信ではエラーが出てしまう場合、誤検知を疑う必要があります。
検知モードでのチューニング方法
シグネチャのルールは原則公開されていないため、本番環境や検証環境を利用して動作確認を実施していきます。WAFにはサイバー攻撃を検知する検知モードと検知して遮断する遮断モードがあり、チューニングは検知モードで実施します。
ベンダーが提供している管理画面の情報を元に誤検知がないか確認していきます。誤検知が発生していた場合、ユーザーはベンダーと連携してシグネチャをチューニングしていきます。
シグネチャをチューニングできるかなどは、ベンダーが提供しているプランによって異なるため、事前に確認することをおすすめします。
Webセキュリティ対策は
「攻撃遮断くん」にお任せ!
