サイバー攻撃が増えている中、企業はWebセキュリティ対策が求められています。そこでWAFへの注目が高まっています。
富士キメラ総研が発表した「2021ネットワークセキュリティビジネス調査総覧」によると、WAF市場の規模が5年間で2倍以上成長しました。
WAFの導入企業が増えている原因や背景は何でしょうか。そもそも初耳でWAFやその働きについてよくわかっていない人も多くいるのでしょう。
この記事では、WAFとはの基礎知識から、WAFの仕組みや必要性まで、さらにWAFの種類や導入時の選び方まで詳しく解説していきます。
WAF(ワフ)とは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略称で、Webサイトを含めたWebアプリケーションをサイバー攻撃から守るツールです。
サイバー攻撃といえば、ECサイトやインターネットバンキングなど、クレジットカードや口座情報を扱うWebサイトだけが、攻撃対象になると誤解している人は多いでしょう。
しかし実際は、問い合わせフォームのあるWebサイトや会員制のWebサービス、またユーザーのリクエストに応じて動的ページを生成するWebシステムなど、あらゆるWebアプリケーションもサイバー攻撃の対象となり、そして被害も受けています。
Webアプリケーションへのサイバー攻撃の被害者にならないために、WAFが最も効果的です。
アクセスの解析と遮断という2つのアクションを行うのが、WAFの基本的な仕組みです。
WAFはWebサーバの前面に配置されるので、Webアプリケーションへのすべての通信を検査・解析します。そして、攻撃者からの不正な攻撃だと検知した場合にその通信を遮断するという動きをします。
アクセスの解析に必要なのが「シグネチャ」です。シグネチャとは、過去に起きたり、これから起こると想定される攻撃のパターン、通信の手法、ウイルスなどのデータをまとめた定義ファイルです。
すべてのアクセスは、このシグネチャと照合され、不正な攻撃と検知された場合に通信を遮断します。こうすることで、不正攻撃を未然に防ぐことが可能になります。
WAFについて、わかりやすく解説した動画もご用意しました。動画もぜひご覧ください。
サイバー攻撃を防ぐにはWAFが欠かせません。
サイバー攻撃の手口はたくさんありますが、近年増加しているのがWebアプリケーションの脆弱性をつく攻撃です。脆弱性とは、プログラムの不具合やバグ、設計上のミスによって発生するサイバーセキュリティ上の欠陥のことをいいます。
情報処理推進機構(IPA)の調査によると、2021年10月〜12月の間に届出された17,139件の脆弱性関連情報のうち、7割がWebサイトに関連するものとなります。脆弱性が多いからこそ攻撃者に狙われやすいです。
本来であれば、脆弱性のないWebサイトを制作するのがベストですが、簡単ではありません。毎日リリースされる脆弱性情報をチェックし、そして脆弱性が発見された場合にすぐに改修できる体制を整えることが必要だからです。エンジニアのリソースや体制を考えると現実には難しいでしょう。
こんな時にはWAF。WAFの導入によってWebアプリケーションへの通信がすべてチェックされ、不審な通信はサーバに届かないように遮断することができるため、WebサイトやWebサービスを維持することができます。
誰でもアクセスできるWebサイト。企業自体や商品の紹介、または顧客の声の収集などさまざまな役割を持っています。さらに、SaaSやECサイトなどWebサイトを通じてサービスを提供するパターンも多いです。
とても重要なWebサイトですが、攻撃されると下記の被害が考えられます。
ファイアウォールやIDS/IPSを導入しているから大丈夫!と勘違いする人がたくさんいます。株式会社マーケティングアンドアソシェイツの「セキュリティソフト浸透度調査」によると8割以上の人もそのような誤認をしています。
ここではWAFとファイアウォールやIDS/IPSの具体的な違いについて解説します。
名前がよく似ているが全く別もののWAFとファイアウォール。
ファイアウォールとは、ネットワーク層を保護するセキュリティ対策です。インターネット回線やIPアドレスの通信を制限し、パケットフィルタとアクセス制御によって外部からの攻撃をまさしく「防火壁」のように保護するツールです。ただし、通信の中身の確認はされていません。
WAFの場合、Webアプリケーションへの通信の中身をチェックします。ファイアウォールとWAFとでは、守ることができる範囲が異なり、どちらかだけを使えば安心というわけではありません。
少しわかりにくいかもしれないので、飛行機に乗る前の保安検査を思い出してみてください。ファイアウォールは保安検査の入り口で行うパスポートや搭乗券の確認のようなものです。これから出発する、かつ有効なパスポートを持っている人のみを通しています。
一方、WAFは人や荷物の検査です。危険物や不審物が荷物に入っている場合、その人は飛行機に乗れません。
IDS/IPSは不正侵入検知・防御システムであり、ミドルウェア層を保護するセキュリティ対策です。IDSはOSやミドルウェア層に対する攻撃を検知するのに対し、IPSは攻撃を検知するうえ防御することもできます。
WAFと同様にIDS/IPSがシグネチャを使用して攻撃かどうかを判断しますが、WAFのようにWebアプリケーション層を保護することはできません。
守る範囲が異なるため、IDS/IPSとWAFを併用することがおすすめです。あわせてファイアウォールも利用するとより強固なWebセキュリティを実現できます!
WAFはインターネット上にあるサーバやWebサイトを攻撃から守ることに特化しているのに対し、SSLはアクセスしてくれた顧客の情報を守ることに特化しています。顧客が入力した個人情報などはSSLによって暗号化され、第三者に盗まれるリスクをなくします。
ここではWAFの導入メリットについて解説します。
WAFで防御できる攻撃はさまざまあります。SQLインジェクションやクロスサイトスクリプティング(XSS)、DoS/DDoS攻撃などよくある攻撃のほか、下記のようなものにも対応しています。
ちなみに、WAFサービスによって対応できない攻撃もあるので導入の前に必ずお問い合わせください。
WAFはWebサーバの前に置いて、最前線で不正アクセスから守るものです。そのため、Webサーバの中に異なるアプリケーションが入っていたり、複数のサイトやシステムを同時に動かしたりする場合でも、WAFひとつでセキュリティ対策を施すことができます。
それぞれのアプリケーションで異なるセキュリティ対策を施すとなると、かなりの手間とコストがかかりますが、WAFがあればひとつで済むので効率の良いセキュリティ対策ができます。
Webアプリケーションによるサービスを提供しているのであれば、顧客の個人情報を保持していることが多いでしょう。そういった情報が流出してしまうと、企業としての信用が大きく落ちるでしょう。
また、提供しているWebサイトやサービスが急にダウンしたり復旧が遅かったりする場合、信頼を失い顧客離れが進むこともあり得ます。こうした事態を防ぐためにも、WAFによるセキュリティ対策をしっかりとすることは大事です。
内容の詳細を公表することはあまりしませんが、セキュリティ対策をきちんと講じていることだけでも分かれば、消費者もより安心して利用できるでしょう。
さまざまのWAFサービスを大きく3種類に分けることができます。ここでは、それぞれのメリットとデメリットについて詳しく解説します。
アプリケーション型WAFとは、ベンダーの提供する専用機器を自社のWebサーバの直前に設置して運用するWAFです。
アプリケーション型WAFの一番のメリットはカスタマイズしやすいことです。WAF機器が自社に設置されているため、自社のニーズに応じて設計・構築・運用することが可能です。
一方、WAF機器の保守運用と監視をすべて自社で行う必要があるので、専任エンジニアの人件費がかかってしまいます。なお、WAF機器の購入に100万円以上がかかることもあるので、中小企業にとって手軽に出せる金額とは言い難いでしょう。
ホスト型WAFとは、自社のサーバにベンダーの提供するソフトウェアをインストールして運用するWAFです。
アプライアンス型と異なり、自社のサーバにWAFをインストールするだけで導入可能なのでハードウェア調達のコストやシステム設計の手間を省けます。
ただし、WAFがサーバ内にインストールされているため、サイバー攻撃を受けた際にCPUへの負荷が急に増えることがあります。それによるサーバの速度遅延、またはサーバーダウンもなり得るので事前の検証が必要です。
また、Webサーバがいくつも設けている場合、サーバごとにWAFを設置しないといけないのでコストが肥大化する可能性があります。
クラウド型WAFとは、クラウド経由で利用するWAFです。
ホスト型とアプライアンス型と異なり、ソフトウェアやハードウェアを調達する必要がないため、導入におけるコストや手間は3種類のWAF中で最も低いです。
また、WAFの運用と保守はベンダー側のほうで行うため、専任エンジニアを配置しなくても迅速に最新の脅威に備えることができます。
ただし、WAFのサービス内容はベンダーによって異なるので、実績や信頼性の高いサービスを選ぶ必要があります。また、万が一WAFのクラウドサーバが落ちた場合、復旧できるまで利用できないので、稼働率の高いWAFサービスを選ぶことが重要です。
さまざまなWAFサービスがある中で、どれを選ぶべきなのか悩む企業も多いでしょう。
ここではWAFサービスを選定する際の基準について紹介します。自社の状況に合わせてぜひ検討してみてください。
WAFの防御力はシグネチャの更新頻度と密接にかかわります。
新たな脆弱性が発見された際に、シグネチャの更新が必要です。更新が行われない場合、その脆弱性を突いた新規サイバー攻撃をWAFが防御できない可能性が十分あります。なので、シグネチャの更新頻度がWAFの防御力を左右すると言っても過言ではありません。
WAFを選ぶ際、できるだけシグネチャの更新頻度が高くかつ迅速に対応する実績のあるものを選んだほうが無難でしょう。
また、アプライアンス型とホスト型WAFの場合、ベンダーのほうでシグネチャの更新を行ったあと、自社のシステムにあるWAFに手動でアップデートする必要があるかもしれないので注意してください。
シグネチャの更新方法に注目しましょう。最近AIを用いて過去の攻撃データに基づいた新しい攻撃を予測しシグネチャを自動更新するWAFが出ています。未知の攻撃の発見や複雑な攻撃にも対応し、シグネチャが常に更新されるWAFを選ぶとより安心できるでしょう。
会社によってセキュリティレベルや遮断したい通信が異なるためWAFの誤検知が発生してもおかしくありません。特に導入段階に特定の国からアクセスをすべて遮断してしまうような誤検知が発生しやすいです。
そのときWAFの提供ベンダーの対応の速さがとても大事です。対応できなかったり遅かったりする場合サービスの利用者のクレームや売上機会の損失に繋がるので、サポート体制が整っているWAFサービスを利用しましょう。
さらに、日本語でサポートしてくれるWAFであればより安心できるのでしょう。
WAFの導入コストも無視できない要素です。導入コストは大きく2つの部分に分けることができます。
1つ目は初期費用。WAF専用機器の購入や設置、またはソフトウェアのインストールにかかるコストは初期費用に該当します。
2つ目はサービスの月額利用料金。ホスト型やクラウド型はベンダーの提供するWAFを利用するので利用量に応じて料金が課せられることが普通です。
アプライアンス型WAFを利用する場合、月額料金が低いかもしれないですが、導入時にネットワーク構成の見直し・再構築も必要なので、初期費用だけで数百〜数千万円にのぼることもあり得るでしょう。
一方、クラウド型WAFの場合は月数万円程度で利用できるので、導入コストを抑えられます。ただし、帯域が増加するほど料金が上がっていくという特徴があるため、どの料金プランになるか確認することが大切です。
導入後の運用工数も考慮すべきポイントです。
アプライアンス型の場合は、自社で保守運用・監視を24時間365日行うためコストが発生します。また、新しい脆弱性が公表された場合はシグネチャの更新対応が必要です。自社内で対応するには専任技術者のコストが、他社へ依頼する場合は外注費用がかかります。
クラウド型の場合は、このような対応はベンダー側で対応するのが基本です。たとえ新たな脆弱性が発生しても月額費用内でベンダーがシグネチャを更新するため、一定の費用で運用できます。
WAFは、種類によって導入方法や運用方法、特徴が異なり、自社の状況や環境に適したサービスを選ぶ必要があります。
特に運用面では、シグネチャの更新など新たな脆弱性対応やWAFの障害対応、ハードウェアやソフトウェアの更新などが必要です。
アプライアンス型WAFの場合、ほとんど自社で運用しなければいけませんが、クラウド型WAFの場合、この運用をすべてWAFベンダーが実施するので、導入後も手間がかかりません。
累計導入サイト数が15,000を超えたクラウド型WAF「攻撃遮断くん」。月額10,000円〜導入可能かつ、システム変更不要のため最短1日で導入できる日本国内で開発・運用されているWAFです。ユーザー側での運用は一切必要ないため、低価格かつ簡単に高セキュリティを実現できます!
攻撃遮断くんが選ばれる5つの理由
