WAF(ワフ)とは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、Webサイト・Webサービスの保護を目的としたシステムです。悪意のある攻撃者からの侵入・攻撃を検知して防ぐという働きをします。頭文字をとって「WAF(ワフ)」と呼ぶのが一般的です。
WAFはWebサイトの前面に配置することでSQLインジェクション、クロスサイトスクリプティング(XSS)、OSコマンドインジェクション、パスワードリスト攻撃など、ファイアウォールやIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることができない攻撃を検知・遮断することができます
サイバー攻撃への対策として、システム面やサービスの運営担当者のWebセキュリティに対する意識の向上など、個人や企業で自己防衛することはとても大切です。しかし、悪意のある第三者は、技術や知識も高く、全てのサイバー攻撃を完璧に防ぐことは現実的には難しく、その対応策としてWAFが注目されています。
WAFは、汎用ソフトや業務アプリケーションなどに存在する脆弱性を狙った攻撃を防ぐことができるので、システムの安定性や安全のために重要な役割を果たします。Webサーバの前に設置するので、サーバそのものにハッカーやウイルスなどが侵入しないようにするという機能を持っています。システム運用側にとっては、最前線で働いてくれるセキュリティ対策です。
近年、サイバー攻撃のターゲットとなる企業は大手企業だけではなく、中小企業にも向けられています。
オンラインバンキングやECサイトといった、ユーザーから入力を受け付けたり、リクエストに応じて動的ページを生成したりするWebシステムの場合、サイバー攻撃を受ける可能性が高くなってしまうため、WAFを導入することが必須になりつつあります。
WAFに関して、順番にわかりやすく説明していきます。
WAFの特徴としては、一般的なファイアウォールが「インフラ/ネットワーク」を防御するのに対し、「Webアプリケーションレベル」でのセキュリティを強化できるということが挙げられます。ファイアウォールやIDS/IPSと併用し、多層防御を実現することがWebセキュリティの強化に必須です。
WAFは、Webサーバやデータベースの前面に配置して通信を解析・検査し、不正な通信・攻撃を通さないという役割を果たすため、多様化しているサイバー攻撃に有用な対策です。
WAFは、Webサーバやデータベースの前面に配置して、ハッカーからの通信がないかどうかを解析・検査し、もし不正な攻撃だと検知した場合にその通信を遮断するという動きをします。アクセスの解析と遮断という2つのアクションを行うのが、WAFの基本的なしくみです。
アクセスの解析に必要なものが「シグネチャ」です。シグネチャとは、過去に起きたり、これから起こると想定される攻撃のパターン、通信の手法、ウイルスなどのデータをまとめた定義ファイルです。すべてのアクセスは、このシグネチャと照合され、不正な攻撃と検知された場合に通信を遮断します。こうすることで、不正攻撃を未然に防ぐことが可能になります。
WAFを導入することで、下記のような多岐に渡るサイバー攻撃を防ぐことができます。
これらの攻撃は、ファイアウォールやIDS/IPSでは防ぐことのできない攻撃ですので、従来のセキュリティ製品に加えてWAFを使うことで、セキュリティ対策を強化できます。
また、脆弱性もカバーすることができます。開発環境や体制が整っていない場合、脆弱性が発見されてもすぐに改修作業を行うことが難しいことがあります。だからといってそのままの状態にしておくことは非常に危険で、攻撃者の標的になってしまいます。
WAFはこういった「すぐには対応できない」という脆弱性もしっかりとカバーすることもできます。
Webアプリケーションに脆弱性があると、その部分を突いて不正攻撃がなされます。脆弱性は通常発見されるとすぐにパッチが作られますが、脆弱性の種類や場所によっては修正をすぐに行うことが難しいケースがあります。
そのような時に、WAFがその脆弱性を使った不正通信を検知し、遮断するという形で攻撃を防げます。
WAFはWebサーバの前に置いて、最前線で不正アクセスから守るものです。そのため、Webサーバの中に異なるアプリケーションが入っていたり、複数のサイトやシステムを同時に動かしたりしている場合でも、一つのWAFでセキュリティ対策を施せます。
それぞれのアプリケーションで異なるセキュリティ対策を施すとなると、かなりの手間とコストがかかりますが、WAFがあれば一つで済みますので効率の良いセキュリティ対策ができます。
Webアプリケーションによるサービスを提供しているのであれば、顧客の個人情報を保持していることが多いはずです。こうした情報が流出してしまうと、企業の信用を大きく落とす原因となります。
また、提供しているサービスが急にダウンして復旧しないとなれば、やはり信頼を失い顧客離れが進む原因となります。こうした事態を防ぐためにも、WAFによってセキュリティ対策をしっかりとすることは大事です。
どんなセキュリティ対策をしているかを公表することはあまりしませんが、やはり対策をきちんと講じているということが消費者に分かれば、より安心して利用してもらうことができます。
ここでは、WAFで守ることができるWebアプリケーションへのサイバー攻撃のいくつかを詳しく説明します。
管理サーバのデータベースを参照することでサービスを提供するWEBサイト(ショッピング系、ECサイト)に対して、本来サイト側が想定している命令とは別にSQL文章を送信することで、不正に個人情報や機密情報を引き出すというサイバー攻撃です。
攻撃者が脆弱性を持つアプリケーションを通じて不正なOSコマンドを送信することにより、攻撃対象となったPCやサーバに不正アクセスを行うサイバー攻撃です。
Webサイトに利用されるアプリケーションの脆弱性を悪用した攻撃のこと。
特にWeb閲覧者側が制作することのできる動的サイト(例:TwitterなどのSNS、掲示板等)に対して、その脆弱性を利用して悪意にある不正なスクリプトを挿入することにより発生するサイバー攻撃です。
ファイアウォールは、ネットワーク層を保護するセキュリティ対策です。インターネット回線やIPアドレスの通信を制限し、社内向けのシステムなどの内部ネットワークへ侵入するような攻撃に対して有効で、パケットフィルタとアクセス制御によって外部からの攻撃をまさしく「防火壁」のように保護します。
しかし、IPアドレスやポート番号よりも上位の階層であるWebアプリケーションの通信の中身をチェックすることができません。
WAFなら、このWebアプリケーションの通信の中身をチェックすることができます。ファイアウォールとWAFとでは、守ることができる範囲が異なり、どちらかだけを使えば安心というわけではありません。
IDS/IPS(不正侵入検知・防御システム)はミドルウェア層を保護するセキュリティ対策です。WAF同様にシグネチャを使用して攻撃かどうかを判断しますが、WAFのようにWebアプリケーション層を保護することはできません。IDS/IPSもWAFと異なる範囲を守るため、ファイアウォールとあわせて利用することでより強固なWebセキュリティを実現できます。
IDSはOSやミドルウェア層に対する攻撃を検知する(防御はしません)のに対し、IPSは攻撃を検知し、さらに防御することができます。
WAFはインターネット上にあるサーバーやWebサイトを攻撃から守ることに特化しているのに対し、SSLはアクセスしてくれた顧客の情報を守ることに特化しています。顧客が入力した個人情報などはSSLによって暗号化され、第三者に盗まれるリスクをなくします。
WAFにはアプライアンス型、ホスト型、クラウド型という3つの種類があります。
アプライアンス型はWebサーバの通信経路にWAF専用のハードウェアを設置するタイプ、ホスト型はWebサーバにソフトウェアをインストールするタイプのものです。クラウド型は、インターネット経由でベンダーのWAF導入します。
アプライアンス型もホスト型も、自社の環境にあった設定ができるというメリットがあるものの、運用するには専門知識が必要になるというデメリットがあります。その点、クラウド型は基本的にベンダーが運用を代理で行うので、専門の担当者が不要です。
| 特徴 | ベンダーが提供するWAF専用サーバを自社のWebサーバの直前に設置し運用するタイプ。 |
|---|---|
| メリット | ベンダーが提供するWAF機器を顧客環境(Webサーバを設置しているDC等)に設置するため、顧客自身で設計・構築・運用可能。 細かいチューニングにより、最適なWAF環境を実現。 |
| デメリット | 導入コスト(機器購入費+保守費等)が大きく、小規模なWebサイトの利用には不向き。 導入稼働(機器の設置と撤去)が大きいため、短期的な利用にも不向き。 WAF機器の保守運用・監視を24時間365日自社で行う必要あり。 |
| 特徴 | サーバなどに、セキュリティソフトをインストールし運用するタイプ。 |
|---|---|
| メリット | 既存のWebサーバにインストールするため、アプライアンス型のようなハードウェアの調達が不要。 アプリケーション型に比べて、導入コストや手間を削減。 |
| デメリット | 攻撃を受けた際にCPU負荷がかかるため、サーバの速度遅延などの危険性があり、入念な事前検証が必要。 Webサーバ毎に製品をインストールするため、コストが肥大化する場合あり。 |
| 特徴 | ベンダー側の提供するWAFをクラウド経由で利用するタイプ。 |
|---|---|
| メリット | クラウド型WAFはハードウェアやソフトウェアを調達する必要がなく、導入コストや手間を最も低い。 運用や保守はベンダーがクラウド環境で行うため、専任の担当者は不要で迅速に最新の脅威に備えることが可能。 |
| デメリット | サービス内容がベンダーによって異なるため、実績や信頼性の高いサービスを慎重に選ぶ必要あり。 |
アプライアンス型が主流のときは専用機器の設置が必要なため、「WAFを導入する」=「高額」のイメージでしたが、現在は、クラウド型WAFが主流になり低価格で利用できます。
それではWAFを導入するときにどのような料金が発生するのでしょうか。
アプライアンス型は専用機器を購入するための料金、クラウド型はベンダーが提供するWAFを利用する料金がかかります。
専用機器を購入する料金は数百万円以上と高額となりますが、クラウド型の場合は数万円~数十万円(月額)程度で利用することができます。
クラウド型WAFは帯域が増加するほど料金が上がっていくという特徴があるため、どの料金プランになるか確認することが大切です。
ネットワーク上に機器を設置するアプライアンス型は、ネットワーク構成の見直しや再構築する費用が必要となります。
クラウド型であれば、サービス提供者が設定する際の作業費がかかります。
アプライアンス型の場合は、運用費用がかかります。
WAFを運用する中で誤検知が発生した場合、自社のサービスに合わせたチューニングをする必要があります。また、新しい脆弱性が公表された場合はシグネチャの更新対応が必要です。自社内で対応するには専任技術者のコストが、他社へ依頼する場合は外注費用がかかります。
クラウド型の場合は、このような対応はベンダー側で対応するのが基本です。たとえ新たな脆弱性が発生しても月額費用内でベンダーが更新するため、一定の費用で運用できます。
WAFは、種類によって導入方法や運用方法、特徴が異なり、自社の状況に適したサービスを選ぶ必要があります。特に運用面では、シグネチャの更新など新たな脆弱性対応やWAFの障害対応、ハードウェアやソフトウェアの更改などが必要です。アプライアンス型WAFの場合、ほとんど自社で運用しなければいけませんが、クラウド型WAFの場合、この運用をすべてWAFベンダーが実施するので、導入後も手間がかかりません。
クラウド型WAF「攻撃遮断くん」は、システム変更不要のため最短翌営業日で導入でき、ユーザー側での運用は一切必要ないため低価格かつ簡単に高セキュリティを実現できる日本国内で開発・運用されているWAFです。
