【情シス担当者必見】WAFの基本機能と防げる攻撃を徹底解説！

そもそもWAFとは？

WAFとは、Web Application Firewallの略称であり、Webアプリケーション特有の脆弱性を狙うサイバー攻撃を防御するセキュリティサービスです。

WAFを導入することによって、SQLインジェクションやクロスサイトスクリプティング（XSS）など、情報漏えいやWeb改ざんをもたらすサイバー攻撃から、Webアプリケーションを守ることができます。

 

WAFの必要性とは

近年、Webアプリケーションの脆弱性を狙ったサイバー攻撃が増加しています。サイバー攻撃の被害を抑えるためにはWAFの導入が必要です。

サイバー攻撃を受けた場合、情報漏えいや改ざんなどの被害をもたらします。被害内容によっては、企業の信頼が失墜してしまうことや法的な賠償問題にもなりかねません。

さらに、システム復旧のための調査や改修開発にかかるリソースや費用、復旧できるまでの売上機会の損失などにもつながります。

上記のような被害を回避するためには、WAFの導入によってサイバー攻撃を防御することが必要不可欠です。

3種類のWAF

導入方法によってWAFは3種類に分かれています。それぞれの特徴や特性が異なるので解説をします。

1つ目はアプライアンス型WAF。ベンダーが提供するWAF専用機器（ハードウェア）を自社のネットワーク内でサーバの前に設置して運用するWAFです。カスタマイズしやすいというメリットはあるものの、導入・メンテナンスに多大なリソースがかかります。

2つ目はソフトウェア型WAF。ホスト型WAFとも呼ばれます。ベンダーが提供するWAFソフトウェアをサーバにインストールして運用するWAFです。ソフトウェアをインストールするだけなので、アプライアンス型WAFより導入しやすいです。

3つ目はクラウド型WAF。インターネット経由で利用するWAFなので、導入や維持にかかるリソースが少なく利用料金も安いのがクラウド型WAFの特徴です。

WAFの基本機能5つ

サイバー攻撃の防御だけでなく、WAFにはさまざまな機能が搭載されています。ここではWAFの5つの基本機能について紹介します。

不正通信（攻撃）遮断機能

まずWAFの中でも特に重要視される不正通信（攻撃）遮断機能です。

WAFではシグネチャを用いてサーバにアクセスしようとする通信内容を確認し、不正な通信を検出して遮断します。この機能によってWebアプリケーションへの不正アクセスやサイバー攻撃を効果的に防ぐことが可能となります。

さらに、WAFのタイプによりますが、DDoS攻撃に対策できる機能が搭載されているものもあります。

シグネチャ更新機能

WAFの検知能力を維持するにはシグネチャの更新が重要です。

公的機関やベンダーから提供される情報を基に更新するだけでなく、導入されているサイトの検知履歴を利用してシグネチャを最適化するWAFも存在します。このため、導入サイト数が多いWAFを選択することで、より高い検知精度を期待することができます。

また、シグネチャの更新対応速度はWAFの防御能力を左右します。新規脆弱性が発見されてから対応のシグネチャが適用されるまでの対応が早ければ、新しい攻撃にも素早く対応することができ、セキュリティの向上につながります。そのため、迅速な更新実績を持つWAFを選ぶほうがおすすめです。

クラウド型WAFの場合、シグネチャの更新はWAF提供ベンダーが実施するケースが多いです。一方、アプライアンス型やソフトウェア型（ホスト型）のWAFでは、シグネチャの更新を利用企業側で行う必要がある場合があります。社内のセキュリティエンジニアのリソースが必要なので注意してください。

特定IPアドレス除外機能

不正通信（攻撃）遮断機能とは別機能として、特定のIPアドレスからのアクセスを制限する機能です。また、IPアドレスをもとに識別する国単位でのアクセス制限もこの機能によってできます。

レポート機能

検知や遮断された攻撃の詳細情報をまとめて提供する機能です。この機能によって、企業のシステムが具体的にどのような攻撃を受けているのか、攻撃の詳細などを確認することができます。

こういった情報によって、自社のWeb環境におけるサイバー攻撃のリスクを具体的に可視化することが可能となるので、企業のセキュリティ対策の策定や見直しに役立ちます。

サポートデスク機能

サポートデスク機能は、WAFの導入や運用中にベンダーから提供されるサポートを指します。

WAFの導入にあたり、誤検知をはじめとしたトラブルが発生しかねません。トラブル原因の特定や解決にはWAFやセキュリティに関する専門知識が必要なので、WAFベンダーのサポートが大事です。メールや電話によりサポートを提供するWAFを選んだほうが安心できます。

また、サポートの言語も重要なので日本語によるサポートを提供しているWAFを選びましょう。

WAFで防げる代表的なサイバー攻撃3つ

WAFを導入するのにサイバー攻撃に対する防御力が一番重要です。ここではWAFで防げる代表的なサイバー攻撃3つを紹介します。

SQLインジェクション

SQLインジェクションとは、Webアプリケーションの脆弱性を狙い、断片的な不正SQL文を注入し、データベースの情報を盗み取る攻撃手法です。SQLインジェクション攻撃を受けると情報漏えいや改ざんなどの被害が起こりますが、WAFの導入によってSQLインジェクションを防御することができます。

Webアプリケーションの前に配置するWAFがサーバにアクセスしようとする通信の内容をチェックし、通信内容に断片的な不正SQL文を検出します。それによってSQLインジェクションが含まれた通信を遮断し、サーバを守ります。

WAFの導入によって、SQLインジェクションによる被害やリスクを最小限に抑えることができます。

クロスサイトスクリプティング（XSS）

クロスサイトスクリプティング（XSS）とは、Webサイトの脆弱性を悪用して悪意のあるスクリプトを埋め込む攻撃手法です。閲覧者がWebサイトにアクセスし操作を行う際に、埋め込まれたスクリプトが実行され、ユーザー情報が攻撃者に送られます。

XSSの被害を抑えるにはWAFは有効なサービスです。WAFのシグネチャにXSSによく使われる文字列やURLが含まれているので、通信内容に合致したものを検知したらWAFによってその不正アクセスを遮断します。これによってXSSに使われる通信をブロックします。

DDoS攻撃

DDoS攻撃は、多数のIPアドレスから一斉に大量の不正アクセスを送り付けるサイバー攻撃の手法です。DDoS攻撃はサーバーダウンや、Webサイト・Webサービスの停止を引き起こすので、Webサイトが閲覧できなくなり、その結果売上機会を損失します。

DDoS攻撃の対策としてWAFの導入がおすすめです。WAFを導入することで、短い間に複数回訪れる、BOTのような異常なアクセスを検知・遮断することができます。DDoS攻撃に使われる不正通信がサーバに到達することなくブロックされるので、WAFの導入でDDoS攻撃を対策することができます。

ただし、すべてのWAFがDDoS攻撃を防御できるわけではありません。仕様上、DDoS攻撃を防げないWAFのタイプもあるので、導入する前にWAFの提供ベンダーに対策できる攻撃をしっかり確認することが重要です。

WAFに防げない攻撃もある

とても優秀なセキュリティサービスですが、WAFは万能ではありません。

WAFは、アプリケーション層に特化しているセキュリティサービスなので、ネットワーク層やトランスポート層などのレイヤーを対象とする攻撃を防ぐことは難しいです。

また、ランサムウェアやマルウェアなどの攻撃に対してもWAFの効果が低いです。ランサムウェアとは、コンピュータやサーバーのデータを無断で暗号化し、解除のための身代金を要求するプログラムです。

このような攻撃を対策するには、ウイルス対策サービスをはじめ、ほかのセキュリティサービスとの併用をおすすめします。

まとめ

アプリケーション層への攻撃を対策するためにはWAFが有効なサービスとなります。提供ベンダーによって違いがありますが、WAFには下記の5つの基本機能が搭載されるケースが多いです。

• 不正通信（攻撃）遮断機能：シグネチャを用いて不正アクセスを検知・遮断する機能
• シグネチャ自動更新機能：攻撃の検知・遮断に使われるシグネチャを更新する機能
• 特定IPアドレス除外機能：特定のIPアドレスや国からのアクセスを制限する機能
• レポート機能：WAFで検知・遮断した攻撃の詳細や特徴を確認できる機能
• サポートデスク機能：WAFの導入や運用中にベンダーから提供されるサポート

WAFで防御できるサイバー攻撃は多岐にわたります。例えば、SQLインジェクションやクロスサイトスクリプティング（XSS）などWebアプリケーションの脆弱性を突く攻撃です。タイプによってDDoS攻撃を対策できるWAFもあります。

とはいえ、提供ベンダーによって機能やその仕様、または防げる攻撃が異なります。導入検討の際に、これらの機能や対応可能な攻撃を十分に理解し、慎重に選択を行うことをおすすめします。