サイバー攻撃が増加している中、WebサイトやWebサービスを運営する上で適切なセキュリティ対策は必須となっています。ただし、セキュリティ対策に使用される製品は数が多く違いがわかりづらいと感じる担当者もいるでしょう。
例えば、WAF(Webアプリケーションファイアウォール)とファイアウォールです。WAFにファイアウォールという言葉が含まれていますが、WAFとファイアウォールは全く別のセキュリティ製品です。
サイバー攻撃が増加している中、WebサイトやWebサービスを運営する上で適切なセキュリティ対策は必須となっています。ただし、セキュリティ対策に使用される製品は数が多く違いがわかりづらいと感じる担当者もいるでしょう。
例えば、WAF(Webアプリケーションファイアウォール)とファイアウォールです。WAFにファイアウォールという言葉が含まれていますが、WAFとファイアウォールは全く別のセキュリティ製品です。
WAFとは、Webアプリケーションファイアウォール(Web Application Firewall)の略称で、Webアプリケーションの脆弱性を悪用する攻撃を検知・遮断するセキュリティ製品です。
Webアプリケーションへのアクセスを詳細まで細かくチェックするので、不正アクセスや攻撃に使われそうな怪しいアクセスをWAFによって検知・遮断できます。
そのため、WAFを導入することで、情報漏えいやWebサイトの改ざんなどの被害を引き起こすSQLインジェクションやクロスサイトスクリプティング(XSS)などのサイバー攻撃からWebアプリケーションを保護することができます。
ファイアウォールとは、内部(社内)ネットワークと外部ネットワークの境目に設置する、外部からの攻撃や望まないアクセスを遮断する「防火壁」のようなセキュリティ製品です。
ファイアウォールは、アクセスのポート番号、IPアドレス、プロトコル種別、通信方向などの情報に基づいて不正アクセスを見分けて、アクセスの許可・拒否を判断するので、外部からの攻撃から社内ネットワークを保護することができます。
WAFとファイアウォールは、どちらも外部からの不正なアクセスを防御するセキュリティ製品ですが、保護するレイヤーや仕組み、防御できる攻撃が違うため、実は全く別の製品となります。
ここではWAFとファイアウォールの違いを3つの観点から解説します。
WAFは、OSI参照モデルの第7層(アプリケーション層)を守るのに対して、ファイアウォールの保護対象は第3層(ネットワーク層)です。
OSI参照モデルとは、ネットワーク通信の機能を7つの階層(レイヤー)に分類して整理したモデルです。各階層で使われる通信プロトコルが違います。例えば、アプリケーション層ではHTTPやFTP、DNSなどのプロトコルが使われますが、ネットワーク層ではIPやARPなどのプロトコルが使用されます。
階層ごとのプロトコルが違うため、それぞれの通信を監視・制御するのに違うセキュリティ製品が必要です。
ちなみに、WAFとファイアウォールとは別で、OSI参照モデルの第3層(ネットワーク層)から第6層(プレゼンテーション層)を保護するIDS/IPSというセキュリティ製品があります。
WAFもファイアウォールもアクセスに対して検査を行うものの、検査する内容が違います。
ファイアウォールは、通信の基本情報であるポート番号、IPアドレス、プロトコル、通信方向などを検査します。一方、WAFはアクセスの本文やヘッダーなど、アクセスの中身まで細かく検査します。
少しわかりづらいかもしれないので、空港の保安検査を思い出してみましょう。ファイアウォールは、空港の入り口でのパスポートや搭乗券の確認に似ています。有効な身分証明書を持っている人だけを通すように、基本の通信情報が正しいのであればアクセスの許可をします。
一方、WAFは手荷物検査に似ています。荷物の中身を詳しくチェックして危険物や不審物がないか確認するように、通信内容に不正な内容や攻撃コードが含まれていないかを検査します。
検査内容が違うため、WAFとファイアウォールで検知・遮断できる攻撃や不正アクセスも変わります。
アクセスの中身まで細かく確認するため、WAFはWebアプリケーションの脆弱性を突く攻撃を防ぐことができます。例えば、SQLインジェクションやクロスサイトスクリプティング(XSS)、ディレクトリトラバーサルといった巧妙な攻撃です。
一方、ファイアウォールは上記の攻撃を防御できませんが、ネットワーク層への攻撃には有効です。例えば、外部から特定のファイルを送信してその反応を確かめるためのポートスキャン攻撃はファイアウォールによって防御することができます。
保護する層や検査対象、または防御できる攻撃が異なるため、WAFとファイアウォールのどちらかを導入すれば安全とは言えません。
強固なセキュリティ対策を実現するためには、ネットワーク層を守るファイアウォールと、Webアプリケーション層を守るWAFの両方を導入する必要があります。
特にWebサイトやWebサービスなど、インターネットからアクセスできるWebアプリケーションを構築している場合、ファイアウォールだけではセキュリティを十分に担保できない可能性があるため、WAFの導入が必要不可欠です。
WAFを導入するなら国内シェアNo.1のクラウド型WAF「攻撃遮断くん」がおすすめです。
「攻撃遮断くん」は月額10,000円〜導入可能かつ、システム変更不要のため最短1日で導入できる日本国内で開発・運用されているWAFです。ユーザー側での運用は一切必要ないため、低価格かつ簡単に高セキュリティを実現できます!
攻撃遮断くんについて詳しく知りたいならこちらの資料をダウンロードしてください。
ご利用お申し込み、お見積り依頼、
Webセキュリティに関する相談はこちらから!