脆弱性が増加している中、企業のITシステムを守るためには適切な脆弱性対策が必要です。脆弱性対策の1つとして、WAF(Web Application Firewall)の導入を検討されている企業も多いのではないでしょうか。
しかし、「WAFで本当に脆弱性対策ができるのか」「どんな攻撃から守れるのか」といった不安を抱えている人も少なくありません。
この記事では、WAFの脆弱性対策としての有効性と合わせて、WAFで防げる攻撃と防げない攻撃をわかりやすく解説します。
脆弱性が増加している中、企業のITシステムを守るためには適切な脆弱性対策が必要です。脆弱性対策の1つとして、WAF(Web Application Firewall)の導入を検討されている企業も多いのではないでしょうか。
しかし、「WAFで本当に脆弱性対策ができるのか」「どんな攻撃から守れるのか」といった不安を抱えている人も少なくありません。
この記事では、WAFの脆弱性対策としての有効性と合わせて、WAFで防げる攻撃と防げない攻撃をわかりやすく解説します。
増加しているサイバー攻撃の対策として、WAF(Web Application Firewall)を導入する企業が多くなっています。
WAFとは、WebサイトやWebアプリケーションの脆弱性を狙ったサイバー攻撃を防御するセキュリティサービスです。情報漏えいやWebサイトの改ざんなどを引き起こす攻撃もWAFによって防御できます。
ここでは、なぜWAFが脆弱性対策として有効なのか、またそもそも脆弱性対策はなぜ必要なのかについて解説します。
Webアプリケーションには、プログラムの不具合や設計上のミスによって脆弱性が存在してしまいます。攻撃者が脆弱性を侵入口として悪用し、システム内部やデータベースに侵入して情報を盗んだりデータを改ざんしたりするので、脆弱性が悪用される前に対策が必要です。
WAFは、Webアプリケーションの前に配置するのでWebサイトやWebシステムへのアクセスを24時間体制で監視することができます。アクセスの中身まで細かく確認するので、事前に定義した攻撃や悪意のあるアクセスを示すパターン(シグネチャ)と合致するアクセスを不正アクセスと判断して遮断します。
WAFが脆弱性を悪用する不正アクセスや攻撃を検知し遮断するので、WAFの導入によってWebアプリケーションを攻撃者から守ることができます。
近年、Webアプリケーションの脆弱性は急速に増加しています。IPA(情報処理推進機構)の統計によると、2023年10~12月期のWebサイト関連の脆弱性届出件数は225件で、前年同期の84件と比較して2.67倍に増加しました。
本来であれば、企業のWebサイトやシステムを脆弱性から守るために、最新の脆弱性情報を積極的に収集し、発見した脆弱性に対して迅速に修正プログラムを適用することが理想です。
しかし、Webアプリケーションの開発や保守のためのリソースには限りがあるため、すべての脆弱性に対してタイムリーに対応することは現実的に難しいです。
このような背景から、企業の脆弱性対策においてWAFは必要です。WAFを導入することで、脆弱性が修正されるまでの期間も、Webアプリケーションの安全性を確保することができます。
WAFはさまざまな種類の攻撃を防御することができます。例えば下記の攻撃です。ここではWAFで防げる代表的な攻撃4つを詳しく紹介します。
SQLインジェクションとは、Webアプリケーションの入力フォームや検索窓などを通じて不正なSQL文を送り込み、データベースを不正に操作する攻撃手法です。
SQLインジェクションにより、データベースに保存している顧客情報や機密情報が第三者に流出する恐れがあります。また、Webサイトのコンテンツが改ざんされる恐れもあります。
SQLインジェクションを防ぐにはWAFの導入が有効です。よく使われる不正SQL文をWAFのシグネチャとして登録することで、SQLインジェクションに使われる不正な通信をWAFによって遮断できます。
クロスサイトスクリプティング(XSS)は、Webアプリケーションに悪意のあるスクリプトを埋め込んで実行させる攻撃手法です。特に、ユーザーからの入力が必要とされるWebサイトやシステムがXSSの攻撃対象になりやすいです。例えば、ECサイトやアンケートフォーム、問い合わせフォームです。
攻撃者は、Webサイトの入力フォームに悪意のあるスクリプトを仕込み、そのスクリプトを実行させることで、ユーザーを外部サイトへ強制的に遷移させたり、ユーザーが入力した情報やCookie情報を不正に取得したりします。
WAFは不正なスクリプトを検知し、実行する前にそのアクセスを遮断することができるので、XSS対策としてWAFの導入が推奨されます。
ブルートフォースアタックは、あらゆるパスワードの組み合わせを自動的に試行し、正しいパスワードを見つけ出そうとする攻撃手法です。総当たり攻撃やブルートフォース攻撃とも呼ばれています。
パスワードの取得に成功すると、アカウントを乗っ取られ、個人情報の窃取やデータの改ざんなどの被害が発生する可能性があります。特に管理者アカウントが狙われた場合、システム全体に大きな影響が出る恐れがあります。
WAFは短時間での大量のログイン試行を不自然なアクセスとして検知し、そのアクセスをブロックすることができるので、ブルートフォースアタックを防ぐことができます。
DDoS攻撃(Distributed Denial of Service Attack)は、複数のIPアドレスからサーバに大量のアクセスを一斉に送り付け、過度な負荷をかけることでサーバをダウンさせる攻撃手法です。
サーバダウンによって企業のWebサイトやWebサービスが利用できなくなり、業務に重大な支障をきたします。さらに、DDoS攻撃による被害が長引く可能性があるため、被害の長期化を回避するために適切な対策が必要です。
DDoS攻撃の対策としてWAFは候補の1つです。WAFは不自然な大量アクセスを検知・遮断することでDDoS攻撃を緩和することができます。ただし、すべてのWAFサービスがDDoS攻撃に対応しているわけではないため、導入前にしっかりした確認や検証が必要です。
WAFは、Webアプリケーションへの攻撃の防御にはとても有効ですが、防げない攻撃もあります。WAFが防げない攻撃を把握し、自社の環境や要件に合わせて適切なセキュリティサービスを導入することがおすすめです。
WAFはアプリケーション層(OSI参照モデルの第7層)への攻撃を防ぐセキュリティ対策サービスなので、ネットワーク層(第3層)を標的とした攻撃を防ぐことはできません。
ネットワーク層への攻撃に対しては、ファイアウォールをはじめ適切なセキュリティサービスの導入が必要です。
ファイアウォールは、内部(社内)ネットワークと外部ネットワークの境目に設置する、外部からの攻撃や望まないアクセスを遮断する「防火壁」のようなセキュリティサービスです。ファイアウォールを導入することで、ネットワーク層へのアクセスを監視・制御することができます。
OSやミドルウェアへの攻撃もWAFによって防ぐことができません。OSはオペレーティングシステムの略称で、機器を管理・制御する基本的なソフトウェアです。そして、ミドルウェアはOSとアプリケーションの中間で動作するソフトウェアとなります。
WAFはWebアプリケーションに特化したセキュリティサービスなので、アプリケーションでないOSやミドルウェアに対する攻撃を防ぎきれない可能性があります。OS・ミドルウェアを保護するためには、IDSやIPSなどのセキュリティサービスの活用がおすすめです。
WAFは外部からの攻撃を防ぐセキュリティサービスなので、従業員や退職者など、企業内部の人物による情報漏えいや不正アクセスは、WAFによって防ぐことができません。
企業内部の人物は、業務上必要な権限やアクセス許可を持っているため、機密情報の保管場所や取得方法を把握しています。そのため、通常のアクセスとして情報を持ち出したり、操作の痕跡を消したりすることが可能です。
内部からの脅威に対しては、ゼロトラストセキュリティの考え方に基づいたアクセス制御や、必要最小限の権限のみを付与する運用ポリシーの導入など、別の対策が必要になります。
サイバー攻撃の手法は日々進化しており、1つのセキュリティサービスだけでは十分な防御が難しくなっているのが現状です。巧妙なサイバー攻撃から企業のシステムを守るためには、複数のセキュリティサービスを組み合わせて多層防御を実現することが重要となります。
多層防御とは、WAFやファイアウォール、IDS/IPSなど、異なる種類のセキュリティサービスを組み合わせることで、システム内に複数の防御層を設置する方法です。それぞれのセキュリティサービスが得意とする防御を重ね合わせることで、より強固なセキュリティ環境を構築できます。
企業のWebアプリケーションをサイバー攻撃から守るために、WAFが必要不可欠です。さまざまなWAFサービスの中で、国内シェアNo.1※のクラウド型WAF「攻撃遮断くん」が一番おすすめです。
攻撃遮断くんは下記の特徴があります。
攻撃遮断くんについて詳しく知りたい場合、こちらから資料をダウンロードしてください。
デロイト トーマツ ミック経済研究所「外部脅威対策ソリューション市場の現状と将来展望 2023年度」
ご利用お申し込み、お見積り依頼、
Webセキュリティに関する相談はこちらから!