インターネットを介してサービスを提供する事業者が多い昨今において、セキュリティ対策への理解を深めることは非常に重要です。WAF(Web Application Firewall)は、脆弱性のあるWebアプリケーションサービスを対象にした攻撃から守るセキュリティ対策の1つですが、WAFの仕組みや基礎が分からないという人もいるのではないでしょうか。
そこで本記事では、WAFの概要や仕組み、基本的な機能を解説します。また、WAFの種類や注意点も解説しますので、ぜひ参考にしてください。
目次
WAFとは?
まずは、WAF(Web Application Firewall)の概要から解説します。WAFは、主に脆弱性のあるWebアプリケーションサービスを対象にした攻撃から守るセキュリティ対策のことです。インターネットバンキングサービスやECサイトのように、個人情報を取り扱うWebサイトやWebシステムなどが保護対象になります。
WAFの特徴は、セキュリティ対策をWebアプリケーションに直接行わないことです。WAFは、基本的にWebアプリケーションのネットワークに対して実装され、脆弱性を狙った攻撃を検知したり、対策が行われたりします。また、ネットワークに対して実装されるため、単体のWebアプリケーションサービスのみならず、複数のWebアプリケーションを同時に守ることも可能です。
WAFとその他のセキュリティ対策との違い
ここまで、WAF(Web Application Firewall)の概要を解説してきました。ここからは、WAFとその他のセキュリティ対策との違いを紹介します。
・ ファイアウォール
・ IPS
・ IDS
それぞれ順番に見ていきましょう。
ファイアウォール
ファイアウォールは、ソフトウェア、もしくはハードウェアに対して実装されるセキュリティ対策です。そのため、外部に公開する必要があるWebアプリケーションのセキュリティ対策としては実装できません。端的に言えば、内部でのみ使用するソフトウェアやハードウェアのセキュリティ対策はファイアウォール、外部に公開する必要があるWebアプリケーションはWAFでセキュリティ対策を行うという理解で問題ありません。
IPS
IPS(Intrusion Prevention System)は、不正侵入防止システムのことです。ファイル共有サービスへの攻撃、OSの脆弱性を対象にした攻撃などを防ぐことができます。管理者が事前に検知パターンを設定しておけば、自動で設定した検知パターンに則ってセキュリティ面を強化できることが特徴です。
また、IPSはプラットフォームレベルでのセキュリティ対策が基本となります。
IDS
IDS(Intrusion Detection System)は、不正侵入検知システムのことです。上述したIPSと似ていますが、IDSはIPSよりも異常な通信を多く検知できるセキュリティ対策だと捉えれば問題ありません。
IPSやIDSも多様なケースにおいてセキュリティ強化が可能ではあるものの、WAF以上に広範囲をカバーすることは不可能です。したがって、セキュリティ対策をより強固にしたい場合は、WAFを優先的に検討すると良いでしょう。
WAFの基本的な仕組み
WAF(Web Application Firewall)の基本的な仕組みは、ブラックリスト型とホワイトリスト型によって異なります。ここでは、それぞれの詳細を解説します。
ブラックリスト型
ブラックリスト型は、事前に検知するべき攻撃のパターンを設置しておき、その攻撃パターンが検知された場合に、通信を拒否する仕組みになっています。ブラックリスト型は、既知の攻撃をパターンとして設定するため、複数のWebアプリケーションを対策する手間を省けることが特徴です。
しかし、現時点では存在していない脆弱性を対象とした攻撃を防ぐことはできません。自社のWebアプリケーションが攻撃された場合、もしくは他社が攻撃された事例を知ったうえで対策する必要があるため、少々手間がかかるWAFの仕組みだと言えます。
ホワイトリスト型
ホワイトリスト型は、正当パターンに該当する通信を事前に定め、その通信のみを許可する仕組みのことです。専門用語では、正当パターンのことを「許可する通信」と呼びます。未知の攻撃を防げることが、ブラックリスト型と比較したホワイトリスト型のメリットです。
しかし、許可する通信の定義が難しい点が難点と言えます。そのうえで、Webアプリケーションごとに許可する通信を定める必要があるため、ブラックリスト型以上に手間のかかる仕組みと言えるでしょう。
WAFの基本的な機能
ここからは、WAF(Web Application Firewall)の基本的な機能を解説します。
・ 通信監視
・ Cookieの保護
・ 特定URLの除外・拒否
・ シグネチャの自動更新
・ ログの収集
それぞれ順番に見ていきましょう。
通信監視
通信監視は、WAFの基本的な機能の代表例です。ブラックリスト型、ホワイトリスト型に合わせて、状況に応じて通信を拒否したり、許可したりします。
Cookieの保護
WAFでは、WebブラウザのCookieを保護することも可能です。Webアプリケーションでは、脆弱性を対象にした攻撃以外にも、Cookieを不正利用したり、改ざんしたりする攻撃が多くなっています。
WAFを利用することで、不正に入手したCookieを利用してアクセスしてきた場合でも、そのアクセスを拒否することが可能です。さらに、WAFにはCookieの暗号化機能も搭載されています。
特定URLの除外・拒否
WAFでは、そもそも脅威とはならない通信に関しては、あらかじめチェック対象から除外することが可能です。これにより、通信パフォーマンスの低下を防げるというメリットがあります。また、あらかじめサイバー攻撃などで利用されているIPアドレスを拒否する機能も搭載されています。
シグネチャの自動更新
シグネチャとは、通信や攻撃のパターン情報のことです。クラウド型のWAFであれば、シグネチャを自動で更新してくれるため、常に最新の状態に保つことができます。これにより、新たな脆弱性を対象にした攻撃にも、自動で対策ができることがメリットです。
ログの収集
WAFの中には、ログを自動で収集し、レポート化してくれる機能が搭載されているものもあります。これにより、自社のWebアプリケーションにどのような攻撃が行われていたかや、その対策方法が分かるようになります。
WAFの種類
ここまで、WAF(Web Application Firewall)について解説をしてきました。一口にWAFと言っても、種類は以下の3つが挙げられます。
・ ソフトウェア型
・ アプライアンス型
・ クラウド型
それぞれ順番に解説します。
ソフトウェア型
ソフトウェア型は、対象となるWebサーバーにインストールするタイプのWAFであり、ホスト型と呼ばれることもあります。他のWebサーバーへの影響がなく、ネットワーク環境を新たに構築・変更しなくても良いことが特徴です。また、後述するアプライアンス型よりも、低コストで導入することができます。
アプライアンス型
アプライアンス型は、ゲートウェイ型、ネットワーク型とも呼ばれ、各ネットワークの中に設置されるWAFです。専用機器をWebサーバー外に設置するため、Webサーバーに負担をかけることなく、設定をある程度柔軟に変更できるようになっています。
しかし、設定を自社で変更する必要がある分、運用担当者が専門知識を持っていることが前提となります。導入コストが比較的高いため、予算と専任担当者を確保できる企業に向いています。
クラウド型
クラウド型は、サービス型とも呼ばれ、インターネットサービスを経由して利用するWAFです。ソフトウェア型、アプライアンス型と比較して最も安価に導入でき、ネットワークを新たに構築したり、変更したりする必要もありません。そのため、低予算で、なおかつWAFの有用性を試したい企業に向いています。ただし、カスタマイズをしたくてもできないケースが大半であるため、導入は慎重に検討することが大切です。
WAFを導入するべき事例
ここまで、WAF(Web Application Firewall)の概要などを解説してきました。WAFは、下記のようなサービスや事例で導入を検討することを推奨します。
・ ECサイト事業者
・ 顧客情報を取り扱うサービス
・ インターネットを介して顧客情報を送付するケース
主に、顧客情報を取り扱っていたり、ECサイトで金銭のやり取りが必要になったりする場合に導入を検討するべきです。WAFを導入することでセキュリティ面を強化できるため、企業はより本質的な業務に注力できるようになります。
まとめ
本記事では、WAF(Web Application Firewall)について解説をしてきました。WAFは、脆弱性のあるWebアプリケーションへの攻撃を防ぐセキュリティ対策です。通信監視やCookieの保護、特定URLの拒否などを行えます。特に、ECサイトを運営して顧客情報を取り扱っている事業者や、他社への送客を図っている事業者はWAFへの理解を深めることが大切です。
実際に自社にWAFの導入が必要だと感じた場合は、積極的に導入を検討してみてはいかがでしょうか。
