セキュリティ
WAFとは? 仕組みや種類・導入効果など
インターネットが普及し、ECサイトやオンラインバンキング、SNSなどは私たちの日常生活やビジネスに欠かせない存在となっています。しかし、その利便性の裏でサイバー攻撃は年々巧妙化しており、従来のファイアウォールでは防ぎきれないWebアプリケーション特有のぜい弱性を狙った攻撃が増加しています。
そこで、Webサイトの安全を守る「盾」として必須となりつつあるものが、WAF(Web Application Firewall)です。この記事では、WAFの概要から具体的な仕組み、種類、導入効果について解説します。
WAFとは
WAF(Web Application Firewall)は、Webアプリケーションをサイバー攻撃から保護するためのセキュリティソリューションです。一般的なファイアウォールがネットワークの境界を防衛するのに対し、WAFはWebアプリケーション層で動作してHTTP/HTTPSのトラフィックを監視・制御します。
WAFにできること
WAFにできることは、Webアプリケーションに対するサイバー攻撃を防ぐことです。
WebサイトやWebアプリケーションに対するサイバー攻撃では、主にそれらを構成するソフトウェアなどのセキュリティ的に弱い部分(ぜい弱性)が狙われます。ぜい弱性を狙った攻撃手法としては、SQLインジェクションやクロスサイトスクリプティング(XSS)などが有名です。※SQLインジェクション/XSSについては後述
WAFではこれらの攻撃に対して、以下の対策がとられます。
(1) 攻撃の検知/遮断
(2) 怪しい通信の可視化(ログ/アラート)
(3) ぜい弱性修正までの暫定防御
まず、特有の攻撃パターンを識別して不正な通信のみをブロックします。検知だけでなく、遮断まで行える点が特長です。また、アクセスログや攻撃のログを記録し、どのような攻撃がいつ行われたのかを可視化できます。アラート通知機能と併用することで、管理者は脅威の状況をリアルタイムに把握でき、素早いインシデント対応が可能です。
その他にも、Webアプリケーションにぜい弱性が見つかった場合に、ぜい弱性の修正が完了するまでの対策としても有効です。特定のぜい弱性を狙う攻撃パターンを防ぐことで、暫定対策として動作させることができます。
SQLインジェクション/XSSとは
SQLインジェクションとは、Webサイトの入力フォームやURLパラメータに対して、データベースへの不正な命令文(SQL)を入力するサイバー攻撃の手法です。SQLインジェクションによってセキュリティ対策をすり抜けると、データベース内の個人情報やパスワードなどの機密情報が盗まれたり、データが改ざん・消去されたりするリスクがあります。
また、XSS(クロスサイトスクリプティング)とは、Webページ内に悪意のあるスクリプトを埋め込む攻撃手法です。訪問者がそのページを閲覧したタイミングで、ブラウザー上からスクリプトが実行され、Cookieなどのセッション情報が盗まれて「なりすまし」の被害に遭ったり、フィッシング詐欺サイトへ強制的に誘導されたりします。
SQLインジェクション/XSSはともにシステムに多大な影響をもたらしかねません。WAFを用いることで、このようなWebアプリケーション特有のサイバー攻撃からシステムを守れます。
WAFの仕組み
WAFはWebアプリケーションへのリクエストをリアルタイムで解析し、不正なリクエストをブロックする仕組みを持っています。原則的な仕組みとしては、Webサーバーとクライアント間のHTTP/HTTPSトラフィックを監視し、既知の攻撃パターン(シグネチャ)と照らし合わせて不審なパターンや攻撃の兆候を検出・遮断する仕組みです。
通信を監視して遮断するという点では、ファイアウォールやIPS(不正侵入防御システム)と似ています。しかし、それぞれ動作するネットワークの階層が異なり、防衛範囲も異なります。WAFはファイアウォールやIPSと比較すると、防衛範囲は広くありません。その分、Webアプリケーションの防衛に特化しています。
いずれかのソリューションがあれば良い、ということではなく、それぞれの得意分野で十分に個々が活躍できるように組み合わせて利用することが一般的です。
WAFの種類
WAFには、設置場所や提供形態によっていくつか種類が存在します。ここでは、知っておくべき3つの種類について解説するため、一つずつ見ていきましょう。
ネットワークベースWAF
ネットワークベースWAFは、WAF専用に設計されたハードウェアをネットワークの経路上に設置するWAFの種類です。別名、アプライアンス型WAFやゲートウェイ型WAFとも呼ばれます。
ネットワークベースWAFは、専用設計されたハードウェアを用いるため、性能が高く、既存のWebサーバーに負荷をかけずに導入できる点がメリットです。一方で、アプライアンス製品は高価で、初期設定から運用・保守には専門知識が必要になる点がデメリットといえるでしょう。
ホストベースWAF
ホストベースWAFは、Webサーバー上にソフトウェアとしてインストールするWAFの種類です。別名、ソフトウェア型WAFやホスト型WAFとも呼ばれます。
ホストベースWAFはサーバーごとにカスタマイズしやすく、導入コストが比較的低い点がメリットです。しかし、サーバーリソースを消費することから負荷が増加する点や、サーバー台数が増えるほど管理が煩雑になる点、ネットワークベースWAFと同様に初期設定から運用・保守に専門知識が必要になる点がデメリットです。
クラウドベースWAF
クラウドベースWAFは、WAFの機能をクラウド経由で利用できるWAFの種類です。
クラウドサービスであるため、必要に応じてリソースを柔軟に増減可能であり、導入も容易です。ネットワークベース・ホストベースWAFに比べて、導入から運用・保守まで手軽に行える点は大きなメリットとなっています。
一方で、サービス提供側が障害が発生すると、自社のWebサイトやWebアプリケーションが利用できなくなる可能性がある点がデメリットです。加えて、通信がサービス提供側を経由することから、情報漏えいやプライバシーの侵害といった懸念も考えられます。
WAFの導入効果
企業がWAFを導入することで、次のような効果が期待できます。
攻撃の防止
SQLインジェクションやXSS、CSRFなどのWebアプリケーション攻撃を効果的に防止します。そのため、情報漏えいやシステムダウンといった重大な被害を未然に防ぐことが可能です。
コンプライアンス遵守
多くの業界規制や標準(PCI DSS[クレジットカード業界の国際セキュリティ基準]など)では、WAFの導入が推奨されています。WAFを導入することで、これらの規制に準拠しやすくなります。
運用の効率化
WAFは自動的に攻撃を検出・防止するためセキュリティ運用の手間を削減でき、セキュリティ担当者は他の重要な業務に集中できるようになります。
信頼性の向上
WAFを導入することで、顧客や取引先に対する信頼性が向上します。安全なWebアプリケーションを提供することで、ビジネスの信用を守ることが可能です。
WAFについてのよくある質問
WAFに関するよくある質問について解説します。
WAFとファイアウォールの違いは?
WAFとファイアウォールでは、動作するレイヤーや防御対象が異なります。一般的なファイアウォールは、IPアドレスやポート番号に基づいて通信を制御します。対して、WAFはHTTP/HTTPS通信の中身を詳細に検査します。ファイアウォールでは検知できないSQLインジェクションのようなアプリケーション特有の攻撃を防ぐことが可能です。
WAFとIPSの違いは?
IPS(不正侵入防御システム)は、OSやミドルウェア、ネットワーク全体に対する幅広い攻撃を検知・遮断することが主な役割です。一方、WAFはWebサイトやWebアプリケーションへの攻撃に対する防御に特化しています。IPSはWebアプリ特有の複雑な通信パターンの解析は苦手とする場合があるため、Webサイトの保護を強化するには、これらを組み合わせて多層防御を行うことがおすすめです。
WAFで防げる攻撃とは?
前述したSQLインジェクションやXSSといった代表的な攻撃に加え、WAFはさまざまな脅威に対応します。例えば、ログイン中のユーザーに意図しない操作を強制させる「クロスサイトリクエストフォージェリ(CSRF)」や、サーバーへ不正な命令を送る「OSコマンドインジェクション」などが防御対象です。さらに、大量のアクセスでサイトをダウンさせるDDoS攻撃や、パスワードリスト攻撃を防げる製品も多く存在します。
クラウドWAFは安全?
クラウド型WAFは、ベンダー側で多くの場合、最新のセキュリティシグネチャが更新されるため、新たな脅威にも迅速に対応でき、高い安全性を維持できます。自社で機器をメンテナンスする必要もありません。ただし、通信経路を変えてベンダーを経由させる仕組み上、信頼できるサービス事業者を選ぶことが重要です。適切に選定・設定を行えば、オンプレミス型よりも手軽かつ堅牢なセキュリティ環境を構築できます。
WAFの導入など、セキュリティ強化に取り組んでいきましょう
現代のビジネス環境において、WAFは欠かせないセキュリティ対策の一つです。サイバー攻撃の脅威が増大する中で、WAFを活用して効果的に防御することが求められます。セキュリティ強化に取り組む際には、信頼性の高いソリューションを選ぶことが重要です。
日立ソリューションズ・クリエイトでは、Webサイトからの情報漏えいを防止する「Barracuda Web Application Firewall」を提供しています。アプライアンス製品として、ネットワークに接続して30分程度で攻撃検知率99.97%のWAFを導入可能です。加えて、IPS機能も提供可能であり、お客さまのWebアプリケーション環境のセキュリティ対策を強力にサポートします。経験豊富なSEが導入から構築まで一括で対応できるため、WAFの導入を検討されている場合はぜひ一度お問い合わせください。