WAFとは?ファイアウォールとの違いや仕組み、導入ポイントを解説
はじめに
インターネットの発展とともにサイバー攻撃は年々増加し、その手口は巧妙化しています。さまざまな攻撃に対してセキュリティ対策を行う必要がある一方で、セキュリティ対策もまた多様化しています。
今回はセキュリティ対策のひとつ、WAFについて解説します。
今回はセキュリティ対策のひとつ、WAFについて解説します。
年々巧妙化しているサイバー攻撃
警察庁によると、令和3年中のサイバー犯罪の検挙件数は、12,209件と過去最多を記録しました。今やIT技術は企業・個人の生活の一部となっており、サイバー攻撃は誰にとっても脅威となっています。
企業や個人に対して行われるサイバー攻撃は、以下のような 事例が挙げられます。
・不正アクセス:システムへのログイン権限がある人のIDやパスワードを盗み取るなどして、本人になりすましてログインする
・ランサムウェア:暗号化やロックでコンピューターを使用不可能にしたのちに、身代金を要求する悪質なソフトウェア
・標的型メール:コンピューターに感染して増殖するウイルス付きのメールで、メールの本文は本物と間違えるほど巧妙に作成されている
実際に、企業や団体はサイバー攻撃によるさまざまな被害を受けています。
・ランサムウェアに感染し、グループ企業の拠点にあった脆弱性のあるサーバやIoT機器が暗号化されて使えなくなってしまった
・不正アクセスを受け、顧客の個人情報が流出した
・ランサムウェアに感染したシステムが復旧までに2カ月以上要し、その間のサービス提供が困難になった
また、サイバー攻撃は企業のみならず医療機関をはじめとする重要な社会インフラも被害を受けており、サイバー攻撃は市民の生活にまで重大な影響を及ぼしています。
サイバー攻撃は多様化しているため、ファイアウォールやIDS/IPSだけでは防げません。セキュリティ対策の有効な方法のひとつとなるのが、WAFです。
▼主なサイバー攻撃の種類
企業や個人に対して行われるサイバー攻撃は、以下のような 事例が挙げられます。
・不正アクセス:システムへのログイン権限がある人のIDやパスワードを盗み取るなどして、本人になりすましてログインする
・ランサムウェア:暗号化やロックでコンピューターを使用不可能にしたのちに、身代金を要求する悪質なソフトウェア
・標的型メール:コンピューターに感染して増殖するウイルス付きのメールで、メールの本文は本物と間違えるほど巧妙に作成されている
▼サイバー攻撃による被害の例
実際に、企業や団体はサイバー攻撃によるさまざまな被害を受けています。
・ランサムウェアに感染し、グループ企業の拠点にあった脆弱性のあるサーバやIoT機器が暗号化されて使えなくなってしまった
・不正アクセスを受け、顧客の個人情報が流出した
・ランサムウェアに感染したシステムが復旧までに2カ月以上要し、その間のサービス提供が困難になった
また、サイバー攻撃は企業のみならず医療機関をはじめとする重要な社会インフラも被害を受けており、サイバー攻撃は市民の生活にまで重大な影響を及ぼしています。
サイバー攻撃は多様化しているため、ファイアウォールやIDS/IPSだけでは防げません。セキュリティ対策の有効な方法のひとつとなるのが、WAFです。
WAF(Web Application Firewall)とは
WAF(Web Application Firewall)とは、Webアプリケーションの前面やネットワークに配置する対策のことで、脆弱性を突く攻撃を検出した上で低減します。
WAFは、あくまでサイバー攻撃の影響を低減するのが目的であり、脆弱性を修正するなどといったWebアプリケーション自体への直接的な対策ではありません。不正な通信を検出した場合にはその通信をサーバに届かないように遮断し、ログに記録してアラートを出すのが、WAFの主な役割です。
WAFは、あくまでサイバー攻撃の影響を低減するのが目的であり、脆弱性を修正するなどといったWebアプリケーション自体への直接的な対策ではありません。不正な通信を検出した場合にはその通信をサーバに届かないように遮断し、ログに記録してアラートを出すのが、WAFの主な役割です。
WAFの仕組み
WAFはアクセス元とWebサーバとの間で、通信の内容を精査し、Webアプリケーションへの攻撃を検出します。検出に使われるのは、通信の情報やパターンなどを記録している定義ファイルである「シグネチャ」です。
シグネチャには主に2種類あり、それぞれ下記のような特徴があります。
・ブラックリスト型:HTTP 通信における「不正な値・パターン」すなわち通してはいけない通信の特徴をシグネチャに定義し、シグネチャに合致した通信を拒否する方法です。
どのWebアプリケーションでも使えますが、新しいサイバー攻撃の手法が判明するたびに更新が必要となります。
・ホワイトリスト型:HTTP 通信における「正しい値・パターン」すなわち通して良い通信の特徴をシグネチャに定義し、シグネチャに合致しない通信を拒否する方法です。未知の攻撃にも対処できるものの、Webアプリケーションごとにホワイトリストを定義する必要があります。
このシグネチャで、通信に使われているHTTPリクエストやHTTPレスポンスを精査します。
WAFとファイアウォール・IDS/IPSとの違いは?
WAFと似たセキュリティ対策として、ファイアウォールとIDS/IPSがあります。それらのセキュリティ対策とWAFの違いは何なのでしょうか。
ファイアウォールとは、送信元と送信先のIPアドレスやポート番号などの情報をもとにアクセスを制限するソフトウェア、またはハードウェアのことを指します。ファイアウォールは社内で使用する情報システムに対して機能するものであり、外部からの不正なアクセスを制限します。
ただし、ファイアウォールは通信の内容までは精査していないため、OSやWebサーバ、Webアプリケーションを狙った攻撃は防げません。Webアプリケーションを狙った攻撃への対策はWAFのほうが適しています。
IDS(Intrusion Detection System:不正侵入検知システム)は、ネットワーク上の通信を監視して不正アクセスを検知、その後管理者などにアラートを通知します。
IPS(Intrusion Prevention System:不正侵入防止システム)は、ネットワーク上の通信を監視し、発見した不正アクセスをブロックするものです。IDS/IPSは検知するか・ブロックするかの点で役割が異なります。
IDS/IPSはOSやWebサーバの脆弱性を狙った攻撃に対して有効です。しかし、Webアプリケーションの脆弱性を突いた攻撃は防げず、これらの検知・ブロックはWAFの役割となります。
▼WAFとファイアウォールの違い
ファイアウォールとは、送信元と送信先のIPアドレスやポート番号などの情報をもとにアクセスを制限するソフトウェア、またはハードウェアのことを指します。ファイアウォールは社内で使用する情報システムに対して機能するものであり、外部からの不正なアクセスを制限します。
ただし、ファイアウォールは通信の内容までは精査していないため、OSやWebサーバ、Webアプリケーションを狙った攻撃は防げません。Webアプリケーションを狙った攻撃への対策はWAFのほうが適しています。
▼WAFとIDS/IPSの違い
IDS(Intrusion Detection System:不正侵入検知システム)は、ネットワーク上の通信を監視して不正アクセスを検知、その後管理者などにアラートを通知します。
IPS(Intrusion Prevention System:不正侵入防止システム)は、ネットワーク上の通信を監視し、発見した不正アクセスをブロックするものです。IDS/IPSは検知するか・ブロックするかの点で役割が異なります。
IDS/IPSはOSやWebサーバの脆弱性を狙った攻撃に対して有効です。しかし、Webアプリケーションの脆弱性を突いた攻撃は防げず、これらの検知・ブロックはWAFの役割となります。
WAFの種類
WAFには、形態別に分けると3つの種類があります。
クラウド型WAFは、クラウドを経由して利用するものです。導入までの所要時間が短く済むことや、月単位で契約できるサービスが多いことから、導入や解約、契約の変更などが手軽に行えるというメリットがあります。
また、クラウドサービス提供者側にある程度管理を任せられるため、ユーザ側の運用負荷が低くなるのもメリットです。一方でカスタマイズが難しくなるというデメリットもあります。
クラウド型WAFはサービスによって検知の精度や運用が異なるため、自社に合ったサービスを選ぶことが必要です。
アプライアンス型WAFは、オンプレミス環境において、Webサーバの前に物理的な専用機器を置く方式のWAFです。他の方式のWAFと比べるとコストは高めですが、1台で複数のWebサーバの保護ができるため、大規模システムの場合はかえって他のタイプのWAFよりも安価となることもあります。
アプライアンス型WAFは、完全な自社管理が可能である一方で、クラウドのインフラやレンタルサーバには使えません。
ソフトウェア型WAFは、ソフトウェアをサーバにインストールするタイプのWAFです。機器の追加導入やネットワーク構成変更の必要がなく、アプライアンス型WAFと比較すれば導入が容易となる場合が多いでしょう。
一方でソフトウェアがサーバのリソースを消費するため、サーバのパフォーマンスが低下する可能性があります。またサーバの台数が多いとそのぶんソフトウェアの導入・運用コストが増えるため、割高となる可能性があります。
▼クラウド型WAF
クラウド型WAFは、クラウドを経由して利用するものです。導入までの所要時間が短く済むことや、月単位で契約できるサービスが多いことから、導入や解約、契約の変更などが手軽に行えるというメリットがあります。
また、クラウドサービス提供者側にある程度管理を任せられるため、ユーザ側の運用負荷が低くなるのもメリットです。一方でカスタマイズが難しくなるというデメリットもあります。
クラウド型WAFはサービスによって検知の精度や運用が異なるため、自社に合ったサービスを選ぶことが必要です。
▼アプライアンス型WAF
アプライアンス型WAFは、オンプレミス環境において、Webサーバの前に物理的な専用機器を置く方式のWAFです。他の方式のWAFと比べるとコストは高めですが、1台で複数のWebサーバの保護ができるため、大規模システムの場合はかえって他のタイプのWAFよりも安価となることもあります。
アプライアンス型WAFは、完全な自社管理が可能である一方で、クラウドのインフラやレンタルサーバには使えません。
▼ソフトウェア型WAF
ソフトウェア型WAFは、ソフトウェアをサーバにインストールするタイプのWAFです。機器の追加導入やネットワーク構成変更の必要がなく、アプライアンス型WAFと比較すれば導入が容易となる場合が多いでしょう。
一方でソフトウェアがサーバのリソースを消費するため、サーバのパフォーマンスが低下する可能性があります。またサーバの台数が多いとそのぶんソフトウェアの導入・運用コストが増えるため、割高となる可能性があります。
WAFを導入するメリット
WAFを導入すれば、SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性を突いたサイバー攻撃を防げます。ファイアウォールやIDS/IPSでは対応できないサイバー攻撃も、WAFを導入すればよりセキュリティを強化できるでしょう。
また、他社のWebアプリケーションを使っている場合は、アプリケーションの脆弱性を把握していながらも自社で修正できず、提供元の対応を待つしかないケースもあります。このような場合にも、WAFを導入しておくと役立ちます。
WAFのもうひとつのメリットは、攻撃を防ぐことに加えて、攻撃を受けたのちの対処も可能であることです。WAFは、未知のサイバー攻撃を受けたとしても被害拡大を防ぐ設定もできます。
▼WAFを導入する際のポイント
WAFは、導入する際に気を付けておくべきポイントがあります。それは、WAFでは誤った検知や通信遮断が起こる可能性があることです。
セキュリティレベルが厳しすぎると、正常な通信が不正な通信と判断されてしまいます。シグネチャの設定や通信方法は、導入時はもとより、導入後も定期的な更新・見直しが必要です。
クラウドサービスの場合は、誤検知が少なく、さまざまな攻撃手法に対応できる技術を用いたサービスを選ぶと良いでしょう。社内にセキュリティの専門家がいない場合は、クラウドサービスの担当者に相談して、最適な形を提案してもらうのもひとつの手です。
WAFにCDNを組み合わせてさらなるセキュリティ強化を
またCDNの機能を持ち合わせたWAFのサービスもあります。
CDN(Content Delivery Network・コンテンツ配信ネットワーク)は、オリジナルのWebサイトの代わりに、世界中に分散した配信拠点にコピー(キャッシュ)したコンテンツを配信します。コンテンツが複数の箇所に分散しているため、ユーザからのアクセスも分散し、結果的にページ表示が早くなるのがメリットです。
CDNはSEO対策だけでなく、セキュリティ対策としても機能します。CDNでアクセスの負荷分散をしているため、大量アクセスでサーバダウンを狙うDDoS攻撃を防ぐことが可能です。
CDNについて、詳しくは下記をご参照ください。
CDNとWAFを活用するシステム構成にすれば、セキュリティ対策の幅を広げられます。CDNのDDoS攻撃の防止に加え、WAFのWebアプリケーションの脆弱性を突いた攻撃への対処までカバーできます。
▼CDNとは
CDN(Content Delivery Network・コンテンツ配信ネットワーク)は、オリジナルのWebサイトの代わりに、世界中に分散した配信拠点にコピー(キャッシュ)したコンテンツを配信します。コンテンツが複数の箇所に分散しているため、ユーザからのアクセスも分散し、結果的にページ表示が早くなるのがメリットです。
CDNはSEO対策だけでなく、セキュリティ対策としても機能します。CDNでアクセスの負荷分散をしているため、大量アクセスでサーバダウンを狙うDDoS攻撃を防ぐことが可能です。
CDNについて、詳しくは下記をご参照ください。
 | 参考コラム:CDNとは?CDNの基本からメリット・デメリット、業者選定のポイントを解説 |
▼CDN+WAF構成のメリット
CDNとWAFを活用するシステム構成にすれば、セキュリティ対策の幅を広げられます。CDNのDDoS攻撃の防止に加え、WAFのWebアプリケーションの脆弱性を突いた攻撃への対処までカバーできます。
CDNとWAFの導入はアクセリアにお任せください
アクセリアでは、11年連続国内シェアNo.1のクラウド型WAF「Scutum(スキュータム)」の導入サービスを提供しています。
新たな脆弱性や攻撃手法に対して迅速に対応し、セキュリティとシステム運用のプロによるフルサポートで、誤検知の少ない最新のセキュリティ対策を提供します。
詳しくは下記をご参照ください。
WAFサービス紹介ページ
またアクセリアでは3種類のCDNサービスを用意しており、WAFサービスと組み合わせ、企業ごとの状況や課題に沿ったご提案が可能です。中でも「Cloudflare(クラウドフレア)」の導入においては、20年以上にわたる自社開発CDNの開発と運用で培った経験とノウハウを駆使したサポートをご提供しています。
WAFやCDN導入を検討されている方は、ぜひお問い合わせください。
新たな脆弱性や攻撃手法に対して迅速に対応し、セキュリティとシステム運用のプロによるフルサポートで、誤検知の少ない最新のセキュリティ対策を提供します。
詳しくは下記をご参照ください。
WAFサービス紹介ページ
またアクセリアでは3種類のCDNサービスを用意しており、WAFサービスと組み合わせ、企業ごとの状況や課題に沿ったご提案が可能です。中でも「Cloudflare(クラウドフレア)」の導入においては、20年以上にわたる自社開発CDNの開発と運用で培った経験とノウハウを駆使したサポートをご提供しています。
WAFやCDN導入を検討されている方は、ぜひお問い合わせください。
アクセリア株式会社
サービス事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service