WAFとは?ファイアウォールとの違いや仕組み、導入ポイントを解説
はじめに
インターネットの発展とともにサイバー攻撃は年々増加し、その手口は巧妙化しています。さまざまな攻撃に対してセキュリティ対策を行う必要がある一方で、セキュリティ対策もまた多様化しています。
今回はセキュリティ対策のひとつ、WAFについて解説します。
今回はセキュリティ対策のひとつ、WAFについて解説します。
年々巧妙化しているサイバー攻撃
警察庁によると、令和3年中のサイバー犯罪の検挙件数は、12,209件と過去最多を記録しました。今やIT技術は企業・個人の生活の一部となっており、サイバー攻撃は誰にとっても脅威となっています。
参考:警察庁サイバー企画課|サイバー空間における脅威への対処に関わる人材育成
https://www.npa.go.jp/policies/budget/review/r5/R5_saibaa_sannkousiryou.pdf
企業や個人に対して行われるサイバー攻撃は、以下のような事例が挙げられます。
・不正アクセス:システムへのログイン権限がある人のIDやパスワードを盗み取るなどして、本人になりすましてログインする
・ランサムウェア:暗号化やロックでコンピューターを使用不可能にしたのちに、身代金を要求する悪質なソフトウェア
・標的型メール:コンピューターに感染して増殖するウイルス付きのメールで、メールの本文は本物と間違えるほど巧妙に作成されている
・SQLインジェクション:データベースを操作するための言語「SQL」を悪用し、WebサイトやWebアプリケーションの脆弱性を突いて、不正に情報の窃取やデータの改ざんなどを行う攻撃方法
・クロスサイトスクリプティング(XSS):Webサイトの脆弱性を利用してHTMLに悪質なスクリプトを埋め込み、ユーザーに実行させる攻撃方法
・DoS攻撃:Webサイトやサーバーに大量にアクセスし、サービスやサーバーのダウンを狙う攻撃
・DDoS攻撃:DoS攻撃がさらに大規模になったもので、不特定多数の端末から標的のWebサイト、サーバーに大量にアクセスしてダウンを狙う攻撃
実際に、企業や団体はサイバー攻撃によるさまざまな被害を受けています。
・ランサムウェアに感染し、グループ企業の拠点にあった脆弱性のあるサーバやIoT機器が暗号化されて使えなくなってしまった。感染したシステムが復旧までに2カ月以上要し、その間のサービス提供が困難になった
・不正アクセスを受け、顧客の個人情報が流出した
・オンラインショッピングサイトがSQLインジェクションを受け、クレジットカード情報が流出した
・標的型攻撃メールに添付された不正なファイルを実行してウイルスに感染した端末を入り口として、外部から不正アクセスを受けて認証情報が盗み取られた
・DDoS攻撃を受けてサーバーがダウンし、その間サービスの提供ができなかった など
また、サイバー攻撃は企業のみならず医療機関をはじめとする重要な社会インフラも被害を受けており、サイバー攻撃は市民の生活にまで重大な影響を及ぼしています。
サイバー攻撃は多様化しているため、ファイアウォールやIDS/IPSだけでは防げません。セキュリティ対策の有効な方法のひとつとなるのが、WAFです。
参考:警察庁サイバー企画課|サイバー空間における脅威への対処に関わる人材育成
https://www.npa.go.jp/policies/budget/review/r5/R5_saibaa_sannkousiryou.pdf
主なサイバー攻撃の種類
企業や個人に対して行われるサイバー攻撃は、以下のような事例が挙げられます。
・不正アクセス:システムへのログイン権限がある人のIDやパスワードを盗み取るなどして、本人になりすましてログインする
・ランサムウェア:暗号化やロックでコンピューターを使用不可能にしたのちに、身代金を要求する悪質なソフトウェア
・標的型メール:コンピューターに感染して増殖するウイルス付きのメールで、メールの本文は本物と間違えるほど巧妙に作成されている
・SQLインジェクション:データベースを操作するための言語「SQL」を悪用し、WebサイトやWebアプリケーションの脆弱性を突いて、不正に情報の窃取やデータの改ざんなどを行う攻撃方法
・クロスサイトスクリプティング(XSS):Webサイトの脆弱性を利用してHTMLに悪質なスクリプトを埋め込み、ユーザーに実行させる攻撃方法
・DoS攻撃:Webサイトやサーバーに大量にアクセスし、サービスやサーバーのダウンを狙う攻撃
・DDoS攻撃:DoS攻撃がさらに大規模になったもので、不特定多数の端末から標的のWebサイト、サーバーに大量にアクセスしてダウンを狙う攻撃
 | 参考コラム:ランサムウェアとは?想定される被害や、主な感染経路・対策方法 |
| 参考コラム:標的型攻撃メール訓練の効果を最大化するには?効果的な実施方法をご紹介 |
| 参考コラム:DDoS攻撃とは?攻撃を受けたらどうなる?基本の知識と対策 |
サイバー攻撃による被害の例
実際に、企業や団体はサイバー攻撃によるさまざまな被害を受けています。
・ランサムウェアに感染し、グループ企業の拠点にあった脆弱性のあるサーバやIoT機器が暗号化されて使えなくなってしまった。感染したシステムが復旧までに2カ月以上要し、その間のサービス提供が困難になった
・不正アクセスを受け、顧客の個人情報が流出した
・オンラインショッピングサイトがSQLインジェクションを受け、クレジットカード情報が流出した
・標的型攻撃メールに添付された不正なファイルを実行してウイルスに感染した端末を入り口として、外部から不正アクセスを受けて認証情報が盗み取られた
・DDoS攻撃を受けてサーバーがダウンし、その間サービスの提供ができなかった など
また、サイバー攻撃は企業のみならず医療機関をはじめとする重要な社会インフラも被害を受けており、サイバー攻撃は市民の生活にまで重大な影響を及ぼしています。
サイバー攻撃は多様化しているため、ファイアウォールやIDS/IPSだけでは防げません。セキュリティ対策の有効な方法のひとつとなるのが、WAFです。
WAF(Web Application Firewall)とは
WAF(Web Application Firewall)とは、Webアプリケーションの前面やネットワークに配置する対策のことで、脆弱性を突く攻撃を検出した上で低減します。
WAFは、あくまでサイバー攻撃の影響を低減するのが目的であり、脆弱性を修正するなどといったWebアプリケーション自体への直接的な対策ではありません。不正な通信を検出した場合にはその通信をサーバに届かないように遮断し、ログに記録してアラートを出すのが、WAFの主な役割です。
WAFは、あくまでサイバー攻撃の影響を低減するのが目的であり、脆弱性を修正するなどといったWebアプリケーション自体への直接的な対策ではありません。不正な通信を検出した場合にはその通信をサーバに届かないように遮断し、ログに記録してアラートを出すのが、WAFの主な役割です。
WAFの仕組み
WAFはアクセス元とWebサーバとの間で、通信の内容を精査し、Webアプリケーションへの攻撃を検出します。検出に使われるのは、通信の情報やパターンなどを記録している定義ファイルである「シグネチャ」です。
シグネチャには主に2種類あり、それぞれ下記のような特徴があります。
・ブラックリスト型:HTTP 通信における「不正な値・パターン」すなわち通してはいけない通信の特徴をシグネチャに定義し、シグネチャに合致した通信を拒否する方法です。
既知の脅威を防げますが、新しいサイバー攻撃の手法が判明するたびに更新が必要となります。
・ホワイトリスト型:HTTP 通信における「正しい値・パターン」すなわち通して良い通信の特徴をシグネチャに定義し、シグネチャに合致しない通信を拒否する方法です。未知の攻撃にも対処できるものの、許可する通信が発生するたびにホワイトリストを定義する必要があります。
このシグネチャで、通信に使われているHTTPリクエストやHTTPレスポンスを精査します。
WAFの基本機能とは
WAFは複数のベンダーがサービスを提供しています。主なWAFの基本機能をご紹介します。
WAFがWebアプリケーションへの通信内容を監視。シグネチャを利用して通信内容を確認し、不正な通信と判断したものを遮断します。Webアプリケーションの脆弱性を突く攻撃であるSQLインジェクションやクロスサイトスクリプティング(XSS)などに有効です。
Webアプリケーションの通信を確認するためのシグネチャは、更新が必要です。ブラックリスト型の場合は既知の脅威の情報を、ホワイトリスト型の場合には許可する通信を更新することになります。
クラウド型WAFの多くは、シグネチャ(ブラックリスト型)の自動更新機能が標準で搭載されています。シグネチャの更新は、公的機関やベンダーからの脅威の情報だけでなく、WAFサービスごとに検知した脅威を利用して行われるケースもあります。したがって、導入サイト数の多いWAFサービスの方がシグネチャの情報が充実してサイバー攻撃を防ぎやすいということになります。
また対応時間や更新頻度が高いほど、そのWAFサービスの防御能力が高いといえます。
IPアドレス制限機能は、特定のIPアドレスや国からの通信をブロックすることでWebアプリケーションを保護する機能です。特にDDoS攻撃には有効で、特定のIPアドレスや国からのアクセスを制限することでDDoS攻撃を防ぐケースもあります。
WAFで検知・遮断した攻撃についてログに残し、簡単な操作でレポートに出力する機能も欠かせません。ログ・レポート機能で攻撃の種類や手法、日時などの情報から、自社のWebアプリケーションで優先的に対処すべきサイバー攻撃リスクを可視化できます。
WAFサービスによっては、管理画面でリアルタイムにログを確認できるものもあります。
不正通信監視・遮断機能
WAFがWebアプリケーションへの通信内容を監視。シグネチャを利用して通信内容を確認し、不正な通信と判断したものを遮断します。Webアプリケーションの脆弱性を突く攻撃であるSQLインジェクションやクロスサイトスクリプティング(XSS)などに有効です。
シグネチャ自動更新の機能
Webアプリケーションの通信を確認するためのシグネチャは、更新が必要です。ブラックリスト型の場合は既知の脅威の情報を、ホワイトリスト型の場合には許可する通信を更新することになります。
クラウド型WAFの多くは、シグネチャ(ブラックリスト型)の自動更新機能が標準で搭載されています。シグネチャの更新は、公的機関やベンダーからの脅威の情報だけでなく、WAFサービスごとに検知した脅威を利用して行われるケースもあります。したがって、導入サイト数の多いWAFサービスの方がシグネチャの情報が充実してサイバー攻撃を防ぎやすいということになります。
また対応時間や更新頻度が高いほど、そのWAFサービスの防御能力が高いといえます。
IPアドレス制限機能
IPアドレス制限機能は、特定のIPアドレスや国からの通信をブロックすることでWebアプリケーションを保護する機能です。特にDDoS攻撃には有効で、特定のIPアドレスや国からのアクセスを制限することでDDoS攻撃を防ぐケースもあります。
ログ・レポート機能
WAFで検知・遮断した攻撃についてログに残し、簡単な操作でレポートに出力する機能も欠かせません。ログ・レポート機能で攻撃の種類や手法、日時などの情報から、自社のWebアプリケーションで優先的に対処すべきサイバー攻撃リスクを可視化できます。
WAFサービスによっては、管理画面でリアルタイムにログを確認できるものもあります。
WAFとファイアウォール・IDS/IPSとの違いは?
WAFと似たセキュリティ対策として、ファイアウォールとIDS/IPSがあります。それらのセキュリティ対策とWAFの違いは何なのでしょうか。
ファイアウォールとは、送信元と送信先のIPアドレスやポート番号などの情報をもとにアクセスを制限するソフトウェア、またはハードウェアのことを指します。ファイアウォールは社内で使用する情報システムに対して機能するものであり、外部からの不正なアクセスを制限します。
ただし、ファイアウォールは通信の内容までは精査していないため、OSやWebサーバ、Webアプリケーションを狙った攻撃は防げません。Webアプリケーションを狙った攻撃への対策はWAFのほうが適しています。
IDS(Intrusion Detection System:不正侵入検知システム)は、ネットワーク上の通信を監視して不正アクセスを検知、その後管理者などにアラートを通知します。
IPS(Intrusion Prevention System:不正侵入防止システム)は、ネットワーク上の通信を監視し、発見した不正アクセスをブロックするものです。IDS/IPSは検知するか・ブロックするかの点で役割が異なります。
IDS/IPSはOSやWebサーバの脆弱性を狙った攻撃に対して有効です。しかし、Webアプリケーションの脆弱性を突いた攻撃は防げず、これらの検知・ブロックはWAFの役割となります。
WAFとファイアウォールの違い
ファイアウォールとは、送信元と送信先のIPアドレスやポート番号などの情報をもとにアクセスを制限するソフトウェア、またはハードウェアのことを指します。ファイアウォールは社内で使用する情報システムに対して機能するものであり、外部からの不正なアクセスを制限します。
ただし、ファイアウォールは通信の内容までは精査していないため、OSやWebサーバ、Webアプリケーションを狙った攻撃は防げません。Webアプリケーションを狙った攻撃への対策はWAFのほうが適しています。
WAFとIDS/IPSの違い
IDS(Intrusion Detection System:不正侵入検知システム)は、ネットワーク上の通信を監視して不正アクセスを検知、その後管理者などにアラートを通知します。
IPS(Intrusion Prevention System:不正侵入防止システム)は、ネットワーク上の通信を監視し、発見した不正アクセスをブロックするものです。IDS/IPSは検知するか・ブロックするかの点で役割が異なります。
IDS/IPSはOSやWebサーバの脆弱性を狙った攻撃に対して有効です。しかし、Webアプリケーションの脆弱性を突いた攻撃は防げず、これらの検知・ブロックはWAFの役割となります。
WAFの種類
WAFには、形態別に分けると3つの種類があります。
クラウド型WAFは、クラウドを経由して利用するものです。導入までの所要時間が短く済むことや、月単位で契約できるサービスが多いことから、導入や解約、契約の変更などが手軽に行えるというメリットがあります。
また、クラウドサービス提供者側にある程度管理を任せられるため、ユーザ側の運用負荷が低くなるのもメリットです。一方でカスタマイズが難しくなるというデメリットもあります。
クラウド型WAFはサービスによって検知の精度や運用が異なるため、自社に合ったサービスを選ぶことが必要です。
アプライアンス型WAFは、オンプレミス環境において、Webサーバの前に物理的な専用機器を置く方式のWAFです。他の方式のWAFと比べるとコストは高めですが、1台で複数のWebサーバの保護ができるため、大規模システムの場合はかえって他のタイプのWAFよりも安価となることもあります。
アプライアンス型WAFは、完全な自社管理が可能である一方で、クラウドのインフラやレンタルサーバには使えません。
ソフトウェア型WAFは、ソフトウェアをサーバにインストールするタイプのWAFです。機器の追加導入やネットワーク構成変更の必要がなく、アプライアンス型WAFと比較すれば導入が容易となる場合が多いでしょう。
一方でソフトウェアがサーバのリソースを消費するため、サーバのパフォーマンスが低下する可能性があります。またサーバの台数が多いとそのぶんソフトウェアの導入・運用コストが増えるため、割高となる可能性があります。
クラウド型WAF
クラウド型WAFは、クラウドを経由して利用するものです。導入までの所要時間が短く済むことや、月単位で契約できるサービスが多いことから、導入や解約、契約の変更などが手軽に行えるというメリットがあります。
また、クラウドサービス提供者側にある程度管理を任せられるため、ユーザ側の運用負荷が低くなるのもメリットです。一方でカスタマイズが難しくなるというデメリットもあります。
クラウド型WAFはサービスによって検知の精度や運用が異なるため、自社に合ったサービスを選ぶことが必要です。
アプライアンス型WAF
アプライアンス型WAFは、オンプレミス環境において、Webサーバの前に物理的な専用機器を置く方式のWAFです。他の方式のWAFと比べるとコストは高めですが、1台で複数のWebサーバの保護ができるため、大規模システムの場合はかえって他のタイプのWAFよりも安価となることもあります。
アプライアンス型WAFは、完全な自社管理が可能である一方で、クラウドのインフラやレンタルサーバには使えません。
ソフトウェア型WAF
ソフトウェア型WAFは、ソフトウェアをサーバにインストールするタイプのWAFです。機器の追加導入やネットワーク構成変更の必要がなく、アプライアンス型WAFと比較すれば導入が容易となる場合が多いでしょう。
一方でソフトウェアがサーバのリソースを消費するため、サーバのパフォーマンスが低下する可能性があります。またサーバの台数が多いとそのぶんソフトウェアの導入・運用コストが増えるため、割高となる可能性があります。
WAFで防げるサイバー攻撃
WAFでは、下記のようなサイバー攻撃を防ぐことができます。
・SQLインジェクション
・クロスサイトスクリプティング(XSS)
・パスワードリスト攻撃
・ディレクトリ・トラバーサル(パストラバーサル)
・OSコマンドインジェクション
・改行コードインジェクション
・コマンドインジェクション
・LDAPインジェクション
・ファイルインクルード
・URLエンコード攻撃
さらに、DoS攻撃やDDoS攻撃などの対策が可能なWAFもあります。
※パスワードリスト攻撃:
多くの人が複数のサイトで同じログインID、パスワードを使用しています。この状況を逆手にとり、他のサイトで入手したログイン情報を攻撃対象のサイトで使用し、不正にログインする攻撃です。
※ディレクトリ・トラバーサル(パストラバーサル):
ファイル名を扱うプログラムに特殊な文字列を組み込んでディレクトリをさかのぼり(トラサーバル)、アクセス禁止のディレクトリにアクセスする攻撃です。アクセス禁止のディレクトリには機密情報が保管されていることが多いため、情報流出につながりやすくなります。
・SQLインジェクション
・クロスサイトスクリプティング(XSS)
・パスワードリスト攻撃
・ディレクトリ・トラバーサル(パストラバーサル)
・OSコマンドインジェクション
・改行コードインジェクション
・コマンドインジェクション
・LDAPインジェクション
・ファイルインクルード
・URLエンコード攻撃
さらに、DoS攻撃やDDoS攻撃などの対策が可能なWAFもあります。
※パスワードリスト攻撃:
多くの人が複数のサイトで同じログインID、パスワードを使用しています。この状況を逆手にとり、他のサイトで入手したログイン情報を攻撃対象のサイトで使用し、不正にログインする攻撃です。
※ディレクトリ・トラバーサル(パストラバーサル):
ファイル名を扱うプログラムに特殊な文字列を組み込んでディレクトリをさかのぼり(トラサーバル)、アクセス禁止のディレクトリにアクセスする攻撃です。アクセス禁止のディレクトリには機密情報が保管されていることが多いため、情報流出につながりやすくなります。
WAFを導入するメリット
Webアプリケーションの利用増加につれ、Webアプリケーションの脆弱性も増えています。
独立行政法人 情報処理推進機構(IPA)では、経済産業省の告示に基づいて、ソフトウェア等の脆弱性に関する届出を受け付けています。そのレポートによると、届出受付開始(2004年7月8日)から本四半期末までの累計は18,663件、そのうちWebサイトに関するものが12,993件で全体の約7割を占めています。
参考:ソフトウェア等の脆弱性関連情報に関する届出状況[2023年第4四半期(10月~12月)] |IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/reports/vuln/software/2023q4.html
WAFを導入すれば、SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性を突いたサイバー攻撃を防げます。ファイアウォールやIDS/IPSでは対応できないサイバー攻撃も、WAFを導入すればよりセキュリティを強化できるでしょう。
また、他社のWebアプリケーションを使っている場合は、アプリケーションの脆弱性を把握していながらも自社で修正できず、提供元の対応を待つしかないケースもあります。このような場合にも、WAFを導入しておくと役立ちます。
WAFのもうひとつのメリットは、攻撃を防ぐことに加えて、攻撃を受けたのちの対処も可能であることです。WAFは、未知のサイバー攻撃を受けたとしても被害拡大を防ぐ設定もできます。
WAFを導入する際のポイント
WAFは、導入する際に気を付けておくべきポイントがあります。それは、WAFでは誤った検知や通信遮断が起こる可能性があることです。
セキュリティレベルが厳しすぎると、正常な通信が不正な通信と判断されてしまいます。シグネチャの設定や通信方法は、導入時はもとより、導入後も定期的な更新・見直しが必要です。
クラウドサービスの場合は、誤検知が少なく、さまざまな攻撃手法に対応できる技術を用いたサービスを選ぶと良いでしょう。社内にセキュリティの専門家がいない場合は、クラウドサービスの担当者に相談して、最適な形を提案してもらうのもひとつの手です。
WAFにCDNを組み合わせてさらなるセキュリティ強化を
またCDNの機能を持ち合わせたWAFのサービスもあります。
CDN(Content Delivery Network・コンテンツ配信ネットワーク)は、オリジナルのWebサイトの代わりに、世界中に分散した配信拠点にコピー(キャッシュ)したコンテンツを配信します。コンテンツが複数の箇所に分散しているため、ユーザからのアクセスも分散し、結果的にページ表示が早くなるのがメリットです。
CDNはSEO対策だけでなく、セキュリティ対策としても機能します。CDNでアクセスの負荷分散をしているため、大量アクセスでサーバダウンを狙うDDoS攻撃を防ぐことが可能です。
CDNについて、詳しくは下記をご参照ください。
CDNとWAFを活用するシステム構成にすれば、セキュリティ対策の幅を広げられます。CDNのDDoS攻撃の防止に加え、WAFのWebアプリケーションの脆弱性を突いた攻撃への対処までカバーできます。
CDNとは
CDN(Content Delivery Network・コンテンツ配信ネットワーク)は、オリジナルのWebサイトの代わりに、世界中に分散した配信拠点にコピー(キャッシュ)したコンテンツを配信します。コンテンツが複数の箇所に分散しているため、ユーザからのアクセスも分散し、結果的にページ表示が早くなるのがメリットです。
CDNはSEO対策だけでなく、セキュリティ対策としても機能します。CDNでアクセスの負荷分散をしているため、大量アクセスでサーバダウンを狙うDDoS攻撃を防ぐことが可能です。
CDNについて、詳しくは下記をご参照ください。
| 参考コラム:CDNとは?CDNの基本からメリット・デメリット、業者選定のポイントを解説 |
CDN+WAF構成のメリット
CDNとWAFを活用するシステム構成にすれば、セキュリティ対策の幅を広げられます。CDNのDDoS攻撃の防止に加え、WAFのWebアプリケーションの脆弱性を突いた攻撃への対処までカバーできます。
CDNとWAFの導入はアクセリアにお任せください
アクセリアでは、機能や価格など様々なご要望に合わせ、適切なWAFサービスをご提案いたします。
▶Scutum(株式会社セキュアスカイ・テクノロジー)
「誤検知の少ない、高い防御性能」「豊富な実績と安心の運用体制」「クラウド型のメリット」の
すべてが高いレベルでバランスの取れたWAF
▶攻撃遮断くん(株式会社サイバーセキュリティクラウド)
開発からサポートまですべて国内で行う国産クラウド型WAFだからこそ、安心、安全、導入しやすいを実現。
詳しくは下記をご参照ください。
WAFサービス紹介ページ
またアクセリアでは3種類のCDNサービスを用意しており、WAFサービスと組み合わせ、企業ごとの状況や課題に沿ったご提案が可能です。中でも「Cloudflare(クラウドフレア)」の導入においては、20年以上にわたる自社開発CDNの開発と運用で培った経験とノウハウを駆使したサポートをご提供しています。
WAFやCDN導入を検討されている方は、ぜひお問い合わせください。
▶Scutum(株式会社セキュアスカイ・テクノロジー)
「誤検知の少ない、高い防御性能」「豊富な実績と安心の運用体制」「クラウド型のメリット」の
すべてが高いレベルでバランスの取れたWAF
▶攻撃遮断くん(株式会社サイバーセキュリティクラウド)
開発からサポートまですべて国内で行う国産クラウド型WAFだからこそ、安心、安全、導入しやすいを実現。
詳しくは下記をご参照ください。
WAFサービス紹介ページ
またアクセリアでは3種類のCDNサービスを用意しており、WAFサービスと組み合わせ、企業ごとの状況や課題に沿ったご提案が可能です。中でも「Cloudflare(クラウドフレア)」の導入においては、20年以上にわたる自社開発CDNの開発と運用で培った経験とノウハウを駆使したサポートをご提供しています。
WAFやCDN導入を検討されている方は、ぜひお問い合わせください。
アクセリア株式会社
サービス事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service