WAFとは?仕組みや導入メリット、選定基準を初心者にもわかりやすく解説

サイバー攻撃からWebアプリケーションを保護するWAFは、さまざまな攻撃に対応しています。WAFにはいくつかの種類があり、それぞれにメリット・デメリットがあります。

またWAFを導入する判断をどこで行うか、運用するときのポイントについてもわかりやすく解説します。

wafとは

WAFは、Web Application Firewallの頭文字を取ったものです。Webアプリケーションの脆弱性を利用した悪意のある攻撃から、Webサイトを守ります。Webサーバーの前に設置することで通信を解析・検査し、攻撃と判断したものは遮断してWebサイトを保護します。

2020年からコロナの影響により、働き方改革が急速に進みました。時代の変化に伴い、サイバー攻撃も常に手法が進化しています。そのため、従来のオフィス内を中心としたネットワークを保護する、境界型のセキュリティでは最新型のサイバー攻撃には対応しきれず、クラウドのアクセス環境を防御する非境界型防御やゼロトラストセキュリティが注目されています。

株式会社富士キメラ総研が発刊した『2021 ネットワークセキュリティビジネス調査総覧 市場編』によると、2020年からコロナの影響により、働き方改革が急速に進みました。時代の変化に伴い、サイバー攻撃も常に手法が進化しています。そのため、従来のオフィス内を中心としたネットワークを保護する、境界型のセキュリティでは最新型のサイバー攻撃には対応しきれず、クラウドのアクセス環境を防御する非境界型防御やゼロトラストセキュリティが注目されています。

ゼロトラストセキュリティとは?

従来のような境界型のセキュリティ対策は、オフィスでのサイバー攻撃を想定して作られています。しかしコロナ禍でテレワークの導入が進んだ現在は、従業員がさまざまな場所から、社内のシステムにアクセスして情報を取得します。

そのため、境界型のセキュリティ対策では防げない新たな脅威も増えてきました。ゼロトラストセキュリティは、信頼できるものは何もないという視点からセキュリティ対策を講じていく対策で、すべてのアクセスを対象に検査して、セキュリティ対策を行います。

参考記事:サイバー攻撃の目的とは何?どんな攻撃の種類があるのか

参考記事:標的型攻撃メールとは?巧妙化する手口と対策をわかりやすく解説

WAFの仕組み

WAFの仕組みやファイアウォールやIPS/IDS、SSL証明書などほかのセキュリティ対策との違いについて解説します。それぞれ防御する層が違うため、1つだけを導入するのではなく、組み合わせて対策を取ることが望ましいでしょう。

WAFとファイアウォールの違い

WAFは、Webアプリケーションへアクセスしてきた通信の中身をチェックします。

ファイアウォールは、ネットワーク層へ攻撃を仕掛けるものからネットワークを保護するセキュリティ対策方法です。インターネット回線やIPアドレス通信を制限し、パケットフィルタやアクセス制御を行い、保護します。しかし、ファイアウォールは通信の中身を確認しません。

WAFの中にはファイアウォールの言葉が入っていますが、ファイアウォールとは防御する範囲や機能が異なります。どちらかだけではサイバー攻撃を完全に防ぐことは難しいでしょう。

WAFとIPS/IDSの違い

IPS(不正侵入防御)やIDS(不正侵入検知)は、ネットワークにアクセスする外部からの不正アクセスを検知し防御するものです。

IDSが不正アクセスを検知して管理者に通知し、IPSが不正アクセスを防御します。IDSやIPSは、シグネチャを使用して攻撃を検知しミドルウェア層を保護するための対策です。ただし、WAFのようなWebアプリケーション層の防御はできません。

SSL証明書との違い

SSL証明書とは、ユーザーが入力した個人情報を暗号化し、第三者に盗まれないようにする対策です。

SSL証明書には2つの鍵があり、データを暗号化できます。 暗号化されたデータは、SSLサーバー証明書を導入したサーバーの秘密の鍵がなければ解読できません。

WAFはインターネット上のサーバーやWebサイトを守るもので、Web上の個人情報や機密情報などを暗号化して保護するものがSSL証明書です。

参考記事:サイバー攻撃への対策で中小企業が行うべきこととは?事例と対策方法を解説

WAFがなぜ必要なのか?

JPCERT/CC(一般社団法人JPCERTコーディネートセンター)のレポートによると過去3年間で、ソフトウェア製品よりもWebアプリケーションの脆弱性関連の届出が増えていることが分かります。

参考:JPCERT/CC「ソフトウェア等の脆弱性関連情報に関する届出状況[2021 年第 4 四半期(10 月~12 月)]」より

また脆弱性の影響では、本物のサイトへの偽情報の表示やデータ改ざんなどが増加しています。サイバー攻撃に対する対策は以前から行われていましたが、近年のWebアプリケーションの傾向から、WAFの必要性が高まっています。

その理由について詳しく見ていきましょう。

Webサイトやアプリケーションの脆弱性を対象にした攻撃の増加

最近のWebアプリケーションは高度化しており、他のシステムと連動して動作するなど、複雑な使い方も可能となっています。

またWebアプリケーションを通したサービス提供が当たり前の現代では、WebサイトやWebアプリケーションの脆弱性が生じやすくなり、その脆弱性を狙った攻撃を受けるリスクも高まっています。

そのため、脆弱性を突く悪意ある攻撃を防御するWAFが必要とされるのです。またWAFは、攻撃を未然に防ぐだけではなく、攻撃を受けたあとの事後対策がとれます。ほかのセキュリティ対策とは大きく異なる特徴といえるでしょう。

万が一攻撃を受けても被害を最小で食い止められるWAFは、これからのWebアプリケーションのセキュリティ対策として必要不可欠といえます。

参考記事:サイバー攻撃への対策で中小企業が行うべきこととは?事例と対策方法を解説

グローバルセキュリティ基準の準拠

クレジット業界のグローバルセキュリティ基準であるPCI DSSには、12の要件があります。その中に「安全性の高いシステムとアプリケーションを開発し、保守すること」という要件が含まれています。

この要件を満たすためには、WAFの導入またはアプリケーションの改修が必要です。WAFを導入すれば、PCI DSSの基準を準拠できます。

グローバルセキュリティの基準を満たせるため、クライアントからの信頼も得られるようになります。

WAFで防げる攻撃の種類

WAFで防げる攻撃の種類を1つずつ詳しく解説していきます。

SQLインジェクション

  • データベース命令文である「SQL」を使用
  • データの消去や改ざん、情報漏えい

SQLインジェクションは、データベースの命令文「SQL」を使ってWebアプリケーションの脆弱性を突いて攻撃します。データの消去や改ざん、情報漏えいを目的としています。

SQLインジェクションは、ファイアウォールやIDS/IPSでは防御できないため、Webアプリケーション層を保護するWAFが適しています。

OSコマンドインジェクション

  • OS命令文を使用
  • サーバー内のファイル改ざん、削除、流出

OSコマンドインジェクションは、WebサーバーへのリクエストにOSの命令文を紛れ込ませてサーバー内のファイルを改ざん、削除、流出させる攻撃です。この手法は、Webアプリケーションをターゲットにしているため、WAFで防御できます。

パス名パラメータの未チェック/ディレクトリ・トラバーサル

  • リクエスト内に不正ファイルを指定
  • ファイルの消去や改ざん、情報漏えい

外部からWebサーバー内のファイル名を指定して来るリクエストに、不正なファイルを指定させて意図しない処理を行わせる攻撃です。ファイルの消去、改ざん、情報漏えいなどを起こす可能性があります。このパス名パラメータの未チェック/ディレクトリ・トラバーサルは、WAFで防御できます。

クロスサイトスクリプティング

  • 任意のスクリプトを実行
  • クッキーの漏出や個人情報の漏えい

クロスサイトスクリプティングは、動的なWebアプリケーションの脆弱性を突き、任意のスクリプトを実行します。クッキーデータの流出や個人情報の漏えいなどの被害が起こる可能性があります。

DoS攻撃/DDoS攻撃

  • 過剰な接続要求
  • サーバーの停止

DDoS攻撃は、Webサーバーに過剰な接続要求やデータを送付し、サーバーを停止させる攻撃です。WAFならWebアプリケーションへの通信やアクセスを監視して不正なものを検知・遮断できます。

参考記事:DoS・DDoS攻撃の対策・対処はどうすればいい?種類とともにわかりやすく解説

ゼロデイ攻撃

  • 対策前の攻撃

ゼロデイ攻撃は、Webアプリケーションの脆弱性が発見されてから、対策が取られるまでの期間に攻撃してくるものです。ゼロデイ攻撃にもWAFは有効です。

ブルートフォースアタック(総当たり攻撃)

  • スワードを総当たり

スワードを総当たりして攻撃する方法です。Webアプリケーションでは、複数回ログインに失敗するとアカウントをロックするセキュリティ機能があり、攻撃されると復旧作業を行う必要があります。

WAFなら、ロックする前にブルートフォースアタックも不正アクセスとして検知できます。

バッファオーバーフロー

  • 膨大なデータの送付
  • サーバーの乗っ取り・他サーバーへの攻撃

Webサーバーに許容量を超えたデータを送り、誤作動を引き起こさせる攻撃です。攻撃されるとサーバーが乗っ取られ、他サーバーへ攻撃をする場合があります。

WAFで許容量を細かく設定しておくことで、バッファオーバーフロー攻撃を防御できます。

WAFの種類とメリット・デメリット

WAFの種類とそれぞれのメリット・デメリットについて紹介します。

アプライアンス型

アプライアンス型は、専用機器を保護するWebサーバーの前段に設置するタイプのWAFです。1つの専用機器を複数のWebサーバーに使えるため、初期費用を抑えられます。

しかし、定期的なメンテナンスにかかるコストが高額になりやすいデメリットがあります。

ホスト型

ホスト型は、ベンダーが提供するソフトウェアを自社のサーバーにインストールして使用するWAFです。WAFをインストールするだけで運用できるため、コストを抑えられるうえ、システム設計をする必要もありません。

ただしサーバー内にWAFがあるため、サイバー攻撃を受けたときに急にコンピューターへの負荷が増え、サーバーの速度低下、サーバーダウンなどが起きるリスクがあります。また、Webサーバーが複数ある場合は、サーバーごとにWAFを設置する必要があります。

クラウド型

クラウド経由で利用するWAFで、ソフトウェアやハードウェアを用意する必要がなく、運用と保守はベンダー側で行うため初期コストや手間がかからない点がメリットです。

ただし、サービス内容がそれぞれ異なるため、信頼性が高く実績のあるサービスを選ぶ必要があります。万が一WAFのクラウドサーバーが落ちた場合、復旧できるまで利用できない点はデメリットといえるでしょう。

WAF 導入におけるポイント

WAFを導入するときのポイントをお伝えします。

WAF の導入判断

サイバー攻撃のリスクを低減する対策として WAF を導入するかを判断します。最初にセキュア・プログラミングなどの根本的な対策を検討したうえで、自社のWebサイトにWAFを導入した際に費用対効果が得られるか検討しましょう。

また導入するWAFを選ぶ際には、防御したい脆弱性にWAFが対応しているか、WAFが与えるWebサイトやWebアプリケーションの構成への影響を確認します。 自社の担当者や管理者だけで判断が難しい場合は、 WAFを取り扱うベンダーに相談してみましょう。

WAF の導入

WAFの導入を決定したら運用計画を作成し、その計画に従ってWAFを導入します。WAFを導入した後に影響を受ける可能性がある関係部署や担当者に、必要な作業について説明しておきましょう。

システムトラブルなどが実際に発生した際に、関係者間でスムーズに連携し対処するためには、トラブル発生時の連絡方法を明確にしておくことも大切です。

サーバー管理者やネットワーク管理者、Webアプリケーション開発者など関係者への連絡は、万が一運用後にトラブルが起きた場合、スムーズに連携して対応するために必要です。

またトラブルや不具合が発生したときにすぐに問い合わせができるよう、WAFのベンダーのサポート窓口も確認しておきましょう。

WAF の運用

導入後は、防御ログの確認、誤検知したときのシグネチャ調整、 WAFの冗長化を考慮して運用しましょう。

WAFは防御を実施するときに、 防御ではなくログを取得する場合があります。また、ブロックした攻撃のログを残すケースもあります。収集されたログが、攻撃であったのか、影響はどの程度あったのかを確認する方法や対応する担当者を決めておきましょう。

正常通信を誤検知した場合、シグネチャをオフにすると防御効果が落ちてしまいます。誤検知のシグネチャ調整を行うかどうかを確認しましょう。

WAFの導入後、WAFのメンテナンスや障害によってWebサイトが閲覧できなくなる可能性があります。メンテナンス時間を確保できない場合は、 WAFの冗長化を行いましょう。

(まとめ)WAFで安全なWeb活用と適切なセキュリティ対策を実現

サイバー攻撃の対策方法は複数あり、それぞれ特徴が異なります。WAFは、Webアプリケーションの脆弱性を利用した悪意のある攻撃に有効で、近年Webアプリケーションへの影響が増えていることから、需要が高まっているセキュリティ対策です。

WAFだけでなく、機能が異なるほかの対策方法も合わせて運用することでWebアプリケーションの安全性は高まります。自社のWebサイトに適したWAFがあるか、検討したうえで導入を判断してください。