Webサイトを構築する際、セキュリティ対策のひとつとしてWAFという用語を目にしたこともあるのではないでしょうか。本稿では、WAFとは何か、WAFの役割や他のセキュリティ技術との違い、WAFの提供形態とそれぞれのメリット・デメリットについて解説します。
WAFとは
WAFとは「Web Application Firewall」の略語で、Webアプリケーションの脆弱性を狙ったサイバー攻撃を防御する機能を持つセキュリティシステムのことです。「Firewall」という言葉は入っていますが、従来のファイアーウォール(以降FW)とは異なるレイヤーでWebアプリケーションを守ります。WebアプリケーションとはWeb上に公開されているアプリケーションで、Webブラウザを介して利用するサービス全般を指します。
WAFはなぜ必要なのでしょうか。WAFの導入効果や仕組みについて、もう少し詳しく見ていきましょう。
WAFの仕組み
WAFが不正アクセスを検知する方式としては、ブラックリスト方式とホワイトリスト方式の2種類があります。それぞれのメリット・デメリットは以下の通りです。
WAFの実現方式 | メリット | デメリット |
---|---|---|
ブラックリスト | ・シグネチャはメーカーから入手できる ・シグネチャの更新は誰でも可能で大きなコストはかからない |
・シグネチャの定期的な更新が必要 ・未知の不正アクセスには弱い |
ホワイトリスト | ・Webアプリケーションの変更がない限りシグネチャの更新は不要 ・未知の不正アクセスも防御できる |
・個々の企業でシグネチャを定義する必要がある ・シグネチャ定義には高度な知識を持つ技術者が必要でコストがかかる |
ブラックリスト方式とは、既知の攻撃パターンを「シグネチャ」として定義し、シグネチャに合致する攻撃パターンを不正アクセスとみなす方式です。
シグネチャは製品のメーカーから得られ、深い知識がなくてもシグネチャ更新機能を使うだけで新しい情報にリフレッシュできます。ブラックリスト方式では、過度にアクセス拒否をする危険性はありません。ただ、未知の不正アクセスには弱く、定期的にシグネチャをアップデートする必要があります。
ホワイトリスト方式とは、許可するべきアクセスをシグネチャに定義し、シグネチャ以外のアクセスはすべて不正アクセスとみなす方式です。
ホワイトリスト方式は、未知の攻撃も防御できると同時に、Webアプリケーションの仕様に合わせた定義ができます。ただし、ホワイトリスト方式はWebアプリケーションの仕様に合わせてかなり細かい設定が必要で、設定にはセキュリティにも詳しい技術者の確保が不可欠です。
どちらにも一長一短があるため、自社の予算や未知の不正アクセスまで対応するかどうかといったことを検討して選択する必要があります。
WAFの必要性
WAFが必要とされるポイントは、主に以下の2点です。
- WAFにしかブロックできない領域がある
- WAFならWebアプリケーションの脆弱性を補える
Webサイトは世界中に公開されるため、Webサイトに搭載されているWebアプリケーションの脆弱性は狙われやすい傾向にあります。Webアプリケーションの脆弱性は、見つかり次第対策するのが基本です。
しかし、対策までにはどうしてもタイムラグは生じます。まだ公になっていない脆弱性が狙われることも少なくありません。WAFは、まだ知られていないWebアプリケーションの脆弱性を狙ったサイバー攻撃からも、Webサイトを守ることが可能です。
Webアプリケーションの脆弱性を攻撃から防御する機能は、WFや侵入防止システム(以降IPS:Instruction Prevention System)にはありません。セキュリティ対策としてWFやIPSを導入していても防げない部分を、WAFは補えるのです。
警察庁が令和3年3月4日に発表した広報資料「令和2年におけるサイバー空間をめぐる脅威の情勢等について」によると、「サイバー攻撃・サイバー犯罪はその手口を深刻化・巧妙化させつつ国内外で多数発生しており、サイバー空間における脅威は、極めて深刻な情勢となっている」と述べられています。また、同年のサイバー犯罪の警察による検挙件数も 過去最多であったと報告されていることからも、その深刻さが伺えます。こういった状況からみても、より強固なセキュリティ対策を企業としても取り組んでいく必要があると言えるでしょう。
引用:「令和2年におけるサイバー空間をめぐる脅威の情勢等について」警察庁ウェブサイト https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_kami_cyber_jousei.pdf
WAFの導入効果
WAFの導入効果は、攻撃に対する予防と攻撃後の対策に大別できます。以下は、効果のあるタイミングと導入効果の内容です。
効果のあるタイミング | 効果の内容 |
---|---|
攻撃に対する予防 | 脆弱性の修正が困難な場合の暫定対策 脆弱性対策の均質化による運用負荷の軽減 |
攻撃後の対策 | 暫定対策で被害を最小限に抑える |
WAFの主な導入効果は、Webアプリケーションの脆弱性攻撃に対する予防です。Webアプリケーションの脆弱性は、すぐに対応できるとは限りません。また、脆弱性が発覚するたびにすぐ対応するのも、運用に負荷がかかります。
WAFを導入することにより、余裕をもって計画的な脆弱性対策が可能です。すぐに脆弱性の修正が困難な場合の暫定対策としても、WAFは役立ちます。
また、Webアプリケーションの脆弱性に対する攻撃を受けた後も、暫定対策としてWAFを導入することで、被害を最小限に抑えられます。
※外部の資料請求サイト『ITトレンド』へ遷移します。
WAFと他のセキュリティ対策との違い
WAFと他のセキュリティ対策(FW・IPS・SSL)にはどのような違いがあるでしょうか。各セキュリティ対策について、保護対象と防御できる攻撃についてまとめました。
種別 | 保護対象 | 防御できる攻撃 |
---|---|---|
WAF | Webアプリケーション | SQLインジェクション クロスサイトスクリプティング |
FW | ネットワーク層 | ポートを狙った攻撃 |
IPS | プラットフォーム層 | DoS攻撃 DDoS攻撃 サーバーへの攻撃 |
SSL | インターネット上のデータ通信 | アクセスする訪問者を第三者の盗聴・傍受から保護 |
WAFと各セキュリティ対策は、それぞれ保護対象や防御できる攻撃が違うため、組み合わせて利用することで高いセキュリティ効果が期待できます。各セキュリティ対策について、WAFとの違いを確認しつつその役割を理解しましょう。
1、WAFとFW(ファイアウォール)の違い
FWは、外部のネットワークと内部のネットワークの間に設置され、通信の出入口である「ポート」を管理して、不正アクセスを防御します。
使っていないポートが開いたままだと不正アクセスに利用されかねません。そのため、FWでは使っているポート以外は閉じるなどの制御を実施し、内部ネットワークのセキュリティを高めます。
しかし、FWでは通信の中身まではチェックしません。攻撃者が開いているポートを狙って、SQLインジェクションやクロスサイトスクリプティングなどのアクセスを行う場合、FWでの防御は不可能です。
2、WAFとIPS(侵入防止システム)の違い
IPSは、Webサーバーの通信をリアルタイムで監視して、不正なアクセスを検知し、自動的に遮断する仕組みのセキュリティ対策です。大量のアクセスを送りつけてサーバーダウンなどを狙うDoS攻撃(複数のマシンから攻撃する場合はDDoS攻撃と呼ばれる)は、IPSで防御できます。
ただし、FWと同じく、IPSでは通信の中身をチェックしません。そのため、やはりSQLインジェクションやクロスサイトスクリプティングのような攻撃は、IPSでは防げない攻撃です。
3、WAFとSSLの違い
WAFとSSLの大きな違いは保護する対象です。WAFはWebサイト・Webアプリケーションを保護対象とします。しかしSSLは、Webサイトにアクセスしてくる利用者の通信経路が保護対象です。SSLは、利用者の通信内容を暗号化することで、第三者からの通信内容盗聴・傍受を防ぎます。
WAFの種類とそれぞれのメリット・デメリット
WAFには、提供形態が3パターンあります。それぞれの特徴を比較して、メリットとデメリットを以下の表にしました。
提供形態 | メリット | デメリット |
---|---|---|
クラウド型 | ・超短期間で導入できる ・コスト(導入・運用)を低く抑えられる ・運用はサービス提供者が行う |
・大規模環境では割高になる場合がある ・検知精度がサービスによって異なる |
ソフトウェア型 | ・運用導入コストが比較的安い ・比較的短期間で導入可能 |
・大規模環境では割高になる場合がある ・Webアプリケーションの性能に影響する場合も |
アプライアンス型 | ・大規模環境では割安になる場合がある ・Webアプリケーションの性能に影響しない |
・コスト(導入・運用)が高い ・運用には技術者が必要 |
1、クラウド型が向いている場合
クラウド型は、現在のシステムを変えることなくすぐに導入可能で、中小規模の企業なら、コスト的にも導入しやすい提供形態です。運用はサービス提供者が行うため、人的なコストもかかりません。比較的小規模なWebサイトや、コストをかけず手軽にWAFを導入したい場合などには、クラウド型が向いています。
2、ソフトウェア型が向いている場合
ソフトウェア型は、Webアプリケーションの稼働しているサーバーにインストールして利用する形態です。
サーバーにインストールすればすぐに使えるため、比較的短期間で導入しやすく、新しいハードウェアも不要でコストも比較的低めです。ただし、Webアプリケーションと同じサーバーで稼働するため、WAFに負荷がかかるとWebアプリケーションの性能に影響を及ぼす可能性があります。また、Webサーバーの数が多い大規模環境では、ライセンス数が多く必要になり導入コストがかさみます。
ソフトウェア型は、Webサーバーの数があまり多くなく、Webサーバーのマシンスペックに比較的余裕がある場合に適した提供形態です。
3、アプライアンス型が向いている場合
アプライアンス型とは、WAFの機能を持つハードウェアを導入する提供形態です。外部ネットワークとWebサーバーの間に設置して利用するためWebサーバーに負荷がかかりません。WebサーバーやWebアプリケーションの数にも依存しないため、大規模環境ではもっとも割安になる場合もあります。
大規模なWebサイトを運用しており、運用コストにある程度費用をかけられる場合は、アプライアンス型は最初に検討したい提供形態です。
自社の環境にあったWAFを導入してセキュリティを高めよう
WAFは、Webアプリケーションの脆弱性をサイバー攻撃から保護するためのセキュリティ製品です。FWやIPSでは防げないSQLインジェクションなどの攻撃を防げるため、他のセキュリティ対策と組み合わせることでWebサイトのセキュリティを高められます。
WAFの実現方式(ブラックリスト・ホワイトリスト)や提供形態にはいろいろあり、自社の環境や予算によって製品の選択肢は変わってきます。WAFの製品を検討する際は、以下より製品の資料を入手して製品選定にお役立てください。
※外部の資料請求サイト『ITトレンド』へ遷移します。