デジタル活用の進展によって、企業・組織のWebアプリケーションへの依存度が高まっています。そのため、Webアプリケーションがサイバー攻撃の対象になっており、これを守るWAF(Web Application Firewall)が注目されています。本稿では、WAFの仕組みや種類、メリット、導入のポイントを紹介します。
目次
WAFとは?仕組みを解説
WAFとは、Webサイト上のアプリケーションを保護するために設計されています。ユーザーから入力を受け付けたり、リクエストに応じたページを生成したりするようなWebアプリケーションに対する通信やリクエストを監視し、不正なものを検出・ブロックできます。WAFを導入するべき企業の特徴は次のとおりです。
- Webアプリケーションを持ち、それがビジネスの中核をなす企業
- 顧客データをWebアプリケーション経由で受け付け・保持する企業
- データ保護のためのコンプライアンス要件として、WAFを求める企業
- 分散型サービス拒否攻撃(DDoS)のリスクを持つ企業
- 高い頻度でWebアプリケーションを更新・リリースする企業
WAFの3つのメリット
WAFの利用には主に3つのメリットがあります。1つは、Webアプリケーション層をネットワーク経由の攻撃から保護すること。2つ目は、WAFがWebアプリケーションの脆弱性を補完し、セキュリティホールを塞ぐこと。そして3つ目は、WAFが攻撃の兆候を随時チェックし、大規模な攻撃を未然に防ぐことです。それぞれのメリットについて説明します。
メリット1.Webアプリケーション層をネットワークの経由攻撃から守れる
WAFがあればWebアプリケーション層(WebサイトやWebシステム)をネットワーク経由の攻撃から守るセキュリティ対策を実施できます。WAFはWebアプリケーションへのすべての通信を監視・精査し、その中で不審・不正な通信パターンを特定します。そして、そのような不審な通信がサーバーなど、Webアプリケーションを構成する重要な部分に到達する前に遮断できます。悪意のある行為やサイバー攻撃からWebアプリケーション層を保護することが可能となるのです。
メリット2.Webアプリケーションの脆弱性を補完できる
近年はIT化が進み、Webアプリケーションへの依存度を高める企業・組織が増えています。しかしながら、どのプログラムもセキュリティが万全とは言えず、脆弱性が存在し、不正アクセスや情報漏洩などの突破口となるリスクがあります。
WAFは、特定のサイバー攻撃や不正なリクエストを検知・ブロックできるのでWebアプリケーションの脆弱性を補完できます。今日のビジネス環境における必須のセキュリティ対策なのです。
メリット3.攻撃の予兆などを随時調査し、大きな攻撃を未然に防げる
サーバー攻撃者は、攻撃目標となるWebアプリケーションに対して、OSのバージョンを推測する、ネットワーク・ポート検索するなど、脆弱性を見つけるためのスキャンを行い、その後攻撃に移ります。WAFはこのような不審な行動や通信を監視・検知することで、大規模な攻撃への発展を防ぐことができます。攻撃の予兆を見つけ出し、それが本格的な攻撃にエスカレートする前に適切な対策を講じることを可能にする、非常に重要なセキュリティツールなのです。
WAFの種類
WAFの提供形態にはソフトウェア型、アプライアンス型、クラウド型の3つがあり、それぞれ一長一短があります。以下、特徴を説明していきます。
| 特徴 | メリット | デメリット | |
|---|---|---|---|
| ソフトウェア型WAF | WebサーバーやWebアプリケーションサーバにインストール |
|
|
| アプライアンス型WAF | 外部ネットワークとWebサーバーの間に設置するハードウェア |
|
|
| クラウド型WAF | WAFの機能をインターネット経由で利用するクラウドサービス |
|
|
種類1.ソフトウェア型WAF
ソフトウェア型のWAFは、既存のWebサーバーやWebアプリケーションサーバーにインストールして使用します(「ホスト型WAF」とも呼ばれます)。専用のハードウェアを使うアプライアンス型WAFと比較して導入コストが低く、ネットワーク環境の構成変更も不要なため、他のサーバーや端末への影響を最小限に抑えられます。
しかしその一方で、サーバーの台数が多い環境では、導入コストが高くなる可能性があります。たとえば、ソフトウェア型WAFを適用するサーバーを絞り、ネットワーク全体に同じセキュリティ環境が導入されない構成になると、一部の脆弱な部分に攻撃を受けてしまうリスクがあります。このため、比較的小規模なネットワーク構成の環境に向いているといえます。
種類2.アプライアンス型WAF
アプライアンス型のWAFは、WAFの機能を持つ専用のハードウェアで、一般的に外部ネットワークとWebサーバーの間に設置して使用します。主なメリットの一つは、専用のハードウェアがWebサーバーから独立して動作するため、Webサーバーに負担がかからないことです。また、専用の機器であるため、求める性能の調整や設定などを柔軟に行えます。
一方で、ソフトウェア型WAFやクラウド型WAFと比べて導入・運用のコストは高くなる傾向にあります。さらに、専用ハードウェアのため設定・管理は専門的な知識を必要となることがあり、管理者にはそれ相応の知識やスキルが求められます。導入にあたっては、専門的な人材(人件費)も必要となります。
種類3.クラウド型WAF
クラウド型のWAFは、WAF機能をインターネット経由で利用できるクラウドサービスです。アプライアンス型のように専用機器が不要で、導入までの期間が短いというメリットがあります。費用は通信量や監視対象となるWebアプリケーションの転送量によって変化するため、扱うデータ量が少ないサイトではコスト効率が良くなります。
しかし、柔軟なカスタマイズが容易にできないことや、サービス提供者側で起こるシステム障害やネットワーク障害などの影響を受けてしまうリスクもあります。初めてWAFを導入する企業や、急速な導入が必要な組織、専門的なITスキルやリソースが限られている組織、または通信量が予測可能なWebサイトを運営している組織に向いているでしょう。
WAFで防御できるサイバー攻撃の種類
WAFで防御できる、代表的なサイバー攻撃の例を紹介します。
- バッファオーバーフロー:許容以上のデータを送信し、システムを乗っ取る攻撃。
- クロスサイトスクリプティング(XSS):ユーザーが実行したスクリプトで、情報流出や意図しない投稿を行う。
- SQLインジェクション:不適切なSQL入力で、想定外のデータベース操作を行わせる攻撃。
- OSコマンドインジェクション:不正なOSコマンド入力で、システムの誤動作を誘発する攻撃。
- DDoS攻撃:大量のリクエストを送り、処理負荷によってターゲットのサービスの機能を停止する攻撃。
- ブルートフォースアタック:パスワードを総当たりで試行し、解析する攻撃。
- ディレクトリトラバーサル:相対パスを利用し、ファイルやフォルダへ不正にアクセスする攻撃。
WAFを使うことで、情報漏えいや Webサイトの改ざん、サービス妨害などの被害を防ぐことができるのです。
【注意点】WAFは検知設定のチューニングが必要
WAFの使用にあたっては、不正などの検知設定のチューニングが極めて重要となります。設定によっては、正常なユーザーやシステムからのアクセスを誤って不正なアクセスと判定し、それらを不必要に遮断する事態が生じることがあるからです。また、WAFのセキュリティレベルを過剰に設定すると、本来許可されるべき通信まで遮断してしまう可能性がありますので、注意が必要です。
Webアプリケーションを防御する一方で、ユーザーにとって使いやすいものにする必要があります。使い勝手が悪ければ、ユーザーからのネガティブな評価を生み、ビジネス活動に大きな影響を及ぼしかねません。WAFの導入後も定期的に設定を見直すチューニングを行い、安全性とユーザー体験の適切なバランスを保つことが必要です。
WAFセキュリティの保守・運用作業をお任せしたい方は、クラウドサーバー「ALTUS」
WAFは、Webアプリケーションに対する攻撃を検知・防御するためのセキュリティツールです。特にWebアプリケーションを利用してビジネスを展開する企業や大量のユーザーデータを保持する組織での利用を推奨します。WAFには、ソフトウェア型、アプライアンス型、クラウド型といった種別があり、それぞれ一長一短がありますが、自組織のWebアプリケーションの規模やセキュリティレベル、ビジネスリスク、人的リソースなどを評価し、どのタイプが適切かを検討しましょう。
クラウドサーバー「ALTUS byGMO」は、セキュリティソリューションの一つとしてクラウド型WAFサービスを提供しています。なかでも「攻撃遮断くん」は、クラウド型の不正侵入防御システムとWAFの機能を備え、外部に公開しているサーバーへのあらゆる攻撃を遮断し安全・安心なサーバー運用を可能にします。
コストを抑えた導入が可能で、専用ハードウェアも必要ありません。エージェントをインストールするだけで、サーバーの停止やネットワーク構成変更もなく利用開始できます。管理が難しいシステムの保守や設定のチューニングをすべて代行しますので、専門的な担当者がいない組織でも安心して導入できます。
「ALTUS(アルタス) by GMO」は、6,000件以上の導入実績を持つ国産クラウドサーバーです。Webサイト構築や検証・開発環境から業務システム・基幹システム構築まで、コストを抑えた導入が可能です。たくさんのサイトを展開されている場合も、セキュリティやコストパフォーマンスを向上する方法を提案可能です。WAFの導入・保守も含めて健全なWebサイト・アプリケーションを運営したいとお考えなら、ぜひお問い合わせください。
