セキュリティ対策として注目を集めるWAFは、Webアプリケーションやサイトを守るためのツールです。広く普及しているファイアウォールとはセキュリティ対象が異なるため、同時使用で効果を発揮します。WAFが重要な理由やメリットを確認しましょう。
WAFとは?
WAFは「Web Application Firewall」の略です。Webアプリケーションに特化したセキュリティ機能になります。WAFのメリットや仕組みを確認する前に、WAFの概要を把握しましょう。
Webアプリのためのセキュリティ対策
WAFはWebアプリのセキュリティ対策に使用されます。Webアプリケーションは表示だけのWebサイトと異なり、コメントの書き込みやサイトを通じた商品の購入、ユーザーによる操作といった双方向な利用ができるWebサイトのことです。
利便性が高いWebアプリケーションですが、入力やリクエストを受け入れる関係上、セキュリティ対策が必要になります。もし入力欄やリクエスト関連のシステムに脆弱性があった場合、入力を悪用したサイバー攻撃が可能になるからです。
とくにクレジット情報や顧客情報を扱うECサイトは、個人情報を狙った攻撃の対象になりやすいといえるでしょう。
世代によって進化するWAF機能
インターネットの発達に伴いWebアプリは便利になりました。しかし同時に、やり取りする個人情報も多くなっています。情報の価値が高まったことから、個人情報が多いWebアプリへの攻撃は増加しており、セキュリティ対策は必須といえるでしょう。
サイバー攻撃は年々巧妙になってきているため、WAFを含めたセキュリティ対策ソフトも進化しています。以前は入力欄に書き込めない数字や、文字列などを弾くといった簡単なものでした。
近年のWAFは攻撃に使われるウイルスやツールの、特徴的なデータパターンを解析し、攻撃者のアクセス遮断や管理者への通知も可能です。WAFの導入は積極的に行うのがおすすめです。
WAFはファイアウォールとは違う?
WAFは名称にファイアウォールと入っていますが、一般的なファイアウォールと役割が大きく異なります。まずはファイアウォールの概要やその違いを確認しましょう。
ファイアウォールとはなにか
ファイアウォールとは、不正アクセスや攻撃からサーバーを守るためのセキュリティシステムです。日本語にすると「防火壁」と呼ばれるように、外部からの攻撃や脅威を遮断する役割があります。
ファイアウォールはサーバーなどの内部ネットワークとインターネットとの間に設置されるシステムです。主にインターネットから送られてくる情報の送信元であるIPアドレスや、通信ポートの性質を判別します。
攻撃によるアクセスと一般利用者のアクセスを判別して、悪意のあるアクセスからサーバーを守っています。ファイアウォールは悪意のある接続から、サーバーを守るシステムといえるでしょう。
ファイアウォールとWAFの違い
ファイアウォールとWAFの違いは、セキュリティシステムとして守る対象が違います。ファイアウォールはサーバーへの通信といった、内部ネットワークへの攻撃からシステムを守るセキュリティです。
WAFはWebアプリケーションの入力や不審なアクセスを防ぐための、セキュリティシステムといえます。サーバーにウイルスが送られてきた場合や、インターネットから不正なアクセスを試みている場合、ファイアウォールによって検知できます。
しかしWebアプリケーションの入力欄に打ち込まれる文字情報やリクエストの内容まではファイアウォールでは判別できません。WAFはファイアウォールで守りきれない、Webアプリケーション上での不審な入力やリクエストを判別するシステムです。
WAFが必要な理由とメリット
WAFはWebアプリケーションを守る大切なシステムです。インターネットが発達し、情報やWebサイトの価値が上がっている中で、WAFを使用しセキュリティを高める必要があります。WAFが必要な理由やメリットを確認しましょう。
脆弱性を突いた攻撃から守る
表示のみのWebサイトに比べ、Webアプリはユーザーが操作できる部分が多く利便性が高いページです。便利であると同時に攻撃に使える手段も増加し、システムの弱点と言える脆弱性が存在する確率もWebサイトに比べ高くなります。
たとえば会員番号やIDの入力欄に脆弱性があった場合、不正な文字列を流し込みデータベースから情報を抜き出すSQLインジェクションという攻撃に利用できてしまいます。
通常のWebアプリでは運用開始前に脆弱性のチェックを行いますが、さまざまな攻撃手段が生まれているため脆弱性をゼロにはできません。そのため、個人情報を扱うWebアプリではWAFを導入しセキュリティ性を高める必要があるでしょう。
WAFでしか守れないエリアへの対策
DDoS攻撃やサーバーを狙った攻撃は、ファイアウォールでも防ぐことが可能です。しかし、Webアプリ内の挙動を利用した攻撃はWAFでしか守れません。
攻撃手段はIDや個人情報の入力画面から行われる、SQLインジェクションだけではないからです。コメントなどの入力欄にプログラムコードを入力し、不正リンクやボタンを仕掛けるクロスサイトスクリプティングなど、WAFでしか対策ができないでしょう。
Webアプリケーションで操作できる範囲は、WAFでしか防御できないエリアがあります。多くの人が接するWebアプリケーションだからこそ、セキュリティ性を高める必要があるといえるのです。
Webアプリへの影響を抑えて導入できる
万が一脆弱性が見つかった場合、早急な修正が必要です。しかし、Webアプリによっては24時間稼働しており、長期のメンテナンス時間が確保できず、迅速な対応が難しいケースがあります。
こうしたケースでもWAFを導入すれば、対応する時間を稼ぐことができます。WAFを導入することで攻撃が難しくなるだけでなく、脆弱性を狙った攻撃が行われた場合、通知する機能を持った製品が多いからです。
早急な対応ができなくとも、WAFを使用すれば早期に攻撃を発見し、攻撃者のアクセスを止めることができます。稼働中のWebアプリへの影響を抑え、セキュリティ性を高めることができるのは大きなメリットといえるでしょう。
WAFの仕組み
WAFの仕組みは、通信に利用されるシグニチャの確認方法など、二つのタイプに分類することができます。WAFがどのような仕組みでWebアプリを守っているか紹介します。
ホワイトリスト方式
WAFは入力した際に送信される情報のパターンである、シグニチャを利用し不正な通信を判断しています。ホワイトリスト方式は許可する通信のシグニチャを予め定義し、それ以外のシグニチャをすべて弾く方法です。
この方式は、セキュリティ対策がされていない新たな攻撃にも対応しており、不正アクセスを確実に防ぐことができます。しかし、許可する通信の定義が非常に難しく、複雑な情報が入力できるサイトでは管理が難しくなってしまいます。
また誤入力と攻撃の判断が難しいことも注意したいポイントです。運用が難しい方式ですが、うまく活用すればセキュリティ性を格段に向上させることが可能です。
ブラックリスト方式
ブラックリスト方式は、不正アクセスや攻撃に使用される通信のシグニチャを予め定義し、そこに当てはまった不正な通信を遮断する方式です。
不正なシグニチャに当てはまらなければ、複雑な入力も可能というメリットや入力ミスを攻撃として検知しない柔軟性の高さがポイントです。正常なアクセスを妨げることがなく利便性が高いことから、現在多くのWAFで使用されています。
しかしホワイトリスト方式と異なり、未知の攻撃には対応ができないデメリットがあります。常に最新の情報を把握する必要があり、定期的なアップデートが必要といえるでしょう。
WAFの種類
WAFは多くの会社がさまざまなシステムを提供しています。大きく3種類に分類が可能です。どのような種類のシステムがあるか、詳しく確認をしましょう。
ソフトウェア型WAF
ソフトウェア型WAFは、自社サーバーにインストールする形で使用するWAFです。ホスト型WAFとも呼ばれます。
Webアプリケーションが存在する、対象サーバーにインストールするだけで利用できることから、シンプルで導入がしやすく低コストなのが特徴です。また、インストールするためネットワークの構成に影響が少ないのも魅力的なメリットといえます。
サーバーごとにWAFが必要になるため、複数台のサーバーを持つ場合、それぞれのサーバーへのインストールが必要です。コストが増加するため、保有するサーバーが少ない企業に適しているWAFでしょう。
アプライアンス型WAF
アプライアンス型WAFは、WAF専用の機器を設置するタイプのWAFです。機器はWAF専用に作られたハードウェアや汎用サーバーに、ソフトをインストールします。インストールされたサーバーをWAF専用とするタイプもあります。
ゲートウェイ型やネットワーク型とも呼ばれており、幅広い製品があるのが特徴です。WAF専用のハードウェアとして独立しているため、WAFに複数サーバーをつなげることで、相対的にWAFの単価を下げることができます。
独立しているのでサーバーの性能や環境に依存しないのも大きなメリットです。しかし導入や構成変更時はネットワーク構成を変更する必要があるためコストが高いというデメリットが有ります。保有するサーバーの台数が多い企業が検討すべきWAFです。
クラウド型WAF
近年注目されるタイプがクラウド型WAFです。クラウド上のサービスとして提供されており、インターネットを経由して使用します。
専用機器の導入や保管場所確保が不要で、DNSの切り替えだけで導入できることから簡単に導入することが可能です。
運用コストも通信量や保護するWebアプリの数で決まるなど、柔軟性があり、クラウドなので自動でWAFの更新が行われるため注目を集めています。
メリットが大きいクラウド型WAFですが、サイトに合わせた個別の対応ができないのがデメリットです。また、通信量が多いサイトやWAFとして守る対象となるサイト数が多いケースでは、運用コストが高額になることもあるでしょう。
WAFを導入してWebアプリを守ろう
WAFの概要から、仕組み、WAFの種類を解説してきました。WAFはWebアプリケーションを守る大切なセキュリティ機能です。Webアプリケーションの重要性が高まったことで、攻撃対象となるケースは年々増えてきています。
攻撃の巧妙化もあり、ファイアウォールだけではセキュリティが不十分でしょう。攻撃を受けて情報流出が発生すると、顧客や取引先の信頼を失ってしまいます。WAFの導入を検討してWebアプリを守りましょう。
ぴったりの標的型攻撃対策ツールを探すならミツモアで
標的型攻撃対策ツールは製品によって機能もさまざま。「どのサービスを選べばいいかわからない・・・」といった方も多いのではないでしょうか。
そんなときはミツモアにおまかせ。最短2分の自動診断で、ぴったりの標的型攻撃対策ツールが見つかります。
ぴったりの標的型攻撃対策ツールを最短2分で無料診断
従業員数や欲しい機能などの項目を質問に沿って選択するだけで、最適な標的型攻撃対策ツールを最短2分で自動診断。もちろん費用はかかりません。
ぴったりの料金プランも一緒にお届け
希望条件に沿った料金プランも製品と一緒に診断します。サービスの導入にかかる概算金額を見積もりからチェックして、理想のプランを探してみましょう。
診断結果は最大5製品!比較・検討で最適なサービスが見つかる
最大で5製品の診断結果をお届けします。検討していた製品だけでなく、思わぬサービスとの出会いもあるかもしれません。
ミツモアなら、あなたにぴったりの標的型攻撃対策ツールがすぐに見つかります。