ITキーワード

WAF で Web アプリケーションを守ろう! WAF について解説

サイバー攻撃によって個人情報や機密情報を漏えいすると、企業は社会的な信用を失うかもしれません。この記事では、企業の情報システム部門の担当者に向けて、サイバー攻撃対策の1つでもある WAF の種類や機能、WAF で対策が可能なサイバー攻撃の種類などについて解説します。自社のセキュリティ対策を講じる際に役立ててください。

WAF とはセキュリティ対策のうちの1つ

WAF は、Web Application Firewall の頭文字を略した用語で、「ワフ」と読みます。セキュリティ対策の1つで、Web サイトの改ざんやマルウェアなどのサイバー攻撃から Web アプリケーションを守るためのシステムです。ユーザーが氏名や連絡先、口座番号などを入力するネット銀行やネットショップなどの Web サイトで主に利用されています。

WAF とその他セキュリティ製品の違い

WAF と他のセキュリティ製品にはどのような違いがあるのか、どの部分が違うのか、について解説します。

WAF と IDS/IPS との違い

IDS とは「不正侵入検知システム」のことで、IPS は「侵入防止検知システム」を意味します。どちらも、セキュリティリスクの脅威からサーバーや OS、サーバーソフトなどのミドルウェア層を守るためのシステムです。WAF との大きな違いは、IDS/IPS は Web アプリケーションの脆弱性をついた攻撃からは防げないという点にあります。

WAF とファイアウォールとの違い

ファイアウォールはネットワーク全体を守るためのセキュリティシステムです。IP アドレスやポート番号などの情報からアクセスの制限を行います。ファイアウォールは、ネットワークへ侵入してくるアクセスの脅威に対する対策として有効です。ただし、ネットワーク外に情報を公開する必要がある Web アプリケーションへの侵入は防げません。

セキュリティ対策は複数導入したほうがいい

セキュリティシステムはさまざまな種類があり、それぞれによって守る対象が違います。そのため、どれか1つだけを導入すればセキュリティ対策が万全になる、ということはありえません。セキュリティ性をより高めるためには、複数のシステムの導入を検討したほうがいいでしょう。

WAF の種類

WAF は主に3種類に分けられます。それぞれの特長について解説します。

クラウド型

クラウド型とは、ベンダーが適用するサービスをインターネット経由で利用するタイプの WAF です。新たに機器の導入や、ソフトウェアのインストールは必要なく、初期コストは比較的安く抑えられます。ベンダーが WAF の運用やアップデートなどを行うため、セキュリティ関連のリソースが不足している企業でも導入が可能です。

ソフトウェア型

ソフトウェア型はサーバー上にソフトウェアをインストールして活用するタイプの WAF です。専用の機器は必要ありませんが、サーバー1台に対してそれぞれソフトウェアが必要です。そのため、複数台のサーバーを所有する企業の場合は初期費用が高くなります。また、稼働すると自社サーバーに負担がかかります。

アプライアンス型

アプライアンス型は、ネットワークの内部に専用機器を設置する方式の WAF です。ソフトウェア型と異なり、自社サーバーから切り離された状態で活用するため、サーバーに負担がかかりません。専用機器の設置場所の確保や初期費用は必要ですが、カスタマイズ性が高いため、自社にあった運用が行えます。サーバーに負担をかけたくないという企業におすすめです。

WAF の機能

WAF を導入するなら、どのような機能があるのかについて理解しておく必要があります。ここでは、WAF の代表的な機能について解説します。

通信の監視

WAF の特長的な機能の1つに、通信を監視する機能があります。アクセスの通信パターンを事前に登録しておけば、不正なアクセスを発見したときに通信を遮断するなどの対策がとれます。この方法を「ブラックリスト方式」と呼びます。一方、許可した通信パターン以外のアクセスをブロックする「ホワイトリスト方式」では、登録していない未知の攻撃への対策に有効です。

シグネチャの更新

シグネチャとは、不正なアクセスかどうかを識別するためのルールのことです。アクセス制限における誤検知や通信漏れを減らすには、シグネチャの定期的な更新が欠かせません。クラウド型の WAF などでは、ベンダー側でシグネチャの自動更新が行える機能を搭載する WAF もあります。この場合、新たなサイバー攻撃を受けても迅速に対応できます。

Cookie の保護

サイバー攻撃のなかには Cookie を利用し、アクセスを許可された人になりすまして侵入するタイプの攻撃もあります。個人情報や機密情報が流出する恐れがあり、大変危険な攻撃でしょう。WAF は Cookie を保護する機能があるため、なりすましによる不正なアクセスの防止が可能です。

ログの収集・レポート

ログの収集・レポート機能を活用すれば、不正なアクセスを検知した場合のデータを確認できます。攻撃の種類、どのシグネチャによって通信が遮断されたのか、侵入しようとした IP アドレスなどの情報の閲覧が可能です。これらの情報を分析すれば、サイバー攻撃を受けている現状の把握やセキュリティ対策の見直しなどに活かせます。

WAF で対策できるサイバー攻撃の種類

WAF がどのようなサイバー攻撃を防いでくれるのか、攻撃の種類について解説します。

ブルートフォースアタック

ブルートフォースアタックとは、Web アプリケーションにログインするための ID やパスワードを総あたりで入力して突破しようとする攻撃のことです。専用のツールを使用するため、短時間で大量のパスワードの組み合わせを試し、特定しようとします。

DDoS 攻撃

DDoS 攻撃とは Distributed Denial of Service attack の略語で、大量のデータ送信によって高負荷がかかったサーバーをダウンさせる攻撃のことです。不特定多数が複数のサーバーを利用して攻撃してくるケースもあるため、犯人の特定がむずかしいといわれています。

クロスサイトスクリプティング

クロスサイトスクリプティングとは、不正リンクをクリックしたユーザーから ID やパスワードを盗みとろうとするサイバー攻撃です。ユーザーをだますために、本物の Web サイトに酷似した偽サイトを作ります。

コマンド攻撃

コマンド攻撃は、おもに3種類に分けられます。それぞれの特長について解説します。

SQL インジェクション

SQL はデータベース言語です。SQL インジェクションとは、個人情報を保管しているデータベースに攻撃をしかけ、ID やパスワード、クレジットカード番号などの個人情報を盗みとろうとする攻撃です。

OS コマンドインジェクション

OS コマンドインジェクションとは、OS コマンドを不正に操作し、サーバーの乗っ取りや情報の漏えいなどを目的とした攻撃のことです。Web アプリケーションの脆弱性をついた攻撃として知られています。

バッファオーバーフロー

バッファオーバーフローとは、特定のパソコンに大量のデータを送信して意図的に誤作動を起こすサイバー攻撃です。短時間で膨大なデータを処理しなければならず、パソコンはパンク状態に陥ります。攻撃者は、その隙にパソコンを乗っ取ろうとします。

WAF がセキュリティ対策として導入されるようになった背景

セキュリティ対策の一環として、WAF を導入する企業が増えています。WAF が導入されるようになった背景について解説します。

大企業中心だった

クラウド型が登場するまで、WAF はソフトウェア型やアプライアンス型が主流でした。これらの導入には、初期費用や保守などに膨大なコストがかかります。また、シグネチャの登録や更新などの難易度が高く、専門知識をもつ人材の確保も必要です。そのため、資金力のある大企業で WAF が利用されるケースがほとんどでした。

クラウド WAF の登場で中小企業でも導入が増えている

導入コストを安く抑えられ、ベンダーに運用を任せられるクラウド型の登場によって、セキュリティ対策に十分な予算を割けない中小企業でも導入しやすくなりました。サイバー攻撃は日々進化しており、大企業だけでなく中小企業もターゲットにされています。そのため、企業の規模にかかわらず、WAF を導入する企業が増えています。

WAF の選び方

自社の状況にあった WAF を選ぶためには、以下で紹介する3つのポイントを重視しましょう。

目的を明確化し必要な機能があるものを選ぶ

WAF の詳細な機能は導入するツールによって異なります。特に、クラウド型の運用はベンダーに一任するため、サポート内容やツールの精度などはしっかりとチェックしましょう。自社のセキュリティ担当者にヒアリングを行い、どのような機能が必要なのかを明確にしたうえで、十分な機能を備えた WAF を選ぶようにしてください。

導入後に拡張できるか

WAF は Web サイトを守るためのセキュリティツールです。そのため、自社の Web サイトの規模にあわせたツールが必要となるでしょう。WAF の導入後に Web サイトの訪問者数が増える、自社製品をより大々的にアピールしたい、など状況が変わる可能性もあります。そういった場合に備えて、導入後に拡張できるタイプの WAF を選ぶといいでしょう。

どのような種類の WAF にするか

セキュリティ対策にかけられる予算や、専門知識をもつ人材がいるかどうかでも、選ぶべき WAF の種類が変わります。クラウド型やソフトウェア型、アプライアンス型のメリットやデメリット、導入コストなどを比較検討したうえで、自社にあった WAF を選びましょう。導入コストを安く抑えたい、必要な人材を確保できない場合は、クラウド型がおすすめです。

おすすめの WAF 製品

WAF をお探しの場合は、SBテクノロジーの「Imperva Cloud WAF (旧 Incapsula)」がおすすめです。Imperva Cloud WAF は、クラウド型の WAF で、犯人の特定が難しいとされる DDoS 攻撃にも対応しているセキュリティ製品です。

クラウド型の WAF に興味がある場合は、自社にあった WAF 選びの参考に活用ください。

まとめ

サイバー攻撃の脅威から自社で利用する Web アプリケーションを守るためには、WAF の導入が不可欠です。クラウド型やソフトウェア型、アプライアンス型といった種類があるため、それぞれを比較したうえで、自社にあった WAF を選びましょう。

SBテクノロジーのクラウド型の WAF および DDoS 対策サービス「Imperva Cloud WAF (旧 Incapsula)」では、企業内のクラウドサービスの利用状況を可視化でき、Office 365 のリアルタイム監視で、情報漏えいを防止します。オプションを追加すれば、セキュリティ監視サービスの利用も可能です。

セキュリティ対策を検討中の場合は、まずは資料請求ください。