インターネットの普及によって私達は今まで以上に便利な生活を送れるようになりました。
例えば、スマホからWebサイトにアクセスして情報を確認したり、外出先からデータベースに接続して顧客情報をチェックできたりします。
このように、生活を大きく変えたひとつのインフラですが、逆にセキュリティについても注意する必要が出てきました。
特にWebサイトはさまざまな人からのアクセスを許可するので、脆弱性が潜んでいると悪用される心配があります。
また、利用する側もすべての通信を許可すると危険なので、送信元によっては拒否する必要があるでしょう。
Webサイトのセキュリティ対策はWAF、PCはファイアウォールで遮断するのが有名ですが、両者の違いについてわからないという方もいるのではないでしょうか。
この記事では、WAFとファイアウォールの違いについて初心者でもわかるように解説しますので、興味のある方はぜひ参考にしてください。
目次
おさらい!WAFとファイアウォールの概要について
まず、両者の違いを把握するために、それぞれの概要について詳しくチェックしていきましょう。
WAFとは?
『WAF』とは、Web Application Firewallの略称で、その名の通りWebアプリケーションファイアウォールのことです。
Webアプリケーションに潜む脆弱性を狙った攻撃からサイトを守る役割があります。
代表的な攻撃例としては、XSSや強制的ブラウジング、SQLインジェクションです。
XSSはクロスサイトスクリプティングとも表現される攻撃手法で、不正なプログラム(スクリプト)をブラウザ上で動かして脆弱性をつきます。
例えば、プログラム内で適切な値が入力されていない場合、スクリプトによって値を埋め込みWebブラウザ上で実行されるようにする攻撃です。
強制リダイレクトが可能になるため、フィッシング詐欺やなりすましの詐欺に使われます。
強制的ブラウジングは、特定のリンクにアクセスして個人情報やサーバーの内部情報を取得しようとする手法です。
情報漏えいにつながる可能性があるため、会員がいるサイトは十分に注意する必要があります。
SQLインジェクションはデータベースを操作できるSQL文を発行して情報を取得する手法です。
WAFは、Webアプリケーションに特化したファイアウォールになるため、製品として導入すれば、これらの攻撃からサイトを守ることができます。
現在ではパッケージ型だけでなく、クラウド型もあるため、低予算で導入することも可能です。
ファイアウォールとは?
ファイアウォールとは、インターネット経由で内部ネットワークに侵入してくるアクセスに対して送信元などを確認し、
許可・拒否を決めるセキュリティ機能のことです。
基本的に通信するかどうかは、送信元と宛先の情報を見て決めます。
そのため、通信内容のチェックは行われません。
荷物の配送に例えると送り主と宛名は確認しますが、荷物の中身はチェック対象外になります。
ファイアウォールの種類は大まかにわけて下記の3つです。
- パケットフィルタリング型
- アプリケーションゲートウェイ型
- サーキットレベルゲートウェイ型
パケットフィルタリング型は、通信をパケット単位で解析して通信の可否を決めます。
一般的なセキュリティ対策方法として有名です。
アプリケーションゲートウェイ型は、プロトコル単位で解析して許可・拒否を判断します。
サーキットレベルゲートウェイ型は、ポート指定などを行い強力なフィルタリングを行う種類です。
パケットフィルタリング型の進化版として扱われるケースが多いでしょう。
このように、ファイアウォールは社内の内部ネットワークを守るために導入されるセキュリティツールです。
発信元IPや宛先IPをチェックして通信の許可や遮断を行ったり、通信プロトコルをチェックしたりして内部ネットワークを悪意のある外敵から守ってくれます。
初心者でもわかる!WAFとファイアウォールの3つの違い
WAFとファイアウォールの違いは大まかにわけて3つあります。
両者の違いについて詳しく解説していきますので、興味のある方はぜひチェックしてください。
守る対象に違いがある
1つ目の違いは、守る対象です。
つまり、“何を守るか?”が大きく異なります。
WAFのセキュリティ対象はWebアプリケーションです。
例えば、ショッピングサイトやホームページ、サービスサイトが対象になります。
一方、ファイアウォールは内部ネットワークに侵入する外敵から防御するセキュリティ機能です。
主に、OSやソフトウェアが対象になるため、両者においては守るべき対象に大きな違いがあります。
特に、WAFはWebアプリケーションに限定したセキュリティ機能になるため、対象範囲は非常に狭いという点が特徴です。
一方、ファイアウォールは内部ネットワークになるため、監視が広範囲に及びます。
OSI参照モデルにおける防御対象階層の違い
2つ目の違いは、OSI参照モデルにおいて防御対象階層が異なる点です。
OSI参照モデルとは、コンピュータの通信階層を7つに分割して役割を明確にするためのモデルを意味します。
具体的な階層は下記の7つです。
- アプリケーション層
- プレゼンテーション層
- セッション層
- トランスポート層
- ネットワーク層
- データリンク層
- 物理層
この中でWAFのセキュリティ対象階層は、アプリケーション層のみになります。
一方、ファイアウォールはトランスポート層、ネットワーク層、データリンク層の3階層です。
このように、それぞれのネットワークセキュリティで防御する階層が異なるため、この点においても両者の違いといえるでしょう。
防御できる攻撃に違いがある
3つ目の違いは、防御できる攻撃です。
防御する対象や階層に違いがあるため、どのような攻撃から守れるのかについても違いがあります。
WAFは主にWebアプリケーションを保護するセキュリティ機能になるため、対処できる代表的な攻撃は下記です。
- クロスサイトスクリプティング
- SQLインジェクション
- OSコマンドインジェクション
- パスワードリスト攻撃
- パストラバーサルなど
それぞれの具体的な攻撃手法については割愛しますが、
WAFが対応できる攻撃は幅広く、Webアプリケーションのセキュリティを大幅に向上させることができます。
一方、ファイアウォールが防げるのはIPアドレスやポート制限のみです。
例えば、下記のような攻撃に対応することができます。
- 開放ポートを探して不正アクセスしようとする攻撃
- 内部からの不正プログラムインストール
防げる攻撃は非常に限定的で、WebアプリケーションプログラムやOS、ミドルウェアの脆弱性をついた攻撃やDos攻撃、ウイルス攻撃から内部ネットワークを守ることはできません。
対象範囲が非常に狭いので、OSやWebサーバー、Webアプリケーションを外敵から守るためには、IDS/IPS、WAFなどのセキュリティ機能を搭載する必要があります。
ファイアウォールだけでは不十分! WAFが必要なった理由とは?
企業の中には、絶対に侵入を許してはいけない内部ネットワークだけを保護すればいいと考えてファイアウォールで十分と思われている担当者も少なくないでしょう。
しかし、現在は昔とは異なり、IT技術が進歩し、それに関する知識を持つ人が増えたので、ファイアウォールだけでは不十分です。
なぜ、WAFを導入したほうがいいのか知ることで、ファイアウォールのみではセキュリティリスクが大きいことやWAFの重要性を理解することができます。
WAFが必要になった理由を2つご紹介しますので、ぜひ参考にしてください。
攻撃の手法が増えたから
1つ目の必要性は、攻撃手法が増えたからです。
WAFが守れる攻撃例でもご紹介したように、現在サイバー攻撃は多様化しており、サイト運営者はさまざまな手法に対応する必要が出てきました。
それぞれの手法でどこの脆弱性をつくのかが異なるため、できるだけ防御できる攻撃の範囲を広げるためにWAF製品を導入する企業が増えています。
当然、ファイアウォールでは守れない攻撃もカバーすることができるので、昨今WAFの重要性は非常に高くなっているといえるでしょう。
脆弱性をすべて把握することはできないから
企業の中には、「開発者にセキュリティを重視した制作をお願いすればいいのでは?」と思われる担当者もいるかもしれません。
開発者はWebサイトの構築技術には長けているかもしれませんが、セキュリティについて詳しくないエンジニアも非常に多いです。
すべてのエンジニアがセキュリティに関する技術が高いとは限らないため、完全に脆弱性がない状態でWebアプリケーションを公開することは難しくなっています。
WAFとファイアーウォールはどんな時に必要?
WAFやファイアーウォールがどんな時に必要とされているのか、その必要性を解説していきます。 近年、急激にWebブラウザ上で動作するアプリケーションを利用する機会が増えてきました。ビジネスでもGmailを標準で使う企業が多いですし、Googleスプレッドシートやドキュメントも一般的に利用されています。
Webアプリケーションだけで従来の企業活動はできてしまう時代になってきたため、これに伴うセキュリティの重要性も大きくなってきたといえます。GmailをはじめとするWebアプリケーションを安心して活用するためには、WAFやファイアーウォールの存在は欠かせません。
WAFとファイアーウォールの導入事例を紹介
ここからは、実際の導入事例を紹介しながら、導入するにあたってのポイントを併せて解説していきます。
WAFの導入事例
自社HPの中に管理画面を動作させるWebサービスを保持していました。サイバー攻撃の頻度を把握し、脆弱性対策を行っていましたが、Webサービスを停止することは困難であるため、クラウド型WAFの導入を検討し、導入にいたりました。
導入効果:軽快な動作を確保し、安全性も向上
運用開始後は、課題であったサイバー攻撃の頻度を確認できることはもちろんですが、Webサービスの動作も軽快なものになり、サーバへの負荷も減少しました。セキュリティ対策上も高い安全性を確保できています。
参照元:アールオーアイ
ファイアーウォールの導入事例
企業内のほとんどのシステムを従来型の一般的なファイアーウォールでセキュリティ運用・保守を実施してきましたが、2019年にファイアーウォールを刷新し、次世代型ファイアーウォールを導入しました。 北里大学情報基盤センターでは導入を進める際、セキュリティポリシーを新しくすることに着手できない状態が続いていました。これは情報資産の棚卸が進まなかったためです。
事務系のネットワークでは、情報資産としての格付けで最上位に位置する学生の個人情報が保管されているため、優先的にセキュリティを強化する必要があります。これに着目し、DDI(Deep Discovery Inspector)の導入を決めました。 DDIを導入したことにより、攻撃の検出及び分析が迅速にできるようになり、早期対処を実現しました。
参照:北里大学情報基盤センター
WAFのメリット・デメリット
一番のメリットはカスタマイズが容易に行えることです。機器は通常自社内に設定されていることが多いのですが、このため自社のニーズに応じ、柔軟に設計・構築・運用を行えます。
・WAFのデメリット
WAF機器の保守運用と監視をすべて自社で行う必要があるため、手間もコストも大きくなってしまいます。また、機器を導入するためには、ものによっては100万円以上かかることも多く、手軽に出せる金額ではないという企業も多いと思います。
ただし、WAFのサービス内容は保守ベンダーによってかなり違います。信頼できるベンダーを選定すれば、もしもWAFのサーバーが落ちた場合であっても、復旧まで完全に利用できなくなってしまう場合もあるため、より良いWAFサービスを選択することが重要です。
ファイアーウォールのメリット・デメリット
ファイアーウォールの導入により得られる最大のメリットは、ネットワークを監視して通信パケットを制御することができる点です。パケットフィルタリングは自由にカスタマイズできるため、企業の目的や環境に合わせたファイアーウォールを構築することができます。
・ファイアーウォールのデメリット
ファイアーウォールは、通信パケットを監視・制御するもので、それ単独ではセキュリティー対策としては不十分です。たとえば、ウイルスはファイアーウォールでは感知することは難しいため、専用のセキュリティソフトが必要となってきます。
ファイアーウォールは自由にカスタマイズができますが、これは許可しているサイトとの通信は素通りする、といった設定もできるということです。どこかにセキュリティホールがないかどうかの確認はそれなりの知識が必要となる上、定期的な構成確認が求められます。
IPSとWAF・ファイアーウォールは何が違う?
- IPS…OSやネットワークを行き来する通信を監視し、不正な通信や変更を防御する
- WAF…Webアプリケーション層の通信の中身を見て通過・遮断を判断する
- ファイアーウォール…通信をIPアドレスやポート番号で見て通過・遮断を判断する
どれも通信を監視し、通過を許可・不許可といった制御をする仕組みですが、仕組みが異なります。同様の手段でサイバー攻撃を防ぐという点では共通する部分が多いですが、得意とする分野が異なるため、何を重点的に防御するか、可能な場合にはそれぞれの機能単独ではなく多重で組み合わせて設計・構築することも有効です。
まとめ
今回は、WAFとファイアウォールの違いについて詳しく解説しました。
両者では、セキュリティ対象や防御階層、対処できる攻撃で違いがあります。
また、Webサイトを運用している企業においては、ファイアウォールだけでは不十分です。
情報漏えい事件を引き起こしたり、フィッシング詐欺に加担してしまったりする可能性もあるので、
セキュリティにリスクを感じる方は、この機会にWAF製品の導入をご検討ください。
