WAFはWebアプリケーションの弱点を突き、悪質な攻撃に対して対策をしてくれるセキュリティアイテムです。
しかし「従来のファイアウォールと何が違うのかわからない」「仕組みについていまいち理解していない」方も多いでしょう。
そこで今記事ではWAFの仕組みから種類をわかりやすく解説します。
WAFはネットを利用する上で知っておきたい言葉でもあるため、最後まで読んで理解しましょう。
WAFとは?
WAF(Web Application Firewall)を略したファイアウォールの一種です。
ファイアウォールでは防げないWebサイトやWebアプリケーションに対する不正な攻撃から守ってくれるセキュリティシステムです。
Webアプリケーションはインストールして使用するものではなく、Webブラウザ上で起動するSkypeやGmailといったコミュニケーションツール、ネットショッピング、インターネットバンキングなどが挙げられます。
WAFはWebサーバーの前段に設置して、有害な通信と判断したものを遮断し、Webサイトを保護しています。
携帯によっては複数のWebアプリケーションに対する攻撃からまとめて守れるものもあります。
WAFはWebアプリケーションの脆弱性を修正するのが難しい場合に非常に役立つものです。
ファイアウォールとの違いは?
ファイアウォールとWAFは役割が違います。
ファイアウォールは外部からの不正アクセスが内部ネットワークに侵入しないように防ぐもの、一方のWAFはWebアプリケーションやWebサーバーへの不正アクセスを防ぐものです。
ファイアウォールは外部の方が社内のみで使用する情報システムにアクセスしようとしても、できないようにアクセス制限ができます。
しかし外部へ公開するWebアプリケーションにアクセス制限はかけられないため、そういった点はWAFの役割となります。
共通して外部からの攻撃を防ぐといった点では同じであるため、WAFはファイアウォールの一種として考えられています。
IPS/IDSとの違いは?
IPS(Intrusion Prevention System)は不正侵入防止システムと呼ばれるもので、プラットフォームレベルでのセキュリティ対策になります。
OSやミドルウェアの脆弱性を悪用し攻撃、ファイル共有サービスへの攻撃といったさまざまな種類への攻撃を対策できます。
IDSは(Intrusion Detection System)「不正侵入検知システム」と呼ばれているもので、異常な通信を検知します。
IPS/IDSはあらゆる攻撃を対策してくれるものですが、近年Webアプリケーションへの攻撃は多様化しているためWAFより高い効果を得られないことがあります。
その点WAFは、ファイアウォールやIPSよりもWebアプリケーションに特化しているセキュリティシステムです。
WAFとファイアウォール、IPSとIDSはそれぞれ得意な分野や役割が異なり、どれか一つでも欠けていればセキュリティレベルは落ちます。
そのため、それぞれの特徴を把握して足りないところは補う形が理想的です。
WAFの仕組みとは?
WAFはアクセス元とWebサーバー間での通信にあり、攻撃の検知には「シグネチャ」を使用します。
シグネチャとはアクセスのパターンを定義したもので、Webアプリケーションへのアクセスパターンに一致するアクセスがあれば通信許可または拒否の判断を行います。
WAFは攻撃を検出すると通信を遮断して、履歴に残し同時にアクセス元に警告メッセージを行ってくれる優れものです。
こただし攻撃の検出能力はシグネチャの品質に依存するため、最新のシグネチャや信頼できるシグネチャを利用しなければ効果は十分に発揮できないでしょう。
なおWAFのアクセス検知方式には「ブラックリスト方式」「ホワイトリスト方式」の2つがあります。
それぞれを見てみましょう。
ブラックリスト方式
ブラックリスト方式とは既知の攻撃パターンをシグネチャ定義して、定義と一致する通信を拒否して不正アクセスから守る方法です。
既知の攻撃パターンのみとなるため、未知の攻撃には対応していないもののWebアプリケーションへの過度なアクセス制限は防げます。
シグネチャは定期的にアップデートすれば最新の攻撃から防げます。
反対にいえばアップデートをしなければ最新の攻撃からは守れないため、必ず定期的にアップデートをするようにしましょう。
ベンチャーがアップデートをしてくれる製品が多くなっています。
ホワイトリスト方式
ホワイトリスト方式とは許可する通信をシグネチャに定義して、定義していない通信は全て不正アクセスを防ぎます。
自分で定義をするため、Webアプリケーションの作りに応じて柔軟に定義ができ、未知の攻撃も防げます。
ただし定義の際にはWebアプリケーションのURLやアプリケーションに渡す文字や数値なども細かく設定しなければなりません。
Webアプリケーションごとに定義をしなければならないため、運用にはWebアプリケーションやセキュリティの知識を持っている方が必要です。
そのため人員や運用にかかるコストが高いため十分な予算がない企業での運用は難しいでしょう。
WAFの必要性
WAFが大事なものであることは分かったでしょう。
ここでは改めてWAFの必要性について紹介します。
Webアプリケーションにはセキュリティホールがあるため
プログラムや設計ミスに不具合があるとセキュリティホールができ、セキュリティホールを狙って不正アクセスがされます。
どんなに優秀な人が作ったとしても、どれほど時間をかけて設計やテストをしたとしてもどこかでセキュリティホールができてしまいます。
Webアプリケーションのセキュリティホールを完全に排除するのは困難です。
さらにWebアプリケーションはインターネットを使用して世界中からアクセスが可能な状態となっています。
そのため不正アクセスを検知するWAFを利用して攻撃を遮断する仕組みが必要です。
WAFのみができるブロック領域
Webアプリケーションを介した攻撃のブロックはWAFにしかできない領域です。
ファイアウォールは通信の中身や通信方法まではチェックしません。
そのため不正攻撃が入り口を通過すれば、Webアプリケーションまで届いてしまいます。
またIDSはWAFのようにシグネチャを使用して不正アクセスを検知するものの、Webアプリケーションに対する検知制度は低くなっているため十分なセキュリティ対策はできません。
そこでWAFの登場です。
WAFはWebアプリケーションへの不正アクセスを防ぐために最適なセキュリティシステムなのです。
WAFの導入メリット
WAFの導入メリットは以下の通りです。
- Webアプリケーションの弱点を補ってくれる
- 事後対策が可能
Webアプリケーションの弱点を補ってくれる
Webアプリケーションは脆弱性があるため、そこを突かれてしまえば不正アクセスの禁止が生じます。
しかしWAFを利用すれば脆弱性を克服してアプリケーションの安全性が向上します。
多くの企業がWebアプリケーションを利用しているため、WAFは必要不可欠なセキュリティシステムです。
事後対策が可能
WAFは事後対策ができるようになっています。
攻撃が続けばシステムに不具合が生じてしまいます。
しかしWAFはシステムの不具合が発生する前に検知してくれるため迅速に対応可能です。
これにより被害の拡大を未然に防げます。
WAFの種類
WAFには以下の種類があります。
- アプライアンス型
- ソフトウェア型
- クラウド型
それぞれについて詳しく見てみましょう。
アプライアンス型WAF
アプライアンス型WAFは既存のサーバーやWenアプリケーションサーバーの台数に依存しないものです。
専用のハードウェアとなっており、外部ネットワークとWebサーバーの間に設置して使用します。
Webサーバーから独立して使用するため、Webサーバーに負担がかからず使用可能です。
専用機器の性能や設定なども柔軟に変更できるため導入しやすくなっています。
しかし導入・運用コストがかかるため、予算がない企業には導入し辛いでしょう。
初期設定や運用も複雑なため、専門知識を持っている情報システム担当者が必要となります。
ソフトウェア型WAF
ソフトウェア型WAFは既知WebサーバーやWebアプリケーションサーバーにインストールして使用するものです。
別名「ホスト型」とも呼ばれます。
専用機器が不要なためアンプラアンス型と比べて運用導入コストが安くなっています。
ネットワーク構成の変更、再設計が不要なため短期間での導入も可能です。
デメリットとして大規模システムであればコストが高くなる場合もあるため、一概にコストが安いとは言えません。
さらにWAFが多くのリソースを使用すればWebアプリケーションの性能にも影響が及ぶ可能性もあります。
クラウド型WAF
クラウド型WAFはセキュリティベンダーが提供するWAFの機能をインターネット上で使用するものです。
別名サービス型とも呼ばれます。
クラウド型WAFはクラウドで使用するため、専用機器の導入が必要ありません。
さらに比較的導入までの期間が短いため、WAFの中では最も導入しやすいでしょう。
また通信料や監視対象もURLの数で費用が決まることが多いため、柔軟にコストを調整できます。
さらに既存のネットワーク構成も変更する必要もないため、手間なくコストを抑えてセキュリティ対策をしたい企業に最適です。
しかし検知精度がサービスによって異なる、カスタマイズが容易にできない、サービス提供側のネットワーク障害やシステム障害の影響を受ける可能性があるといったデメリットがあります。
URLの数で費用が決まるため、数が増えすぎると費用も高くなる可能性があるため、定期的に必要なURLかどうか見直しましょう。
WAFで守れる攻撃
WAFで守れる攻撃は以下の通りです。
- バッファオーバーフロー
悪意ある第三者がコンピューターに許容量以上のデータ尾をくりつけ、コンピューターに誤作動を起こさせた後コンピューターを乗っ取る手法 - クロスサイトスクリプティング
SNSや掲示板に仕掛けられたスクリプトをユーザーが実行すると意図しない投稿が拡散されることがあります。 - SQLインジェクション
SQLというデータベースの言語を使用して、アプリケーションが想定していない動作を実行させます。 - OSコマンドインジェクション
SQLインジェクションのようにOSに誤作動を起こさせます。 - DDoS攻撃
標的のコンピューターに大量の処理負担を与えて、機能停止に追い越せます。 - ブルートフォースアタック
Webアプリケーション伸ばすワードを解析する行為です。 ディレクトリトラバーサル
ファイルやフォルダの位置を把握して不正アクセスをします。
まとめ
この記事ではWAFについて紹介しました。
WAFはWebアプリケーションを利用している企業や個人が多い中、欠かせないセキュリティアイテムです。
しかしWAFは製品によっても特徴が異なるため、自社にあった製品でなければ費用対効果は見込めないでしょう。
導入前はそれぞれの製品についてきちんと調べておくようにするのがおすすめです。
