様々なサービスの電子化に伴い、そのサービスのセキュリティは日々最新の攻撃に対応出来ることが求められます。セキュリティの強化方法は、対象とするレイヤーなどに応じてFW、IPSなど様々な種類があります。その中でもこのページでは、Webサイトの防御に活用される、WAF(Web Application Firewall)について説明していきます。
WAFとは
WAF(ワフ)はWeb Application Firewallの頭文字をとった略称です。ファイアウォールとは情報システムを悪意のある通信から防御する為の防火壁であり、WAFとは文字通りWebアプリケーション防御に特化したファイアウォールです。

なぜWebサイトにはWAFが必要なのか?
近年、様々なサービスがオンラインで利用できるようになり利便性が高まる一方、Webサイトには個人情報やクレジットカード情報など重要な情報が多く集まり、また重要な情報を保管するシステムと連携されるケースが増えてきています。情報漏洩などが発生した場合そのWebサイト自体だけでは無く運営企業やステークホルダーの信用問題となりえます。
ITシステムの防御にはファイアウォールを利用する事が一般的な対策として導入されていますが、多様化するWebサイトを狙ったサイバー攻撃に対してファイアウォールだけでは万全な防御をすることが難しい状況です。そのため重要な情報を扱うWebサイトはWAFの追加導入などを実施し、サイバー攻撃への防御力を高める事が推奨されています。
WAFとIPSやFWの違い
ネットワークやサーバを外部から守る攻撃手段の代表的なものとして、内部ネットワークの防御に活用される F/W(ファイアウォール)、OSやミドルウェア層に対する攻撃の防御に特化した IPS(IDS)、Webアプリケーション防御に特化した WAF(Webアプリケーションファイアウォール)があります。それぞれ守れる領域や得意分野が異なりますので、どの製品が優れているという事では無く、どのような攻撃からシステムを守りたいのかを考えて、最適なセキュリティを複数組み合わせて選定することが望ましいです。

WAF導入に向けて検討する際に抑えるするポイント
一般に、WAFは次の4つのタイプに分かれます。
タイプ | 特徴 | メリット | デメリット用 |
---|---|---|---|
ソフトウェア型 | Webサーバへエージェントプログラムをインストールするタイプ。 | 基本的にネットワーク構成変更不要小台数から利用可能。 | サーバ負荷が上昇する場合がある。Webサーバの台数分必要になるので大規模システムだと費用が高額になる可能性がある。 |
ネットワーク型 | Webサーバの外に専用機器を設置するタイプ。 | 機能が豊富な製品が多い。不要な通信を遮断してくれるためサーバへの負荷が掛からない。 | 初期費用が高額になりやすい。ネットワークの構成変更が必要WAF機器がボトルネックやシングルポイントになる可能性がある。 |
SaaS/クラウド型 | ネットワーク型と同じだがインターネット上にあるWAFを利用するタイプ。 | DNS変更のみで利用が可能。 | ネットワークの構成変更が必要になる。帯域幅での契約となるのでWAFがボトルネックになる可能性がある。 |
クラウドサービス連動 | クラウド事業社が提供するWAFを利用するサービス | 初期費用が安価で開始できる。ネットワーク構成変更無しで利用可能 | 従量課金の為、アクセス集中時に費用が上がる場合がある。対象のクラウド環境のみでしか利用できない |
タイプ | 初期費用 | 機能数 | 導入難易度 | 運用難易度 |
---|---|---|---|---|
ソフトウェア型 | 〇 | 〇 | 〇 | △ |
ネットワーク型 | △ | ◎ | △ | △ |
SaaS/クラウド型 | 〇 | 〇 | ◎ | 〇 |
クラウドサービス連動 | ◎ | 〇 | ◎ | ◎ |

WAFによる防御の仕組みや動作について
一般的なWAFの防御方法はWebサイトへのサイバー攻撃に利用される通信内容のパターン(シグネチャ)とWAFを通過する通信内容を比較判定しシグネチャの内容とマッチした通信は悪意があると判定し対象通信をブロックします。
シグネチャについて一般的なWAFでは定期的に内容の追加や見直しが自動で実施されWebシステムへのサイバー攻撃成功のリスクを低減させます。
但しWAFは通信内容を判定はWebアプリケーション用途の通信(HTTP/HTTPS)のみに対応となることがほとんどの為、ファイアウォールなどの既存の防御手段が不要となるわけではありません。
WAFによるセキュリティ対策導入効果

Webアプリケーションのセキュリティを大幅に向上
WAFを導入することにより、Webアプリケーションのセキュリティを大幅に向上させることができます。Webアプリケーションのセキュリティ対策をしたいからといってWAFのみを導入すると、FWが無いせいでWEBアクセスとは別の経路で内部ネットワークに侵入され、結果顧客のデータを盗まれてしまった…ということにもなりかねません。そのためWAFだけでなくFW、IPSも上手く組み合わせていくことも大切です。複数の壁を作り何重にも渡ってチェックをすることで、近年の高度化した攻撃から身を守ることができます。

コスト、セキュリティ運用負担の軽減
WAFを導入することでコストや仕事を減らすことができるという効果もあります。今まで人間の手で監視、攻撃が無いかの検出、防御までを実施していたところ、定額それと同等、もしくはそれ以上の品質のセキュリティを実現することができます。また、その監視業務を担当していた人員を削減することも可能です。