WAFとは
WAF(Web Application Firewall)とは、Webサイトに設置するWebアプリ専用のファイアウォールです。通常のファイアウォールやIPS(侵入防止システム)では防げない脅威に効果があり、通信データをアプリケーションレベルで解析できるのが特徴です。
WAFが動作する仕組みとは
WAFは侵入者のアクセスパターンを定義した「シグネチャ」を参照し、通信を許可するか拒否するかを判断します。主に「ブラックリスト」と「ホワイトリスト」の2つの方式による運用されるのが普通です。
ブラックリスト方式
ブラックリスト方式はシグネチャと一致する通信を拒否するものの、シグネチャと合致しなければ基本的に通信を許可します。ブラックリストは今までに判明している攻撃パターンを元に作成されるため、常に最新のものに更新しなければなりません。
ただし、まったく未知のパターンの攻撃を受けた場合は対処できない恐れがあります。
ホワイトリスト方式
ホワイトリスト方式は登録された通信のみ許可し、それ以外の通信は基本的にすべて遮断します。つまり、アクセス権のない通信はサービスを利用できません。
リストアップされた通信以外はすべて通すブラックリスト方式と比べ、ホワイトリスト方式は通信できる者を限定できるため安全性が非常に高いです。ただし、通信を許可するホワイトリストの作成には、一つ一つ登録していかなければならず手間がかかります。
WAFを導入しない場合のリスク
次に、WAFを利用しない場合にどんなリスクがあるか確認します。
通信の中身が確認できない
一般的なファイアウォールでは、Webサイトと利用者との通信の中身や通信方法までチェックできず、Webアプリへの攻撃はWAFでないとブロックできません。
各種アプリへの攻撃を防げるIDSやIPSでも、Webアプリへの不正アクセスの検知精度が低く、Webサイトを守るにはWAFの導入が必須です。なぜなら、IDSやIPSの主要な防御範囲はネットワークやOSといった低階層になり、Webアプリを通した通信を精査しないからです。やはりWebアプリには専用のWAFでないと十分なセキュリティは保てないでしょう。
脆弱性を放置するしかなくなる
かつてWebアプリの脆弱性はアプリ開発の段階で対応していましたが、開発側のリソース面やコストにおいて問題があり、次々発生する脅威に対応するには限界があります。しかも、Webアプリは定期的な改修や他のシステムとの連動により、新たな脆弱性が発生する可能性もあります。
それでもWAFの最新のシグネチャで制御すれば、WebアプリやWebサイトが脅威にさらされるリスクを極力低減できるのです。たとえ今のところ問題がなくても、WAFを導入しなければ、現行もしくは将来的な脆弱性を放置することになります。
不正な通信による被害を最小限にできない
WAFはWebアプリの通信の中身を最新のシグネチャを参照しつつ精査します。またWAFは攻撃を検知したらすばやく対応も行えます。
既知の脅威につながる通信は拒否するのはもちろんのこと、仮に攻撃を受けた場合でも被害が拡大しないように通信をブロックします。
このように、WAFは攻撃の発生抑止と攻撃への迅速な対処が可能です。WAFが未導入だと、サイバー攻撃に即座に対応できず、被害を最小限に食い止めることも困難です。
WAFとその他のセキュリティ設備との違い
WAFは一般的なファイアウォールやIPS・IDSとはどのように違うのか説明します。
ファイアウォール(FW)との違い
ファイアウォールはWAFの守備範囲のWebアプリにアクセスする前のネットワークレベルでの防御を担います。ファイアウォールはインターネットなどの外部ネットワークと社内の内部ネットワークの境界に設置され、内外の通信はすべてファイアウォールを通過させるようにします。
ファイアウォールは送信元と送信先の情報(IPアドレスやプロトコル、ポート番号など)を元にアクセス制限を実行するだけです。ファイアウォールはWAFのようにWebアプリの操作や入力内容など、通信の詳細な中身までは精査しません。
IPS/IDSとの違い
IPSやIDSはファイアウォールより内部に設置され、外部ネットワークやサーバーとの通信を監視します。不審な通信やWebアプリが動作するのに必要なOSやミドルウェアへの攻撃を検知して通知もしくは防御します。
しかし、昨今のWebアプリへの攻撃は高度化しており、IPSやIDSでは検知したり防御しきれないこともあるのです。さらに、解析のためネットワークの性能劣化や遅延を引き起こすこともあります。
Webサイトを守るには、原則として上記のセキュリティ製品を組み合わせて利用します。それぞれの製品が対応可能なレイヤーを押さえておくことが肝心です。
WAFで対応可能な攻撃の種類
WAFでは多くの攻撃に対処が可能であり、代表的なものをあげると以下になります。
- DDoS攻撃
- SQLインジェクション
- クロスサイトスクリプティング
- バッファーオーバーフロー
- フォースフルブラウジング
- Hiddenフィールドの改ざん
- メタキャラクタインジェクション
- ユニコード及びURLの符号化(検知回避)
いずれもWebアプリに攻撃を仕掛けたり、IPS・IDSの検知すり抜けを図るもので、サーバーの動作不全や誤動作、情報の流出・改変が行われる可能性があります。
多様なWAFの種類
WAFには3つの種類があります。
それぞれの特性を知ると、自社に最適なWAFのタイプが自ずと見えてくるでしょう。
アプライアンス型
アプライアンス型のWAFは、専用のハードウェアを自社ネットワーク内に設置するものです。自社専用機器のため高速処理が可能で、安定した高速通信が求められる場合に適しています。
アプライアンス型は高価ですが、大規模運用におけるゲートウェイデバイスとして利用するとコストを安くできることがあります。
| メリット | デメリット |
|---|---|
|
|
ソフトウェア型
| メリット | デメリット |
|---|---|
|
|
クラウド型
| メリット | デメリット |
|---|---|
|
|
WAFのおすすめ製品
最後にWAFのおすすめ製品をアプライアンス型とクラウド型を合わせて3つ紹介します。
Barracuda WAF(アプライアンス型)
世界で広く使われているWAFで、国内でもトップクラスのシェアがあります。サイトの規模に応じて6つのモデルから選択可能です。物理アプライアンスのほか、仮想アプライアンスでの提供もあります。管理GUIは日本語に対応しており使いやすいです。
Scutum(クラウド型)
長年にわたり支持されている国産のクラウド型WAFです。導入時のサーバー側の作業は不要で簡単に始められます。運用のプロが24時間365日対応するため日々の管理は不要で、必要に応じて管理画面や分析結果をチェックします。
Amazon WAF(クラウド型)
多くの企業が続々と導入しているAmazonのクラウドサービス、AWS専用のWAFです。料金は3つのリソースを利用した分だけかかります。
- Web ACL(ひとまとまりのWAFの設定)
- Web ACLに追加するルールの数
- リクエスト回数
AWSを利用しているのであれば、WAFを割安に利用できるサービスです。
