WAFとは?今さら聞けないセキュリティ対策の仕組みを解説
Webアプリケーションの脆弱性を悪用した攻撃への対策のひとつに「WAF」があります。 このWAFとは、従来のファイアウォールやIPS/IDSとどのように違うのでしょうか。 |
目次 |
WAFとは何か
![]() |
WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。 ネットショッピングやゲーム、インターネットバンキングなど、顧客情報やクレジットカード情報に関するデータのやり取りが発生するWebサービスが保護対象となります。 WAF導入をお勧めしたい組織の一例
|
|
WAFはWebアプリケーション内に直接実装するものではなく、Webアプリケーションの前面やネットワークに配置し、脆弱性を悪用した攻撃を検出・低減する対策です。 WAFは直接管理・改修することができないWebアプリケーションに対策を施したい場合や、Webアプリケーションの脆弱性を修正することが難しい場合に有効です。あるいは修正に時間が掛かるためすぐに対策を採りたい場合にも役立ちます。 WAFを導入・運用する際に注意が必要な点については「WAF導入時や運用上の注意点とは?誤検知などのトラブル対策法」コラムでご紹介しています。 ところで、WAFと似ているセキュリティ対策としてファイアウォールやIPS/IDSがありますが、WAFとの間にはどのような違いがあるのでしょうか。これから説明していきます。 |
ファイアウォールとの違い
![]() |
ファイアウォール(Firewall)は、ネットワークレベルでの対策であり、通信において送信元情報と送信先情報(IPアドレス、ポート番号ほか)を元にして、アクセスを制限するソフトウェアおよびハードウェアのことを指します。
しかし、外部へ公開する必要のあるWebアプリケーションに制限を掛けることはできません。外部へ公開するWebアプリケーションのセキュリティ対策は、ファイアウォールではなくWAFの範疇となります。 |
IPS/IDSとの違い
IPS(Intrusion Prevention System)は不正侵入防止システムとも呼ばれる、プラットフォームレベルでのセキュリティ対策を行うソフトウェア・ハードウェアを指します。 OSやミドルウェアの脆弱性につけ込んで攻撃を行うケースや、ファイル共有サービスへの攻撃を行うケースなど、さまざまな種類の攻撃への対策が可能です。Webサイトの管理者などによって設定された検出パターンに基づき、あらゆる種類の機器への通信を検査しブロックします。
|
WAFの仕組み
![]() |
ファイアウォールやIPS/IDSではカバーできない範囲のセキュリティ対策が行えるとされているWAFですが、どのような仕組みになっているのでしょうか。 |
ブラックリスト型ブラックリスト型では既知の攻撃パターン、すなわち「拒否する通信」をシグネチャに定義しておき、シグネチャに一致する通信を拒否します。複数のWebアプリケーションに対して適用することが可能ですが、未知の攻撃には対応することができません。ブラックリスト型で最新の攻撃を検知するためには、攻撃の方法が分かり次第、シグネチャの更新が必要となります。 |
ホワイトリスト型ホワイトリスト型は、「許可する通信」をシグネチャに定義し、シグネチャと一致しなかった通信についてはすべて拒否し、不正アクセスの防止を図っています。未知の攻撃を防ぎ、Webアプリケーションに応じて柔軟な対応ができるのです。一方で、「許可する通信」の定義が難しく、Webアプリケーションごとにホワイトリストを用意する必要があるため、運用が大変になる可能性があります。 |
WAFで対応可能な攻撃の種類
![]() |
WAFの仕組みを理解できたところで、実際にどのような攻撃を防ぐことができるのかが気になる方も多いのではないでしょうか。WAFは、以下のような種類の攻撃に対応することができます。 |
WAFが対応する攻撃の種類
|
WAFの種類
WAFの提供形態は「ソフトウェア型」「アプライアンス型」「クラウド型」の3つに大別されます。この3つの種類には、それぞれどのような特徴があるのでしょうか。
ソフトウェア型WAF
![]() |
保護対象となるWebサーバーにWAFのソフトウェアをインストールし、通信内容を検査する方法です。「ホスト型」と呼ばれる場合もあります。 |
アプライアンス型WAF各組織のネットワーク内に、WAFの専用機器を設置する方式です。「ゲートウェイ型」「ネットワーク型」と呼ばれる場合もあります。 |
クラウド型WAF
![]() |
クラウド型はインターネットを経由してクラウドサービスを受ける形態で、「サービス型」とも呼ばれます。 |
Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策
よくあるご質問
- WAFとは?
- WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。詳しくはこちらで紹介しています。
- どんな組織がWAFを導入すべき?
- ECサイトなどオンラインショッピングの事業、会員制Webサイトの運営、Web経由で他社へサービスを提供している組織には特におすすめしたいです。詳しくはこちらで紹介しています。
- WAFを導入・運用する際に注意が必要な点は?
- 「WAF導入時や運用上の注意点とは?誤検知などのトラブル対策法」コラムでご紹介しています。
- ファイアウォールとの違いは?
- ファイアウォールは外部へ公開する必要のあるWebアプリケーションに制限を掛けることはできません。違いについてはこちらで紹介しています。
- IPS/IDSとの違いは?
- IPS/IDSはさまざまな攻撃への対策手段となり得ますが、Webアプリケーションへの攻撃は多様化しているため、WAFほど詳細に検知できない場合もあります。違いについてはこちらで紹介しています。
まとめ
今回は、Webアプリケーションの脆弱性を悪用した攻撃へのセキュリティ対策「WAF」についてご紹介しました。 求めるセキュリティ対策を明確にし、自社にあった形態を選ぶようにしましょう。 |
WAFに関連するコラム
エンジニアによる製品・サービスの検証内容や技術的なお役立ち情報をブログ形式でご紹介します。
Azureへのウェブ攻撃の実態ポイント最も使われているCMS「WordPress」をAzureのIaaS環境にセットアップし、どのような攻撃がウェブサイトへやってるくるか検証した内容をご紹介します。 コラムを読む |
WAFの導入に関するご相談・お問い合わせ