ECサイトやクラウドサービスの普及により外部公開されるシステムが増え、Webアプリケーションの脆弱性を悪用したサイバー攻撃が増加する中、その対策のひとつとして注目されているのが「WAF」です。
では、WAFと従来のファイアウォールやIPS/IDSとどのように異なり、どのような役割を果たすのでしょうか。
今回はWAFの種類や基本の仕組み、導入・運用の注意点について、Webセキュリティ初心者の方でも分かりやすいように詳しくご紹介します。
WAFについて4分間の解説動画を公開していますので、こちらも合わせてご覧ください。
WAFとは何か
WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつで、WebサイトやWebアプリ、APIへのHTTP(S)通信をチェックし、不正なリクエストを見つけてブロックする仕組みです。ネットショッピングやゲーム、インターネットバンキングなど、顧客情報やクレジットカード情報に関するデータのやり取りが発生するWebサービスが保護対象となります。
WAFを検討したいサイト・サービス
- ECサイト
- 会員サイト・ログイン機能のあるサイト
- 問い合わせフォームや予約フォームがあるサイト
- WebサービスやAPIを提供しているサービス
WAFはまずHTTP(S)リクエスト/レスポンスの内容を解析し、不正な通信を検知・遮断することでアプリケーションを保護する対策です。アプリケーションの手前やネットワーク上に配置されることが一般的で、脆弱性を悪用した攻撃の影響を低減します。WAFの形態によっては、複数のWebアプリケーションに対する攻撃をまとめて防御することもできます。WAFは直接管理・改修できないWebアプリケーションに対策を施したい場合や、Webアプリケーションの脆弱性を修正することが難しい場合に有効です。あるいは修正に時間が掛かるためすぐに対策をとりたい場合にも役立ちます。
WAFを導入・運用する際に注意が必要な点については「WAF導入時や運用上の注意点とは?誤検知などのトラブル対策法」コラムでご紹介しています。
無料ダウンロード
【コスト比較表も】安全なWebサイトの運営で気を付けるべきポイントとWAF製品サービスの選び方
Webサイトのセキュリティ対策で気を付けるべき脆弱性の原因と対策をまとめました。チェックリストもありますので、ご活用ください。
ダウンロードWAFとファイアウォール・IPS/IDSの違い
WAFと似ているセキュリティ対策としてファイアウォールやIPS/IDSがありますが、WAFとは防御できるレイヤーに違いがあります。
ファイアウォールとの違い
ファイアウォール(Firewall)は、送信元・送信先のIPアドレスやポート番号などを元に、通信を制限するセキュリティ対策です。ネットワークレベルでの通信を制御する仕組みであり、主に社内システムなど、外部に公開しない環境への不正アクセスを防ぐ用途に適しています。
一方、WAFはHTTP(S)通信の中身を解析し、Webアプリケーションを狙った攻撃を検知・防御する仕組みです。ファイアウォールがネットワーク全体を守る対策であるのに対し、WAFはWebアプリケーションに特化した対策という位置づけになります。
また、ファイアウォールは通信の可否は制御できるものの、HTTPパラメータや入力値といったアプリケーション層の詳細な確認は得意ではありません。そのため、外部へ公開するWebアプリケーションのセキュリティ対策は、ファイアウォールではなくWAFの範疇となります。
IPS/IDSとの違い
IPS(Intrusion Prevention System)は不正侵入防止システムとも呼ばれ、不審な通信を見つけて遮断する仕組みです。一方で、IDS(Intrusion Detection System)は不正侵入検知システムとも呼ばれ、不審な通信を検知することに特化しています。
これらに対して、WAFはHTTP(S)通信の中身を詳細に解析し、WebサイトやWebアプリケーションへの攻撃に特化して防御を行う点が大きな違いです。IPS/IDSはさまざまな攻撃への対策手段となり得ますが、いずれもWebアプリケーションへの通信に特化しているわけではありません。
どう使い分けるべき?
ファイアウォール・IPS/IDS・WAFは、いずれかひとつでセキュリティ対策が完結するものではなく、それぞれ異なる役割を持っています。そのため、ネットワーク全体への脅威を防ぐ対策と、Webアプリケーションを守る対策は分けて考えることが基本です。
その中でWAFは、Webサービスやオンラインアプリケーションを公開している環境において、Webに特化した防御を強化する役割を担います。特に、ユーザーの入力を受け付けるフォームや、ログイン・検索機能を持つWebサービスを運営している場合には、WAFの導入を検討することが重要です。
WAFの仕組み
WAFの基本的な仕組みは、送られてきた通信をあらかじめ設定された「ルール」と照らし合わせて確認します。チェックの結果、問題がなければ通信を許可してWebサイトへ通し、不審な通信であれば遮断・制限を行います。
この通信を判定するためのルールのまとまりを、セキュリティ用語で「シグネチャ」と呼びます。
シグネチャの定義には、「ブラックリスト型」と「ホワイトリスト型」という2つのアプローチがあります。
ブラックリスト型(拒否するルール)
ブラックリスト型では既知の攻撃パターン、すなわち「拒否する通信」をシグネチャに定義しておき、シグネチャに一致する通信を拒否します。複数のWebアプリケーションに対して適用することが可能ですが、未知の攻撃には対応できません。ブラックリスト型で最新の攻撃を検知するためには、攻撃の方法が分かり次第、シグネチャの更新が必要となります。
ホワイトリスト型(許可するルール)
ホワイトリスト型は、「許可する通信」をシグネチャに定義し、シグネチャと一致しなかった通信についてはすべて拒否し、不正アクセスの防止を図っています。未知の攻撃を防ぎ、Webアプリケーションに応じて柔軟な対応ができるのです。一方で、「許可する通信」の定義が難しく、Webアプリケーションごとにホワイトリストを用意する必要があるため、運用負荷が高くなる可能性があります。
WAFはどのように通信を判断するのか
WAFは通信のどの部分を見て、不審な通信かどうかを判断しているのでしょうか。WAFは、WebサイトやWebアプリケーションに送られてくるリクエストの中身を、以下の観点から細かくチェックしています。
- URL:攻撃に悪用されやすい特定のファイルや管理画面などに対して、不正にアクセスしようとしていないかを確認します。
- パラメータやBody(データの中身):ログイン画面や入力フォームから、データベースを不正操作するような怪しい文字列(SQLインジェクションなど)が送信されていないかを検査します。
- ヘッダー:攻撃者がよく使うツールからのアクセスを示す不自然な情報が含まれていないかを確認します。
- アクセス回数:パスワードを破ろうとするような、短時間での異常な連続アクセスがないかをチェックします。
なぜWAFが必要なのか
一般公開され、誰でもアクセスできるWebサイトやWebアプリケーションは、サイバー攻撃のターゲットとされやすいです。
一方で、セキュリティ製品は種類ごとに防御できる攻撃が異なります。ファイアウォールやIPS/IDS だけではWebアプリケーションのセキュリティ対策を行うのが難しいことも、WAFが必要とされる理由のひとつです。
さらに、脆弱性が見つかってもすぐにアプリケーションを改修できるとは限りません。その間のリスクを軽減する手段として、WAFは有効に機能します。
このように、WAFはWebアプリケーションに特化した対策として重要な役割を担います。アプリケーションの改修が根本的な解決策であり、WAFはその前後を支える防御策として位置づけることが重要です。
Webサイトの脆弱性対策は今も重要
独立行政法人 情報処理推進機構(IPA)が発表した「ソフトウェア等の脆弱性関連情報に関する届出状況」によると、 2004年~2025年の脆弱性の届出件数(累計件数)のおよそ7割以上がWebサイトに関するものだと報告されています。
なかでも、「クロスサイト・スクリプティング(XSS)」や「SQLインジェクション」といった古くから存在するWebアプリケーションの脆弱性を突く攻撃手法は、現在でも代表的かつ深刻な脅威となっています。
Webアプリケーションの仕組みは年々複雑化しており、さまざまなアプリケーションやシステムとの連携で思いがけない脆弱性が発見されるケースも増えています。加えて、脆弱性を狙ったサイバー攻撃の手口も日々増加・多様化しており、未知の脅威に備える重要性が高まっています。
すぐに改修できないときの備えになる
脆弱性が発見されたからといって、すべての企業がすぐにシステムを修正できるわけではありません。リソースの確保や影響範囲の調査、テスト環境での動作検証など、改修が完了するまでに一定の時間がかかります。その間、脆弱性が放置された状態でサービスを継続することは、さらなる攻撃を受けるリスクを抱えます。WAFは、「脆弱性が発覚してから、実際の改修が完了するまでの無防備な期間」を守る、強力な応急処置として機能します。
WAFの基本的な機能
WAFには大きく分けて以下の4つの機能があります。
まず押さえたい基本機能
-
通信の監視とブロック(制御)
WAFの基本機能です。WAFは常に通信を監視し、シグネチャを利用して通信の許可・不許可を決定します。アクセスがある度にシグネチャに記録したアクセスのパターンと照合し、ホワイトリスト型であれば一致した通信を許可、ブラックリスト型であれば一致した通信を拒否します。
-
既知の攻撃パターンによる基本防御
広く知られた攻撃手法のパターンは、あらかじめルールとして保有されています。これらのシグネチャと照合することで、代表的な脅威を自動的に防御します。特にクラウド型WAFの場合、シグネチャが定期的に自動更新され、ユーザー自身が手間のかかる更新処理をしなくても常に最新状態を維持できます。これにより、新たなサイバー攻撃の手口にもいち早く対応できるようになります。一方で、クラウド型以外の形式の場合は手動で設定を更新しなければならないケースもあるため、運用時には注意が必要です。
-
カスタムルールや例外(除外)設定
デフォルトのルールセットだけでは、自社サービス特有のリクエストが誤って遮断されてしまう場合があります。そのような場合に備え、WAFには独自のルールの追加や特定URLの除外設定が用意されています。安全なURLを検査対象外にすることで、通信パフォーマンスを落とさずに業務に必要なWebページへのアクセスができるようになります。さらに、サイバー攻撃に使用されるIPアドレスに対しては、通信内容のチェック処理を実施せずにIPアドレスが判明した時点でアクセス拒否することが可能です。この柔軟なカスタマイズ機能により、セキュリティの確保と業務継続性の両立を実現できます。
-
ログの確認と分析
WAFが不正と認識したアクセスやサイバー攻撃の種類などは、WAFが提供するログやレポート上で確認できます。製品によっては、攻撃のパターンや攻撃元のアクセス数を統計データで提供してくれるものもあります。こういったデータを活用すれば、新たな攻撃手法の検知や事後対策がしやすくなり、セキュリティ対策の強化や改善に役立ちます。
ログを見ながら少しずつ調整することが大切
WAFの運用は、ログの分析と設定の見直しを繰り返しながら精度を高める継続的なプロセスです。導入後は、記録されたログを定期的に確認し、「正常なアクセスを遮断していないか」「防ぐべき攻撃を見逃していないか」の観点で継続的に分析・調整することが不可欠です。誤検知や検知漏れは、どちらもログを読み解くことで把握できます。定期的な分析と調整を習慣化することで、長期的なセキュリティ向上につながります。
WAFで対策しやすい主な攻撃
ここまでWAFの仕組みについて解説しましたが、導入したからといってすべてのサイバー攻撃を防げるというわけではありません。WAFには得意・不得意の分野があるため、実際にどのような攻撃を防げるのかを理解しておきましょう。
WAFが特に対策しやすい攻撃
Webアプリケーションへの入力やリクエストを悪用する攻撃は、WAFのルールベースの検知によって高い精度でブロックすることが可能です。代表的な攻撃として、以下の4つが挙げられます。
-
SQLインジェクション
データベースの言語であるSQLを使って、Webアプリケーションの入力画面で不適切なSQLを入力し、アプリケーションが想定していない動作を実行させます。SQLインジェクションの仕組みをイラストで解説したコラム「SQLインジェクションとは?仕組みと対策を紹介」もありますので、併せてご覧ください。
-
クロスサイトスクリプティング
SNSや掲示板サイトなど、ユーザーが入力操作できるサイトに悪意のあるスクリプトを埋め込み、ユーザーのブラウザ上で実行させる攻撃です。個人情報の入力画面に遷移したり、意図しない投稿が拡散されたりと不正操作に悪用されます。
-
コマンドインジェクション
SQLインジェクションと同じように、Webアプリケーションの入力値に不適切なコマンドを混入させ、OSコマンドを不正に実行させる攻撃です。サーバー内のファイル操作や、外部への不正な通信を引き起こす可能性があります。
-
ディレクトリトラバーサル
「../」などのパスを使って、本来アクセスを許可していないディレクトリやファイルへ不正アクセスを試みる攻撃です。設定ファイルや機密情報が読み取られるおそれがあります。
WAFで緩和しやすいメジャーな攻撃
WAFは、上記のような脆弱性を狙う攻撃に加え、短時間に大量のリクエストを送りつけてくる攻撃への対策にも役立ちます。
-
DDoS攻撃の一部(HTTP/HTTPS層への攻撃)
大量のHTTPリクエストを送り続けることでサーバーに過負荷をかけ、サービスを停止させようとする攻撃です。
-
ブルートフォース攻撃(総当たり攻撃)
IDとパスワードの組み合わせを機械的に試行し、不正ログインを試みる攻撃です。単純な認証情報であるほど突破されやすく、情報漏えいや不正利用につながります。
-
クレデンシャルスタッフィング
他のシステムから流出・盗取されたIDとパスワードの組み合わせを使用し、不正ログインを試みる攻撃です。パスワードの使い回しがあると、1つのサイトからの情報漏えいをきっかけに他サービスへと被害が拡大する原因となります。
-
Botによる大量アクセスやスクレイピング
自動化されたプログラム(Bot)を用いて、Webサイトのコンテンツを大量に収集したり、サーバーに過剰な負荷をかけたりする行為です。
WAFだけでは対応しきれないこと
WAFは強力なツールですが、以下のような課題に対してはWAF単体でカバーすることはできません。製品の限界を正しく把握し、他の対策と組み合わせることが重要です。
-
アプリそのものの脆弱性修正
WAFはあくまでも外部からの攻撃を検知・遮断する仕組みであり、アプリケーション自体の脆弱性を根本的に修正する機能は持ちません。安全性を確保するには、定期的な脆弱性診断やセキュアコーディングの実践が不可欠です。
-
ID/パスワード運用の不備
推測されやすい認証情報の使用やパスワードの使い回し、退職者アカウントの放置といった運用上の問題は、WAFでは防御できません。適切なパスワードポリシーの策定や多要素認証の導入など、アクセス管理の仕組みを整えることが必要です。
-
端末感染や社内ネットワーク内部の問題
マルウェアに感染した端末や内部不正、社内サーバーのOSの脆弱性を狙った攻撃などは、WAFでは検知・防御が難しい場合があります。エンドポイントセキュリティの強化やネットワーク内部の監視ツールを別途導入することが求められます。
-
すべてのDDoS対策をWAF単体で担うこと
WAFはアプリケーション層への攻撃には一定の効果を発揮しますが、大規模なDDoS攻撃を単体で防ぐことは困難です。専用のDDoS対策サービスやCDNと組み合わせた多層防御により、高い安全性を確保できます。
WAFの種類
WAFの提供形態は「ソフトウェア型」「アプライアンス型」「クラウド型」の3つに大別されます。この3つの種類には、それぞれどのような特徴があるのでしょうか。
ソフトウェア型WAF
保護対象となるWebサーバーにWAFのソフトウェアをインストールし、通信内容を検査する方法です。「ホスト型」と呼ばれる場合もあります。
専用機を必要としないため、アプライアンス型と比べると低コストで導入できます。ネットワーク環境の構成変更も不要で、他のサーバーや端末への影響もありません。
アプライアンス型WAF
各組織のネットワーク内に、WAFの専用機器を設置する方式です。「ゲートウェイ型」「ネットワーク型」と呼ばれる場合もあります。専用機器はWebサーバーからは独立して動作するため、Webサーバーに負荷が掛かりません。また専用機器の性能や、設定など柔軟に行うことが可能です。
一方で他の2つのWAFに比べると導入・運用のコストは高めです。また企業の方針に沿って柔軟で強固なセキュリティ対策ができる分、情報システム担当者は専門知識を持つ必要があります。アプライアンス型は、スペックの高いWebサーバーを複数使用しているような、大規模な情報システムに向いています。
クラウド型WAF
クラウド型はインターネットを経由してクラウドサービスを受ける形態で、「サービス型」とも呼ばれます。
専用機器が不要であること、導入までの期間が短いことから、WAFの中では最も導入費用が低い傾向にあります。また通信量や監視対象となるURLの数によって費用が決まり、コストの調整も可能です。企業のネットワーク構成も変更する必要がありません。
したがって費用を抑えてセキュリティ対策を行いたい企業に向いています。
一方でクラウドサービスならではの特徴として、オンプレミス型と比べてカスタマイズに制約がある場合や、サービス提供者側で起こるシステム障害やネットワーク障害などの影響を受ける可能性があるというデメリットもあります。また通信量や監視対象のURLが増えることで費用が高くなる可能性があるため、定期的に適正価格かどうかを見直すことも必要です。
ただし近年は、細かなルール設定や柔軟な制御が可能な高機能なクラウド型WAFも増えており、実際の費用感やカスタマイズ性は選択するサービスによって大きく異なります。そのため、要件に応じて複数のサービスを比較・検討することが重要です。
クラウド型WAFでおすすめのサービス
Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策
Barracuda WAF as a Serviceは、Webサイトをサイバー攻撃から防御するクラウド型Webセキュリティサービスです。
詳しく最初は「どれが一番良いか」より「自社に合うか」で考える
ここまで3つの導入形態をご紹介しましたが、「絶対にこれが一番優れている」という唯一の正解はありません。自社の状況を整理したうえで、以下の4つのポイントをもとに無理のない選択をすることが重要です。
-
予算
初期費用や毎月のランニングコストは、どのくらい確保できるか。
-
運用担当者の有無
セキュリティの専門知識を持つ担当者がいるか、あるいは運用を外部に委託したいか。
-
導入スピードの優先度
まず早急に対策を講じたいのか、じっくり構築したいのか。
-
自社サイトの規模
複雑な独自システムか、シンプルな構成か。また、日々の通信量はどのくらいか。
どの形態が優れているかではなく、「自社の体制で無理なく継続的に運用できるか」を基準に選ぶことをおすすめします。
WAF導入・運用で気をつけたいこと
WAFは正しく活用してこそ本来の力を発揮します。ここでは、WAFを安全かつ効果的に運用するために、気をつけたいポイントを解説します。
誤検知・誤遮断に注意する
WAFを活用する場合、通信を機械で検知・判断します。そのためセキュリティレベルを厳しく設定していると、正常な通信まで不正と判断し、誤って遮断してしまうことがあります。特にログインや決済など影響の大きいページでは、より慎重なルール設定が求められます。
誤検知が起きた場合は、シグネチャの見直しや例外設定の追加、ルール調整など、実際の利用状況に合わせて最適化していく必要があります。また、運用サービスも併せて提供されるクラウド型WAFの活用や、運用自体をアウトソーシングすることで対応の負担を軽減することも可能です。
WAF導入時や運用上の注意点については、以下の記事で詳しく解説しています。
おすすめ記事
WAF導入時や運用上の注意点とは?誤検知などのトラブル対策法
WAFを導入・運用する際に注意が必要な点についてご紹介しています。WAFを導入するにあたって誤検知などのトラブル対策が気になっているIT担当の方はぜひチェックしてください。
詳しくWAFだけで安心しない
前述のとおり、WAFはあくまでも多様な攻撃手法の一部に対応するものであり、決して万能なツールではありません。例えば、Botによる不正ログインがあった場合、OSやミドルウェア、ネットワークに対して攻撃があった場合などは、WAFのみでは不十分です。そのため、アプリケーション改修や認証機能の強化、ログ監視による異常検知など、複数の対策を組み合わせることが求められます。このような「多層防御」の考え方を持ち、WAFを総合的なセキュリティ体制の一要素として位置づけたうえで、組織全体でセキュリティレベルの向上を目指していくことが重要です。
自社に適したセキュリティ対策について知りたい場合は、セキュリティを専門とするITベンダーへ相談することをおすすめします。
JBサービス株式会社では、WAFの導入・運用についてはもちろん、さまざまなセキュリティ対策の導入にまつわるご相談を承っております。ぜひお気軽にご相談ください。
まとめ
今回は、Webアプリケーションの脆弱性を悪用した攻撃へのセキュリティ対策「WAF」についてご紹介しました。
WAFによるセキュリティ対策は有効かつ有用ですが、セキュリティレベルが厳しすぎるとWAFが大量のアラートを出したり、ユーザーが利用できなくなったりする可能性もあります。
求めるセキュリティ対策を明確にし、自社にあった形態を選ぶようにしましょう。
