WAFとは？今さら聞けないセキュリティ対策の仕組みを解説

Webアプリケーションの脆弱性を悪用した攻撃への対策のひとつに「WAF」があります。

このWAFとは、従来のファイアウォールやIPS/IDSとどのように違うのでしょうか。

今回はWAFの種類や仕組みについて、Webセキュリティ初心者の方でも分かりやすいように詳しくご紹介します。

目次

1. WAFとは何か
2. WAFの仕組み
3. WAFで対応可能な攻撃の種類
4. WAFの種類
5. よくあるご質問
6. まとめ
7. 【お役立ちコラム】WAF導入時や運用上の注意点

WAF（Web Application Firewall）は、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。

ネットショッピングやゲーム、インターネットバンキングなど、顧客情報やクレジットカード情報に関するデータのやり取りが発生するWebサービスが保護対象となります。

WAF導入をお勧めしたい組織の一例

1. ECサイトなどオンラインショッピングの事業を行っている

2. 会員制Webサイトなど会員の個人情報を取り扱っている

3. Web経由で他社へサービスを提供している

WAFはWebアプリケーション内に直接実装するものではなく、Webアプリケーションの前面やネットワークに配置し、脆弱性を悪用した攻撃を検出・低減する対策です。

WAFの形態によっては、複数のWebアプリケーションに対する攻撃をまとめて防御することもできます。

WAFは直接管理・改修することができないWebアプリケーションに対策を施したい場合や、Webアプリケーションの脆弱性を修正することが難しい場合に有効です。あるいは修正に時間が掛かるためすぐに対策を採りたい場合にも役立ちます。

WAFを導入・運用する際に注意が必要な点については「WAF導入時や運用上の注意点とは？誤検知などのトラブル対策法」コラムでご紹介しています。

ところで、WAFと似ているセキュリティ対策としてファイアウォールやIPS/IDSがありますが、WAFとの間にはどのような違いがあるのでしょうか。これから説明していきます。

ファイアウォールは外部へ公開する必要がなく、社内でのみ使用する情報システムへの外部からのアクセスを制限することは可能です。

しかし、外部へ公開する必要のあるWebアプリケーションに制限を掛けることはできません。外部へ公開するWebアプリケーションのセキュリティ対策は、ファイアウォールではなくWAFの範疇となります。

IPS（Intrusion Prevention System）は不正侵入防止システムとも呼ばれる、プラットフォームレベルでのセキュリティ対策を行うソフトウェア・ハードウェアを指します。

OSやミドルウェアの脆弱性につけ込んで攻撃を行うケースや、ファイル共有サービスへの攻撃を行うケースなど、さまざまな種類の攻撃への対策が可能です。Webサイトの管理者などによって設定された検出パターンに基づき、あらゆる種類の機器への通信を検査しブロックします。

IDS（Intrusion Detection System）は不正侵入検知システムとも呼ばれ、異常な通信を検知するものです。

IPS/IDSはさまざまな攻撃への対策手段となり得ますが、Webアプリケーションへの攻撃は多様化しているため、WAFほど詳細に検知できない場合もあります。

ファイアウォールやIPS/IDSではカバーできない範囲のセキュリティ対策が行えるとされているWAFですが、どのような仕組みになっているのでしょうか。

WAFでは、攻撃の検知に「シグネチャ」を用います。シグネチャとは、アクセスのパターンを記録しているものです。Webアプリケーションへのアクセスのパターンを、シグネチャを用いて照合し、通信可否の判断を行う仕組みです。

シグネチャの定義の方法には、ブラックリスト型とホワイトリスト型があります。

ブラックリスト型

ブラックリスト型では既知の攻撃パターン、すなわち「拒否する通信」をシグネチャに定義しておき、シグネチャに一致する通信を拒否します。複数のWebアプリケーションに対して適用することが可能ですが、未知の攻撃には対応することができません。ブラックリスト型で最新の攻撃を検知するためには、攻撃の方法が分かり次第、シグネチャの更新が必要となります。

ホワイトリスト型

ホワイトリスト型は、「許可する通信」をシグネチャに定義し、シグネチャと一致しなかった通信についてはすべて拒否し、不正アクセスの防止を図っています。未知の攻撃を防ぎ、Webアプリケーションに応じて柔軟な対応ができるのです。一方で、「許可する通信」の定義が難しく、Webアプリケーションごとにホワイトリストを用意する必要があるため、運用が大変になる可能性があります。

WAFの仕組みを理解できたところで、実際にどのような攻撃を防ぐことができるのかが気になる方も多いのではないでしょうか。WAFは、以下のような種類の攻撃に対応することができます。

1. バッファオーバーフロー
   悪意ある第三者が標的のコンピューターに許容量以上のデータを送りつけて、コンピューターが誤作動を起こした後に、コンピューターを乗っ取る攻撃です。
2. クロスサイトスクリプティング
   SNSや掲示板サイトなど、ユーザーが入力操作できるサイトに仕掛けられたスクリプトをユーザーが実行すると、個人情報の入力画面に遷移したり、意図しない投稿が拡散されたりするものです。
3. SQLインジェクション
   データベースの言語であるSQLを使って、Webアプリケーションの入力画面で不適切なSQLを入力し、アプリケーションが想定していない動作を実行させます。
4. OSコマンドインジェクション
   SQLインジェクションと同じように、OSに誤動作を起こさせる攻撃です。
5. DDoS攻撃
   標的のコンピューターに大量の処理負荷を与え、機能停止に追い込みます。
6. ブルートフォースアタック
   Webアプリケーションのパスワードを総あたりで解析する行為です。
7. ディレクトリトラバーサル
   ファイルやフォルダの位置を、相対パスを使って把握し不正アクセスを起こす攻撃です。

保護対象となるWebサーバーにWAFのソフトウェアをインストールし、通信内容を検査する方法です。「ホスト型」と呼ばれる場合もあります。

専用機を必要としないため、アプライアンス型と比べると低コストで導入できます。ネットワーク環境の構成変更も不要で、他のサーバーや端末への影響もありません。

アプライアンス型WAF

各組織のネットワーク内に、WAFの専用機器を設置する方式です。「ゲートウェイ型」「ネットワーク型」と呼ばれる場合もあります。

専用機器はWebサーバーからは独立して動作するため、Webサーバーに負荷が掛かりません。また専用機器の性能や、設定など柔軟に行うことが可能です。

一方で他の2つのWAFに比べると導入・運用のコストは高めです。また企業の方針に沿って柔軟で強固なセキュリティ対策ができる分、情報システム担当者は専門知識を持つ必要があります。アプライアンス型は、スペックの高いWebサーバーを複数使用しているような、大規模な情報システムに向いています。

クラウド型はインターネットを経由してクラウドサービスを受ける形態で、「サービス型」とも呼ばれます。

専用機器が不要であること、導入までの期間が短いことから、WAFの中では最も導入費用が低い傾向にあります。また通信量や監視対象となるURLの数によって費用が決まり、コストの調整も可能です。企業のネットワーク構成も変更する必要がありません。したがって費用を抑えてセキュリティ対策を行いたい企業に向いています。

一方でクラウドサービスならではの特徴として、カスタマイズが容易にできないこと、サービス提供者側で起こるシステム障害やネットワーク障害などの影響を受ける可能性があるというデメリットもあります。また通信量や監視対象のURLが増えることで費用が高くなる可能性があるため、定期的に適正価格かどうかを見直すことも必要です。

今回は、Webアプリケーションの脆弱性を悪用した攻撃へのセキュリティ対策「WAF」についてご紹介しました。

WAFによるセキュリティ対策は有効かつ有用ですが、セキュリティレベルが厳しすぎるとWAFが大量のアラートを出したり、ユーザーが利用できなくなったりする可能性もあります。

求めるセキュリティ対策を明確にし、自社にあった形態を選ぶようにしましょう。