WAFとは?今さら聞けないセキュリティ対策の仕組みを解説
Webアプリケーションの脆弱性を悪用した攻撃への対策のひとつに「WAF」があります。このWAFとは、従来のファイアウォールやIPS/IDSとどのように違うのでしょうか。
今回はWAFの種類や仕組みについて、Webセキュリティ初心者の方でも分かりやすいように詳しくご紹介します。
WAFとは何か
 |
WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。ネットショッピングやゲーム、インターネットバンキングなど、顧客情報やクレジットカード情報に関するデータのやり取りが発生するWebサービスが保護対象となります。 |
WAFは直接管理・改修することができないWebアプリケーションに対策を施したい場合や、Webアプリケーションの脆弱性を修正することが難しい場合に有効です。あるいは修正に時間が掛かるためすぐに対策を採りたい場合にも役立ちます。
ところで、WAFと似ているセキュリティ対策としてファイアウォールやIPS/IDSがありますが、WAFとの間にはどのような違いがあるのでしょうか。
 |
ファイアウォールとの違いファイアウォール(Firewall)は、ネットワークレベルでの対策であり、通信において送信元情報と送信先情報(IPアドレス、ポート番号ほか)を元にして、アクセスを制限するソフトウェアおよびハードウェアのことを指します。 |
IPS/IDSとの違い
IPS(Intrusion Prevention System)は不正侵入防止システムとも呼ばれる、プラットフォームレベルでのセキュリティ対策を行うソフトウェア・ハードウェアを指します。OSやミドルウェアの脆弱性につけ込んで攻撃を行うケースや、ファイル共有サービスへの攻撃を行うケースなど、さまざまな種類の攻撃への対策が可能です。Webサイトの管理者などによって設定された検出パターンに基づき、あらゆる種類の機器への通信を検査しブロックします。
IDS(Intrusion Detection System)は不正侵入検知システムとも呼ばれ、異常な通信を検知するものです。
IPS/IDSはさまざまな攻撃への対策手段となり得ますが、Webアプリケーションへの攻撃は多様化しているため、WAFほど詳細に検知できない場合もあります。
WAFの仕組み
 |
ファイアウォールやIPS/IDSではカバーできない範囲のセキュリティ対策が行えるとされているWAFですが、どのような仕組みになっているのでしょうか。 |
ブラックリスト型
ブラックリスト型では既知の攻撃パターン、すなわち「拒否する通信」をシグネチャに定義しておき、シグネチャに一致する通信を拒否します。複数のWebアプリケーションに対して適用することが可能ですが、未知の攻撃には対応することができません。ブラックリスト型で最新の攻撃を検知するためには、攻撃の方法が分かり次第、シグネチャの更新が必要となります。
ホワイトリスト型
ホワイトリスト型は、「許可する通信」をシグネチャに定義し、シグネチャと一致しなかった通信についてはすべて拒否し、不正アクセスの防止を図っています。未知の攻撃を防ぎ、Webアプリケーションに応じて柔軟な対応ができるのです。一方で、「許可する通信」の定義が難しく、Webアプリケーションごとにホワイトリストを用意する必要があるため、運用が大変になる可能性があります。
クラウドWAFのBarracuda WAF
as-a-Service SMAC Edition
WAFで対応可能な攻撃の種類
 |
WAFの仕組みを理解できたところで、実際にどのような攻撃を防ぐことができるのかが気になる方も多いのではないでしょうか。WAFは、以下のような種類の攻撃に対応することができます。 |
バッファオーバーフロー
悪意ある第三者が標的のコンピューターに許容量以上のデータを送りつけて、コンピューターが誤作動を起こした後に、コンピューターを乗っ取る攻撃です。
クロスサイトスクリプティング
SNSや掲示板サイトなど、ユーザーが入力操作できるサイトに仕掛けられたスクリプトをユーザーが実行すると、個人情報の入力画面に遷移したり、意図しない投稿が拡散されたりするものです。
SQLインジェクション
データベースの言語であるSQLを使って、Webアプリケーションの入力画面で不適切なSQLを入力し、アプリケーションが想定していない動作を実行させます。
OSコマンドインジェクション
SQLインジェクションと同じように、OSに誤動作を起こさせる攻撃です。
DDoS攻撃
標的のコンピューターに大量の処理負荷を与え、機能停止に追い込みます。
ブルートフォースアタック
Webアプリケーションのパスワードを総あたりで解析する行為です。
ディレクトリトラバーサル
ファイルやフォルダの位置を、相対パスを使って把握し不正アクセスを起こす攻撃です。
WAFの種類
WAFの提供形態は「ソフトウェア型」「アプライアンス型」「クラウド型」の3つに大別されます。この3つの種類には、それぞれどのような特徴があるのでしょうか。
ソフトウェア型WAF
 |
保護対象となるWebサーバーにWAFのソフトウェアをインストールし、通信内容を検査する方法です。「ホスト型」と呼ばれる場合もあります。 |
アプライアンス型WAF
各組織のネットワーク内に、WAFの専用機器を設置する方式です。「ゲートウェイ型」「ネットワーク型」と呼ばれる場合もあります。
専用機器はWebサーバーからは独立して動作するため、Webサーバーに負荷が掛かりません。また専用機器の性能や、設定など柔軟に行うことが可能です。
一方で他の2つのWAFに比べると導入・運用のコストは高めです。また企業の方針に沿って柔軟で強固なセキュリティ対策ができる分、情報システム担当者は専門知識を持つ必要があります。アプライアンス型は、スペックの高いWebサーバーを複数使用しているような、大規模な情報システムに向いています。
クラウド型WAF
 |
クラウド型はインターネットを経由してクラウドサービスを受ける形態で、「サービス型」とも呼ばれます。 |
Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策
まとめ
今回は、Webアプリケーションの脆弱性を悪用した攻撃へのセキュリティ対策「WAF」についてご紹介しました。
WAFによるセキュリティ対策は有効かつ有用ですが、セキュリティレベルが厳しすぎるとWAFが大量のアラートを出したり、ユーザーが利用できなくなったりする可能性もあります。求めるセキュリティ対策を明確にし、自社にあった形態を選ぶようにしましょう。
WAFに関連するコラム
エンジニアによる製品・サービスの検証内容や技術的なお役立ち情報をブログ形式でご紹介します。
Azureへのウェブ攻撃の実態
概要最も使われているCMS「WordPress」をAzureのIaaS環境にセットアップし、どのような攻撃がウェブサイトへやってるくるか検証した内容をご紹介します。 |
便利なWordPressに潜む危険性
概要日本国内でも多くのウェブサイトで利用されているWord Pressに潜む危険性をスキャンしてみた結果をご紹介・解説します。 |
WAFに関するお問い合わせ
〔クラウド型WAF〕Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策
Barracuda WAF-as-a-Service SMAC Editionは、Webサイトをサイバー攻撃から防御するクラウド型Webセキュリティサービスです。エンタープライズレベルの防御機能をお手軽な月額料金でご利用可能です。
多くのウェブサイトで利用されているWord Pressに潜む危険性をスキャンしてみた結果をご紹介・解説します。
Barracuda WAF as a Serviceは、Webサイトをサイバー攻撃から防御するクラウド型Webセキュリティサービスです。
最も使われているCMS「WordPress」をAzureのIaaS環境にセットアップし、どのような攻撃がウェブサイトへやってるくるか検証した内容をご紹介します。