WAFとは？今さら聞けないセキュリティ対策の仕組みを解説

Webアプリケーションの脆弱性を悪用した攻撃への対策のひとつに「WAF」があります。

このWAFとは、従来のファイアウォールやIPS/IDSとどのように違うのでしょうか。

今回はWAFの種類や仕組みについて、Webセキュリティ初心者の方でも分かりやすいように詳しくご紹介します。

目次

1. WAFとは何か
2. WAFの仕組み
3. WAFの必要性
4. WAFの基本的な機能
5. WAFで対応可能な攻撃の種類
6. WAFの種類
7. WAFによるセキュリティ対策を万全にするための注意点
8. まとめ
9. 【お役立ちコラム】WAF導入時や運用上の注意点

WAF（Web Application Firewall）は、Webアプリケーションの脆弱性を突いた攻撃へ対するセキュリティ対策のひとつです。ネットショッピングやゲーム、インターネットバンキングなど、顧客情報やクレジットカード情報に関するデータのやり取りが発生するWebサービスが保護対象となります。

WAF導入をお勧めしたい組織の一例

1. ECサイトなどオンラインショッピングの事業を行っている

2. 会員制Webサイトなど会員の個人情報を取り扱っている

3. Web経由で他社へサービスを提供している

WAFはWebアプリケーション内に直接実装するものではなく、Webアプリケーションの前面やネットワークに配置し、脆弱性を悪用した攻撃を検出・低減する対策です。WAFの形態によっては、複数のWebアプリケーションに対する攻撃をまとめて防御することもできます。WAFは直接管理・改修することができないWebアプリケーションに対策を施したい場合や、Webアプリケーションの脆弱性を修正することが難しい場合に有効です。あるいは修正に時間が掛かるためすぐに対策を採りたい場合にも役立ちます。

WAFを導入・運用する際に注意が必要な点については「WAF導入時や運用上の注意点とは？誤検知などのトラブル対策法」コラムでご紹介しています。

無料ダウンロード

【コスト比較表も】安全なWebサイトの運営で気を付けるべきポイントとWAF製品サービスの選び方

Webサイトのセキュリティ対策で気を付けるべき脆弱性の原因と対策をまとめました。チェックリストもありますので、ご活用ください。

ダウンロード»

ところで、WAFと似ているセキュリティ対策としてファイアウォールやIPS/IDSがありますが、WAFとの間にはどのような違いがあるのでしょうか。これから説明していきます。

ファイアウォールとの違い

ファイアウォール（Firewall）は、ネットワークレベルでの対策であり、通信において送信元情報と送信先情報（IPアドレス、ポート番号ほか）を元にして、アクセスを制限するソフトウェアおよびハードウェアのことを指します。ファイアウォールは外部へ公開する必要がなく、社内でのみ使用する情報システムへの外部からのアクセスを制限することは可能です。

しかし、外部へ公開する必要のあるWebアプリケーションに制限を掛けることはできません。外部へ公開するWebアプリケーションのセキュリティ対策は、ファイアウォールではなくWAFの範疇となります。

IPS/IDSとの違い

IPS（Intrusion Prevention System）は不正侵入防止システムとも呼ばれる、プラットフォームレベルでのセキュリティ対策を行うソフトウェア・ハードウェアを指します。

OSやミドルウェアの脆弱性につけ込んで攻撃を行うケースや、ファイル共有サービスへの攻撃を行うケースなど、さまざまな種類の攻撃への対策が可能です。Webサイトの管理者などによって設定された検出パターンに基づき、あらゆる種類の機器への通信を検査しブロックします。

IDS（Intrusion Detection System）は不正侵入検知システムとも呼ばれ、異常な通信を検知するものです。IPS/IDSはさまざまな攻撃への対策手段となり得ますが、Webアプリケーションへの攻撃は多様化しているため、WAFほど詳細に検知できない場合もあります。

ファイアウォールやIPS/IDSではカバーできない範囲のセキュリティ対策が行えるとされているWAFですが、どのような仕組みになっているのでしょうか。

WAFでは、攻撃の検知に「シグネチャ」を用います。シグネチャとは、アクセスのパターンを記録しているものです。Webアプリケーションへのアクセスのパターンを、シグネチャを用いて照合し、通信可否の判断を行う仕組みです。

シグネチャの定義の方法には、ブラックリスト型とホワイトリスト型があります。

ブラックリスト型

ブラックリスト型では既知の攻撃パターン、すなわち「拒否する通信」をシグネチャに定義しておき、シグネチャに一致する通信を拒否します。複数のWebアプリケーションに対して適用することが可能ですが、未知の攻撃には対応することができません。ブラックリスト型で最新の攻撃を検知するためには、攻撃の方法が分かり次第、シグネチャの更新が必要となります。

ホワイトリスト型

ホワイトリスト型は、「許可する通信」をシグネチャに定義し、シグネチャと一致しなかった通信についてはすべて拒否し、不正アクセスの防止を図っています。未知の攻撃を防ぎ、Webアプリケーションに応じて柔軟な対応ができるのです。一方で、「許可する通信」の定義が難しく、Webアプリケーションごとにホワイトリストを用意する必要があるため、運用が大変になる可能性があります。

一般公開され誰でもアクセスできるWebサイトは、サイバー攻撃のターゲットとされやすいです。独立行政法人 情報処理推進機構（IPA）が発表した「ソフトウェア等の脆弱性関連情報に関する届出状況」によると、2021年の脆弱性の届出件数の累計件数のおよそ7割以上がWebサイトに関するものだと報告されています。なかでも、クロスサイト・スクリプティング（XSS）やSQLインジェクションなど、Webアプリケーションの脆弱性につけ込んだ被害が大部分を占めています。

Webアプリケーションの仕組みは年々複雑化しており、さまざまなアプリケーションやシステムとの連携で思いがけない脆弱性が見つかる場合があります。さらに、脆弱性を狙ったサイバー攻撃の手口も日々増加・多様化しており、未知の攻撃に備える必要性も高まっています。

また、セキュリティ製品は、その種類によって対応可能な攻撃の種類も異なります。WAF以外のセキュリティ製品では、Webアプリケーションのセキュリティ対策を行うのが難しいこともWAFが必要な理由の1つです。

このような背景から、ファイアウォールやIPS/IDSなどの他の方法では代替できない、Webアプリケーションに特化したセキュリティ対策としてWAFの必要性が高まっているのです。

WAFには大きく分けて以下の5つの機能があります。

1. 通信監視および通信制御

• WAFの基本機能です。WAFは常に通信を監視し、シグネチャを利用して通信の許可・不許可を決定します。アクセスがある度にシグネチャに記録したアクセスのパターンと照合し、ホワイトリスト型であれば一致した通信を許可、ブラックリスト型であれば一致した通信を拒否します。

2. シグネチャの自動更新

   • クラウド型WAFの場合、シグネチャが定期的に自動更新され、ユーザー自身が手間のかかる更新処理をしなくても常に最新状態を維持することができます。これにより、新たなサイバー攻撃の手口にもいち早く対応できるようになります。クラウド型以外の形式の場合は手動で設定を更新しなければならないケースもあるため、注意が必要です。

3. Cookieの保護

   • WAFは、Webブラウザの閲覧情報を記録するCookieを保護することもできます。サイバー攻撃のなかにはCookieを標的としたものも多く、改ざんやセッションの乗っ取りなども多いです。 こういった攻撃を防ぐため、WAFにはCookieの暗号化機能などのCookieの保護機能が実装されています。この機能があれば、Cookieを不正に入手した攻撃者がなりすまして不正アクセスしてきた場合にもWebアプリケーションを守ることができます。

4. 特定URLの除外やIPアドレスの拒否

   • セキュリティ脅威を疑う必要のないURLへのアクセスは、あらかじめWAFのチェック対象から除外しておくことが可能です。特定URLの除外機能を活用すれば、通信パフォーマンスを落とさずに業務に必要なWebページへのアクセスができるようになります。また、サイバー攻撃に使用されるIPアドレスなど、特定のIPアドレスからのアクセスを除外することも可能です。これにより、通信内容のチェック処理を実施せずにIPアドレスが判明した時点でアクセス拒否できるため、通信パフォーマンスの低下を防ぐこともできます。

5. ログ収集およびレポート出力

   • WAFが不正と認識したアクセスやサイバー攻撃の種類などは、WAFが提供するログやレポート上で確認することができます。製品によっては、攻撃のパターンや攻撃元のアクセス数を統計データで提供してくれるものもあります。こういったデータを活用すれば、新たな攻撃手法の検知や事後対策がしやすくなり、セキュリティ対策の強化や改善に役立ちます。

WAFの仕組みを理解できたところで、実際にどのような攻撃を防ぐことができるのかが気になる方も多いのではないでしょうか。WAFは、以下のような種類の攻撃に対応することができます。

1. バッファオーバーフロー

   悪意ある第三者が標的のコンピューターに許容量以上のデータを送りつけて、コンピューターが誤作動を起こした後に、コンピューターを乗っ取る攻撃です。

2. クロスサイトスクリプティング

   SNSや掲示板サイトなど、ユーザーが入力操作できるサイトに仕掛けられたスクリプトをユーザーが実行すると、個人情報の入力画面に遷移したり、意図しない投稿が拡散されたりするものです。

3. SQLインジェクション

   データベースの言語であるSQLを使って、Webアプリケーションの入力画面で不適切なSQLを入力し、アプリケーションが想定していない動作を実行させます。SQLインジェクションの仕組みをイラストで解説したコラム「SQLインジェクションとは？仕組みと対策を紹介」もありますので、併せてご覧ください。

4. OSコマンドインジェクション

   SQLインジェクションと同じように、OSに誤動作を起こさせる攻撃です。

5. DDoS攻撃

   標的のコンピューターに大量の処理負荷を与え、機能停止に追い込みます。

6. ブルートフォースアタック

   Webアプリケーションのパスワードを総あたりで解析する行為です。

7. ディレクトリトラバーサル

   ファイルやフォルダの位置を、相対パスを使って把握し不正アクセスを起こす攻撃です。

WAFの提供形態は「ソフトウェア型」「アプライアンス型」「クラウド型」の3つに大別されます。この3つの種類には、それぞれどのような特徴があるのでしょうか。

ソフトウェア型WAF

保護対象となるWebサーバーにWAFのソフトウェアをインストールし、通信内容を検査する方法です。「ホスト型」と呼ばれる場合もあります。

専用機を必要としないため、アプライアンス型と比べると低コストで導入できます。ネットワーク環境の構成変更も不要で、他のサーバーや端末への影響もありません。

アプライアンス型WAF

各組織のネットワーク内に、WAFの専用機器を設置する方式です。「ゲートウェイ型」「ネットワーク型」と呼ばれる場合もあります。専用機器はWebサーバーからは独立して動作するため、Webサーバーに負荷が掛かりません。また専用機器の性能や、設定など柔軟に行うことが可能です。

一方で他の2つのWAFに比べると導入・運用のコストは高めです。また企業の方針に沿って柔軟で強固なセキュリティ対策ができる分、情報システム担当者は専門知識を持つ必要があります。アプライアンス型は、スペックの高いWebサーバーを複数使用しているような、大規模な情報システムに向いています。

クラウド型WAF

クラウド型はインターネットを経由してクラウドサービスを受ける形態で、「サービス型」とも呼ばれます。

専用機器が不要であること、導入までの期間が短いことから、WAFの中では最も導入費用が低い傾向にあります。また通信量や監視対象となるURLの数によって費用が決まり、コストの調整も可能です。企業のネットワーク構成も変更する必要がありません。

したがって費用を抑えてセキュリティ対策を行いたい企業に向いています。

一方でクラウドサービスならではの特徴として、カスタマイズが容易にできないこと、サービス提供者側で起こるシステム障害やネットワーク障害などの影響を受ける可能性があるというデメリットもあります。また通信量や監視対象のURLが増えることで費用が高くなる可能性があるため、定期的に適正価格かどうかを見直すことも必要です。

WAFは正しく活用してこそ本来の力を発揮します。万全なセキュリティ対策を行うためのポイントを押さえておきましょう。

誤検知・誤遮断が発生する可能性がある

WAFを活用する場合、通信を機械で検知・判断します。そのためセキュリティレベルが厳しすぎると、正常な通信を誤って不正と判断して遮断してしまう場合があります。

誤検知が起きた場合、シグネチャの設定内容を修正したり社内で利用する通信方法を見直したりしなければなりません。誤検知・誤遮断の予防や発生した場合の事後対応を行うには、専門の担当者が必要となります。運用サービスも併せて提供されるクラウド型のWAFを活用するか、運用自体をアウトソーシングすることで対策できます。

WAF導入時や運用上の注意点については、以下の記事で詳しく解説しています。

おすすめ記事

WAF導入時や運用上の注意点とは？誤検知などのトラブル対策法

WAFを導入・運用する際に注意が必要な点についてご紹介しています。WAFを導入するにあたって誤検知などのトラブル対策が気になっているIT担当の方はぜひチェックしてください。

詳しく »

WAFでは防げない攻撃もある

WAFはWebアプリケーションの保護に適したセキュリティ対策ですが、WAFでは防げない攻撃もあります。例えば、botによる不正ログインがあった場合、OSやミドルウェア、ネットワークに対して攻撃があった場合などは、WAFだけでは防御することはできません。他のセキュリティ手法と組み合わせて対策する必要があります。自社に適したセキュリティ対策について知りたい場合は、セキュリティを専門とするITベンダーへ相談するのが良いでしょう。

ＪＢサービス株式会社では、WAFの導入・運用についてはもちろん、さまざまなセキュリティ対策の導入にまつわるご相談を承っております。ぜひお気軽にご相談ください。

今回は、Webアプリケーションの脆弱性を悪用した攻撃へのセキュリティ対策「WAF」についてご紹介しました。

WAFによるセキュリティ対策は有効かつ有用ですが、セキュリティレベルが厳しすぎるとWAFが大量のアラートを出したり、ユーザーが利用できなくなったりする可能性もあります。

求めるセキュリティ対策を明確にし、自社にあった形態を選ぶようにしましょう。