WAFとは?導入に向けてわかりやすく解説


近年、様々なサービスの電子化で私たちの生活が便利になる一方、サイバー攻撃による被害も深刻化しつつあります。

日々進化し続けるサイバー攻撃から被害を受けないためにはセキュリティ対策が重要ですが、その対策方法は様々です。

そこで本記事ではWebサイトの防御に活用されるWAF(Web Application Firewall)について説明していきます。

WAFとは

WAF(ワフ)とは、Web Application Firewallの頭文字をとった略称のことで、Webアプリケーション防御に特化したファイアウォールのこと。

ちなみにファイアウォールとは情報システムを悪意のある通信から防御する為の防火壁を意味します。

なぜWebサイトにはWAFが必要なのか?

近年、様々なサービスがオンラインで利用できるようになり利便性が高まる一方、Webサイトには個人情報やクレジットカード情報などの重要な情報を保管するシステムと連携されるケースが増えてきています。

そのため情報漏洩などが発生した場合、自身のWebサイト自体だけではなく運営企業やステークホルダーにも被害を及ぼしかねず信用問題となりかねません。

ITシステムの防御にはファイアウォールを利用する事が一般的な対策として導入されていますが、多様化するWebサイトを狙ったサイバー攻撃に対してファイアウォールだけでは万全な防御をすることが難しい状況です。

そこで重要な情報を扱うWebサイトはWAFの追加導入などを実施し、サイバー攻撃への防御力を高める事が推奨されています。

WAFとIPSやFWの違い

ネットワークやサーバを外部から守る攻撃手段の代表的なものとして、内部ネットワークの防御に活用される F/W(ファイアウォール)、OSやミドルウェア層に対する攻撃の防御に特化した IPS(IDS)、Webアプリケーション防御に特化した WAF(Webアプリケーションファイアウォール)があります。それぞれ守れる領域や得意分野が異なりますので、どの製品が優れているという事では無く、どのような攻撃からシステムを守りたいのかを考えて、最適なセキュリティを複数組み合わせて選定することが望ましいです。

WAF導入を検討する際に抑えるポイント

一般に、WAFは次の4つのタイプに分かれます。

ソフトウェア型

  • 特徴→Webサーバへエージェントプログラムをインストールするタイプ。
  • メリット→基本的にネットワーク構成変更不要。小台数から利用可能。
  • デメリット→サーバ負荷が上昇する場合がある。Webサーバの台数分必要になるので大規模システムだと費用が高額になる可能性がある。

ネットワーク型

  • 特徴→Webサーバの外に専用機器を設置するタイプ。
  • メリット→機能が豊富な製品が多い。不要な通信を遮断してくれるためサーバへの負荷が掛からない。
  • デメリット→初期費用が高額になりやすい。ネットワークの構成変更が必要WAF機器がボトルネックやシングルポイントになる可能性がある。

SaaS/クラウド型

  • 特徴→ネットワーク型と同じだがインターネット上にあるWAFを利用するタイプ。
  • メリット→DNS変更のみで利用が可能。
  • デメリット→ネットワークの構成変更が必要になる。帯域幅での契約となるのでWAFがボトルネックになる可能性がある。

クラウドサービス連動

  • 特徴→クラウド事業社が提供するWAFを利用するサービス
  • メリット→初期費用が安価で開始できる。ネットワーク構成変更無しで利用可能。
  • デメリット→従量課金の為、アクセス集中時に費用が上がる場合がある。対象のクラウド環境のみでしか利用できない。

▼4タイプの特徴ポイント一覧表

タイプ初期費用機能数導入難易度運用難易度
ソフトウェア型
ネットワーク型
SaaS/クラウド型
クラウドサービス連動

WAFによる防御の仕組みや動作について

一般的なWAFの防御方法はWebサイトへのサイバー攻撃に利用される通信内容のパターン(シグネチャ)とWAFを通過する通信内容を比較判定しシグネチャの内容とマッチした通信は悪意があると判定し対象通信をブロックします。
シグネチャについて一般的なWAFでは定期的に内容の追加や見直しが自動で実施されWebシステムへのサイバー攻撃成功のリスクを低減させます。
但しWAFは通信内容を判定はWebアプリケーション用途の通信(HTTP/HTTPS)のみに対応となることがほとんどの為、ファイアウォールなどの既存の防御手段が不要となるわけではありません。

WAFによるセキュリティ対策導入効果

Webアプリケーションのセキュリティを大幅に向上

WAFを導入することにより、Webアプリケーションのセキュリティを大幅に向上させることができます。Webアプリケーションのセキュリティ対策をしたいからといってWAFのみを導入すると、FWが無いせいでWEBアクセスとは別の経路で内部ネットワークに侵入され、結果顧客のデータを盗まれてしまった…ということにもなりかねません。そのためWAFだけでなくFW、IPSも上手く組み合わせていくことも大切です。複数の壁を作り何重にも渡ってチェックをすることで、近年の高度化した攻撃から身を守ることができます。

コスト、セキュリティ運用負担の軽減

WAFを導入することでコストや仕事を減らすことができるという効果もあります。

今まで人間の手で監視、攻撃が無いかの検出、防御までを実施していたところ、定額それと同等、もしくはそれ以上の品質のセキュリティを実現することができ、その監視業務を担当していた人員を削減することも可能です。

サービス

CyberNEO WAF Edition

自立型AIセキュリティクラウドサービスCyberNEO AWS/Azure WAFはパブリッククラウドサービスを活用してサービスを展開し、AWS/Azure WAFを利用してセキュリティサービスを強化したいクラウド利用者様に最適なプラットフォームになります。

CyberNEOは、セキュリティ専門家とデータサイエンティストの知見をAI化。24時間365日の監視業務、ログ分析による不正アクセスの検出、脅威・攻撃分析・攻撃手法の解析、初期対応までの役割を自動化して提供致します。

脆弱性診断

自社のWebページ、アプリケーション等のサービスでセキュリティリスクの安全性を確認したい方は脆弱性診断サービスを利用の検討をしてみてはいかがでしょうか?

Webサイトに潜むセキュリティ上の問題点(脆弱性)を、攻撃者の視点から調査し、検査するサービスです。本サービスはWebアプリケーションのセキュリティに精通し、SANS, EC-Council などセキュリティ教育機関が認定した専門家により診断します。