Webアプリケーションは、サービスの提供や顧客との接点作りなどを行う重要なツールとなっています。しかし、Webアプリケーションには高い確率で脆弱性が含まれており、それを狙ったサイバー攻撃が頻発しています。

Webアプリケーションがサイバー攻撃の標的になると、顧客情報の流出やWebサイトの改ざん、サーバーダウンなど甚大な被害を受ける可能性があります。

数あるセキュリティ対策の中でも、Webアプリケーションの防御に特化したのが「WAF」です。WAFの導入前には、種類ごとの効果やファイアウォールとの違いなどを事前に理解したうえで、自社に必要なのか慎重に検討する必要があります。

本記事では、WAFの必要性やファイアウォール・IDS/IPSとの違い、WAFの種類と特徴についてご紹介します。

WAF(ワフ)とは?他のセキュリティ対策との違いを理解しよう

WAF(ワフ)とは?他のセキュリティ対策との違いを理解しよう

WAF(Web Application Firewall)とは、Webアプリケーションに対する攻撃を防ぐセキュリティ対策です。

ファイアウォールの一種であり、Webアプリケーションとインターネットの間に立ち、HTTPトラフィックを監視して、悪意のあるプログラムの検出とブロックを行います。

ECサイトやインターネットバンキングなどのWeb上で顧客情報のやり取りをするサービスを保護するのに最適です。
 

WAFとファイアウォールやIDS/IPSとの違い

 

 

WAF

ファイアウォール

IDS/IPS

防御対象

Webアプリケーション

内部ネットワーク

ネットワーク全体

対応可能な主な攻撃

クロスサイトスクリプティング

SQLインジェクション

ポートスキャン

DoS攻撃

SYNフラッド攻撃

セキュリティ対策ソフトはいくつもあるため、各ソフトの特徴を理解したうえで、自社に最適なソフトを導入する必要があります。WAFの導入を検討する場合、ファイアウォールとIDS/IPS、SSL証明との違いを理解することで、最適なセキュリティ対策が選べます。以下では、WAFと各セキュリティ対策との違いを解説します。
 

ファイアウォールとの違い

ファイアウォールは、内部ネットワークのセキュリティ対策です。IPアドレスやポート番号などをもとに、不正な通信の侵入をブロックします。しかし、通信内容の確認は行えないため、偽装した攻撃の防止はできません。ファイアウォールでは外部へ公開するアプリケーションの防御まで及ばないため、Webアプリケーションの保護にはWAFが必要です。

ファイアウォールについては以下の記事でも詳しく解説しています。ご興味のある方はぜひご覧ください。

IDS/IPSとの違い

IDS/IPSは、ネットワークへの不正アクセスを検知するセキュリティ対策で、それぞれIntrusion Detection System(不正侵入検知システム)、Intrusion Prevention System(不正侵入防止システム)の略称です。

情報内容自体の検知ができ、かつ防御範囲がネットワーク全体と広域に及ぶのが特徴です。ただし、防御範囲が広いゆえに、Webアプリケーションの脆弱性をついた攻撃には対応できないことがあります。 WAFは、Webアプリケーションの防御に特化しているため、IDS/IPSでも検知できない攻撃の検出が可能です。
 

SSL証明書との違い

SSLとは、Webサーバーとブラウザ間の通信を暗号化する技術です。SSLがあることで、クレジットカードや顧客情報などが暗号化され、第三者に盗聴されるリスクがなくなります。しかし、SSLは不正な通信までも暗号化するため、WAFが暗号化された不正アクセスを検知できなくなります。

これを回避するために、WAFにSSL証明書をインストールして、暗号化された通信内容も解読できるようにする方法があります。SSL機能がない場合は、SSL機能を持った機器の後ろにWAFを設置することで、暗号化された通信の検査が可能になります。

Link to Child Article SSL証明書
 

サイバーセキュリティ対策におけるWAFの必要性

サイバーセキュリティ対策におけるWAFの必要性

企業にとって、Webアプリケーションは製品紹介や顧客情報を収集する重要なツールとなっています。一方で、Webアプリケーションの脆弱性を狙ったサイバー攻撃は増加し続けています。このような状況だからこそ、Webアプリケーションの防御に特化したWAFが有効です。以下では、WAFの必要性について解説します。
 

ISMSの実現

ECサイトやWebブラウザを通してサービスを提供するのが一般的になった現代では、ISMS(Information Security Management System:情報セキュリティマネジメント)の重要性が増しています。特にサイバー攻撃の標的になりやすいのが、Webサイトやアプリケーションの脆弱性です。

一般社団法人JPCERTコーディネートセンターと独立行政法人情報処理推進機構(IPA)との共同研究によると、2004年7月8日から2020年9月30日までに同団体が受け付けた脆弱性関連情報の届け出のうち、Webアプリケーションの脆弱性が約7割を占めているのです。

Webアプリケーションに脆弱性が含まれるのは一般的であり、そこを狙われるのは不思議ではありません。 WAFを導入すれば、アプリケーションの脆弱性をカバーでき、ISMSの実現へと繋がります。
 

PCI DSSの準拠

PCI DSSは、クレジット業界におけるグローバルセキュリティ基準です。PCI DSSには12の要件があり、その中の一つに「安全性の高いシステムとアプリケーションを開発し、保守すること」が含まれています。この要件を満たすには、WAFの導入もしくはアプリケーションの改修が必要となるのです。WAFを導入すれば、PCI DSSの準拠が可能となり、顧客からの信頼性が高められます。
 

WAFの代表的な仕組みを押さえよう

WAFは、不正な通信やプログラムを検出するために「シグネチャ」と呼ばれるルールを用います。そして、シグネチャの登録方法で「ブラックリスト型」と「ホワイトリスト型」の2種類に分類できるのです。以下では、それぞれのWAFの仕組みについて解説します。
 

ブラックリスト型

事前に登録したシグネチャと一致した通信を拒否するWAFです。過度のアクセスに対応できる、運用が簡単などのメリットがある一方で、事前登録していない攻撃には対応できません。 定期的にシグネチャの更新をし、最新の攻撃に備える必要があります。
 

ホワイトリスト型

ブラックリスト型とは対照的に、許可する通信をシグネチャに登録し、登録シグネチャと一致しなかった通信をブロックします。未知の攻撃に対応できる一方、Webアプリケーションごとに許可する通信を細かに定義する必要があるため、運用が難しいというデメリットがあります。
 

WFAで防ぐことができるサイバー攻撃の種類

WFAで防ぐことができるサイバー攻撃の種類

それでは具体的に、WAFを導入することで、どのようなサイバー攻撃に備えられるのでしょうか。以下では、WAFが防げる5つのサイバー攻撃を紹介します。
 

1.DDoS攻撃

DDoS攻撃とは、複数の機器を利用して、Webアプリケーションに過剰なアクセスやデータを送る攻撃です。短時間でサーバーに大きな負担をかけるため、サーバーダウンによるサービスの停止やネットワークの遅延、それに伴う金銭的被害を起こします。DDoS攻撃への対策としては、WAFやIPアドレスの制限、国単位でのアクセス制限などが有効です。
 

2.バッファオーバーフロー

バッファオーバーフローは、Webアプリケーションの脆弱性を狙った攻撃です。大まかな仕組みは、コンピューターに許容以上のデータを送り誤作動を引き起こした後、乗っ取りや他のコンピューターへの攻撃を行います。バッファオーバーフローの標的になると、管理者権限が乗っ取られ、顧客情報の流出やページ改ざんなどの被害が発生します。
 

3.SQLインジェクション

SQLインジェクションとは、攻撃者がWebアプリケーション上で不適切なSQLを入力し、想定外の動作を引き起こさせる攻撃です。SQL(Structured Query Language)は、データベースサーバーを命令する言語であり、Webアプリケーションのデータベースにユーザーの入力情報を送信する際に用いられます。

SQLインジェクションの標的になると、攻撃者にデータベースが乗っ取られ、Webサイトの改ざんや機密情報の漏えいなどの被害が起こります。株式会社サイバーセキュリティクラウド発表の「2021年上半期サイバー攻撃検知レポート 」によれば、SQLインジェクションの検知数は前年同時期と比べ約500万件増加していることから、より一層の注意が求められています。
 

4.クロスサイトスクリプティング(XSS)

クロスサイトスクリプティング(XSS:cross site scripting)は、Webアプリケーション上に悪意のあるスクリプトを仕掛け、ユーザーがリンクのクリックなどをしてスクリプトを実行すると、マルウェア感染やユーザーの個人情報搾取などを引き起こす攻撃です。

クロスサイトスクリプティング(XSS)の対策としては、スクリプトを無害化する「サニタイジング」や「入力値の制限」が有効です。しかし、これら2つの対策はWebアプリケーション作成段階に行われ、対策漏れが生じる可能性があります。

そこでWAFも組み合わせることで、クロスサイトスクリプティング(XSS)の対策漏れをなくすことができるのです。
 

5.OSコマンドインジェクション

OSコマンドインジェクションとは、攻撃者が不適切なOSコマンドを実行し、想定外の動作を引き起こさせる攻撃です。攻撃者は自由にデータベースを操れるため、情報漏えいやWebアプリケーションの改ざんなどの被害が生じます。

OSコマンドインジェクションは、Webアプリケーションの脆弱性をついた攻撃のため、脆弱性がないようにWebアプリケーションの開発をする必要があります。しかし、丁寧に作り込んでも脆弱性が生じるリスクはあるため、WAFの導入が有効です。
 

導入前に知っておきたい。WAFの種類と特徴

WAFには、アプライアンス型・ホスト型・クラウド型の3種類があります。以下では、自社に最適なWAFの種類を選べるよう、それぞれの特徴を解説します。
 

アプライアンス型

導入前に知っておきたい。WAFの種類と特徴1

アプライアンス型は、ネットワーク上に専用機器を設置するタイプのWAFです。WAFは独立して稼働するため、Webサーバーに負荷はかかりません。導入と運用コストは高いですが、一台で複数のWebサーバーを保護できるので、サーバー台数が多いほどコストパフォーマンスは高くなります。
 

ホスト型

導入前に知っておきたい。WAFの種類と特徴2

ホスト型は、WebサーバーにWAFソフトウェアをインストールするタイプです。ハードウェアの追加が不要なため、比較的手ごろな価格で導入できます。しかし、Webサーバーごとにインストールする必要があるため、Webサーバーの台数とコスト、運用負担がネックになります。
 

クラウド型

導入前に知っておきたい。WAFの種類と特徴3

ベンダーが提供するWAFをクラウド経由で利用するタイプです。安価で導入でき、ベンダーが脆弱性の対応などを行うため、楽に運用管理できます。一方で、ベンダーによってWAFの精度やセキュリティ対策が異なります。また、毎月利用料が発生するため、長期的に見れば運用コストは割高になる可能性もあるでしょう。
 

WAFで適切なセキュリティ対策を行おう

Webアプリケーションは、サービスの提供から顧客との接点作りまで行える重要なツールです。一方で、脆弱性が発生しやすく、誰でもアクセスできるという性質上、サイバー攻撃の標的になりやすいのも事実です。

WAFを導入すれば、Webアプリケーションの脆弱性をついた攻撃を防ぎ、顧客情報の流出やサービスの停止などを防げます。しかし、WAFの導入だけでは、サイバー攻撃対策は十分とは言い難いです。自社ビジネスに必要なセキュリティ対策を理解したうえで、最適な製品を選びましょう。

まずは本記事を参考に、WAFの必要性を慎重に検討してみてください。

ネットから新規見込み客を獲得する方法について徹底解説した無料eBookはこちらからダウンロードできます。

元記事発行日: 2021年12月23日、最終更新日: 2022年2月24日