なぜWAFが必要なのか？サイバー攻撃を防ぐために知っておきたい基礎知識

Webアプリケーションは、サービスの提供や顧客との接点作りなどを行う重要なツールとなっています。しかし、Webアプリケーションには高い確率で脆弱性が含まれており、それを狙ったサイバー攻撃が頻発しています。

Webアプリケーションがサイバー攻撃の標的になると、顧客情報の流出やWebサイトの改ざん、サーバーダウンなど甚大な被害を受ける可能性があります。

数あるセキュリティ対策の中でも、Webアプリケーションの防御に特化したのが「WAF」です。WAFの導入前には、種類ごとの効果やファイアウォールとの違いなどを事前に理解したうえで、自社に必要なのか慎重に検討する必要があります。

本記事では、WAFの必要性やファイアウォール・IDS/IPSとの違い、WAFの種類と特徴についてご紹介します。

WAF（Web Application Firewall）とは、Webアプリケーションに対する攻撃を防ぐセキュリティ対策です。

ファイアウォールの一種であり、Webアプリケーションとインターネットの間に立ち、HTTPトラフィックを監視して、悪意のあるプログラムの検出とブロックを行います。

ECサイトやインターネットバンキングなどのWeb上で顧客情報のやり取りをするサービスを保護するのに最適です。
 

WAFとファイアウォールやIDS/IPSとの違い

セキュリティ対策ソフトはいくつもあるため、各ソフトの特徴を理解したうえで、自社に最適なソフトを導入する必要があります。WAFの導入を検討する場合、ファイアウォールとIDS/IPS、SSL証明との違いを理解することで、最適なセキュリティ対策が選べます。以下では、WAFと各セキュリティ対策との違いを解説します。
 

ファイアウォールとの違い

ファイアウォールは、内部ネットワークのセキュリティ対策です。IPアドレスやポート番号などをもとに、不正な通信の侵入をブロックします。しかし、通信内容の確認は行えないため、偽装した攻撃の防止はできません。ファイアウォールでは外部へ公開するアプリケーションの防御まで及ばないため、Webアプリケーションの保護にはWAFが必要です。

ファイアウォールについては以下の記事でも詳しく解説しています。ご興味のある方はぜひご覧ください。

IDS/IPSとの違い

IDS/IPSは、ネットワークへの不正アクセスを検知するセキュリティ対策で、それぞれIntrusion Detection System（不正侵入検知システム）、Intrusion Prevention System（不正侵入防止システム）の略称です。

情報内容自体の検知ができ、かつ防御範囲がネットワーク全体と広域に及ぶのが特徴です。ただし、防御範囲が広いゆえに、Webアプリケーションの脆弱性をついた攻撃には対応できないことがあります。 WAFは、Webアプリケーションの防御に特化しているため、IDS/IPSでも検知できない攻撃の検出が可能です。
 

SSL証明書との違い

SSLとは、Webサーバーとブラウザ間の通信を暗号化する技術です。SSLがあることで、クレジットカードや顧客情報などが暗号化され、第三者に盗聴されるリスクがなくなります。しかし、SSLは不正な通信までも暗号化するため、WAFが暗号化された不正アクセスを検知できなくなります。

これを回避するために、WAFにSSL証明書をインストールして、暗号化された通信内容も解読できるようにする方法があります。SSL機能がない場合は、SSL機能を持った機器の後ろにWAFを設置することで、暗号化された通信の検査が可能になります。

Link to Child Article SSL証明書
 

企業にとって、Webアプリケーションは製品紹介や顧客情報を収集する重要なツールとなっています。一方で、Webアプリケーションの脆弱性を狙ったサイバー攻撃は増加し続けています。このような状況だからこそ、Webアプリケーションの防御に特化したWAFが有効です。以下では、WAFの必要性について解説します。
 

ISMSの実現

ECサイトやWebブラウザを通してサービスを提供するのが一般的になった現代では、ISMS（Information Security Management System：情報セキュリティマネジメント）の重要性が増しています。特にサイバー攻撃の標的になりやすいのが、Webサイトやアプリケーションの脆弱性です。

一般社団法人JPCERTコーディネートセンターと独立行政法人情報処理推進機構（IPA）との共同研究によると、2004年7月8日から2020年9月30日までに同団体が受け付けた脆弱性関連情報の届け出のうち、Webアプリケーションの脆弱性が約7割を占めているのです。

Webアプリケーションに脆弱性が含まれるのは一般的であり、そこを狙われるのは不思議ではありません。 WAFを導入すれば、アプリケーションの脆弱性をカバーでき、ISMSの実現へと繋がります。
 

PCI DSSの準拠

PCI DSSは、クレジット業界におけるグローバルセキュリティ基準です。PCI DSSには12の要件があり、その中の一つに「安全性の高いシステムとアプリケーションを開発し、保守すること」が含まれています。この要件を満たすには、WAFの導入もしくはアプリケーションの改修が必要となるのです。WAFを導入すれば、PCI DSSの準拠が可能となり、顧客からの信頼性が高められます。
 

WAFは、不正な通信やプログラムを検出するために「シグネチャ」と呼ばれるルールを用います。そして、シグネチャの登録方法で「ブラックリスト型」と「ホワイトリスト型」の2種類に分類できるのです。以下では、それぞれのWAFの仕組みについて解説します。
 

ブラックリスト型

事前に登録したシグネチャと一致した通信を拒否するWAFです。過度のアクセスに対応できる、運用が簡単などのメリットがある一方で、事前登録していない攻撃には対応できません。 定期的にシグネチャの更新をし、最新の攻撃に備える必要があります。
 

ホワイトリスト型

ブラックリスト型とは対照的に、許可する通信をシグネチャに登録し、登録シグネチャと一致しなかった通信をブロックします。未知の攻撃に対応できる一方、Webアプリケーションごとに許可する通信を細かに定義する必要があるため、運用が難しいというデメリットがあります。
 

それでは具体的に、WAFを導入することで、どのようなサイバー攻撃に備えられるのでしょうか。以下では、WAFが防げる5つのサイバー攻撃を紹介します。
 

1.DDoS攻撃

DDoS攻撃とは、複数の機器を利用して、Webアプリケーションに過剰なアクセスやデータを送る攻撃です。短時間でサーバーに大きな負担をかけるため、サーバーダウンによるサービスの停止やネットワークの遅延、それに伴う金銭的被害を起こします。DDoS攻撃への対策としては、WAFやIPアドレスの制限、国単位でのアクセス制限などが有効です。
 

2.バッファオーバーフロー

バッファオーバーフローは、Webアプリケーションの脆弱性を狙った攻撃です。大まかな仕組みは、コンピューターに許容以上のデータを送り誤作動を引き起こした後、乗っ取りや他のコンピューターへの攻撃を行います。バッファオーバーフローの標的になると、管理者権限が乗っ取られ、顧客情報の流出やページ改ざんなどの被害が発生します。
 

3.SQLインジェクション

SQLインジェクションとは、攻撃者がWebアプリケーション上で不適切なSQLを入力し、想定外の動作を引き起こさせる攻撃です。SQL（Structured Query Language）は、データベースサーバーを命令する言語であり、Webアプリケーションのデータベースにユーザーの入力情報を送信する際に用いられます。

SQLインジェクションの標的になると、攻撃者にデータベースが乗っ取られ、Webサイトの改ざんや機密情報の漏えいなどの被害が起こります。株式会社サイバーセキュリティクラウド発表の「2021年上半期サイバー攻撃検知レポート 」によれば、SQLインジェクションの検知数は前年同時期と比べ約500万件増加していることから、より一層の注意が求められています。
 

4.クロスサイトスクリプティング（XSS）

クロスサイトスクリプティング（XSS：cross site scripting）は、Webアプリケーション上に悪意のあるスクリプトを仕掛け、ユーザーがリンクのクリックなどをしてスクリプトを実行すると、マルウェア感染やユーザーの個人情報搾取などを引き起こす攻撃です。

クロスサイトスクリプティング（XSS）の対策としては、スクリプトを無害化する「サニタイジング」や「入力値の制限」が有効です。しかし、これら2つの対策はWebアプリケーション作成段階に行われ、対策漏れが生じる可能性があります。

そこでWAFも組み合わせることで、クロスサイトスクリプティング（XSS）の対策漏れをなくすことができるのです。
 

5.OSコマンドインジェクション

OSコマンドインジェクションとは、攻撃者が不適切なOSコマンドを実行し、想定外の動作を引き起こさせる攻撃です。攻撃者は自由にデータベースを操れるため、情報漏えいやWebアプリケーションの改ざんなどの被害が生じます。

OSコマンドインジェクションは、Webアプリケーションの脆弱性をついた攻撃のため、脆弱性がないようにWebアプリケーションの開発をする必要があります。しかし、丁寧に作り込んでも脆弱性が生じるリスクはあるため、WAFの導入が有効です。
 

WAFには、アプライアンス型・ホスト型・クラウド型の3種類があります。以下では、自社に最適なWAFの種類を選べるよう、それぞれの特徴を解説します。
 

アプライアンス型

アプライアンス型は、ネットワーク上に専用機器を設置するタイプのWAFです。WAFは独立して稼働するため、Webサーバーに負荷はかかりません。導入と運用コストは高いですが、一台で複数のWebサーバーを保護できるので、サーバー台数が多いほどコストパフォーマンスは高くなります。
 

ホスト型

ホスト型は、WebサーバーにWAFソフトウェアをインストールするタイプです。ハードウェアの追加が不要なため、比較的手ごろな価格で導入できます。しかし、Webサーバーごとにインストールする必要があるため、Webサーバーの台数とコスト、運用負担がネックになります。
 

クラウド型

ベンダーが提供するWAFをクラウド経由で利用するタイプです。安価で導入でき、ベンダーが脆弱性の対応などを行うため、楽に運用管理できます。一方で、ベンダーによってWAFの精度やセキュリティ対策が異なります。また、毎月利用料が発生するため、長期的に見れば運用コストは割高になる可能性もあるでしょう。
 

Webアプリケーションは、サービスの提供から顧客との接点作りまで行える重要なツールです。一方で、脆弱性が発生しやすく、誰でもアクセスできるという性質上、サイバー攻撃の標的になりやすいのも事実です。

WAFを導入すれば、Webアプリケーションの脆弱性をついた攻撃を防ぎ、顧客情報の流出やサービスの停止などを防げます。しかし、WAFの導入だけでは、サイバー攻撃対策は十分とは言い難いです。自社ビジネスに必要なセキュリティ対策を理解したうえで、最適な製品を選びましょう。

まずは本記事を参考に、WAFの必要性を慎重に検討してみてください。