WAFって何？導入のメリットとは

2020.05.13 2023.03.31 EGセキュアソリューションズ

インターネット黎明期である1995年では、インターネットを利用する企業はわずか11.7％でした。そのうち、ホームページによる情報提供を行う企業は24.0％と非常に少なかったのです。しかし、翌年の1996年にはインターネット利用率が50.4％と大幅に上昇し、そのうちホームページを開設している企業は39.6％に達しました。2000年代にはインターネット利用率が限りなく100％に近くなり、2001年のホームページに開設率は77.7％まで上昇し、2005年には85.6％に達します。
出典：総務省『平成27年版情報通信白書第1部　ICTの進化を振り返る』
現在では90％以上の企業が何らかのかたちでWebサイトを運用しており、ビジネスはWebサイトありきと言っても過言ではありません。そうした中、Webサイトを活用する企業が注意しなければならないのが、サイバー攻撃による情報漏えいや改ざんなどのリスクです。Webサイトを世界に向けて公開している以上、サイバー攻撃による脅威を意識し、対策に取り組まなければいけません。

そこで本稿では、Webサイトのセキュリティ対策に欠かせない「WAF（ワフ）」の概要とそのメリットについてご紹介します。

WAFとは？

WAFは「Web Application Firewall（ウェブ・アプリケーション・ファイアウォール）」の略です。文字通り、「Webアプリケーションを守るためのセキュリティ製品」でワフと呼ばれています。

Webアプリケーションは、検索エンジンやインターネットバンキング、ブログなど、Webを介して利用するアプリケーションのことです。現在のWebサイトはクライアント（ブラウザなど）からの入力や検索要求に対して、その結果を応答する動的なWebサイトが一般的になっており、Webサーバー上で動作するWebアプリケーションによって実現されています。

このWebアプリケーションの実装の不備や弱点を悪用し、Webサイトを改ざんしたり、個人情報などを盗み出す攻撃による被害が後を絶たず、Webサイトの運営者はサイバー攻撃の脅威を意識し、対策に取り組むことが求められています。

WAFは、このような攻撃からWebサイトを保護するセキュリティ製品です。

WAFとは

なお、ファイアウォールというワードを含んでいますが、ネットワークの境界で通信を制御するファイアウォール製品とは役割が異なります。

関連記事：「WAFとファイアウォールの違いとは？」

導入事例

WAF製品/SiteGuard（サイトガード）シリーズの導入事例をご紹介しています。

なぜWebサイトが攻撃されてしまうのか？

なぜ、Webサイトを運営しているとサイバー攻撃による情報漏えいや改ざんといったリスクがあるのでしょうか？その主たる原因となっているのが「Webアプリケーションの脆弱性」です。

脆弱性とは、セキュリティ上の欠点を意味します。Webアプリケーションの実装に不備があると、攻撃者はこれを悪用し、データベースを不正に操作して情報を窃取したり、Webサイトの訪問者をマルウェアサイトに転送するように改ざんするなど、様々な攻撃を仕掛けてきます。

「それであれば、脆弱性を無くせばよいのでは？」と思われるかもしれませんが、それが非常に難しい問題です。多くのWebサイトは、デザインの変更だけでなく、問い合わせフォームの設置やブログ記事の発信、オンライン注文ページの新設など、定期的なリニューアルによってビジネスとともに成長しています。その際には必ず人の手が加わることになりますが、開発者のセキュリティに対する意識やスキルのほか、現実問題としてスケジュールが厳しい場合のミスなど、様々な要因によって脆弱性が生じることがあり、脆弱性をゼロにすることは非常に困難であると言われています。

また、長い間、脆弱性の存在に気付かないというケースも多く、攻撃ツールによる機械的な攻撃から本格的な侵入、情報の窃取などの被害に遭ってしまい、運営側が気付いた時には手遅れということも多々あるのです。

WAFがWebサイトを保護する仕組み

それでは、WAFの仕組みについて解説します。WAFが設置される場所は、クライアントとWebサイトの間です。あくまでイメージとなりますが、「クライアント（ブラウザなど）⇔WAF⇔Webサイト」といった関係にあります。

Webアプリケーションを利用するユーザーは、HTTP通信によって情報をやり取りします。ユーザーが書き込みや参照などの操作をすると、要求（リクエスト）がWebサイトに送られ、その結果（レスポンス）をユーザーに返します。このとき、データベースを不正に操作するような通信が紛れていると、情報漏えいなどの事件につながる恐れがあります。

そこで、WAFの登場です。WAFはHTTP通信の内容を1つ1つ検査することで、不正アクセスがないかを監視します。不正アクセスをブロックし、正規のユーザーからのアクセスは許可するという考え方で、シグネチャによるパターンマッチングを基本とし、シグネチャ以外の機能や独自の検査ロジックを組み合わせることで検査の精度を高めているWAFが多くなっています。

WAFとは

WAF（シグネチャ検査）

同じようにパターンマッチングを基本としたセキュリティ製品にIPSがありますが、WAFとIPSの目的は異なり、Webアプリケーションの脆弱性を悪用する攻撃の防御には専用のWAFが適しています。

関連記事：「WAFとIPSの違いとは？」

WAFを導入するメリット

WAF導入のメリットは、大きく以下の3つのケースにおける有効活用にあります。それぞれのケースについて説明します。

脆弱性を修正できない

脆弱性の存在を把握しながらも運用上の理由からアプリケーションを修正できない場合があります。このケースは、メンテナンス計画の都合や修正に想像以上の工数を要するといった場合だけでなく、Apache Struts 2のようなフレームワークやWordPressなどのCMSを利用している場合にもWAF活用のメリットがあります。

利用しているフレームワークやソフトウェアに脆弱性が発見された場合、自ら脆弱性を修正して対処するということは困難です。開発元や提供元から修正バージョン、パッチなどに関する情報を入手して適用するなど、迅速かつ適切な対応が求められます。しかしながら、稼働中のWebサイトに対する影響を考慮する必要があり、事前のバックアップやテスト環境等による修正バージョンの適用、動作確認が推奨されているため、思うように作業が進まないことがあるのが実情です。

脆弱性の修正やパッチの適用を計画しながら、WAFを併用することで現実的かつ効果的な対策が可能となります。

保険的対策

情報漏えい等の事故が起きてしまうと、直接的・間接的に莫大なコストが生じてしまいます。前述のとおり、Webアプリケーションの開発には人手を介し、継続的な改善が加えられていくため、脆弱性ゼロは難しいというのが現状です。

事前対策としてWAFを導入することで、万が一のリスクを低減することができます。WAFは、Webサイトのセキュリティ対策の強化に欠かせない存在となり、近年のニーズとして最も多いケースとなっています。

今すぐ攻撃を防御

Webサイトが実害を被ると対策が完了するまでサービスの再開は困難となり、ダウンタイムは機会損失に直結してしまいます。2000年代半ば頃、SQLインジェクションという脆弱性、攻撃が広く知られるようになり、2010年頃までSQLインジェクション攻撃による大規模な情報漏えいが多発していました。

関連記事：「WAFによるSQLインジェクション攻撃の防御」

現在は、事前対策としてのWAF導入が進んでいますが、当時のWAFの用途としては、Webサイトが攻撃を受けて実害を受けたあとの事後対策という面もありました。実際、当社も2010年頃は「脆弱性の修正をしながらサービスを再開するため、WAFで防御しながら作業を進めたい」といったご相談を多くいただいていました。

緊急対応としてのWAF活用は迅速なサイト復旧の助けとなります。

WebサイトにWAF導入を検討しよう！

「うちは会員情報などを扱っていないし、特に対策しなくても大丈夫」というお話を聞くこともあります。たしかに、それならば会員情報の漏えいなどの事件は起きないかもしれませんが、Webサイトが改ざんされ、結果として踏み台に悪用されるなど、企業イメージや信頼の低下につながる可能性があります。Webサイトを運営している以上、企業や個人になく、サイバー攻撃に対する意識を持ち、リスクゼロはないと考えるのが得策でしょう。

Webサイトにまだ具体的なセキュリティ対策を講じていないという場合は、この機会にWAF導入をご検討ください。安心・安全なWebサイトを運営するためにセキュリティ対策の強化をおすすめします。

ワンランク上のウェブサイトのセキュリティ対策に、ぜひWAFの導入を検討してみてください。