WAFの有効活用!ホスト型WAFのメリット

 2020.11.11  株式会社ジェイピー・セキュア

昨今、サイバー攻撃が多発し、ウェブサイトからのクレジットカード情報漏洩による被害額やウェブサイトの改ざん件数は年々増加しています。また、新型コロナウイルスの感染拡大による影響で私たちの生活は一変し、ECなどのウェブを通じたサービスの需要が増しました。それに伴い、サイバー攻撃も増加し、ウェブサイトのセキュリティ対策がこれまで以上に重要になっています。

本稿では、ウェブサイトのセキュリティ対策に有効なWAFについて紹介するとともに、ホスト型WAFのメリットについて解説します。

WAFとは

WAFとは、ウェブアプリケーションファイアウォール(Web Application Firewall)の略称です。

WAF

WAFを導入することで、ウェブサイトに対するHTTP/HTTPSのアクセスを検査し、不正アクセスを検出・防御することができます。WAFは、SQLインジェクションクロスサイトスクリプティング(XSS)といったウェブアプリケーションの脆弱性を悪用した攻撃の防御に優れています。製品やサービスの仕様により、要求(リクエスト)のみを検査するタイプ、要求(リクエスト)と応答(レスポンス)の両方を検査するタイプがあります。SQLインジェクションなどの攻撃はリクエストを検査することで検出、防御が可能であり、マイナンバーやクレジットカード番号などの情報がウェブサーバーから送信されていないかを監視するような場合は、レスポンスを検査する必要があります。

WAF

ウェブサイトに対する攻撃では、ウェブアプリケーションの脆弱性を悪用されることが多く、ウェブサイトの改ざんや大規模な個人情報の漏洩など、様々な被害を受ける恐れがあります。セキュアなサイト構築、アプリケーションの開発を徹底することができ、常に安全な状態でウェブサイトを運営することができれば問題ありませんが、OSやソフトウェアなどの不具合がゼロにならないことと同じで、脆弱性ゼロは現実的ではないと言われています。

セキュアなサイト構築やアプリケーション開発を基本としつつ、WAFを有効活用することで、ウェブサイトのセキュリティレベルをさらに向上させることができるのです。

New call-to-action
ジェイピー・セキュアソフトウェアライセンス価格表

WAF導入のメリット

WAF導入のメリットは、大きく以下の3つのケースにおける有効活用にあります。それぞれのケースについて説明します。

脆弱性を修正できない

脆弱性の存在を把握しながらも運用上の理由からアプリケーションを修正できない場合があります。このケースは、メンテナンス計画の都合や修正に想像以上の工数を要するといった場合だけでなく、Apache Struts 2のようなフレームワークやWordPressなどのCMSを利用している場合にもWAF活用のメリットがあります。

利用しているフレームワークやソフトウェアに脆弱性が発見された場合、自ら脆弱性を修正して対処するということは困難です。開発元や提供元から修正バージョン、パッチなどに関する情報を入手して適用するなど、迅速かつ適切な対応が求められます。しかしながら、稼働中のウェブサイトに対する影響を考慮する必要があり、事前のバックアップやテスト環境等による修正バージョンの適用、動作確認が推奨されているため、思うように作業が進まないことがあるのが実情です。

脆弱性の修正やパッチの適用を計画しながら、WAFを併用することで現実的かつ効果的な対策が可能となります。

保険的対策

情報漏えい等の事故が起きてしまうと、直接的・間接的に莫大なコストが生じてしまいます。前述のとおり、ウェブアプリケーションの開発には人手を介し、継続的な改善が加えられていくため、脆弱性ゼロは難しいというのが現状です。

事前対策としてWAFを導入することで、万が一のリスクを低減することができます。WAFは、ウェブサイトのセキュリティ対策の強化に欠かせない存在となり、近年のニーズとして最も多いケースとなっています。

今すぐ攻撃を防御

ウェブサイトが実害を被ると対策が完了するまでサービスの再開は困難となり、ダウンタイムは機会損失に直結してしまいます。2000年代半ば頃、SQLインジェクションの脆弱性、攻撃が広く知られるようになり、2010年頃までSQLインジェクション攻撃のピークがあり、大規模な情報漏えいが多発していました。

関連記事:WAFによるSQLインジェクション攻撃の防御

現在は、事前対策としてのWAF導入が進んでいますが、当時のWAFの用途としては、ウェブサイトが攻撃を受けて実害を受けたあとの事後対策という面もありました。実際、当社も2010年頃は「脆弱性の修正をしながらサービスを再開するため、WAFで防御しながら作業を進めたい」といったご相談を多くいただいていました。

緊急対応としてのWAF活用は迅速なサイト復旧の助けとなります。

ホスト型WAFとは

WAFにはソフトウェアとして提供されるものやハードウェアアプライアンス、サービスで提供されるものなど、いくつかの提供形態があります。また、リバースプロキシやインラインブリッジ、モジュールのように利用する際の構成の違いもあります。ここでは、ウェブサーバーにインストールして利用するホスト型を例に特徴とメリットを紹介します。

ホスト型WAF

ウェブサーバーにインストールして利用するWAFです。

ホスト型WAF

ソフトウェアで提供され、ウェブサーバーのモジュールとして動作するタイプを指すことが一般的です。ウェブサーバーごとにWAFをインストールする必要があり、導入要件がウェブサーバーの環境に依存しますが、最もシンプルな構成で専用ハードウェアを必要とせず、ネットワーク構成に影響を与えないことが主な利点となります。新たにハードウェアを設置したり、ネットワークの変更がないため、アクセス遅延の影響が少ないこともメリットです。以前はウェブサーバーの負荷が課題になることもありましたが、昨今のハードウェア性能の向上もあり、影響は少なくなっています。

ホスト型WAFのメリット

構成がシンプルであることが大きなメリットです。導入要件を満たしている環境であれば、オンプレミス環境だけでなく、クラウド環境や仮想環境にもマッチし、インフラを問わず利用することができます。ライセンスについてもインストールするウェブサーバーの数に応じてカウントするため、利用しているドメインの数や通信量によって費用が変動しないのが一般的です。利用しているドメイン数が多い、トラフィックが増加する時間帯やシーズンがあるといったケースでも、ライセンス形態がシンプルだとコスト試算がしやすく、ウェブサイトの成長や変化にも対応しやすいと言えます。運用面では、製品をインストールして運用するタイプになりますので、各種設定を詳細且つ柔軟に行うことができます。

WAFの選び方

本稿では、WAFとは何か、ホスト型WAFのメリットについてご紹介しました。一言でWAFといってもいくつかの種類があり、それぞれに特徴があります。エンジニア不在でWAFの運用管理を全て任せたいといったケースもあると思います。そのような場合には、サービスとして提供されているクラウド型のWAFが一つの選択肢となりますので、それぞれの特徴を把握した上で、ウェブサイトの特性や運用方針に合わせて選定しましょう。

WAFの選定では、実績と製品・サービスの品質も重要です。

ジェイピー・セキュアは、イー・ガーディアングループの一員として、ゲートウェイ型とホスト型に対応した国産ソフトウェアWAF「SiteGuardシリーズ」を提供しています。販売開始から12年、業種・業態を問わず数多くの導入実績をもち、レンタルサーバー事業者での標準採用もあって、保護対象サイト数は100万を超えています。また、同じグループの一員であるグレスアベイルより、DDoS対策も可能な国産クラウド型WAF「GUARDIAX」が提供されています。国産製品・サービスの場合、管理インタフェースやマニュアルの日本語対応はもちろんのこと、開発から販売、テクニカルサポートまで、お客様の安心感と満足感につながる国内クローズの対応が可能です。

イー・ガーディアングループでは、サイバー攻撃に対するソリューションのひとつであるWAFについて、様々なウェブサイトの環境に適合できるソリューションを提供しています。

ワンランク上のウェブサイトのセキュリティ対策に、ぜひWAFの導入を検討してみてください。

※株式会社ジェイピー・セキュア、株式会社グレスアベイルは、イーガーディアン株式会社のグループ企業です。

WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~

RECENT POST「WAF」の最新記事


WAFの有効活用!ホスト型WAFのメリット
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング