昨今、サイバー攻撃が多発し、ウェブサイトからのクレジットカード情報漏洩による被害額やウェブサイトの改ざん件数は年々増加しています。また、新型コロナウイルスの感染拡大による影響で私たちの生活は一変し、ECなどのウェブを通じたサービスの需要が増しました。それに伴い、サイバー攻撃も増加し、ウェブサイトのセキュリティ対策がこれまで以上に重要になっています。
本稿では、ウェブサイトのセキュリティ対策に有効なWAFについて紹介するとともに、ホスト型WAFのメリットについて解説します。
WAFとは
WAFとは、ウェブアプリケーションファイアウォール(Web Application Firewall)の略称です。
WAFを導入することで、ウェブサイトに対するHTTP/HTTPSのアクセスを検査し、不正アクセスを検出・防御することができます。WAFは、SQLインジェクションやクロスサイトスクリプティング(XSS)といったウェブアプリケーションの脆弱性を悪用した攻撃の防御に優れています。
製品やサービスの仕様により、要求(リクエスト)のみを検査するタイプ、要求(リクエスト)と応答(レスポンス)の両方を検査するタイプがあります。SQLインジェクションなどの攻撃はリクエストを検査することで検出、防御が可能であり、マイナンバーやクレジットカード番号などの情報がウェブサーバーから送信されていないかを監視するような場合は、レスポンスを検査する必要があります。
WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~
EG セキュアソリューションズが提供するソリューションである WAF(Web Application Firewall) の概要、WAFの選定・導⼊のポイントについて解説しています。
シリーズ累計100万サイト超を保護する「SiteGuardシリーズ」が選ばれる理由についても紹介しています。
WAF導入のメリット
WAF導入のメリットは、大きく以下の3つのケースにおける有効活用にあります。それぞれのケースについて説明します。
脆弱性を修正できない
脆弱性の存在を把握しながらも運用上の理由からアプリケーションを修正できない場合があります。このケースは、メンテナンス計画の都合や修正に想像以上の工数を要するといった場合だけでなく、Apache Struts 2のようなフレームワークやWordPressなどのCMSを利用している場合にもWAF活用のメリットがあります。
利用しているフレームワークやソフトウェアに脆弱性が発見された場合、自ら脆弱性を修正して対処するということは困難です。開発元や提供元から修正バージョン、パッチなどに関する情報を入手して適用するなど、迅速かつ適切な対応が求められます。しかしながら、稼働中のウェブサイトに対する影響を考慮する必要があり、事前のバックアップやテスト環境等による修正バージョンの適用、動作確認が推奨されているため、思うように作業が進まないことがあるのが実情です。
脆弱性の修正やパッチの適用を計画しながら、WAFを併用することで現実的かつ効果的な対策が可能となります。
保険的対策
情報漏えい等の事故が起きてしまうと、直接的・間接的に莫大なコストが生じてしまいます。前述のとおり、ウェブアプリケーションの開発には人手を介し、継続的な改善が加えられていくため、脆弱性ゼロは難しいというのが現状です。
事前対策としてWAFを導入することで、万が一のリスクを低減することができます。WAFは、ウェブサイトのセキュリティ対策の強化に欠かせない存在となり、近年のニーズとして最も多いケースとなっています。
今すぐ攻撃を防御
ウェブサイトが実害を被ると対策が完了するまでサービスの再開は困難となり、ダウンタイムは機会損失に直結してしまいます。2000年代半ば頃、SQLインジェクションの脆弱性、攻撃が広く知られるようになり、2010年頃までSQLインジェクション攻撃のピークがあり、大規模な情報漏えいが多発していました。
現在は、事前対策としてのWAF導入が進んでいますが、当時のWAFの用途としては、ウェブサイトが攻撃を受けて実害を受けたあとの事後対策という面もありました。実際、当社も2010年頃は「脆弱性の修正をしながらサービスを再開するため、WAFで防御しながら作業を進めたい」といったご相談を多くいただいていました。
緊急対応としてのWAF活用は迅速なサイト復旧の助けとなります。
ホスト型WAFとは
WAFにはソフトウェアとして提供されるものやハードウェアアプライアンス、サービスで提供されるものなど、いくつかの提供形態があります。また、リバースプロキシやインラインブリッジ、モジュールのように利用する際の構成の違いもあります。ここでは、ウェブサーバーにインストールして利用するホスト型を例に特徴とメリットを紹介します。
ホスト型WAF
ウェブサーバーにインストールして利用するWAFです。
ソフトウェアで提供され、ApacheやNginx、IISといったウェブサーバーのモジュールとして動作するタイプを指すことが一般的です。導入要件がウェブサーバーの環境に依存し、ウェブサーバーごとにWAFをインストールする必要がありますが、新たにハードウェアを設置したり、ネットワークを変更する必要がありません。
ホスト型WAFのメリット
構成がシンプルであることが大きなメリットです。導入要件を満たしている環境であれば、オンプレミス環境だけでなく、クラウド環境や仮想環境にもマッチし、インフラを問わず利用することができます。ライセンスについてもインストールするウェブサーバーの数に応じてカウントすることが多く、利用しているドメインの数や通信量によって費用が変動しないのが一般的です。利用しているドメイン数が多い、トラフィックが増加する時間帯やシーズンがあるといったケースでも、ライセンス形態がシンプルだとコスト試算がしやすく、ウェブサイトの成長や変化にも対応しやすいと言えます。運用面では、製品をインストールして運用するタイプになりますので、各種設定を詳細且つ柔軟に行うことができます。
以前はウェブサーバーの負荷が課題になることもありましたが、昨今のハードウェア性能の向上もあり、影響は少なくなっています。
WAFの選び方
本稿では、WAFとは何か、ホスト型WAFのメリットについてご紹介しました。一言でWAFといってもいくつかの種類があり、それぞれに特徴があります。エンジニア不在でWAFの運用管理を全て任せたいといったケースもあると思います。そのような場合には、サービスとして提供されているクラウド型のWAFが一つの選択肢となりますので、それぞれの特徴を把握した上で、ウェブサイトの特性や運用方針に合わせて選定しましょう。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
