ホスト型WAFは、Webアプリケーションの脆弱性を狙ったサイバー攻撃から保護するセキュリティ対策「WAF」をWebサーバーにソフトウェアとしてインストールして利用します。専用ハードウェアを必要とせず、ネットワーク構成の変更も不要なため、シンプルな構成でWAFを利用できます。
本稿では、ウェブサイトのセキュリティ対策に有効なWAFについて紹介するとともに、ホスト型WAFついて解説します。
WAFとは
WAFとは、Webアプリケーションファイアウォール(Web Application Firewall)の略称です。
SQLインジェクションやクロスサイトスクリプティング(XSS)といったWebアプリケーションの脆弱性を悪用した攻撃からの防御に特化したセキュリティ製品、サービスを指します。
WAFを導入することで、Webサイトに対するHTTP/HTTPSのアクセスを検査し、不正アクセスを検出・防御することができます。
Webサイトに対する攻撃では、Webアプリケーションの脆弱性を悪用されることが多く、Webサイトの改ざんや個人情報の漏えいなど、様々な被害を受ける恐れがあります。セキュアなサイト構築、アプリケーションの開発を徹底することができ、常に安全な状態でWebサイトを運営することができれば問題ありません。
しかし、新たな脆弱性が日々発見され、OSやソフトウェアなどの不具合発生がゼロにならないことと同じで、脆弱性ゼロは現実的ではないと言われています。セキュアなサイト構築やアプリケーション開発を基本としつつ、WAFを有効活用することで、Webサイトのセキュリティレベルをさらに向上させることができます。
WAFは、製品やサービスの仕様により、要求(リクエスト)のみを検査するタイプ、要求(リクエスト)と応答(レスポンス)の両方を検査するタイプがあります。SQLインジェクションなどの攻撃はリクエストを検査することで検出、防御が可能であり、マイナンバーやクレジットカード番号などの情報がWebサーバーから送信されていないかを監視するような場合は、レスポンスを検査する必要があります。
WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~
EG セキュアソリューションズが提供するソリューションである WAF(Web Application Firewall) の概要、WAFの選定・導⼊のポイントについて解説しています。
シリーズ累計150万サイト超を保護する「SiteGuardシリーズ」が選ばれる理由についても紹介しています。
WAF導入のメリット
WAF導入のメリットは、大きく以下の3つのケースにおける活用にあります。それぞれのケースについて説明します。
脆弱性を修正できない
Apache Struts 2のようなフレームワークやWordPressなどのCMSを利用している場合に、脆弱性の存在を把握しながらもアプリケーションを修正できないケースがあります。
利用しているフレームワークやソフトウェアに脆弱性が発見された場合、自ら脆弱性を修正して対処するということは困難です。開発元や提供元から修正バージョン、パッチなどに関する情報を入手して適用するなど、迅速かつ適切な対応が求められます。
しかしながら、稼働中のWebサイトに対する影響を考慮する必要があり、事前のバックアップやテスト環境等による修正バージョンの適用、動作確認が推奨されているため、思うように作業が進まないことがあるのが実情です。
脆弱性の修正やパッチの適用を計画しながら、WAFを併用することで現実的かつ効果的な対策が可能となります。
保険的対策
情報漏えい等の事故が起きてしまうと、直接的・間接的に莫大なコストが生じてしまいます。
前述のとおり、Webアプリケーションの開発には人手を介し、継続的な改善が加えられていくため、脆弱性ゼロは難しいというのが現状です。
事前対策としてWAFを導入することで、万が一のリスクを低減することができます。WAFは、Webサイトのセキュリティ対策の強化に欠かせない存在となり、近年のニーズとして最も多いケースとなっています。
今すぐ攻撃を防御
Webサイトが実害を被ると対策が完了するまでサービスの再開は困難となり、ダウンタイムは機会損失に直結してしまいます。
2000年代半ば頃、SQLインジェクションの脆弱性、攻撃が広く知られるようになり、2010年頃までSQLインジェクション攻撃のピークがあり、大規模な情報漏えいが多発していました。
現在は、事前対策としてのWAF導入が進んでいますが、当時のWAFの用途としては、Webサイトが攻撃を受けて実害を受けたあとの事後対策という面もありました。
実際、当社も2010年頃は「脆弱性の修正をしながらサービスを再開するため、WAFで防御しながら作業を進めたい」といったご相談を多くいただいていました。
緊急対応としてのWAF活用は迅速なサイト復旧の助けとなります。
ホスト型WAFとは
Webサーバーにインストールして利用するWAFです。
専用ハードウェアを必要とせず、ネットワーク構成に影響を与えないため、他のタイプのWAFと比較すると最もシンプルな構成で利用ができます。新たにハードウェアを設置したり、ネットワークの変更がないため、アクセス遅延の影響が少ないこともメリットです。
ホスト型WAFは、Webサーバーにソフトウェアをインストールし、ApacheやNginx、IIS などWebサーバーのモジュールとして動作します。Webサーバーが受け取ったHTTP/HTTPS通信の中身をWAFのモジュールが検査し、不正な通信を検出してブロックします。
SiteGuard Server Editionの詳細はこちら
ホスト型WAFのメリットと注意点
ホスト型WAFのメリット
構成がシンプル
構成がシンプルであることが大きなメリットです。ネットワーク構成の変更や新たな機器の設置を必要とせず、WAFを導入することができます。
クラウド環境や仮想環境にも導入可能
導入要件を満たしている環境であれば、オンプレミス環境だけでなく、クラウド環境や仮想環境にもマッチし、インフラを問わず利用することができます。
費用が変動しない
インストールするWebサーバーの数に応じてライセンスをカウントすることが多く、利用しているドメインの数や通信量によって費用が変動しないのが一般的です。
利用しているドメイン数が多い、トラフィックが増加する時間帯やシーズンがあるといったケースでもライセンス形態がシンプルだとコスト試算がしやすく、Webサイトの成長や変化にも対応しやすいと言えます。
ホスト型WAFの注意点
Webサーバーのモジュールとして動作するため、Webサーバーの負荷が課題になることがあります。(昨今のハードウェア性能の向上もあり、影響は少なくなっています。)
また、Webサーバーごとにインストールする必要があり、複数のWebサーバーに導入する場合の管理が課題となります。複数台導入する場合は、統合管理機能の有無を事前にWAFベンダーへ確認することをおすすめします。
ホスト型WAFについてよくある質問
質問① どのような料金体系ですか?
Webサーバーの台数分のライセンス契約が必要です。また、ボリュームディスカウントやアカデミック価格も用意しています。
質問② 導入によるレスポンス低下はありますか?
Webサーバーの性能や大容量ファイルの取り扱いがある場合など、環境によりレスポンス低下が生じる可能性がありますので、事前にトライアルで確認することを推奨しています。
質問③ HTTPS通信でも検査はできますか?
ホスト型WAFは検査用のモジュールとしてインストールされます。SSLはWebサーバーが処理をしますので、HTTPSでも検査することができます。
質問④ クラウド環境に導入することはできますか?
ソフトウェア製品のため、動作環境を満たしていれば導入することができます。
WAFの選び方
一言でWAFといってもいくつかの種類があり、それぞれに特徴があります。
エンジニア不在でWAFの運用管理を全て任せたいといったケースもあると思います。そのような場合には、サービスとして提供されているクラウド型のWAFが一つの選択肢となりますので、それぞれの特徴を把握した上で、ウェブサイトの特性や運用方針に合わせて選定しましょう。
EGセキュアソリューションズ株式会社は、ニーズの多い国別フィルタを標準機能として実装し、高い防御性能と使いやすさを両立した、純国産のホスト型WAF「SiteGuard Server Edition」を提供しています。
このほかにもクラウド型WAF「SiteGuard Cloud Edition」、ゲートウェイ型WAF「SiteGuard Proxy Edition」を開発・販売しており、全タイプのWAFに対応し、様々なニーズに応えます。
以下のページでは、WAFの基礎から、例をもとにWAF選定のポイントまでを解説しています。WAF導入をご検討の際は、ぜひ参考にしてみてください。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
