この記事では、サイバー攻撃からWebサイトを守るセキュリティ対策・製品であるWAFの基本知識から導入するメリットと注意点について解説します。WAFの導入を検討している方はぜひ参考にしてください。
WAFとは?
「ウェブサイトのセキュリティ対策にはWAFを」というイメージが浸透してきていますが、そもそもWAFがどのようなものか分からないという方も多いのではないでしょうか。
WAFとは、「Web Application Firewall」の略で、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを守ることに特化したセキュリティ対策・製品のことを指します。クライアントとWebサーバーでやり取りされるHTTP/HTTPS通信を検査し、攻撃であると判断した場合には、接続を遮断することでWebサイトを保護します。
WAFと同じく、システムやネットワークのセキュリティを強化する対策に「ファイアウォール」がありますが、WAFとファイアウォールが担う役割は異なります。ファイアウォールは、インターネットと内部ネットワークの間に防御壁を設け、通信先や通信方向を制御することで不正アクセスを阻止します。
一方WAFは、HTTPプロトコルでやり取りされる要求・応答を検査することで、Webサイトの改ざんや情報漏洩等を防ぐ役割を果たします。
関連記事:WAFとは?仕組みやメリット、選定時のポイントを解説
WAFを利用する目的
Webサイトを活用したビジネスが基盤となり、さまざまなサービスを展開できるようになっています。その反面、誰でもWebサイトにアクセスできるため、企業規模を問わずWebサイトの運営者にはサイバー攻撃への対策が求められています。
Webサイトに対するサーバー攻撃では、Webアプリケーションの脆弱性を悪用したサイバー攻撃に注意する必要があります。
Webアプリケーションとは、インターネットバンキング、ブログなど、Webを通じて動作するアプリケーションのことを指します。
現在のWebサイトでは、ユーザーからの入力やリクエストに応じて、Webアプリケーションが動的にページを作成していますが、このWebアプリケーションに不備や弱点が存在すると、それを悪用したサイバー攻撃が発生するのです。
サイバー攻撃を受けると、個人情報の流出やWebサイトの改ざん、破損などの被害を受け、企業経営に大きな悪影響をもたらします。このようなサイバー攻撃によるリスクを抑えるためにも、WAFを利用し、Webアプリケーションを守ることが重要視されているのです。
WAFを導入するメリット
WAFを導入することで、万が一サイバー攻撃を受けてもセーフティネットとしてWAFが攻撃を防いでくれます。また、サイバー攻撃による被害を受けてしまうと、対策が完了するまでサービスの再開は困難ですが、緊急対策としてWAFを導入することで、迅速なWebサイトの復旧に役立てることができます。
一度、情報漏洩等の事故が起こると、対応に時間を要するのはもちろん、経済的にも甚大な被害を受け、社会的信用の損失につながります。事前対策としてWAFを導入することで、サイバー攻撃によるリスクを抑えることが可能です。
このほか、Webアプリケーションの脆弱性を把握できたとしても、メンテナンスに時間をかけられなかったり、Webアプリケーションを修正できない、運用上の理由など、現実的な問題に直面し、迅速な対策が難しいケースもあります。このような場合でもWAFを導入しておくことで、稼働中のWebサイトに対する影響を抑えながら、Webサイトのセキュリティ対策を強化できますので、これもWAFを導入する大きなメリットといえるでしょう。
PCI DSSの要件にみるWAF導入のメリット
PCI DSSとは2004年に国際クレジットカードブランド5社(VISA、JCB、MasterCard、American Express、Discover)により、クレジットカード情報の安全な取り扱いを目的として策定された国際セキュリティ基準で、「Payment Card Industry Data Security Standard」の略です。
WAFの導入は、PCI DSSのような国際基準の準拠でも必須とされています。それは、PCI DSSの12の要件のうち下記に該当します。
<PCI DSS要件「6. 安全なシステムおよびソフトウェアの開発と維持」>
PCI DSS v4.0では、「一般公開されているウェブ アプリケーションについては、ウェブベースの攻撃を継続的に検知・防止する自動化された技術的ソリューションを導入しており、少なくとも以下の条件を備えている。」という要件となっています。
- 一般公開されているウェブアプリケーションの前にインストールされ、ウェブベースの攻撃を検知・防止するように設定されている。
2024年3月31日に終了したPCI DSS v3.2.1では、Webアプリケーションの脆弱性診断を実施している場合は、WAFの導入は必須ではありませんでした。
脆弱性対策の考え方およびコストの面で、脆弱性診断によって準拠する事業者が多い傾向にありましたが、v4.0では、定期的な脆弱性診断とレビューに加え、WAFの導入が必要となり、Webアプリケーションの保護をより確実にすることが求められるようになりました。
WAF導入のデメリット
WAFを導入することで得られるメリットがありますが、注意点についても確認していきましょう。
導入時のコスト
WAFの種類にもよりますが、専用機器の購入によって初期費用が高額になったり、導入したいWebサーバーの台数に比例して、初期費用や運用負荷がかかったりするなど、経済的コストと運用コストの両方が課題となります。
近年ではクラウド型のWAF製品も存在し、コスト負担の軽減などWAFを導入する場合の選択肢が増えています。クラウド型のWAFの場合、サービス提供元の事業者側でWAFの運用・管理を行うため、サービス内容によっては運用負担の軽減にもつながる場合があります。
関連記事:気になるWAFのコスト!価格・料金プランを徹底解説
ネットワーク構成の変更
WAFの種類によってはネットワーク構成の変更が必要になる場合もあります。
クラウド型WAFは、クライアントからWebサイト宛ての通信をWAFに経由させるためにDNSの設定変更が必要となるほか、アプライアンス型WAFは、Webサーバーの前段に専用機器を導入して利用します。なお、Webサーバ自体にWAFをインストールするホスト型は、ネットワーク構成の変更は不要でシンプルな構成で利用することができます。
ネットワーク構成の変更可否や、クラウド型WAFの組織外(自社環境以外)システムを経由することによる情報の取り扱いなどについても考慮したうえでWAFを選ぶ必要があります。
WAFのチューニング
サイバー攻撃には多種多様なパターンがあります。それらのパターンをくまなく検知できるように、WAFが有するシグネチャ群にはたくさんのアプローチで攻撃を検知する仕組みが用いられています。そのため、WAFでは誤検知や誤検出と呼ばれる判定ミスをすることがあります。
WAFを導入する際は、誤検知によるWebサイトへの影響を低減するため、チューニングのための試験運用の期間を設けてWebサイトに合わせたWAFのチューニングをすることが望ましいです。
※WAFは、複数の検知ロジックを組み合わせたり、AIを活用するなど、検査の精度や技術が向上しています。そのため、必ずしもチューニングが必要であったり、WAFの運用が困難であるということではありません。
関連記事:WAF導入と運用のポイント!WAFのチューニングに必要なものとは
どれを選ぶべきか?WAFの種類と選び方について
WAFには複数の種類があり、それぞれに特徴があります。単純にコストだけで比較するのではなく、運用しているWebサイトの特性や設置形態に合ったWAFを選ぶようにしましょう。
WAFの種類
WAFには「アプライアンス型」「ソフトウェア型」「クラウド型」の3種類があります。
アプライアンス型WAF
専用機器を導入し、保護対象となるWebサーバーの前段に置いて使用するWAFのことです。
1つの製品で複数のWebサーバーに対応できるため、台数によって初期費用が変動することはありません。保護するWebサーバー数や利用するユーザーが大規模な企業ほど、割安で導入できるということになります。
一方で、専用機器の初期費用と定期的なメンテナンス費用が高額となりやすいというデメリットがあります。
ソフトウェア型WAF
Webサーバーにインストールして使用するタイプのWAFです。
専用機器を購入する必要がないため、初期費用が抑えられ、シンプルな構成で導入することができます。
Webサーバーの環境に依存し、台数に応じてソフトウェアをインストールする必要があることと、パフォーマンス低下の可能性があることがデメリットとなります。(昨今のハードウェア性能の向上により、その影響は小さくなってきています。)
ホスト型WAF(SiteGuard Server Edition)の詳細はこちら
クラウド型WAF
クラウド上のサービスとしてWAFサービスが提供されているタイプを指します。
DNSの切替だけでWAFを導入できるタイプが一般的で、アプライアンス型のような高額な初期費用がかかりにくく、簡単に導入ができ、サービス提供事業者がWAFの機能を自動的に更新してくれるなど管理が容易です。
ただし、通信量や保護対象となるサイト数に応じた従量課金であることが多く、Webサイトによってはランニング費用が高額になることがあるというデメリットがあります。
クラウド型WAFのイメージ(DNS切替型)
クラウド型WAF(SiteGuard Cloud Edition)の詳細はこちら
選ぶ際のポイント
WAFは、3種類それぞれメリットとデメリットがありますが、企業形態によってはデメリットを上手く解消することも可能です。
まずはどのような設置形態にするか確認し、自社に導入した場合の初期費用や運用費用、使い方をイメージしてみましょう。
例えば、Webサーバーの台数が多い企業では、専用機器によるアプライアンス型が選択肢になり、Webサーバーの台数やサイト数、通信量も少ないというケースではクラウド型が選択肢になります。Webサーバーの台数は少なくてもサイト数が多い場合には、大幅にコストダウンできるソフトウェア型が適しています。
また、アプライアンス型とソフトウェア型は、Webサイトの運営者側で設定および管理することを前提とした設計となっており、保護対象のサイト毎に詳細な設定ができるようになっているのが一般的です。
一方で、クラウド型の場合は、サービス提供事象者側でWAFの運用管理を行ってくれますので、運用にかかる負担を軽減できますが、Webサイトの運営者側で設定できる内容が限定されているのが一般的です。
- 自社内で運用することが可能か
- 柔軟かつ詳細な設定が必要か
- 運用負担を軽減した導入形態が望ましいか
これらを適切に判断し、WAFを選定するようにしましょう。
このほか、WAFの使い方に関する問い合わせや問題が発生した場合の迅速な対応という点で、メーカーのサポート体制も重要です。販売元の実績やサポート体制も確認し、信頼できるWAF製品を選びましょう。
関連記事:WAF導入と運用のポイント!WAFのチューニングに必要なものとは
Webサイトのセキュリティ対策にはWAF
本稿では、様々なサイバー攻撃からWebサイトを守るWAFについて、そのメリットや選定ポイントを紹介しました。
Webサイトのセキュリティ対策には、ぜひWAFの導入を検討してみてください。
EGセキュアソリューションズが提供する「SiteGuardシリーズ」は、様々なニーズに対応したソフトウェア型WAF、クラウド型WAFを開発・販売しており、15年以上の信頼と150万サイト以上の導入実績、高品質なサポートサービスで、お客様のWAF導入と運用をサポートしています。
WAFの導入をご検討の際には、ぜひEGセキュアソリューションズ株式会社までご相談ください。
- カテゴリ:
- WAF
- キーワード:
- 脆弱性