インターネットを活用したビジネスが発展する今、「セキュリティ対策にはファイアウォールがあれば十分」という考えでは、適切なセキュリティ対策は行えません。あらゆるサイバー攻撃から企業の大切な情報を守るためにも、多くの企業でWAFの導入が急速に進んでいます。
この記事では、WAFの基本知識から導入するメリットとデメリットについて解説します。WAFの導入を検討している方はぜひ参考にしてください。
WAFとは?
「ウェブサイトのセキュリティ対策にはWAFを」というイメージが浸透してきていますが、そもそもWAFがどのようなものか分からないという方も多いのではないでしょうか。
WAFとは、「Web Application Firewall」の略で、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを守ることに特化したセキュリティ対策・製品のことを指します。クライアントとWebサーバーでやり取りされるHTTP/HTTPS通信を検査し、攻撃であると判断した場合には、接続を遮断することでWebサイトを保護します。
WAFと同じく、システムやネットワークのセキュリティを強化する対策に「ファイアウォール」がありますが、WAFとファイアウォールが担う役割は異なります。ファイアウォールは、インターネットと内部ネットワークの間に防御壁を設け、通信先や通信方向を制御することで不正アクセスを阻止します。
一方WAFは、HTTPプロトコルでやり取りされる要求・応答を検査することで、Webサイトの改ざんや情報漏洩等を防ぐ役割を果たします。
関連記事:WAFとは?仕組みやメリット、選定時のポイントを解説
5分でまるわかり!
WAFによるサイバー攻撃対策
そもそもサイバー攻撃とは何か?Webサイトをサイバー攻撃から守る「WAF」導入のメリットやその種類と選び方までを解説しています。
WAFを利用する目的
昨今Webサイトを活用したビジネスが基盤となりつつあり、さまざまなサービスを展開できるようになっています。その反面、誰でもWebサイトにアクセスできるため、企業規模を問わずWebサイトの運営者にはサイバー攻撃への対策が求められています。
Webサイトに対するサーバー攻撃では、Webアプリケーションの脆弱性を悪用したサイバー攻撃に注意する必要があります。
Webアプリケーションとは、Google、Yahoo!をはじめとした検索エンジンや、インターネットバンキング、ブログなど、Webを通じて動作するアプリケーションのことを指します。
現在のWebサイトでは、ユーザーからの入力やリクエストに応じて、Webアプリケーションが動的にページを作成していますが、このWebアプリケーションに不備や弱点が存在すると、それを悪用したサイバー攻撃が発生するのです。
サイバー攻撃を受けると、個人情報の流出やWebサイトの改ざん、破損などの被害を受け、企業経営に大きな悪影響をもたらします。このようなサイバー攻撃によるリスクを抑えるためにも、WAFを利用し、Webアプリケーションを守ることが重要視されているのです。
WAFを導入するメリット
WAFを導入することで、万が一サイバー攻撃を受けてもセーフティネットとしてWAFが攻撃を防いでくれます。また、攻撃による被害を受けてしまった後であっても、WAFを導入することで緊急対応ができ、迅速なWebサイトの復旧に役立ちます。サイバー攻撃を受けた際は、被害拡大を防止するためにも、攻撃を受けた原因の究明と攻撃に応じた対策をすみやかに行う必要があります。WAFはサイバー攻撃に対して迅速な対応を行えるようサポートをしてくれます。
一度情報漏洩等の事故が起こると、対応に時間を要するのはもちろん、経済的にも甚大な被害を受け、社会的信用の損失につながります。事前対策としてWAFを導入することで、サイバー攻撃によるリスクを抑えることも可能です。
また、Webアプリケーションの脆弱性を把握できたとしても、メンテナンスに時間をかけられなかったり、Webアプリケーションを修正できない、運用上の理由など、現実的な問題に直面し、迅速な対策が難しいケースもあります。このような場合でもWAFを導入しておくことで、稼働中のWebサイトに対する影響を抑えながら、Webサイトのセキュリティ対策を強化できますので、これもWAFを導入する大きなメリットといえるでしょう。
PCI DSSの要件にみるWAF導入のメリット
PCI DSSとは2004年に国際クレジットカードブランド5社(VISA、JCB、MasterCard、American Express、Discover)により、クレジットカード情報の安全な取り扱いを目的として策定された国際セキュリティ基準で、「Payment Card Industry Data Security Standard」の略です。
WAFの導入は、PCI DSSのような国際基準の準拠にもメリットがあります。それは、PCI DSSの12の要件のうち下記に該当します。
<PCI DSS要件「6. 安全性の高いシステムとアプリケーションを開発し、保守する」>
PCI DSS v3.2.1では、「一般公開されているWebアプリケーションで、継続的に新たな脅威や脆弱性に対処し、これらのアプリケーションが、次のいずれかの方法によって、既知の攻撃から保護されていることを確実にする。」という要件となっています。
- 一般公開されている Web アプリケーションは、アプリケーションのセキュリティ脆弱性を手動/自動で評価するツールまたは手法によって、少なくとも年1回および何らかの変更を加えた後にレビューする。
- Webベースの攻撃を検知および回避するために、一般公開されているWeb アプリケーションの手前に、Web ベースの攻撃を自動的に検出・防止する技術的な解決策(Webアプリケーションファイアウォールなど)をインストールする。
いずれかの方法によってとありますので、仮にWebアプリケーションの脆弱性診断を実施している場合、WAFの導入は必須ではありません。
PCI DSS v3.2.1は、2024年3月31日の終了がアナウンスされており、この期限以降、PCI DSS準拠対象の事業体はPCI DSS v4.0での審査及び準拠が必要となります。要件6のWebアプリケーションの保護について、PCI DSS v4.0では、WAFの導入が必須となったことが大きな変更ポイントの一つとなっています。
脆弱性対策の考え方およびコストの面で、脆弱性診断によって準拠する事業者が多い傾向にありましたが、v4.0では、定期的な脆弱性診断とレビューに加え、WAFの導入が必要となり、Webアプリケーションの保護をより確実にすることが求められるようになりました。
WAF導入のデメリット
WAFを導入することで得られるメリットがあるように、デメリットも存在します。
最も懸念されているのがコストの問題です。WAFの種類にもよりますが、専用機器の購入によって初期費用が高額になったり、導入したいWebサーバーの台数に比例して、初期費用や運用負荷がかかったりするなど、経済的コストと運用コストの両方が課題となります。
近年ではクラウド型のWAF製品も存在し、コスト負担の軽減などWAFを導入する場合の選択肢が増えています。クラウド型のWAFの場合、サービス提供元の事業者側でWAFの運用・管理を行うため、サービス内容によっては運用負担の軽減にもつながる場合があります。
関連記事:気になるWAFのコスト!価格・料金プランを徹底解説
どれを選ぶべきか?WAFの種類と選び方について
WAFには複数の種類があり、それぞれに特徴があります。単純にコストだけで比較するのではなく、運用しているWebサイトの特性や設置形態に合ったWAFを選ぶようにしましょう。
WAFの種類
WAFには「アプライアンス型」「ソフトウェア型」「クラウド型」の3種類があります。
アプライアンス型とは、専用機器を導入し、保護対象となるWebサーバーの前段に置いて使用するWAFのことです。1つの製品で複数のWebサーバーに対応できるため、台数によって初期費用が変動することはありません。保護するWebサーバー数や利用するユーザーが大規模な企業ほど、割安で導入できるということになります。一方で、専用機器の初期費用と定期的なメンテナンス費用が高額となりやすいというデメリットがあります。
ソフトウェア型についてですが、ここでは自社のWebサーバーにインストールして使用するタイプのWAFを例にします。専用機器を購入する必要がないため、初期費用が抑えられ、シンプルな構成で導入することができます。Webサーバーの環境に依存し、台数に応じてソフトウェアをインストールする必要があることと、パフォーマンス低下の可能性があることがデメリットとなります。(昨今のハードウェア性能の向上により、その影響は小さくなってきています。)
最後にクラウド型ですが、クラウド上のサービスとしてWAFサービスが提供されているタイプを指します。DNSの切替だけでWAFを導入できるタイプが一般的で、アプライアンス型のような高額な初期費用がかかりにくく、簡単に導入ができ、サービス提供事業者がWAFの機能を自動的に更新してくれるなど管理が容易です。ただし、通信量や保護対象となるサイト数に応じた従量課金であることが多く、Webサイトによってはランニング費用が高額になることがあるというデメリットがあります。
クラウド型WAFのイメージ(DNS切替型)
選ぶ際のポイント
WAFは、3種類それぞれメリットとデメリットがありますが、企業形態によってはデメリットを上手く解消することも可能です。
まずはどのような設置形態にするか確認し、自社に導入した場合の初期費用や運用費用、使い方をイメージしてみましょう。
例えば、Webサーバーの台数が多い企業では、専用機器によるアプライアンス型が選択肢になり、Webサーバーの台数やサイト数、通信量も少ないというケースではクラウド型が選択肢になります。Webサーバーの台数は少なくてもサイト数が多い場合には、大幅にコストダウンできるソフトウェア型が適しています。
また、アプライアンス型とソフトウェア型は、Webサイトの運営者側で設定および管理することを前提とした設計となっており、保護対象のサイト毎に詳細な設定ができるようになっているのが一般的です。一方で、クラウド型の場合は、サービス提供事象者側でWAFの運用管理を行ってくれますので、運用にかかる負担を軽減できますが、Webサイトの運営者側で設定できる内容が限定されているのが一般的です。
- 自社内で運用することが可能か
- 柔軟かつ詳細な設定が必要か
- 運用負担を軽減した導入形態が望ましいか
これらを適切に判断し、WAFを選定するようにしましょう。
このほか、WAFの使い方に関する問い合わせや問題が発生した場合の迅速な対応という点で、メーカーのサポート体制も重要です。販売元の実績やサポート体制も確認し、信頼できるWAF製品を選びましょう。
関連記事:WAF導入と運用のポイント!WAFのチューニングに必要なものとは
Webサイトのセキュリティ対策にはWAF
本稿では、様々なサイバー攻撃からWebサイトを守るWAFについて、そのメリットや選定ポイントを紹介しました。
ワンランク上のWebサイトのセキュリティ対策に、ぜひWAFの導入を検討してみてください。
1分でわかる!
SiteGuardシリーズ
Webを取り巻く脅威からWebサイトを保護するセキュリティ対策WAF!
本資料では、導入実績100万サイト以上(※)のWAF「SiteGuardシリーズ」の特長について1分でわかる内容になっています。
