WAF(Webアプリケーションファイアウォール)

 2020.09.16  株式会社ジェイピー・セキュア

WAFは、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを守るためのセキュリティ製品です。

WAF(ワフ)とは?

WAF(ワフ)とは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、SQLインジェクションやクロスサイトスクリプティング(XSS)などのWebアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ製品です。それぞれの単語の頭文字からWAF(ワフ)と呼ばれています。

WAF(Webアプリケーションファイアウォール)
 
近年、企業規模や業種・業態に関係なく、様々なWebサイトがサイバー攻撃のターゲットとなっています。それどころか、個人で運用しているWebサイトがスパム配信に悪用されるなど、企業・個人に関係なく、Webサイトのセキュリティ対策は必要不可欠な時代となっています。

WAFをWebサーバーにインストールしたり、Webサーバーの前段に配置することで、Webサーバーに対するアクセスを解析・検査し、サイバー攻撃を防ぐことができます。

WAFによって防ぐことができる攻撃やWAFの種類、設置構成、それぞれの詳細については「こちら」を参照してください。

WAFを導入するメリット

WAFを導入することで、運用上の理由によりアプリケーションの修正が困難な場合や保険的対策のほか、万一のセキュリティ事故からの早期復旧に役立てることができます。ここでは、WAF導入の3つのメリットについて説明します。

脆弱性を修正できない

脆弱性の存在を把握しながらも運用上の理由からアプリケーションを修正できない場合があります。このケースは、メンテナンス計画の都合や修正に想像以上の工数を要するといった場合だけでなく、Apache Struts 2のようなフレームワークやWordPressなどのCMSを利用している場合も該当します。利用しているフレームワークやソフトウェアに脆弱性が発見された場合、開発元や提供元から修正バージョン、パッチなどに関する情報を入手して適用するなど、迅速かつ適切な対応が求められます。しかしながら、稼働中のウェブサイトに対する影響を考慮する必要があり、思うように作業が進まないことがあるのが実情です。

脆弱性の修正やパッチの適用を計画しながら、WAFを併用することで現実的かつ効果的な対策が可能となります。

保険的対策

情報漏えい等の事故が起きてしまうと、直接的・間接的に莫大なコストが生じてしまいます。前述のとおり、ウェブアプリケーションの開発には人手を介し、継続的な改善が加えられていくため、脆弱性ゼロは難しいというのが現状です。

事前対策としてWAFを導入することで、万が一のリスクを低減することができます。WAFは、ウェブサイトのセキュリティ対策の強化に欠かせない存在となり、近年のニーズとして最も多いケースとなっています。

今すぐ攻撃を防御

ウェブサイトが実害を被ると対策が完了するまでサービスの再開は困難となり、ダウンタイムは機会損失に直結してしまいます。

緊急対応としてのWAF活用は迅速なサイト復旧の助けとなります。

New call-to-action
JP-Secure Labs Report Vol.01

WAFとファイアウォール、IPSの違いとは?

WAFは、ファイアウォール(FW)やIPS/IDS(不正侵入防止システム/不正侵入検知システム)では防ぐことができないサイバー攻撃に対しても有効です。ここでは、アクセス制御やシステムへの侵入を防ぐソリューションであるファイアウォール、IPSとWAFとの違いについて説明します。

WAF(Webアプリケーションファイアウォール)

WAFとファイアウォールの違い

ファイアウォールは、外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品や機能のことです。ポート番号、IPアドレス、プロトコル、通信方向を制御するルールに基づいて通信の許可/拒否を判断します。WAFのように通信の内容を解析・検査することはしないため、Webアプリケーションの脆弱性を悪用した攻撃を防ぐことはできません。

WAFとIPSの違い

IPSは、Intrusion Prevention Systemの略称で、侵入防止システムのことです。外部からの不正アクセスからサーバーやネットワークを保護するセキュリティ製品、システムです。OSやミドルウェア層への攻撃の防御に有効ですが、Webアプリケーションの脆弱性を悪用した攻撃の防御には向いていません。

多層防御

WAFとファイアウォール、IPSにはそれぞれの役割があります。機能の優劣ではなく、ネットワーク/OS/ミドルウェア/Webアプリケーションのレイヤーに応じたセキュリティ対策が求められています。

関連記事:WAFとファイアウォール、IPSの違い

WAFによる防御のしくみ

WAFによる攻撃の防御では、シグネチャによるパターンマッチングによる検査が広く活用されています。

WAF(シグネチャモデル)

シグネチャモデルによる検査のイメージ

この他、クライアントとWebサイトの間でやり取りされるCookieを保護したり、WAF自身がセッションを管理して不正なページ遷移などを防ぐ機能が備わっています。

昨今、AIの活用のほか、各WAFメーカーが独自の検査ロジックを追加して複数の検査ロジックを組み合わせるなど、検査の手法が進化しており、WAFの防御性能はさらに向上しています。

WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~

RECENT POST「WAF」の最新記事


WAF(Webアプリケーションファイアウォール)
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング