Webサイトを狙った改ざんや機密情報の窃取など、多様化するサイバー攻撃から自社のサイト、システムを守るためにはセキュリティ対策が必要となります。
Webサイトのセキュリティ対策を強化するための対策は数多く、運用者はそれらの対策を網羅的に実施し、サイバー攻撃による情報漏えいやサイト改ざんなどを防がなければいけません。
本稿では、Webサイトのセキュリティ対策の強化に欠かせない存在となったWAF(Web Application Firewall)について、ネットワークを保護するファイアウォールと何が違うのか?侵入防止システムとして知られているIPSとは何が違うのか?を解説します。
これらのソリューションは比較の対象となったり、違いが分からないという声を聞くことがあります。それぞれの特徴と得意としている分野を理解し、適切な対策を実施するようにしましょう。
ファイアウォールとは
まず最初にインターネットの活用におけるセキュリティの基本と言われるファイアウォールについて確認しておきましょう。
ファイアウォール(FW)
防火壁の役割を持ち、外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品や機能のことです。ポート番号、IPアドレス、プロトコル、通信方向を制御するルールに基づいて通信の許可/拒否を判断します。
ファイアウォールを設置せずにシステムを公開するのは非常に危険なことです。インターネットと内部ネットワークの境界にファイアウォールを設置し、外部からの攻撃を防ぎ、内部からの通信を制御することがセキュリティ対策の基本となります。
ファイアウォールは、通信の送信元とあて先の情報となるIPアドレス、ポート番号、プロトコル、通信方向をもとに通信の許可/拒否を判断します。これは実生活において、スポーツ観戦やコンサート会場へ行く際のチケット確認などにも例えることができます。会場、入場ゲートが合っているかの確認はもちろんのこと、会員制など身分証明が必要なこともあります。(あて先のIPアドレスとポート番号、送信元IPアドレスの条件で通信が許可されているか)
このようにファイアウォールは、企業や家庭などのネットワークにおいて、信頼できるネットワークとそうでないネットワークの境界で通信の行き来を監視する役割を果たします。
しかし、ファイアウォールだけではセキュリティ対策が万全とは言えません。ファイアウォールで許可された通信を利用したサイバー攻撃を防ぐことができないからです。
前述の実生活に例えると、会場や入場ゲートが合っていてもチケットを偽造している場合や、危険物を隠し持っている場合です。ファイアウォールでは、許可された通信が正常なものか不正なものかを区別することができないので、ファイアウォールのほかにもWAFやIPSなどによるセキュリティ対策が必要になるのです。
※ここでの説明は、通信パケットを分類して許可/拒否を判断する一般的なパケットフィルタリング型のファイアウォールをもとにしています。パケットフィルタリングにもいくつかの方式があるほか、プロキシサーバー(代理サーバー)として内部コンピュータの代わりにアクセスしてセキュリティを向上するアプリケーションゲートウェイ型、プロキシ型に分類されるファイアウォールもあります。また、クライアントやサーバーに導入してコンピュータ自身を保護するパーソナルファイアウォールもあります。
※内部不正を防ぐ目的であったり、万一のウイルス感染による外部通信を防ぐなど、社内や家庭内ネットワークからの通信を制御する役割を果たすこともできます。
WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~
EG セキュアソリューションズが提供するソリューションである WAF(Web Application Firewall) の概要、WAFの選定・導⼊のポイントについて解説しています。
シリーズ累計150万サイト超を保護する「SiteGuardシリーズ」が選ばれる理由についても紹介しています。
IPSとは
次に侵入防止システムとして知られているIPSについて説明します。
IPS
Intrusion Prevention Systemの略称で、侵入防止システムのことです。OSやミドルウェアに対する攻撃、外部からの不正アクセスからサーバーやネットワークなど、システムを広く保護するセキュリティ製品、システムです。
攻撃パターンを定義したシグネチャと呼ばれるルールをもとに通信パケットを検査し、通信の許可/拒否を判断します。その防御対象は幅広く、OSの脆弱性を悪用する攻撃のほか、ワームなどが持つ特徴的な攻撃通信も対象となります。
大量の接続要求データ(SYNパケット)のみを大量に送りつけることによって、相手先が新しい接続を処理できないようにするSynフラッド攻撃などにも有効で、システム全体のセキュリティレベルを上げることができます。
- ネットワークを流れるパケットを検査することで、不正アクセスからシステムを保護する
ファイアウォールは、通信の送信元やあて先の情報をもとに通信の許可/拒否を判断しますが、通信データの内容を検査することはできません。インターネットに公開するウェブアプリケーションなどのサービスの場合、そのサービスに対する通信はファイアウォールによる接続許可の対象になるため、正常・不正の区別なくアクセスされることになります。
IPSは通信の内容を検査して不正アクセスを検出・防御します。防御対象を正しく把握し、IPSを活用することで、不正アクセスによるシステムへの侵入を防ぐことができるようになるのです。
※侵入検知システムと呼ばれるIDSもあります。IDSはIntrusion Detection Systemの略称です。
IPSは不正アクセスを検出した場合に通知と防御を行いますが、IDSは通知のみを行います。不正アクセスおよびその兆候を検出した場合の早期対処のトリガーとして活用されます。
IPSの種類
IPSは、目的や設置する場所に応じて、「ネットワーク型」と「ホスト型」の2種類に分類できます。
ネットワーク型
ネットワークを流れるパケットを検査し、不正なアクセスを検出・防御する製品となるため、検査対象となるネットワーク上に設置します。専用機器(アプライアンス)での提供形態が多くみられます。
ホスト型(エンドポイント)
防御対象のサーバーにインストールするソフトウェアの形態で提供され、サーバー、OSレベルでの不正アクセス(アクセスログの改ざんや、管理者権限の乗っ取り等)への対策として有効です。
WAFとは
それでは、Webサイトのセキュリティ対策の強化に欠かせない存在となったWAFについて確認しましょう。
WAF(ウェブアプリケーションファイアウォール)
Web Application Firewallの略称で、Webアプリケーションの脆弱性を悪用する攻撃を検出・防御し、Webサイトを保護するためのセキュリティ製品です。それぞれの単語の頭文字からWAF(ワフ)と呼ばれています。
WAFはHTTPプロトコルでやり取りされる要求行や要求ヘッダ、パラメータの名前・値などを検査することで、SQLインジェクションやクロスサイトスクリプティングなどのWebアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するという役割を果たします。
WAFとIPSはシグネチャをもとに通信を検査し、通信の許可/拒否を判断するという基本機能は同じですが、防御対象が異なります。システムを広く保護するIPSと異なり、WAFはWebアプリケーションの脆弱性を悪用する攻撃の防御に特化しています。
IPSでもWebアプリケーションの脆弱性を悪用する攻撃を検出することはできますが、複雑で難読化されている攻撃の検出精度は低く、HTTPプロトコルでやり取りされる要求行やヘッダ、パラメータの名前・値をパースして検査するWAFの方が、その検出精度は優れています
WAFの種類
WAFは「アプライアンス型」「ソフトウェア型」「サービス型」の3種類に大別されます。それぞれに特徴があり、Webサーバーの台数やWAFのメンテナンス、運用の管理方法によって選択することができます。
アプライアンス型
各組織のネットワーク内に専用の機器としてWAFを設置し、Webサーバーへの通信をWAFに通過させることで検査すします。仮想基盤向けの仮想アプライアンスとして提供される場合もあります。
専用ハードウェアの購入などでコスト高になりますが、複数のWebサーバーを一元的に管理、保護することができます。
ソフトウェア型
各組織が運営するサイトのWebサーバーに、ソフトウェアとしてWAFをインストールし、Webサーバーに対する通信内容を検査します。
複数のWebサーバーに導入する場合の管理が課題となりますが、シンプルな構成でトラフィック量やサイト数に依存せず、保護することができます。
※リバースプロキシの構成で提供、活用される場合もあります。
サービス型
組織外に存在するWAFサービス提供者のサービスサーバーを経由することで検査を行い、組織内のWebサーバーに対する通信を中継します。
通信量やサイト数が多い場合、課金形態によってはコスト高になる場合がありますが、導入が容易でメンテナンスや管理の手間をかけず保護することができます。
※組織内のWebサーバーにエージェントとなるソフトウェアをインストールし、組織外のWAFベンダのサービスサーバーと連携して検査する方式も存在します。
WAFとIPSの防御対象の違い
あくまでイメージとなりますが、WAFとIPSの防御対象を図で示すと以下のようになります。
OSやミドルウェアに対する攻撃はIPSのほうが得意としており、Webアプリケーション層の攻撃に対してはカバー範囲が狭くなっていきます。WAFの場合は、Webアプリケーション層の攻撃に対する防御を得意とし、ミドルウェア・OSと向かうにつれてカバー範囲が狭くなっていきます。
実際には、WAFにおいてもApache、IISといったWebサーバーの脆弱性を悪用する攻撃やApache Strtusなどのフレームワーク、シェル(Bash)の脆弱性を悪用する攻撃が防御対象となることがありますので、WAFとIPSのカバー範囲には重なる部分があります。
このほか、WAFは特定の条件(URLとパラメータの組み合わせ等)で許可・拒否を判断するルールを作成したり、ブラウザとWebサーバーの間でやり取りされるCookieの暗号化や任意の応答ヘッダを追加するなど、Webのセキュリティ対策に特化したWAFならではの機能を備えていることがあります。
サイバー攻撃が多様化し、2000年代半ば以降にWebサイトの脆弱性を狙った大規模な情報漏えいや改ざんが多発しました。
Webアプリケーションの脆弱性を悪用する攻撃をファイアウォールやIPSなどの対策だけで防ぐことはできず、WAFメーカーが独自の仕組みで機能を強化、検出精度の向上に取り組んだ結果、WAFによるウェブサイトのセキュリティ対策が注目されるようになりました。
常時SSL環境へのWAFやIPS導入時のチェックポイント
WebブラウザとWebサーバー間の通信は、HTTP(Hypertext Transfer Protocol)でやり取りされますが、HTTPでは通信するデータが暗号化されないため、インターネット上にログイン情報や個人情報、決済に必要なクレジットカード情報などをHTTPのまま送信してしまうと悪意ある第三者に盗聴される恐れがあります。
そのため、SSLを活用してHTTPS通信でデータを保護するのが一般的です。
まとめ
WAF、IPS、ファイアウォールの違いをまとめた表は以下の通りです。
|
製品・サービス |
主な防御対象 |
対応する主な攻撃 |
|
WAF |
Webアプリケーション |
SQLインジェクション、クロスサイトスクリプティング など |
|
IPS |
OS、ミドルウェア |
Dos攻撃、Synフラッド攻撃 など |
|
ファイアウォール |
インフラ、ネットワーク |
ポートスキャン など |
いかがでしょうか?WAFとIPS、同じような手法で攻撃を防御する点は共通していますが、その目的や得意とする分野は異なります。また、信頼できるネットワークとそうでないネットワークのアクセスを制御するファイアウォールとも役割は異なります。これは機能の優劣ではなく、それぞれが担う役割には違いがあることを意味しています。
どれか一つ設置すれば良いというものではなく、システムや目的にあわせて設置し、多様化するサイバー攻撃に備える必要があります。
何を重点的に防御するか、可能な場合はファイアウォール、IPS、WAFの多層防御によってセキュリティレベルを上げることが理想的です。また、常時SSL環境のセキュリティ対策が適切に実施できているかについても忘れずにチェックしてください。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
