WAFとファイアウォール、IPSの違い

 2020.07.08  株式会社ジェイピー・セキュア

ウェブサイトを狙った改ざんや機密情報の窃取など、多様化するサイバー攻撃から自社のサイト、システムを守るためにはセキュリティ対策が必要となります。ウェブサイトのセキュリティ対策を強化するための対策は数多く、運用者はそれらの対策を網羅的に実施し、サイバー攻撃による情報漏えいやサイト改ざんなどを防がなければいけません。

本稿では、ウェブサイトのセキュリティ対策の強化に欠かせない存在となったWAF(Web Application Firewall)について、ネットワークを保護するファイアウォールと何が違うのか?侵入防止システムとして知らているIPSとは何が違うのか?を解説します。これらのソリューションは比較の対象となったり、違いが分からないという声を聞くことがあります。それぞれの特徴と得意としている分野を理解し、適切な対策を実施するようにしましょう。

ファイアウォールとは

まず最初にインターネットの活用におけるセキュリティの基本と言われるファイアウォールについて確認しておきましょう。

ファイアウォール(FW)

防火壁の役割を持ち、外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品や機能のことです。ポート番号、IPアドレス、プロトコル、通信方向を制御するルールに基づいて通信の許可/拒否を判断します。

ファイアウォールを設置せずにシステムを公開するのは非常に危険なことです。インターネットと内部ネットワークの境界にファイアウォールを設置し、外部からの攻撃を防ぐのはセキュリティ対策の基本となります。

ファイアウォールファイアウォールは、通信の送信元とあて先の情報となるIPアドレス、ポート番号、プロトコル、通信方向をもとに通信の許可/拒否を判断しますが、これは実生活において、スポーツ観戦やコンサート会場へ行く際のチケット確認などにも例えることができます。会場、入場ゲートが合っているかの確認はもちろんのこと、会員制など身分証明が必要なこともあります。(あて先のIPアドレスとポート番号、送信元IPアドレスの条件で通信が許可されているか)

このようにファイアウォールは、企業や家庭などのネットワークにおいて、信頼できるネットワークとそうでないネットワークの境界で通信の行き来を監視する役割を果たします。

※ここでの説明は、通信パケットを分類して許可/拒否を判断する一般的なパケットフィルタリング型のファイアウォールをもとにしています。パケットフィルタリングにもいくつかの方式があるほか、プロキシサーバー(代理サーバー)として内部コンピュータの代わりにアクセスしてセキュリティを向上するアプリケーションゲートウェイ型、プロキシ型に分類されるファイアウォールもあります。また、クライアントやサーバーに導入してコンピュータ自身を保護するパーソナルファイアウォールもあります。

※内部不正を防ぐ目的であったり、万一のウイルス感染による外部通信を防ぐなど、社内や家庭内ネットワークからの通信を制御する役割を果たすこともできます。

IPSとは

次に侵入防止システムとして知られているIPSについて説明します。

IPS

Intrusion Prevention Systemの略称で、侵入防止システムのことです。外部からの不正アクセスからサーバーやネットワークを保護するセキュリティ製品、システムです。攻撃パターンを定義したシグネチャと呼ばれるルールをもとに通信パケットを検査し、通信の許可/拒否を判断します。その防御対象は幅広く、OSの脆弱性を悪用する攻撃のほか、ワームなどが持つ特徴的な攻撃通信も対象となります。大量の接続要求データ(SYNパケット)のみを大量に送りつけることによって、相手先が新しい接続を処理できないようにするSynフラッド攻撃などにも有効で、システム全体のセキュリティレベルを上げることができます。

  • ネットワークを流れるパケットを検査することで、不正アクセスからシステムを保護する

ファイアウォールは、通信の送信元やあて先の情報をもとに通信の許可/拒否を判断しますが、通信データの内容を検査することはできません。インターネットに公開するサービスの場合、そのサービスに対する通信はファイアウォールによる接続許可の対象になるため、正常・不正の区別なくアクセスされることになります。

New call-to-action
ジェイピー・セキュアソフトウェアライセンス価格表

IPSは通信の内容を検査して不正アクセスを検出・防御するため、IPSを活用することで、不正アクセスによるシステムへの侵入を防ぐことができるようになるのです。

※侵入検知システムと呼ばれるIDSもあります。IDSはIntrusion Detection Systemの略称です。IPSは不正アクセスを検出した場合に通知と防御を行いますが、IDSは通知のみを行います。不正アクセスおよびその兆候を検出した場合の早期対処のトリガーとして活用されます。

WAFとは

それでは、ウェブサイトのセキュリティ対策の強化に欠かせない存在となったWAFについて確認しましょう。

WAF(ウェブアプリケーションファイアウォール)

Web Application Firewallの略称で、ウェブアプリケーションの脆弱性を悪用する攻撃を検出・防御し、ウェブサイトを保護するためのセキュリティ製品です。それぞれの単語の頭文字からWAF(ワフ)と呼ばれています。

WAFはHTTPプロトコルでやり取りされる要求行や要求ヘッダ、パラメータの名前・値などを検査することで、SQLインジェクションやクロスサイトスクリプティングなどのウェブアプリケーションの脆弱性を悪用する攻撃からウェブサイトを保護するという役割を果たします。

WAF(ワフ)

WAFとIPSはシグネチャをもとに通信を検査し、通信の許可/拒否を判断するという基本機能は同じですが、防御対象が異なります。システムを広く保護するIPSと異なり、WAFはウェブアプリケーションの脆弱性を悪用する攻撃の防御に特化しています。IPSでもウェブアプリケーションの脆弱性を悪用する攻撃を検出することはできますが、HTTPプロトコルでやり取りされる要求行やヘッダ、パラメータの名前・値をパースして検査するWAFの方がその検出精度は優れています。

WAFとIPSの防御対象の違い

あくまでイメージとなりますが、WAFとIPSの防御対象を図で示すと以下のようになります。

WAFとIPSの違い

OSやミドルウェアに対する攻撃はIPSのほうが得意としており、ウェブアプリケーション層の攻撃に対してはカバー範囲が狭くなっていきます。WAFの場合は、ウェブアプリケーション層の攻撃に対する防御を得意とし、ミドルウェア・OSと向かうにつれてカバー範囲が狭くなっていきます。実際には、WAFにおいてもApache、IISといったウェブサーバーの脆弱性を悪用する攻撃やApache Strtusなどのフレームワーク、シェル(Bash)の脆弱性を悪用する攻撃が防御対象となることがありますので、WAFとIPSのカバー範囲には重なる部分があります。

このほか、WAFは特定の条件(URLとパラメータの組み合わせ等)で許可・拒否を判断するルールを作成したり、ブラウザとウェブサーバーの間でやり取りされるCookieの暗号化や任意の応答ヘッダを追加するなど、ウェブのセキュリティ対策に特化したWAFならではの機能を備えていることがあります。

サイバー攻撃が多様化し、2000年代半ば以降にウェブサイトの脆弱性を狙った大規模な情報漏えいや改ざんが多発しました。ウェブアプリケーションの脆弱性を悪用する攻撃をファイアウォールやIPSなどの対策だけで防ぐことはできず、WAFメーカーが独自の仕組みで機能を強化、検出精度の向上に取り組んだ結果、WAFによるウェブサイトのセキュリティ対策が注目されるようになりました。

常時SSL環境のセキュリティ対策

WebブラウザとWebサーバー間の通信は、HTTP(Hypertext Transfer Protocol)でやり取りされますが、HTTPでは通信するデータが暗号化されないため、インターネット上にログイン情報や個人情報、決済に必要なクレジットカード情報などをHTTPのまま送信してしまうと悪意ある第三者に盗聴される恐れがあります。そのため、SSLを活用してHTTPS通信でデータを保護するのが一般的です。

SSL

以前は、個人情報を取り扱う問い合わせフォームや会員ページ、クレジットカードを入力する必要のある決済ページなど、特定のページだけをHTTPSで通信することが多かったのですが、現在は全てのページをHTTPSで通信する常時SSL(Always On SSL)が普及しています。

「常時SSLは当たり前」とも呼ばれる今、セキュリティ対策の面では暗号化された通信に潜む脅威について考慮しなくてはならないことがあります。インターネット上でやり取りされる通信がHTTPからHTTPSへとシフトしたことで、盗聴やなりすましを防ぐことができるようになりましたが、脅威の監視や検査という点では暗号化されたデータのままだと、データの内容をチェックすることができないのです。

そのため、WAF(Web Application Firewall)やIPS(Intrusion Prevention System)といったセキュリティ製品の機能を活かすためには、HTTPSを復号して監視や検査ができるようにシステムを構築する必要があります。ロードバランサ(負荷分散装置)など、SSLを復号する機能を備えた機器を活用して検査可能なゾーンにWAFを配置したり、セキュリティ機器やサービスにもSSLサーバー証明書、秘密鍵を設定してHTTPSを復号できるようにします。なお、Webサーバーのモジュールとして動作するホスト型WAFの場合、SSLの処理はSSLに対応したWebサーバー自身が行うため、HTTP/HTTPS通信を特に意識することなく、脅威の監視・検査を行うことができます。

「セキュリティ機器は導入しているけれど、復号できていないためHTTPS通信を検査できない」といったことがないようにシステム構成やセキュリティ機器の設定についても見直しをしましょう。

まとめ

いかがでしょうか?WAFとIPS、同じような手法で攻撃を防御する点は共通していますが、その目的や得意とする分野は異なります。また、信頼できるネットワークとそうでないネットワークのアクセスを制御するファイアウォールとも役割は異なります。これは機能の優劣ではなく、それぞれが担う役割には違いがあることを意味しています。

WAFとFW、IPSの違い

何を重点的に防御するか、可能な場合はファイアウォール、IPS、WAFの多層防御によってセキュリティレベルを上げることが理想的です。また、常時SSL環境のセキュリティ対策が適切に実施できているかについても忘れずにチェックしてください。

WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~

RECENT POST「WAF」の最新記事


WAFとファイアウォール、IPSの違い
SITEGUARD

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング