ウェブサイトを狙った改ざんや機密情報の窃取など、多様化するサイバー攻撃から自社のサイト、システムを守るためにはセキュリティ対策が必要となります。ウェブサイトのセキュリティ対策を強化するための対策は数多く、運用者はそれらの対策を網羅的に実施し、サイバー攻撃による情報漏えいやサイト改ざんなどを防がなければいけません。
本稿では、ウェブサイトのセキュリティ対策の強化に欠かせない存在となったWAF(Web Application Firewall)について、ネットワークを保護するファイアウォールと何が違うのか?侵入防止システムとして知らているIPSとは何が違うのか?を解説します。これらのソリューションは比較の対象となったり、違いが分からないという声を聞くことがあります。それぞれの特徴と得意としている分野を理解し、適切な対策を実施するようにしましょう。
ファイアウォールとは
まず最初にインターネットの活用におけるセキュリティの基本と言われるファイアウォールについて確認しておきましょう。
ファイアウォール(FW)
防火壁の役割を持ち、外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品や機能のことです。ポート番号、IPアドレス、プロトコル、通信方向を制御するルールに基づいて通信の許可/拒否を判断します。
ファイアウォールを設置せずにシステムを公開するのは非常に危険なことです。インターネットと内部ネットワークの境界にファイアウォールを設置し、外部からの攻撃を防ぐのはセキュリティ対策の基本となります。
ファイアウォールは、通信の送信元とあて先の情報となるIPアドレス、ポート番号、プロトコル、通信方向をもとに通信の許可/拒否を判断しますが、これは実生活において、スポーツ観戦やコンサート会場へ行く際のチケット確認などにも例えることができます。会場、入場ゲートが合っているかの確認はもちろんのこと、会員制など身分証明が必要なこともあります。(あて先のIPアドレスとポート番号、送信元IPアドレスの条件で通信が許可されているか)
このようにファイアウォールは、企業や家庭などのネットワークにおいて、信頼できるネットワークとそうでないネットワークの境界で通信の行き来を監視する役割を果たします。
※ここでの説明は、通信パケットを分類して許可/拒否を判断する一般的なパケットフィルタリング型のファイアウォールをもとにしています。パケットフィルタリングにもいくつかの方式があるほか、プロキシサーバー(代理サーバー)として内部コンピュータの代わりにアクセスしてセキュリティを向上するアプリケーションゲートウェイ型、プロキシ型に分類されるファイアウォールもあります。また、クライアントやサーバーに導入してコンピュータ自身を保護するパーソナルファイアウォールもあります。
※内部不正を防ぐ目的であったり、万一のウイルス感染による外部通信を防ぐなど、社内や家庭内ネットワークからの通信を制御する役割を果たすこともできます。
WAFとは~WAF選定・導入のポイントとSiteGuardが選ばれる理由~
EG セキュアソリューションズが提供するソリューションである WAF(Web Application Firewall) の概要、WAFの選定・導⼊のポイントについて解説しています。
シリーズ累計100万サイト超を保護する「SiteGuardシリーズ」が選ばれる理由についても紹介しています。
IPSとは
次に侵入防止システムとして知られているIPSについて説明します。
IPS
Intrusion Prevention Systemの略称で、侵入防止システムのことです。外部からの不正アクセスからサーバーやネットワークを保護するセキュリティ製品、システムです。攻撃パターンを定義したシグネチャと呼ばれるルールをもとに通信パケットを検査し、通信の許可/拒否を判断します。その防御対象は幅広く、OSの脆弱性を悪用する攻撃のほか、ワームなどが持つ特徴的な攻撃通信も対象となります。大量の接続要求データ(SYNパケット)のみを大量に送りつけることによって、相手先が新しい接続を処理できないようにするSynフラッド攻撃などにも有効で、システム全体のセキュリティレベルを上げることができます。
- ネットワークを流れるパケットを検査することで、不正アクセスからシステムを保護する
ファイアウォールは、通信の送信元やあて先の情報をもとに通信の許可/拒否を判断しますが、通信データの内容を検査することはできません。インターネットに公開するサービスの場合、そのサービスに対する通信はファイアウォールによる接続許可の対象になるため、正常・不正の区別なくアクセスされることになります。
IPSは通信の内容を検査して不正アクセスを検出・防御するため、IPSを活用することで、不正アクセスによるシステムへの侵入を防ぐことができるようになるのです。
※侵入検知システムと呼ばれるIDSもあります。IDSはIntrusion Detection Systemの略称です。IPSは不正アクセスを検出した場合に通知と防御を行いますが、IDSは通知のみを行います。不正アクセスおよびその兆候を検出した場合の早期対処のトリガーとして活用されます。
WAFとは
それでは、ウェブサイトのセキュリティ対策の強化に欠かせない存在となったWAFについて確認しましょう。
WAF(ウェブアプリケーションファイアウォール)
Web Application Firewallの略称で、ウェブアプリケーションの脆弱性を悪用する攻撃を検出・防御し、ウェブサイトを保護するためのセキュリティ製品です。それぞれの単語の頭文字からWAF(ワフ)と呼ばれています。
WAFはHTTPプロトコルでやり取りされる要求行や要求ヘッダ、パラメータの名前・値などを検査することで、SQLインジェクションやクロスサイトスクリプティングなどのウェブアプリケーションの脆弱性を悪用する攻撃からウェブサイトを保護するという役割を果たします。
WAFとIPSはシグネチャをもとに通信を検査し、通信の許可/拒否を判断するという基本機能は同じですが、防御対象が異なります。システムを広く保護するIPSと異なり、WAFはウェブアプリケーションの脆弱性を悪用する攻撃の防御に特化しています。IPSでもウェブアプリケーションの脆弱性を悪用する攻撃を検出することはできますが、HTTPプロトコルでやり取りされる要求行やヘッダ、パラメータの名前・値をパースして検査するWAFの方がその検出精度は優れています。
WAFとIPSの防御対象の違い
あくまでイメージとなりますが、WAFとIPSの防御対象を図で示すと以下のようになります。
OSやミドルウェアに対する攻撃はIPSのほうが得意としており、ウェブアプリケーション層の攻撃に対してはカバー範囲が狭くなっていきます。WAFの場合は、ウェブアプリケーション層の攻撃に対する防御を得意とし、ミドルウェア・OSと向かうにつれてカバー範囲が狭くなっていきます。実際には、WAFにおいてもApache、IISといったウェブサーバーの脆弱性を悪用する攻撃やApache Strtusなどのフレームワーク、シェル(Bash)の脆弱性を悪用する攻撃が防御対象となることがありますので、WAFとIPSのカバー範囲には重なる部分があります。
このほか、WAFは特定の条件(URLとパラメータの組み合わせ等)で許可・拒否を判断するルールを作成したり、ブラウザとウェブサーバーの間でやり取りされるCookieの暗号化や任意の応答ヘッダを追加するなど、ウェブのセキュリティ対策に特化したWAFならではの機能を備えていることがあります。
サイバー攻撃が多様化し、2000年代半ば以降にウェブサイトの脆弱性を狙った大規模な情報漏えいや改ざんが多発しました。ウェブアプリケーションの脆弱性を悪用する攻撃をファイアウォールやIPSなどの対策だけで防ぐことはできず、WAFメーカーが独自の仕組みで機能を強化、検出精度の向上に取り組んだ結果、WAFによるウェブサイトのセキュリティ対策が注目されるようになりました。
常時SSL環境のセキュリティ対策
WebブラウザとWebサーバー間の通信は、HTTP(Hypertext Transfer Protocol)でやり取りされますが、HTTPでは通信するデータが暗号化されないため、インターネット上にログイン情報や個人情報、決済に必要なクレジットカード情報などをHTTPのまま送信してしまうと悪意ある第三者に盗聴される恐れがあります。そのため、SSLを活用してHTTPS通信でデータを保護するのが一般的です。
まとめ
いかがでしょうか?WAFとIPS、同じような手法で攻撃を防御する点は共通していますが、その目的や得意とする分野は異なります。また、信頼できるネットワークとそうでないネットワークのアクセスを制御するファイアウォールとも役割は異なります。これは機能の優劣ではなく、それぞれが担う役割には違いがあることを意味しています。
何を重点的に防御するか、可能な場合はファイアウォール、IPS、WAFの多層防御によってセキュリティレベルを上げることが理想的です。また、常時SSL環境のセキュリティ対策が適切に実施できているかについても忘れずにチェックしてください。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
