Webサイトを狙った改ざんや機密情報の窃取など、多様化するサイバー攻撃から自社のサイト、システムを守るためにはセキュリティ対策が必要となります。
Webサイトのセキュリティ対策を強化するための対策は数多く、運用者はそれらの対策を網羅的に実施し、サイバー攻撃による情報漏えいやサイト改ざんなどを防がなければいけません。
本稿では、Webサイトのセキュリティ対策を強化するのに欠かせない存在となったWAF(Web Application Firewall)と一般的なファイアウォールと何が違うのか?侵入防止システムとして知らているIPSとは何が違うのか?を解説します。これらのソリューションは比較の対象となったり、違いが分からないという声を聞くことがあります。それぞれの特徴と得意としている分野を理解し、適切な対策を実施するようにしましょう。
ファイアウォールとは
最初によく知られているファイアウォールの機能について確認しておきましょう。
ファイアウォール
防火壁の役割を持ち、外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品や機能のこと。ポート番号、IPアドレス、プロトコル、通信方向を制御するルールに基づいて通信の許可/拒否を判断します。
ファイアウォールを設置せずにシステムを公開するのは非常に危険なことです。インターネットと内部ネットワークの境界にファイアウォールを設置し、外部からの攻撃を防ぐというのがファイアウォールの一般的なイメージや構成ですが、内部犯行を防ぐために外部通信を制御する役割を果たすこともできます。
また、ネットワークの境界に設置するファイアウォールとは別で、不正アクセスからコンピュータ単体を保護するためにPCやサーバーに導入して使用するパーソナルファイアウォールもあります。ともに不正アクセスを防ぐために通信を制御するという点は同じですが、その設置形態が異なります。
このファイアウォールですが、先述したようにポート番号やIPアドレス、通信方向を制御することで不正アクセスを防ぎます。通常、Webサイトを公開しているシステムでは、ファイアウォールに以下のようなWebアクセスを許可する設定を行います。
- 外部からWebサーバー宛のHTTP/HTTPSの通信を許可
WAFとは
次にWebサイトのセキュリティ対策で注目されているWAFについて確認してみましょう。
WAF
ウェブアプリケーションファイアウォール(Web Application Firewall)の略称で、ウェブアプリケーションの脆弱性を悪用する攻撃を検出・防御し、ウェブサイトを保護するためのセキュリティ製品です。それぞれの単語の頭文字からWAF(ワフ)と呼ばれています。
同じファイアウォールという単語を含み、外部から侵入してくる不正なアクセスを防御するという点では同じですが、一般的なファイアウォールとWAFの機能は異なります。
WAFはHTTPプロトコルでやり取りされる要求行や要求ヘッダ、要求本文(パラメータの名前、パラメータの値)などを検査することで、SQLインジェクションなどのウェブアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するという役割を果たします。
- HTTP/HTTPS通信のデータを検査し、不正なアクセスを検出・防御する
WAFとファイアウォールの違い
いかがでしょうか?WAFとファイアウォールは、どちらもセキュリティ対策製品ですが、対象とする通信や防御の方法は異なり、それぞれが担う役割には違いがあります。どれか一つ設置すれば良いというものではなく、目的にあわせて設置し、多様化するサイバー攻撃に備える必要があります。
WAFとファイアウォールを比較
比較項目 |
WAF |
ファイアウォール |
検査対象 |
HTTPリクエスト、レスポンスの内容(要求ヘッダ、要求本文 など) |
ポート番号、IPアドレス、プロトコル、通信方向 |
防御対象 |
ウェブアプリケーション |
ネットワーク |
防御できる攻撃 |
SQLインジェクション ディレクトリトラバーサル など |
外部ネットワークからの不正アクセス |
- カテゴリ:
- WAF
この記事に関する製品のご紹介
ホスト型WAF「SiteGuard Server Edition」
SiteGuard Server Editionは、ウェブサーバーのモジュールとして動作するホスト型WAF製品です。Webサーバー自体にインストールするため、専用ハードウェアが必要ありません。ネットワーク構成を変更せず、できるだけシンプルに導入したいお客様に最適な製品です。
詳細はこちら