Webサイトを狙った改ざんや機密情報の窃取など、多様化するサイバー攻撃から自社のサイト、システムを守るためにはセキュリティ対策が必要となります。
Webサイトのセキュリティ対策を強化するための対策は数多く、運用者はそれらの対策を網羅的に実施し、サイバー攻撃による情報漏えいやサイト改ざんなどを防がなければいけません。
本稿では、Webサイトのセキュリティ対策を強化するのに欠かせない存在となったWAF(Web Application Firewall)と一般的なファイアウォールとの違いについて解説します。
ファイアウォールとは
最初によく知らているファイアウォールの機能について確認しておきましょう。
ファイアウォール
防火壁の役割を持ち、外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品や機能のこと。ポート番号、IPアドレス、プロトコル、通信方向を制御するルールに基づいて通信の許可/拒否を判断します。
ファイアウォールを設置せずにシステムを公開するのは非常に危険なことです。インターネットと内部ネットワークの境界にファイアウォールを設置し、外部からの攻撃を防ぐというのがファイアウォールの一般的なイメージや構成ですが、内部犯行を防ぐために外部通信を制御する役割を果たすこともできます。
また、ネットワークの境界に設置するファイアウォールとは別で、不正アクセスからコンピュータ単体を保護するためにPCやサーバーに導入して使用するパーソナルファイアウォールもあります。ともに不正アクセスを防ぐために通信を制御するという点は同じですが、その設置形態が異なります。
このファイアウォールですが、先述したようにポート番号やIPアドレス、通信方向を制御することで不正アクセスを防ぎます。通常、Webサイトを公開しているシステムでは、ファイアウォールに以下のような設定を行います。
- 外部からWebサーバー宛のHTTP/HTTPSの通信を許可
ファイアウォールは設定されたルールにしたがって通信の許可/拒否を判断しますが、通信データの内容を検査することはしないため、許可されているWebアクセスでSQLインジェクションなどの攻撃があったとしても検出することはできません。これがWAFとファイアウォールの違いを理解するためのポイントになります。
ファイアウォールは主に保護するネットワークやシステムに対する通信の制御を行う役割を果たします。
WAFとは
次にWebサイトのセキュリティ対策で注目されているWAFについて確認してみましょう。
WAF
ウェブアプリケーションファイアウォール(Web Application Firewall)の略称で、ウェブアプリケーションの脆弱性を悪用する攻撃を検出・防御し、ウェブサイトを保護するためのセキュリティ製品です。それぞれの単語の頭文字からWAF(ワフ)と呼ばれています。
同じファイアウォールという単語を含み、外部から侵入してくる不正なアクセスを防御するという点では同じですが、一般的なファイアウォールとWAFの機能は異なります。
WAFはHTTPプロトコルでやり取りされる要求行や要求ヘッダ、要求本文(パラメータの名前、パラメータの値)などを検査することで、SQLインジェクションなどのウェブアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するという役割を果たします。
- HTTP/HTTPS通信のデータを検査し、不正なアクセスを検出・防御する
サイバー攻撃が多様化し、2000年代半ば以降にWebサイトの脆弱性を狙った大規模な情報漏えいや改ざんが多発しました。ウェブアプリケーションの脆弱性を悪用する攻撃をファイアウォールやIDS/IPSなどの対策だけで防ぐことはできず、このような背景からWebサイトのセキュリティ対策においてWAFが注目されるようになったのです。
いかがでしょうか?WAFとファイアウォール、機能の優劣ではなく、それぞれが担う役割には違いがあります。
もっと見る: WAFって何?導入のメリットとは
- カテゴリ:
- WAF
この記事に関する製品のご紹介
ホスト型WAF「SiteGuard Server Edition」
SiteGuard Server Editionは、ウェブサーバーのモジュールとして動作するホスト型WAF製品です。Webサーバー自体にインストールするため、専用ハードウェアが必要ありません。ネットワーク構成を変更せず、できるだけシンプルに導入したいお客様に最適な製品です。
詳細はこちら