WAFとIPSの違いとは？

Webサイトを狙った改ざんや機密情報の窃取など、多様化するサイバー攻撃から自社のサイト、システムを守るためにはセキュリティ対策が必要となります。

Webサイトのセキュリティ対策を強化するための対策は数多く、運用者はそれらの対策を網羅的に実施し、サイバー攻撃による情報漏えいやサイト改ざんなどを防がなければいけません。

本稿では、Webサイトのセキュリティ対策を強化するのに欠かせない存在となったWAF（Web Application Firewall）とIPSの違いについて解説します。比較の対象となることがあるため、その違いを把握しておくことは選定において重要なポイントとなります。

IPSとは

最初に侵入防止システムとして知られているIPSの機能について確認しておきましょう。

IPS

Intrusion Prevention Systemの略称で、侵入防止システムのことです。OSやミドルウェアに対する攻撃など、外部からの不正アクセスからサーバーやネットワークを保護するセキュリティ製品、システムです。

その防御対象は幅広く、OSの脆弱性を悪用する攻撃のほか、ワームなどが持つ特徴的な攻撃通信も対象となり、システム全体のセキュリティレベルを上げることができます。

• ネットワークを流れるパケットを検査することで、不正アクセスからシステムを保護する

特にネットワークのセキュリティというとファイアウォールを思い浮かべる方が多いかもしれませんが、ポート番号やIPアドレス、プロトコル、通信方向によりアクセスを制御するファイアウォールとは異なり、IPSは通信データの内容を検査して不正アクセスを検出・防御することが分かりました。

多様化するサイバー攻撃から自社のサイト、システムを守るためには様々なセキュリティ対策が必要となります。

IPSの検知方法

IPSの検知方法では「シグネチャ型」と「アノマリ型」の2種類に分類できます。

シグネチャ型

攻撃アクセスのパターンを定義して、一致するアクセスを不正とみなして拒否します（拒否リスト方式）。未知の脅威など登録されていないパターンを検知／拒否できないといった可能性があるため、新たな攻撃パターンが確認された場合にチューニングが必要です。

アノマリ型

正常アクセスのパターンを定義して、一致しないアクセスを不正とみなして拒否します（許可リスト方式）。未知の脅威でも検知／拒否することができる可能性があります。

しかし、正常アクセスのパターンを全て定義する必要があるため、誤検出が多い傾向があり、継続的なチューニングが必要です。

IPSの種類

IPSは、目的や設置する場所に応じて、「ネットワーク型」と「ホスト型」の2種類に分類できます。

ネットワーク型

ネットワーク型侵入防止システム（Network-based Intrusion Prevention System）の略称であるNIPSとも呼ばれます。

ネットワークを流れるパケットを検査し、不正なアクセスを検出・防御する製品となるため、検査対象となるネットワーク上に設置します。専用機器(アプライアンス)での提供形態が多くみられます。

ホスト（エンドポイント）型

ホスト型侵入防止システム（Host-based Intrusion Prevention System）の略称であるHIPSとも呼ばれます。

防御対象のサーバーにインストールするソフトウェアの形態で提供され、サーバー、OSレベルでの不正アクセス(アクセスログの改ざんや、管理者権限の乗っ取り等)への対策として有効です。

IPSで防御できる攻撃

IPSで防御できる攻撃には以下のようなものがあります。

※製品や設置構成によって、対応の可否が異なる場合があります。 

DDoS攻撃

DDoS攻撃とは、「Distributed Denial of Service attack(分散型サービス拒否攻撃)」の略となり、マルウェアに感染させた複数のコンピューターから、一斉にDoS攻撃(ターゲットに対して大量のリクエストを送りつけて処理不能な状態にさせる攻撃)を行い、ターゲットのサーバーに負荷をかける攻撃となります。

SYNフラッド

DDoS攻撃の一種となるSYNフラッド攻撃は、TCPコネクションを確立する際、接続要求データ（SYNパケット）のみを大量に送りつけることによって、ターゲットのサーバーが新しい接続を処理できないようにする攻撃手法となります。

サーバーのリソースを枯渇させることで、対象のサイトなどを、一時的なサービス不能の状態に追い込みます。

マルウェアによる攻撃

マルウェアは、Malicious Software（悪意のあるソフトウェア）の略称となり、有害な動作を引き起こす目的で作成された悪意のあるソフトウェアや不正なプログラムを指します。

マルウェアには、様々な種類が存在しますが、代表的なものとして、「ワーム」や「トロイの木馬」、「ランサムウェア」、「コンピュータウィルス」などが挙げられます。

マルウェア感染そのものを防ぐのは、ウイルス対策ソフトの役割となりますが、IPSによってマルウェアの特徴的な攻撃通信を検出することができます。

IPSとIDSの違い

IDS/IPSは、いずれもOSやミドルウェアを対象としたネットワークセキュリティ製品となりますが、IDS（Intrusion Detection System）は、侵入検知システムと呼ばれ、ネットワークやシステムに対する外部からの不正アクセスなど、攻撃の兆候を検知し、管理者に通知を行います。

一方、IPS（Intrusion Prevention System）は、侵入防止システムと呼ばれ、IDSの侵入検知に加えて、外部からの不正アクセスから、システムやネットワークを保護する機能を有しています。

WAFとは

ウェブアプリケーションの脆弱性を悪用した攻撃から保護するセキュリティ製品、WAFについて確認しておきましょう。

WAF

ウェブアプリケーションファイアウォール（Web Application Firewall）の略称で、ウェブアプリケーションの脆弱性を悪用する攻撃を検出・防御し、ウェブサイトを保護するためのセキュリティ製品です。それぞれの単語の頭文字からWAF（ワフ）と呼ばれています。

WAFはHTTPプロトコルでやり取りされる要求行や要求ヘッダ、パラメータの名前・値などを検査することで、SQLインジェクションやクロスサイトスクリプティングなどのウェブアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するという役割を果たします。

• HTTP/HTTPS通信のデータを検査し、ウェブアプリの脆弱性を悪用する攻撃からサイトを保護する

IPSとWAFの違い

WAFとIPSはシグネチャをもとに通信を検査し、通信の許可／拒否を判断するという基本機能は同じですが、防御対象が異なります。システムを広く保護するIPSと異なり、WAFはウェブアプリケーションの脆弱性を悪用する攻撃の防御に特化しています。

IPSでもSQLインジェクションなどの攻撃を検出することはできますが、難読化されている攻撃の検出精度は低く、HTTPプロトコルでやり取りされる要求行やヘッダ、パラメータの名前・値をパースして検査するWAFの方がその検出精度は優れています。

特定の条件（URLとパラメータの組み合わせ等）で許可リストを作成したり、シグネチャの除外ルールを作成する柔軟性についても専用のWAFだからこそ実現できます。

また、ブラウザとウェブサーバーの間でやり取りされるCookieを暗号化したり、任意の応答ヘッダを追加・削除するといった機能もWAFならではの機能です。

サイバー攻撃が多様化し、2000年代半ば以降にWebサイトの脆弱性を狙った大規模な情報漏えいや改ざんが多発しました。

ウェブアプリケーションの脆弱性を悪用する攻撃をファイアウォールやIPSなどの対策だけで防ぐことはできず、このような背景からWebサイトのセキュリティ対策においてWAFが注目されるようになりました。

IPSとWAFについてよくある質問

質問①  IPSとはどのようなものですか？

Intrusion Prevention Systemの略称で、侵入防止システムのことです。外部からの不正アクセスからサーバーやネットワークを保護するセキュリティ対策となり、利用目的や設置形態に応じて、ソフトウェアやアプライアンスで提供されています。

質問② WAFとはどのようなものですか？

ウェブアプリケーションファイアウォール（Web Application Firewall）の略称で、それぞれの単語の頭文字からWAF（ワフ）と呼ばれています。ウェブアプリケーションの脆弱性を悪用する攻撃を検出・防御し、ウェブサイトを保護するためのセキュリティ対策です。

質問③ IPSとWAFの違いは？

IPS とWAFは、シグネチャをもとに通信を検査し、通信の許可／拒否を判断するという基本的な機能は似ていますが、防御対象が異なります。

システムを広く保護するIPSと異なり、WAFはウェブアプリケーションの脆弱性を悪用する攻撃の防御に特化しています。

質問④ IPSはどのような攻撃を防ぐことができますか？

DDoS攻撃やOSの脆弱性を悪用する攻撃、マルウェアなどの不正アクセスに有効です。

質問⑤ WAFはどのような攻撃を防ぐことができますか？

ウェブアプリケーションの脆弱性を悪用した攻撃に有効です。代表的な脅威として、SQLインジェクションやクロスサイトスクリプティング、ディレクトリトラバーサルなどからウェブサイトを保護します。

質問⑥IPSとWAFは、どちらも導入した方が良いのでしょうか？

IPSとWAFは防御対象の違いにより、役割が異なります。セキュリティ対策の目的によって効果は異なりますが、ファイアウォール、IPS、WAFの多層防御によってセキュリティレベルを上げることが理想的です。

まとめ

いかがでしょうか？WAFとIPS、同じような手法で攻撃を防御する点は共通していますが、その目的や得意とする分野は異なります。ファイアウォールを含め、機能の優劣ではなく、それぞれが担う役割には違いがあるのです。

Webサイトのセキュリティ対策を検討している場合は、ぜひWAFにご注目ください。

WAFとは

Webアプリケーションファイアウォール（WAF：Web Application Firewall）は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。