WAF（Webアプリケーションファイアウォール）

2020.09.16 2023.03.31 EGセキュアソリューションズ

WAFは、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを守るためのセキュリティ製品です。

WAF（ワフ）とは？

WAF（ワフ）とは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、SQLインジェクションやクロスサイトスクリプティング(XSS)などのWebアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ製品です。それぞれの単語の頭文字からWAF（ワフ）と呼ばれています。

近年、企業規模や業種・業態に関係なく、様々なWebサイトがサイバー攻撃のターゲットとなっています。それどころか、個人で運用しているWebサイトがスパム配信に悪用されるなど、企業・個人に関係なく、Webサイトのセキュリティ対策は必要不可欠な時代となっています。

WAFをWebサーバーにインストールしたり、Webサーバーの前段に配置することで、Webサーバーに対するアクセスを解析・検査し、サイバー攻撃を防ぐことができます。

WAFによって防ぐことができる攻撃やWAFの種類、設置構成、それぞれの詳細については「こちら」を参照してください。

WAFはなぜ導入が必要？利用目的とメリット・デメリットを解説

インターネットを活用したビジネスが発展する今、「セキュリティ対策にはファイアウォールがあれば十分」という考えでは、適切なセキュリティ対策は行えません。あらゆるサイバー攻撃から企業の大切な情報を守るためにも、多くの企業でWAFの導入が進んでいます。

WAFを導入するメリット

WAFを導入することで、運用上の理由によりアプリケーションの修正が困難な場合や保険的対策のほか、万一のセキュリティ事故からの早期復旧に役立てることができます。ここでは、WAF導入の3つのメリットについて説明します。

脆弱性を修正できない

脆弱性の存在を把握しながらも運用上の理由からアプリケーションを修正できない場合があります。このケースは、メンテナンス計画の都合や修正に想像以上の工数を要するといった場合だけでなく、Apache Struts 2のようなフレームワークやWordPressなどのCMSを利用している場合も該当します。利用しているフレームワークやソフトウェアに脆弱性が発見された場合、開発元や提供元から修正バージョン、パッチなどに関する情報を入手して適用するなど、迅速かつ適切な対応が求められます。しかしながら、稼働中のウェブサイトに対する影響を考慮する必要があり、思うように作業が進まないことがあるのが実情です。

脆弱性の修正やパッチの適用を計画しながら、WAFを併用することで現実的かつ効果的な対策が可能となります。

保険的対策

情報漏えい等の事故が起きてしまうと、直接的・間接的に莫大なコストが生じてしまいます。前述のとおり、ウェブアプリケーションの開発には人手を介し、継続的な改善が加えられていくため、脆弱性ゼロは難しいというのが現状です。

事前対策としてWAFを導入することで、万が一のリスクを低減することができます。WAFは、ウェブサイトのセキュリティ対策の強化に欠かせない存在となり、近年のニーズとして最も多いケースとなっています。

今すぐ攻撃を防御

ウェブサイトが実害を被ると対策が完了するまでサービスの再開は困難となり、ダウンタイムは機会損失に直結してしまいます。

緊急対応としてのWAF活用は迅速なサイト復旧の助けとなります。

WAFとファイアウォール、IPSの違いとは？

WAFは、ファイアウォール（FW）やIPS／IDS（不正侵入防止システム／不正侵入検知システム）では防ぐことができないサイバー攻撃に対しても有効です。ここでは、アクセス制御やシステムへの侵入を防ぐソリューションであるファイアウォール、IPSとWAFとの違いについて説明します。

WAFとファイアウォールの違い

ファイアウォールは、外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品や機能のことです。ポート番号、IPアドレス、プロトコル、通信方向を制御するルールに基づいて通信の許可／拒否を判断します。WAFのように通信の内容を解析・検査することはしないため、Webアプリケーションの脆弱性を悪用した攻撃を防ぐことはできません。

WAFとIPSの違い

IPSは、Intrusion Prevention Systemの略称で、侵入防止システムのことです。外部からの不正アクセスからサーバーやネットワークを保護するセキュリティ製品、システムです。OSやミドルウェア層への攻撃の防御に有効ですが、Webアプリケーションの脆弱性を悪用した攻撃の防御には向いていません。