あなたの発注コンシェルジュ

お電話でのご相談
フリーダイアル 0120-917-819
営業時間 平日 10:00~19:00
掲載希望の方

公開日:2019年04月02日 更新日:2019年04月02日

WAFとは?他のセキュリティ対策システムとの違いを徹底解説!|誰でも簡単にわかるセキュリティ対策

様々な端末のセキュリティ
目次

インターネット人口の爆発的な増加にともない、企業では自社のwebサイトを運営することが当たり前の時代になりました。それと同時に新たな脅威として現れた問題がサイバー攻撃です。

これまでサイバー攻撃に対する有効な手段といえば、ファイアウォールやIPS、IDSといったものが主流でした。しかし、最近ではこれらのセキュリティ対策のみでは決して安心できない状態になっています。webサイトのデータ改ざんや顧客情報の漏えいなど、サイバー攻撃の手法もより高度で巧妙化してきている現実があるためです。

そこで最近多くの企業から注目されているのが、「WAF」です。ファイアウォールやIPS、IDSなどでは防ぎきれない巧妙な攻撃にも対応でき、顧客情報や機密情報を扱うwebサイトにおいては必要不可欠な防衛手段です。今回は、このWAFの仕組みや機能、ファイアウォールやIPS、IDSとの違いなども含めて詳しく解説していきます。

1.WAFとは?

1.WAFとは?

WAFとは「Web Application Firewall」を略した名称です。その名の通り、webアプリケーションへの不正アクセスによる攻撃を防ぐ役割を果たすもので、近年になって多くの企業やwebサイト運営者からのニーズが増えています。

WAFは従来のファイアウォールと似た役割を果たしますが、最大の特徴はwebアプリケーションの脆弱性を狙った攻撃から守ることができるという点にあります。典型的な例としては、オンラインショッピングなどの顧客情報を扱うwebサイトの保護です。適切なセキュリティ対策が施されていないwebページは、ページの改ざんや顧客情報が盗み取られるなどの被害に遭うリスクが高いためWAFをはじめとしたセキュリティ対策が必要不可欠となっています。

では、WAFはどのような仕組みでサイバー攻撃から守っているのでしょうか。その仕組みや機能についてもう少し詳しく見ていきましょう。

1-1.WAFの仕組み

WAFとは「webアプリケーションへの不正アクセスによる攻撃を防ぐ役割を果たすもの」と紹介しましたが、やはりここで混同しやすいのがファイアウォールとの違いです。このポイントを正しく理解することでWAFの基本的な仕組みを把握することにもつながるため、しっかりと押さえておきましょう。

まず、ファイアウォールとはネットワーク層に相当する部分である「IPアドレス」や「ポート番号」などを根拠に制限をする手法が取られています。しかし、正常な通信を装ってネットワーク層以上のレイヤで攻撃するものを防ぐことはできません。

そこで、WAFは不正通信のパターンや手法をあらかじめ定義しておき、ネットワーク層よりも上位のレイヤであるwebアプリケーションへの攻撃から守り、安全性を確保する仕組みをとっています。ちなみに、このリスト化された不正通信のパターンを「シグネチャ」と呼びます。

1-2.WAFの基本的な機能

まず挙げられるのは、Cookieやパラメーターの値が改ざんされていた場合に通信を遮断する機能です。Eコマースサイトなどを運営している場合、データが改ざんされることによって金額が不正に変えられたり、セッションそのものが乗っ取られる危険性があります。

また、ネットショップを運営するうえで欠かせないのが顧客のクレジットカード情報。これも格好の攻撃対象となることから万全の備えが必要なのですが、WAFの多くはクレジットカードのマスキング機能も有しています。

このように、通常ファイアウォールなどでは防げなかったアプリケーション層に対応するセキュリティ対策を担っているのがWAFです。このほかにも、SSL通信実行時の通信内容の暗号化と復号化を行い、サーバにかかる負担を軽減しているという役割も果たしています。

1-3.WAFが必要な理由

インターネットをはじめとした外部のネットワークからの攻撃手法は年々多様化しています。従来のサイバー攻撃に対する防衛手段といえば、不審なパケット通信を検知して遮断するといったものが代表的でした。しかし昨今では、正常な通信を装ってネットワーク内に侵入し、機密情報や顧客情報などを漏えいさせるといったように手段も巧妙化。このような攻撃に対しては、従来の防衛手段で対処できません。

このように、従来のファイアウォールやIPSなどでは防ぐことができなかったwebアプリケーションを狙った攻撃を防ぐためにWAFは重要な存在です。多くの顧客情報を扱う企業やネットショッピングサイトを運営している企業など、WAFは現在多くの企業に注目されています。

2.WAFとその他のセキュリティシステムとの違い

2.WAFとその他のセキュリティシステムとの違い

それでは、ファイアウォールやIPSとWAFには具体的にどのような違いがあるのでしょうか。冒頭でもWAFとファイアウォールの簡単な仕組みは紹介しましたが、それぞれの違いについてもう少し詳しく見ていきましょう。

2-1.ファイアウォール

ファイアウォールを日本語に直訳すると「防火壁」という言葉になります。すなわち、外部からの不正通信をシャットアウトするという役割を果たすものです。ファイアウォールの基本的な仕組みとしては、許可されたパケットとそれ以外のパケットを判断し、不正なパケットは内部のネットワークに侵入させないようにしています。この判断の根拠となるのが、IPアドレスやポート番号、ヘッダとよばれる情報であり、これらはネットワーク層とよばれるレイヤで判断されています。

しかし近年、そもそも正常なパケットを装って内部のネットワークに侵入し、攻撃を繰り出す新しいパターンが登場しました。ところが、ファイアウォールを通過する時点では正常なパケットなのか、不正を行うパケットであるのかを判断できません。この問題を克服するため、ファイアウォールに相当するネットワーク層よりもさらに高いレイヤで不正を検知できるWAFという仕組みが誕生したのです。

2-2.IPS/IDS

IPSとは「Intrusion Prevention System」の略称で、日本語に直訳すると侵入防止システムとなります。ネットワーク内に不正なアクセスがあったことを検知すると、即座に対象のアドレスからの通信を遮断する仕組みです。

これに対してIDSは「Intrusion Detection System」の略称で、侵入検知システムとよばれるもの。その名の通り不正アクセスがあったことを管理者に知らせることを目的としています。不正アクセスがあったことを検知する方式として、シグネチャ検知とアノマリ検知という2パターンの手法があります。

3.WAFの導入によって期待される効果

3.WAFの導入によって期待される効果

WAFを導入することによって、ファイアウォールやIPS、IDSでは防げなかった攻撃パターンにも対応できることがお分かりいただけたと思います。それでは、実際にWAFを導入した後、具体的にどのような効果が期待できるのでしょうか。単純に外部からの攻撃を防げるというだけではなく、もう少し実際の運用を想定しながら紹介していきましょう。

3-1.サイトのぜい弱性の修正までの予防策

すでにファイアウォールなどの基本的な不正アクセス対策はとっているものの、自社のwebサイトに対して不審なアクセスが頻発しているというケースは意外と多いものです。その原因がwebアプリケーションの脆弱性であった場合、問題のある部分を改修することが必要です。

しかし、相応のスキルをもった技術者がいなかったり、開発元が事業から撤退していたりと、改修に時間を要することも珍しくありません。そこで、改修が完了するまでの一時的な防衛手段としてWAFが有効です。

3-2.セキュリティ対策を均質化する

事業規模の大きな企業などでは、自社のwebサイトのなかで複数の異なるwebアプリケーションを導入しているケースも多いものです。しかし、開発元が異なっていたり、リリース時期が異なっていたりすると特定のwebアプリケーションのみに脆弱性が発見されることもあります。

そのような問題をクリアするために、WAFによって一括でセキュリティ対策を行うということも有効な方法といえます。WAFで均一的に防衛することによって、webサイト全体の安全性が確保されるという効果が期待できます。

3-3.攻撃による被害拡大を防ぐ

WAFを導入した後でも、確実にあらゆる攻撃から守られるということは保証できません。これまでにない新しいパターンで攻撃された場合はシグネチャが対応できておらず、webサイトの一部や特定のWEBページが被害を受ける可能性もあります。

しかし、万が一そのような状態になったとしても、WAFを導入していればそれ以上の被害拡大を防ぐことができます。webサイト全体が壊滅的な被害を受ける前に、被害を最小限に留めることで迅速な復旧に貢献します。

4.WAFのメリット・デメリット

4.WAFのメリット・デメリット

webサイトを運営する事業者にとって、WAFは必要不可欠なセキュリティ対策のひとつであることは十分理解いただけたと思います。

それでは、実際にWAFを導入するうえでデメリットはないのでしょうか。同時にメリットとして期待できることも詳しく紹介していきましょう。

4-1.WAFのメリット

WAFのメリットとして挙げられるのは、これまで紹介してきたようにあらゆる攻撃に対して効果を発揮する点です。ネット社会である現代において、もはやファイアウォールやIPS、IDSだけでは防ぎきれないほどサイバー攻撃は多様化しています。脆弱性のない完璧なwebサイトを設計し、構築するということは膨大な時間とコストがかかるもの。万が一攻撃されても防衛できる手段として、WAFというシステムは必要不可欠であり、それ以上の被害を拡大させないためにも重要な存在です。

また、WAFの導入によってクレジットカード情報を安全に扱う基準を満たすことにもなります。これはPCI DSSという基準で、要件のなかのひとつにWAFの導入が定義されています。特に金融系やEコマース系のwebサイトを運営している企業にとっては、信頼度を高めるための客観的な指標となるため大きなメリットといえるでしょう。

4-2.WAFのデメリット

WAFのデメリットを挙げるとすれば、クラウド型の場合はWAFを提供しているベンダーによって、シグネチャの更新頻度などが異なるという点です。シグネチャは攻撃パターンの一覧リストであるため、新たな攻撃パターンが発見されるたびにシグネチャも更新していく必要があります。

シグネチャの更新頻度はWAFを提供しているベンダーによって異なり、あまりにも更新頻度が低いとWAFそのものの信頼性に直結してきます。近年主流のクラウド型WAFを選ぶ際には、更新のタイミングをしっかりと把握して検討するようにしましょう。

5.WAFの種類

5.WAFの種類

WAFには大きく分けて「ハードウェア型WAF」、「ソフトウェア型WAF」、そして「クラウド型WAF」という3つのタイプが存在します。それぞれにメリットやデメリット、運用方法の違いがあり、導入に適したユーザーも異なります。

WAFの3つのタイプの特徴を踏まえながら、導入に向いているのはどのようなユーザーなのか詳しく紹介します。

5-1.ハードウェア型WAF

ハードウェア型WAFとはその名の通り、WAFの専用ハードウェアを設置して運用するものです。別名「アプライアンス型」ともよばれています。

外部ネットワークとサーバの間にLANケーブルで接続しますが、複数のサーバがあったとしても1台のWAFで対応が可能。そのため、運用するwebサーバの数が多ければ多いほどハードウェア型のWAFを導入するメリットが大きいといえます。デメリットとしては導入時にネットワーク構成を見直す必要があることや、保守費用や保守要員を自社で賄う必要がある点が挙げられます。また、設置時に専用のスペースを確保したりと物理的な制約も受けやすい側面があります。

ハードウェア型WAFは、サーバを何台も設置して運用しているような比較的大規模なwebサイトを運営している企業に向いているタイプといえるでしょう。

5-2.ソフトウェア型WAF

ハードウェア型とは対照的に、サーバ内に専用のソフトウェアをインストールして運用するのがソフトウェア型WAFの特徴です。

メリットとしてはハードウェア型に比べて価格が安いこと、導入時にネットワーク構成を変更する必要がないこと、物理的な設置スペースを確保する必要がないことなどが挙げられます。一方でデメリットとして考えられることは、ソフトウェアをインストールするため、サーバのOSに依存するという点があります。

また、運用しているサーバの台数が多ければ多いほどライセンスを購入する必要があり、結果的にハードウェア型以上のコストがかかる可能性も考えられます。そのため、ソフトウェア型WAFはサーバの台数が少ないユーザーにおすすめです。

5-3.クラウド(SaaS)型WAF

近年もっとも主流となっているのがクラウド型のWAFです。「SaaS」ともよばれるタイプですが、インターネット経由で管理を行います。ハードウェア型やソフトウェア型のように自社内で管理者を立てる必要がなく、シグネチャの更新などもすべてベンダー側で対応します。また、導入までの期間も最短で数日程度となっており、従来のWAFに比べて大幅に短縮されています。

クラウド型のもうひとつの特徴として挙げられるのが、利用料金についてです。ハードウェア型やソフトウェア型は導入時に代金を支払いますが、クラウド型の場合は毎月固定額を月額料金として支払います。そのため、導入時の初期コストも大幅に抑えられ、月単位でのスポット契約のような使い方も可能です。小規模なwebサイトを運営していて、自社に知見のある管理者を立てられないというユーザーにはクラウド型が最適な選択肢といえます。

6.まとめ

6.まとめ

多様化するサイバー攻撃に対して脅威に感じている企業は非常に多いですが、具体的に何から始めれば良いのか分からないというケースも少なくありません。これまでネットワークのセキュリティ対策といえばファイアウォールやIPS、IDSといったものが主流でしたが、現在ではさらに上位のレイヤであるwebアプリケーションを保護するWAFという新たな防衛手段も登場しています。

今回は、WAFについての基本的な仕組みや期待される効果、WAFの種類などを詳しく紹介してきました。まずは、自社のwebサイトのセキュリティ対策は十分であるのか、改めて確認することから始めてみましょう。そのうえで、顧客情報や機密情報などのデータを扱っている場合はできるだけ早めにWAFの導入を検討してみましょう。

近年多くの企業が導入しているクラウド型WAFであれば、知見のある技術者が自社にいなくても手軽にWAFを導入できます。今回紹介した内容を参考に、より安全性の高いwebサイト運営に役立てていただけると幸いです。

アイミツ

著者

imitsu編集部

運営に関するお問い合わせ、取材依頼などはお問い合わせページからお願い致します。

インターネットセキュリティの見積もりが最短翌日までにそろう