WAFとは?

WAFとは

WAF(ワフ)はWeb Application Firewallの略で、Webアプリケーションのぜい弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。Webサーバーの前段に設置して通信を解析・検査し、こうした攻撃からWebサイトを保護し、不正ログインを防ぐ役割で用いられます。

オンライン・バンキングやショッピングサイトのように、ユーザーからの入力を受け付けたり、リクエストに応じて動的にページを生成したりするなど、アプリケーションを作りこんだWebサイトの保護に適しています。

WAFとは

なぜWAFが必要か?

Webサイトやインターネット上のサービスは今や重要な社会インフラとなっています。ショッピングやゲーム、SNSなどエンターテインメントでの利用はもちろん、インターネットバンキングや企業間での受発注など、Webサイトの活用は大変広がっています。そのためWebサイトはサイバー攻撃の格好のターゲットになっています。

JPCERT/CC(一般社団法人JPCERTコーディネートセンター)のレポートによると、2016年10月1日~ 12月31日の間に同団体が受け付けたインシデント報告のうち、Webサイト改ざんは688件あり、全インシデントのうち16.7%を占め、2番目に多いものでした。

なぜWAFが必要か?

(2017年1月11日 JPCERT/CC「JPCERT/CC インシデント報告対応レポート
(https://www.jpcert.or.jp/pr/2017/IR_Report20170111.pdf)」より抜粋)


同レポートによると、改ざんされたWebサイトの多くはWordPressなどのCMSが使用されていました。 CMSのセキュリティ対策には、次のような対策が挙げられます。

  • 1.CMSを最新版に保つ(拡張機能を含む)
  • 2.管理ページのアクセス制限
  • 3.ログインページの保護
  • 4..WAFの導入(ウェブアプリケーションの脆弱性を悪用した攻撃からの保護)
  • 5.ウイルス対策
  • 6.SSH/FTPの適切な設定

攻撃によるWeb改ざんのリスクの低減させるため、WAFを含むトータル的なセキュリティ対策が必要になります。

WAFとFW、IPSは何が違うか?

Webサイトを守るセキュリティ対策としてよく知られたものに、FW(ファイアウォール)やIPS(不正侵入防御)があります。すでにFWやIPSによる対策をしていても、WAFは必要なのでしょうか?

WAFとFWの違い

FWはネットワークレベルでのセキュリティ対策です。送信元と送信先の情報(IPアドレスやポート番号など)を元にアクセスを制限します。ポートスキャンなどの外部公開が不要なサービスを狙った通信は制限できますが、通信の中身までは検査しません。80番ポートや443番ポートへの通信など、正常な通信を装った攻撃には対処できません。

WAFとIPSの違い

IPSはプラットフォームレベルでのセキュリティ対策です。OSやミドルウェアのぜい弱性を悪用した攻撃や、ファイル共有サービスへの攻撃など、さまざまな種類の攻撃を検査・防御します。防御範囲が広いのがIPSの特徴です。しかし、Webアプリケーションへの攻撃は多種多様に増えており、アプリケーション固有のぜい弱性を狙うなど高度化しています。IPSでは高度化した攻撃を防ぎきれなかったり、解析のためにネットワークの性能劣化や遅延が起きてネットワークが使えなくなったりすることがあります。

WAFはFWやIPSよりも上位のアプリケーションレベルでのセキュリティ対策で、Webアプリケーションに特化した防御対策です。Webアプリケーションへの通信内容を検査し、本来流出しないはずのデータがレスポンスとして含まれていないか、といったことまでをチェックします。

WAFとFW、IPSは何が違うか?

WAFとFW、IPSはそれぞれ異なるネットワークレベルで機能します。WAFを導入すればFWやIPSが不要になるといったことではなく、どれが欠けてもセキュリティレベルが落ちるため、それぞれで補完しあうことが必要です。

WAFの基本的な動作

WAFはアクセス元とWebサーバーとの間で通信(HTTP/HTTPS)に介在し、内容を検査してWebアプリケーションへの攻撃を検出します。検出の基本となるのはシグネチャ(不正な通信、不正な攻撃パターンをまとめた定義ファイル)とのマッチングです。シグネチャに合致するものを不正な通信として検出します。

検出能力はシグネチャの品質に依存するともいえるため、信頼できるシグネチャを有していること、および最新の脅威にも対応できるよう常に最新のシグネチャに更新できることは、WAFを選択する上での重要なポイントとなります。

WAFの基本的な動作

WAFは攻撃を検出すると通信を遮断してログとして記録すると同時に、アクセス元にはWebサーバーに代わって警告メッセージを返します。遮断せずに通過させる機能もあり、一般的にはWAF導入時に通信を検証する際に使用します。

WAFの導入効果

WAFの導入効果は2つあります。保険的に利用する「事前対策」の面と、実際に攻撃があった際に利用する「事後対策」の面です。事前対策は攻撃によるセキュリティ事件の発生を低減することが目的で、事後対策はセキュリティ事故が実際に起きた際の被害を最小限に抑えることが目的です。

事前対策におけるWAFの導入効果

情報流出などのセキュリティ事件が起きてしまうと、その対応には直接的にも間接的にも膨大なコストがかかります。事件の発生を抑える保険・予防的なWAFの効果を2つご紹介します。

1.ぜい弱性の修正が困難な場合の予防策

ぜい弱性の存在は把握していながらも、すぐにはWebアプリケーションを修正できない場合にWAFは有効です。社内の開発体制を整えられなかったり、開発元が事業撤退していたりするような場合です。また、使用しているオープンソースソフトウェアにぜい弱性が見つかった場合も、自社では直接修正に関与できないためWAFで予防することが有効です。WAFで時間稼ぎをしつつ、修正対応を行う、あるいは修正されたパッチなどが提供されるのを待つなど、現実的な対策が講じることができます。

2.対策の均質化による予防策

Webアプリケーションが複数あり、それぞれのぜい弱性対策の漏れやばらつきをなくして防御対策を均質化する目的でもWAFは有効です。Webアプリケーションの開発者がそれぞれ異なったりするような大規模サイトや、複数のWebサービスを提供するサービス運営会社などに適しているでしょう。

事後対策におけるWAFの導入効果

事後対策におけるWAFの最大の導入効果は「今すぐ攻撃を防ぐ」ことです。攻撃によってWebサイトが実害を受けると、対策完了までサービスは再開できません。その間のダウンタイムは機会損失に直結します。被害拡大を防ぎ、原因調査や解消のための時間稼ぎをするなど、緊急対応的なWAFの活用はサイトの迅速な復旧を手助けします。

WAFの種類

WAFは設置形態によって3種類に分類できます。ホスト型WAF(ソフトウェア型WAF)、ゲートウェイ型WAF(ネットワーク型WAF)、サービス型WAFがあり、それぞれに特徴があるため環境や要件によって選択することが重要です。

ホスト型WAF(ソフトウェア型WAF)

ホスト型WAFは、すでにあるWebサーバーに直接ソフトウェアをインストールする形態です。当社が取り扱っている「SiteGuard Lite」はホスト型WAFにあたります。ホスト型WAFのメリットはネットワーク機器を増やさずに導入できることや、ハードウェアを追加しないため安価に導入できることです。一方で、Webサーバーごとにソフトウェアをインストールするため、台数が多いとコストがかさみます。複数のWebサーバーを保護したい場合には、後述するゲートウェイ型WAF(ネットワーク型WAF)のほうがコストを抑えられることがあります。

ホスト型WAF(ソフトウェア型WAF)

ゲートウェイ型WAF(ネットワーク型WAF)

ゲートウェイ型WAF(ネットワーク型WAF)は、ネットワーク機器として独立して設置する形態です。専用ハードウェア(アプライアンス)製品として設置するものと、汎用サーバーにインストールして設置するものにわけられます。当社が取り扱っている「SiteGuard」は後者のサーバーにインストールするものにあたります。ネットワーク構成においては、リバースプロキシまたはブリッジとして設置します。独立して設置するためネットワーク機器台数が増えるものの、複数のWebサーバーを保護できるため、台数が多い場合にはコストパフォーマンスがよいといえます。

ゲートウェイ型WAF(ネットワーク型WAF)

サービス型WAF

サービス型WAFは、サービス事業者が用意するWAFをSaaS/クラウドなどの形態で利用する形態です。ゲートウェイ型WAF(ネットワーク型WAF)を共有サービスとして利用するようなイメージです。一般的に初期費用が低く、管理者の運用負荷は小さいですが、月々のコストは割高となります。

ホスト型WAF
(ソフトウェア型WAF)
ゲートウェイ型WAF
(ネットワーク型WAF)
サービス型WAF
メリット 専用ハードウェアを必要とせず、ネットワーク機器が増えない 1台で複数のWebサーバーを保護できる。Webサーバーの環境に依存せず導入できる 事業者のサービス内容に依存する。一般的には導入コストが低く、管理者の運用負荷も小さいが、月々の運用コストが割高になる。
デメリット Webサーバーの台数で比例して導入費用や運用負荷が増える。WAFの導入要件がWebサーバーの環境に依存する ネットワーク構成に影響を与える場合がある。管理対象のハードウェアが増える

WAF製品:SiteGuardシリーズ

当社がおすすめするWAF製品のひとつが純国産のWAFソフトウェア「SiteGuardシリーズ」です。SiteGuardシリーズには2種類のラインナップがあります。ホスト型WAFソフトウェアの「SiteGuard Lite」と、ゲートウェイ型WAFソフトウェアの「SiteGuard」です。ネットワーク環境や要件にあわせて選択できます。

ホスト型WAF SiteGuard Lite

SiteGuard Liteはホスト型のWAFソフトウェアです。

WAF専用のハードウェアが不要でネットワーク構成を変更する必要もないため、シンプルに導入できます。管理するサーバーが増えないため、運用の手間も最小限に抑えます。

ホスト型WAF SiteGuard Lite

ゲートウェイ型WAF SiteGuard

SiteGuardはゲートウェイ型のWAFソフトウェアです。

1台のWAFで複数のWebサーバーを保護でき、Webサーバーの環境に依存せず導入できる点や、サイトの成長に合わせて拡張できる点に優れています。