Webアプリケーションのセキュリティ対策に有効な「WAF(Webアプリケーションファイアウォール)」。不正な通信を検知し、Webアプリケーションの脆弱性を狙ったサイバー攻撃をブロックすることができます。ここでは、WAFで実現できることや機能一覧、導入するメリット・効果を紹介します。
WAFの導入を検討している方は以下の記事も参考にしてください。
WAF7選|比較・選定ポイントとおすすめ「Webアプリケーションファイアウォール」の特徴
WAFとは
WAF(通称「ワフ」)は、Web Application Firewallの略称で、Webアプリケーションをサイバー攻撃から防御するための仕組みです。Webサーバの手前に設置することで、不正アクセスや攻撃、サイト改ざんを検知・ブロックします。
ファイアウォールと混同されることがありますが、防御する対象が異なります。ファイアウォールは、IPアドレスやポート番号などをもとに内部ネットワークへの不正アクセスを防御しますが、通信の中身まではチェックしません。そのため、なりすましによる不正アクセスへの対処はできません。
これに対しWAFは、内容を検査し、Webアプリケーションの脆弱性をついた攻撃を防御するという役割を果たします。そのため、ネットショッピングやオンラインバンキング、オンラインゲームをはじめ、個人情報やクレジットカード情報を取り扱うWebアプリケーションでは必要性の高いセキュリティ対策となっています。
WAFで実現できること
WAFを導入すれば、以下の3点を実現できます。
通信状況を常時モニタリングする
WebサイトやWebサービスを狙ったサイバー攻撃はいつ発生するかわかりません。そのため、外部攻撃から守るには常に通信状況を監視し続ける必要があります。WAFを導入すれば、24時間365日、常に通信状況をモニタリングして不正アクセスを検知します。WAFでは不正または正常な通信パターンを「シグネチャ」として定義し、一致するアクセスに対して通信の許可・拒否を判断します。
- 通信のモニタリング
- シグネチャの設定
- 不正アクセスの検出
- ログ、レポート機能
検知した不正アクセスをブロックする
適切なセキュリティ対策がなされていない場合、Web サーバへの不正侵入やサイバー攻撃が発生するリスクが高まります。WAFであれば、あらかじめ設定したシグネチャと一致する通信をブロックするため、攻撃を未然に防げます。
WAFで防御可能な攻撃の一例を以下に挙げます。
|
SQLインジェクション |
Webアプリケーションの入力フォームに不正なSQLを送信し、個人情報の抜き取りやデータ改ざんなどを行う |
|
OSコマンドインジェクション |
外部からOSコマンドを実行し、データ流出やサーバの乗っ取りなどを行う |
|
クロスサイトスクリプティング |
不正なスクリプトをWebサイトに仕掛け、ユーザーが実行すると個人情報の流出・拡散などを招く |
|
バッファローオーバー |
コンピューターの許容量を超過するデータを送りつけることで、PC内部に誤作動を起こして乗っ取る |
|
DDoS攻撃 |
サーバやWebサイトに過剰な処理負荷を与えて機能を停止させる |
新たな脅威にも随時対応できる
不正アクセスの手口・パターンは変化するため、セキュリティ対策も随時更新する必要があります。WAFには、不正な通信パターンを随時アップデートする機能や、暗号化されたSSL通信を解読・防御する機能などがあり、様々な不正アクセスに対応できます。
- シグネチャ更新機能
- IPアドレス拒否機能
- SSL通信の防御
WAFの導入で得られる効果
WAFを導入することで期待できる効果・メリットは以下の3点です。
Webアプリケーションの脆弱性をカバー
Webアプリケーションには何らかの脆弱性が存在することがほとんどであり、そこを突いたサイバー攻撃を受けるリスクがあります。しかし、一般的なファイアウォールではWebアプリケーションへの攻撃を防御することはできません。WAFはWebアプリケーションに特化したセキュリティツールのため、不正な侵入・攻撃を防ぎ、脆弱性をカバーすることができます。
セキュリティレベルの均質化
複数のWebサイトやWebサービスを運用している場合、それぞれの脆弱性に合わせて適切なセキュリティ対策を講じるのは容易ではありません。WAFを導入すれば、複数のWebアプリケーションの脆弱性に対する対策漏れをなくし、セキュリティレベルを均質化できます。
対策が難しい「ゼロデイ攻撃」にも有効
Webアプリケーションに脆弱性が発見されてからベンダーによる修正プログラム(パッチ)が提供されるまでは、タイムラグが発生します。その期間を狙った攻撃は「ゼロデイ攻撃」と呼ばれ、対策が難しいことで知られています。対応できるWAFであれば、様々な攻撃パターンにスピーディに対応できるため、ゼロデイ攻撃を防ぐことが可能です。
WAFの機能一覧
WAFの主な機能を以下にまとめました。
|
機能 |
内容 |
|---|---|
|
通信のモニタリング |
常に通信状況を監視し、あらかじめ定義・設定した通信パターン(シグネチャ)に基づいて通信(HTTP/HTTPS)の許可・拒否を判別する。 |
|
ブロック機能 |
不正な通信を検知した場合、該当する通信を遮断する。ブロック方法は2種類。 ●ブラックリスト型:不正とみなす通信パターンと一致した通信をブロックする ●ホワイトリスト型:許可する通信パターンを定義し、それ以外をブロックする |
|
ログ機能 |
不正アクセスとして検出された通信データをログとして記録・閲覧できる機能 |
|
レポート機能 |
モニタリングした通信の統計データを管理画面でレポーティングする。攻撃の種類や攻撃元に関する集計データを確認できる |
|
シグネチャ更新機能 |
防御機能向上のため、不正な通信パターンを最新の状態にアップデートする |
|
特定URL除外機能 |
ブロックする必要がないWebページのURLを防御対象から除外する |
|
IPアドレス拒否機能 |
特定のIPアドレスによる通信を拒否する |
|
SSL通信の防御 |
暗号化された通信を解読・防御する |
どの機能が搭載されているかはツールによって異なります。選択の際は注意しましょう。
WAFでWebアプリケーションを保護しよう
WAFを導入すれば、脆弱性があるWebアプリケーションを狙った不正アクセスを検知し、サイバー攻撃を未然に防ぐことができます。モニタリング機能やブロック機能などによって多種多様な手口に対応し、Webアプリのセキュリティレベルの均質化にもつながります。
WAFの導入を検討している方は以下の記事も参考にしてください。
WAF7選|比較・選定ポイントとおすすめ「Webアプリケーションファイアウォール」の特徴
株式会社シーラベルについて