WebサイトやWebアプリケーションのセキュリティ対策として最近よく耳にすることが多くなった「WAF」。しかし、WAFさえ導入しておけば、セキュリティ対策はすべて万全というものでもありません。従来のファイアウォールやIPS/IDSとの違いなどをきちんと把握しておくことで、よりセキュアな設計・構築ができるはずです。

今回はWAFの種類や仕組み、必要性などを、Webセキュリティの初心者の方でもわかりやすいように解説します。

WAFとは？

WAF（Web Application Firewall）とは、Webアプリケーションの脆弱性を突いた攻撃に対するセキュリティ対策のひとつです。Webアプリケーションの前面やネットワークに配置し、脆弱性を突いた攻撃を検出・低減する役割を担います。

ECサイトやインターネットバンキングなど、顧客情報やクレジットカードの情報に関するデータのやり取りが発生するWebアプリケーションでは、もはや当たり前のように活用されています。

WAFによっては、複数のWebアプリケーションに対する攻撃をまとめて防御することも可能です。Webアプリケーションの脆弱性を修正することが難しい場面や、すぐにでもセキュリティ対策が必要な場面などで役立つはずです。

しかし、セキュリティ対策によく活用される「ファイアウォール」や「IPS/IDS」との違いが分かりにくい、と思う方も多いでしょう。以下では、それらとWAFの違いを解説します。

ファイアウォールとの違い

一般的なファイアウォールとWAFの大きな違いは、防御の対象といえます。

ファイアウォールは、ネットワークレベルでのセキュリティ対策の一種で、送信元情報と送信先情報（IPアドレスやポート番号など）をもとにアクセス制限を行います。

そのため、ファイアウォールは外部へ公開せず、社内でのみ使用するシステムに対する外部からの不正アクセスを防ぐのに適しています。

一方、外部へ公開をすることが前提のWebアプリケーションに対して、ファイアウォールで外部アクセスを遮断することはできません。外部公開するアプリケーションを保護するためには、WAFが必要なのです。

IPS/IDSとの違い

IPS（Intrusion Prevention System）とは、不正侵入防止システムとも訳され、プラットフォームレベルでのセキュリティ対策を行うソフトウェア・ハードウェアのことを指します。

OSやミドルウェアの脆弱性を突いて攻撃するケースや、ファイル共有サービスへの攻撃を行うケースなど、さまざまな種類の攻撃への対策が可能です。

Webアプリケーションの管理者などによって設定された検出パターンにもとづき、さまざまな種類の機器への通信を検査・ブロックする役割を担います。

また、IDS（Intrusion Detection System）とは、不正侵入検知システムとも訳され、異常な通信を検知するためのものです。

IPS/IDSは、多種多様な攻撃への対策手段といえます。しかし、Webアプリケーションへの攻撃は多様化しているため、WAFほど詳細に検知できないケースも。

WAFは、ファイアウォールやIPS/IDSよりも上位で、Webアプリケーションに特化した防御対策だといえます。

WAFの仕組み

WAFでは、攻撃の検知に「シグネチャ」というものを利用します。シグネチャとは、アクセスのパターンや通信手法などを登録するシステムのことを指します。登録されたパターンに該当するアクセスがWebアプリケーションになされた場合、通信可否の判断を行います。

シグネチャを使った不正アクセスの検知方式は、「ブラックリスト型」と「ホワイトリスト型」の2種類に分けられます。

1. ブラックリスト型

ブラックリスト型とは、既知の攻撃パターンを登録する手法のことを指します。つまり、拒否するアクセスを登録することで、不正アクセスの防止が期待できます。

一方で、未知の攻撃には適用できないところがデメリットです。新たな攻撃パターンに対応するためにも、シグネチャの定期的な更新は不可欠だといえます。

2. ホワイトリスト型

ホワイトリスト型とは、許可するアクセスパターンを登録する手法のことを指します。つまり、許可されたアクセスパターン以外の通信を拒否することで、不正アクセスの防止が期待できます。

ホワイトリスト型では、未知の攻撃に対しても対応可能な点はメリットになりますが、許可するアクセスをどのように決めるのかは、担当者の力量が問われます。

また、Webアプリケーションごとにホワイトリストが必要になるため、コストや運用面での負担はどうしても大きくなります。

WAFの代表的な機能

以下では、WAFの代表的な機能を解説します。

機能1. 通信監視および通信制御

WAFは常に通信を監視し、シグネチャを利用して通信の許可・不許可を決定します。アクセスがあるたびに、シグネチャに記録したアクセスパターンと照合し、ホワイトリスト型であれば一致した通信を許可、ブラックリスト型であれば一致した通信を拒否します。

機能2. Cookieの保護

WAFは、Webブラウザの閲覧情報を記録するCookieを保護する役割も担います。サイバー攻撃の中には、Cookieを標的としたものもあり、改ざんやセッションの乗っ取りなども多発しています。

情報セキュリティ事故の事例7選。事故を防ぐ4つの対策も解説｜東京のWEB制作会社・ホームページ制作会社｜株式会社GIG

giginc.co.jp

WAFにはCookieの暗号化機能など、Cookieを保護するための機能も実装されています。この機能を活用できれば、Cookieを不正に入手してアクセスしてきた攻撃者からも、Webアプリケーションを適切に守ることができます。

機能3. ログ収集およびレポート出力

WAFが提供するログやレポートで、不正と認識したアクセスやサイバー攻撃の種類などを確認することができます。WAF製品の中には、攻撃パターンや攻撃元のアクセス数などのデータを提供してくれるものも。このようなデータを上手に活用できれば、新たな攻撃手法の検知や事後対策も立てやすくなり、セキュリティ対策の強化につながるはずです。

WAFの種類

WAFの種類は、設置構成や運用方法の違いなどで、「アプライアンス型」「ソフトフェア型」「クラウド型」の3種類に分けられます。

種類1. アプライアンス型WAF

アプライアンス型WAFとは、ベンダーが提供するWAF専用の機器を自社のWebサーバの直前に設置して運用するWAFのことを指します。

アプライアンス型WAFのメリットは、カスタマイズがしやすいこと。WAF機器が自社に設置されているため、自社のニーズに応じたカタチで設計や構築、運用することが可能です。

その一方で、WAF機器の保守・運用や監視といった業務をすべて自社で行う必要があるので、専任エンジニアが必要となるでしょう。

また、WAF専用機器の購入には100万円以上掛かることが一般的なため、コストがかさむのも事実です。

種類2. ソフトウェア型WAF

ソフトウェア型WAFとは、自社サーバーにベンダーが提供するソフトウェアをインストールして運用するタイプのことを指します。

アプライアンス型とは異なり、自社サーバーにWAFをインストールするだけで導入できるので、ハードウェアの調達コストやシステム設計の手間などは抑えられます。

その一方で、サーバー内にインストールされているため、サイバー攻撃を受けた際にはCPUへの負荷が急激に増えることも。結果としてサーバーの速度遅延やサーバーダウンも起こりえるので、事前検証はある程度必要となります。

また、Webサーバーを複数設けているケースでは、WebサーバーごとにWAFを設置する必要があります。コストもそのぶん増える可能性があることは意識しておきましょう。

種類3. クラウド型WAF

クラウド型WAFとは、クラウド経由で利用するWAFのことを指します。

アプライアンス型、ソフトウェア型とは異なり、ソフトウェアやハードウェアを調達する必要がありません。そのため、導入におけるコストや手間は最も低いといえます。また、WAFの保守・運用はベンダーが行うため、専任のエンジニアを配置することなく、最新の脅威に備えることができます。

ただし、サービス内容はベンダーによってさまざま。実績や信頼性の高いサービスを選ぶ必要があるでしょう。

WAFの必要性

WAFがなぜ必要とされているのか、その必要性を下記の3つの視点から解説します。

理由1. Webアプリケーションには脆弱性がある

脆弱性とは、不正アクセスのための抜け穴となってしまう不具合のことを指します。残念ながら、セキュリティ対策が完璧なWebアプリケーションは世の中には存在しません。

日々新しいサイバー攻撃の脅威が登場している今の時代、定期的なセキュリティ対策の更新や最新手法へのキャッチアップが不可欠で、そのためのエンジニアが常駐している企業もあるほどです。

今は安全なWebアプリケーションであっても、将来的な安全まで保証されていません。こうしたWebアプリケーションの脆弱性やサイバー攻撃に対処するためにも、WAFを導入する必要性があります。

『安全なWebアプリケーションの作り方』に学ぶ、セキュリティの重要性｜東京のWEB制作会社・ホームページ制作会社｜株式会社GIG

「安全なWebメディア」「セキュリティの重要性」などとよく言われるけれど、結局なにが重要なの？ そんなギモンに、GIGエンジニアがお答え！ Webアプリケーションにおける「セキュリティの重要性」について共有します。

giginc.co.jp

理由2. Webアプリケーション層の防御はWAFのみ

先ほど触れたように、Webアプリケーション層を狙った攻撃を防げるのはWAFだけとなります。

近年では、大規模なネットワークやOSに対して攻撃を行うよりも、小規模なWebアプリケーションの脆弱性を狙った手口が増えているのも事実。

そのため、ファイアウォールやIPS/IDSの防御領域ではカバーしきれないことが多くなっています。

WAFは、Webアプリケーションへの攻撃を防ぐことを目的としたセキュリティ対策です。自社のWebアプリケーションやWebサイトを悪意ある攻撃から守るためには、WAFの導入が必須といえます。

理由3. グローバルセキュリティ基準に準拠できる

クレジット業界のグローバルセキュリティ基準である「PCI DSS」では、12の要件が定められています。その中には、「安全性の高いシステムとアプリケーションを開発し、保守すること」という要件が含まれています。

この要件を満たすためには、WAFの導入またはセキュアなWebアプリケーションへの改修が必要です。逆に言えば、WAFを導入することでPCI DSSの基準には準拠できます。

グローバルセキュリティの基準を満たせれば、取引先や顧客からの信頼獲得につながるでしょう。

WAF運用時の注意点

最後に、WAF運用時の注意点についても確認しておきましょう。

注意点1. 初期コストだけでなく運用コストも必要

WAFは一般的に、アプライアンス型が最もコストが高く、次いでソフトウェア型、クラウド型の順に安くなります。加えて、いずれも初期費用だけでなく、運用費用としてランニングコストも必要となります。

アプライアンス型は、WAFの専用機器の購入が必要です。また、組織内のネットワーク構成の変更が必要になるので、導入期間も長期になりがち。導入後も長時間の監視とシグネチャの頻繁な更新を行うことになるため、相応の運用コストが必要となるでしょう。

ソフトウェア型は、Webサーバーごとにソフトウェアのインストールが必要です。そのため、サーバー台数が増えると、ライセンス費もそのぶん必要です。また、ソフトウェアのアップデートも不可欠で、運用コストが掛かるのはアプライアンス型と同じです。

クラウド型は、サービスの購入費用や月々の利用料は掛かるものの、契約内容によって価格は異なり、通信料が多いものほど高くはなります。ですが、メンテナンス自体はサービス提供元に一任できるので、同じ運用コストが必要でも、その中身はアプライアンス型とソフトウェア型とは違ってきます。

注意点2. 誤検知・誤遮断への対応ができる担当者が必要

WAFのセキュリティレベルを厳しくし過ぎると、WAFが誤検知を引き起こし、正常な通信さえも遮断してしまう恐れがあります。

誤検知が発生すると、結果的にユーザーがWebアプリケーションやWebサイトを利用しづらくなるでしょう。

その一方で、セキュリティレベルを緩め過ぎると、脆弱性を突いた攻撃のリスクが増すため、WAFのチューニングは適度に行うことが求められます。

これは専門知識が必要な分野であり、可能ならば誤検知・誤遮断への対応ができる担当者は配置しておきたいところです。WAFの運用を行う人材の確保が難しい場合には、運用サービスを手掛けている企業に外注するのも選択肢のひとつ。

運用を外注する際には、導入実績やどのような規模の企業に導入されているかなどを確認し、導入・運用のノウハウが確立されている企業を選ぶようにしましょう。

注意点3. Webサイトの停止リスクも

WAFを運用する際には、Webサイトの停止リスクにも注意しなければなりません。

仮に新しい不正アクセスが発生した場合、ベンダーにシグネチャを依頼することになりますが、その間はWebサイトやWebアプリケーションを停止、最悪の場合閉鎖しなければいけない可能性も。

Web媒体からおもな収益を得ている企業にとっては、Webサービスを停止する期間は大きな機会的損失をまねく恐れあります。

そうならないためにも、WAF導入時にはトラブルを分散させる仕組みなども検討しなければなりません。

WAFの導入・運用支援はGIGにお任せください

安全にWebサイト・Webアプリケーションを保守・運用するためには、セキュリティ対策がとても重要なことは言うまでもありません。

ただ、頭ではわかっていても、実際に適切な対策を行うのはなかなか難しいもの。

セキュアな設計やプログラミングは知識や経験が非常に大事になってくるので、自社でWAFの運用を行う人材の確保が難しい場合には、積極的にWAFの導入・運用サービスを手掛けている企業に外注すべきでしょう。

GIGでは、インフラ構築からWebアプリケーション開発、システムの保守・運用に至るまでさまざまな観点からのセキュリティ対策にも取り組んでいます。

改ざん検知、WAF、監視ツールなどを適切に使用することで、常にシステムやアプリケーションの状態を確認。セキュリティ上の欠陥をなくし、安全性を確保した状態での開発を実現します。また、起こり得るリスクを想定・考慮したインフラ構築のサポートも可能。

保守・運用の場面では、セキュリティや各種サービス連携のアップデートにも対応しています。

セキュリティ対策に関心のある方、WAFの導入・運用をお考えの方は、まずはお気軽にお問い合わせください。

■株式会社GIG
お仕事のお問い合わせはこちら
会社紹介資料のダウンロードはこちら
採用応募はこちら（GIG採用サイト）
採用応募はこちら（Wantedly）

GIG BLOG編集部

株式会社GIGのメンバーによって構成される編集部。GIG社員のインタビューや、GIGで行われたイベントのレポート、その他GIGにかかわるさまざまな情報をお届けします。