年々サイバー攻撃が増えている中、個人情報漏えい等のリスクに対し企業はWebセキュリティ対策が求められています。ECサイトや会員サイトなどのWebアプリケーションのセキュリティ対策として「WAF」への注目が高まり、弊社でもWAFのご相談やお問合せが増加しています。
この記事では、WAFの基礎知識から、種類や仕組み、基本機能、導入の必要性やメリット、さらにWAFサービスの選定基準などなど詳しく解説していきます。
WAFの定義・基礎知識
WAFとは?
WAF(Web Application Firewall)は、ウェブアプリケーションに対する攻撃を防ぐためのセキュリティシステムです。ECサイトや会員サイトなど会員登録などが必要なウェブアプリケーションは、多くの個人情報やデータを扱うため、攻撃の標的となりやすいです。WAFは、これらの攻撃を検知・防止する役割を果たします。
WAFの基本機能
WAFには、基本的なセキュリティ機能が多数あります。これにより、さまざまな攻撃からウェブアプリケーションを守ることができます。
■通信監視、制御機能
WAFの核となる機能。あらかじめ通信パターンを記録した「シグネチャ」と呼ばれるファイルをもとに、通信の許可と不許可を決定する。
■シグネチャ自動更新機能
最新の攻撃に対応するために、通信の監視や制御に必要なシグネチャを常にアップデートする機能。
■Cookie保護機能
Webサイトで入力した個人情報や、Webブラウザの閲覧履歴を記録するcookieを保護する機能。攻撃者によるなりすましなどの不正アクセスを防御する。
■特定URL除外・IPアドレス拒否機能
警戒が不要なWebページを防御対象から外せる機能。IPアドレス拒否機能は、特定のIPアドレスからの通信をブロックできる。
■ログ・レポート機能
検出された不正と思われる通信や、サイバー攻撃の種類などを確認できる機能。攻撃元や攻撃パターンの統計データまで閲覧可能な製品もある。
WAFの仕組み
WAFは、HTTP/HTTPSトラフィックを解析し、悪意のあるリクエストをブロックします。WAFは、シグネチャベースの検知や、ブラックリスト/ホワイトリスト方式、AIによる異常検知などの方法を用いて攻撃を防ぎます。
ファイアウォールとWAFの違い
ファイアウォールとWAFは異なる目的で使用されます。ファイアウォールはネットワーク全体を保護し、WAFは特にウェブアプリケーションを保護します。ファイアウォールはネットワークトラフィックを監視・制御し、外部からの不正アクセスを防ぎます。WAFは、ウェブアプリケーションに特化しており、アプリケーションレベルでの攻撃を防ぎます。
・ファイアウォール:DDoS攻撃を防ぐのに有効ですが、SQLインジェクションは防げない。
・WAF:SQLインジェクションを防ぐことができます。
IPS/IDSとWAFの違い
IPS(侵入防止システム)/IDS(侵入検知システム)とWAFは、異なるレイヤーでのセキュリティを提供します。IPS/IDSはネットワークトラフィックを監視し、不正なアクセスや攻撃の兆候を検出・防止します。WAFは、ウェブアプリケーションに対する攻撃(例:SQLインジェクション、XSS)を防ぎます。
・IPS/IDS:ネットワークの異常なトラフィックパターンを検出
・WAF:特定のウェブアプリケーション攻撃を防ぐ。
WAFの必要性
安全なサイト運用には、当然セキュリティ対策が必要です。特にWebアプリケーションのようなユーザーの情報や商品情報などの多くの情報を管理するサイトであればなおさらです。総務省が発表した資料によると、2021年に観測されたサイバー攻撃の関連通信が約5,180億パケットに達して、3年間で2.4倍増加しました。
自社スタッフなどのセキュリティ対策のための人的リソースが確保できない場合、WAFは、ウェブアプリケーションを標的とする攻撃を防ぐために不可欠です。
複数のWebシステム利用時のセキュリティ
複数のWebシステムを利用する際、セキュリティの抜け漏れが生じやすくなります。各システムのセキュリティ設定が異なる場合、一貫したセキュリティ対策が困難になります。WAFは、アプリケーションレベルで対策できるため、全体的なセキュリティを一元管理できます。
脆弱性が見つかった場合の対応が困難
定期的な脆弱性診断サービスを受ける取り組みは一般化していますが、脆弱性が見つかった場合の対応は、サイトの運用上の理由(サイトを停止できない、バージョンアップできないなど)により修正が困難であったり、修正までに長い時間を要すると考えられます。そのため、ECサイトのようなWebアプリケーションの場合、利益の損失に直結する場合もあるため、WAFのようなセキュリティ対策が必須です。
新種のサイバー攻撃のリスク)
新種のサイバー攻撃に対しても、WAFは有効な対策となります。サイバー攻撃は常に進化しており、新しい攻撃手法が出現します。こうした新しい攻撃にも最新のシグネチャを自動更新するWAFであれば対応できます。
WAFのメリット
WAFを導入することで、運用上の理由によりアプリケーションの修正が困難な場合や保険的対策として万一の事態に備えるほか、セキュリティ事故が起きてしまったあとの事後対策に役立てることができます。
脆弱性を修正できない場合にも対応できる
利用しているフレームワークやソフトウェアに脆弱性が発見されたなど、脆弱性の存在を把握しながらも運用上の理由からアプリケーションを修正できない場合があります。そういった際にWAFを併用しつつ、その間に脆弱性の修正やパッチの適用を計画することで現実的かつ効果的な対策が可能となります。
保険的対策
個人情報の漏えい等の事故が起きてしまうと、サイトの停止、脆弱性の修正、顧客対応などの直接的・間接的に莫大なコストが生じてしまいます。事前対策としてWAFを導入することで、これらの万が一のリスクを低減することができます。
迅速な対応
Webサイトが実害を被ると対策が完了するまでサービスの再開は困難となり、機会損失が発生します。万一の事態において、まず緊急対応としてWAFを導入し、WAFで防御を固めながら、脆弱性の修正とサービス再開を進めることで、被害の拡大を防ぐことに繋がります。
WAFで防げる攻撃の種類
WAFは多くの攻撃を防ぐことができます。
SQLインジェクション:
「SQL」と呼ばれる命令文を入力し、データベース(会員情報などの個人情報を保存する場所)に不正アクセスし、カード情報や顧客情報などを、改ざん・窃盗する手法。
クロスサイトスクリプティング(XSS):
掲示板などの閲覧者がページを制作できるWebサイトに対し、不正なスクリプトを挿入し、不正プログラムの感染・フィッシング詐欺・情報漏えいなどを誘発する手法。
ブルートフォース攻撃:
日本語で「総当たり攻撃」を意味し、想定される全てのパスワードのパターンを総当たりで入力することで、暗号解読や認証情報取得しパスワードを入手する手法。
OSコマンドインジェクション:
「OSコマンド」と呼ばれる命令文を利用し、Webサイトのログインや問い合わせフォームに不正なOSコマンドを紛れ込ませ、Webサーバー側に意図しない操作をさせる攻撃手法。
バッファオーバーフロー:
システムのバッファ部分に大量のデータを送りつけ、不具合を発生させる攻撃手法。その不具合を利用してサーバを乗っ取り、不正な命令を実行させる。
DDoS攻撃:
複数のコンピュータから、攻撃対象のサーバーやサイトに攻撃を仕掛け、サーバーに対して過剰なアクセスやデータを送りつける攻撃です。DDoS攻撃を受けると、サーバーやネットワーク機器などに大きな負荷がかかり、サイトへのアクセスができなくなったり、ネットワークの遅延が発生します。
ディレクトリ・トラバーサル(パストラバーサル):
ファイル名を扱うようなプログラムに対してファイル名を不正に書き換えることで、個人情報や機密情報などを窃盗する手法。
WAFの種類
WAFには、アプライアンス型、ソフトウェア型、クラウド型、サービス型の4種類があります。各WAFの種類にはそれぞれの特徴があります。
- アプライアンス型WAF:専用ハードウェアで提供され、高い性能を発揮
- ソフトウェア型WAF:サーバーにインストールして使用するため、柔軟性が高い。
- クラウド型WAF: クラウドサービスとして提供され、スケーラビリティに優れる。
- サービス型WAF 監視・運用も含めたサービスとして提供され、手軽に導入可能。
WAF導入における注意点
WAFによる誤検知の発生
WAFによる誤検知が発生する可能性がありますが、適切な調整で軽減できます。誤検知は、正常なトラフィックを攻撃と誤認識することによって発生します。これを防ぐためには、WAFの設定とルールの調整が必要です。
Webサイト停止のリスク
WAFの設定不備により、Webサイトが一時的に停止するリスクがありますが、事前のテストと監視で防止できます。WAFの設定が不適切な場合、正当なトラフィックもブロックされる可能性があります。これを防ぐためには、導入前のテストと継続的な監視が重要です。
WAFでは防げない攻撃
WAFは万能ではなく、防げない攻撃も存在します。WAFは多くの攻撃を防ぎますが、例えばゼロデイ攻撃(ソフトウェアなどの脆弱性が発見されてから、その対策が講じられる前に、その脆弱性を狙う攻撃)や高度なサイバー攻撃には対応できない場合があります。
どのような企業がWAFを導入するべきか?
WAF導入をお勧めしたい組織の一例
WAFは特に、商品購入のようなユーザーとのやり取りが発生するサイトや個人情報、研究情報など重要度の高い情報を取り扱うウェブアプリケーションを多く使用する企業に導入が推奨されます。
- Eコマースサイト
- オンラインバンキング
- 医療機関
- 大学や研究機関
WAF選定・導入のポイント
WAFを選定・導入する際には、防御力、サポート体制、導入コスト、運用工数を考慮する必要があります。
- 防御力(シグネチャの更新頻度):最新の攻撃に対応するためには、シグネチャの更新頻度が重要です。
- サポート体制:トラブル時に迅速な対応が可能なサポート体制が必要です。
- 導入コスト:予算に合わせたWAFの選定が求められます。
- 導入後の運用工数:日々の運用にかかる手間を考慮する必要があります。
WAF導入の手順
WAFの導入は、計画・準備・実装・テスト・運用の5つのステップで行います。
- 計画: 目標設定と必要なリソースの確認。
- 準備: WAFの選定と必要なインフラの整備。
- 実装: WAFの設定と導入。
- テスト: 導入後のテストと調整。
- 運用: 継続的な監視とメンテナンス。
まとめ
WAFは、ウェブアプリケーションを保護するための重要なセキュリティ対策です。ファイアウォールやIPS/IDSとは異なり、アプリケーションレベルでの攻撃を防ぐことができます。WAFの導入は、特にウェブアプリケーションを多く使用する企業にとって必須であり、適切な選定・導入手順を踏むことで、その効果を最大限に引き出すことができます。弊社でもWAF導入サービスをご提供しています。検討前のご相談やご質問などお気軽にお問い合わせください。