WAFとは？仕組みや種類、主な防御範囲や導入・運用の注意点を解説

近年、Webアプリケーションの脆弱性を狙うサイバー攻撃が増加しており、特化したセキュリティ対策のWAFが注目を集めています。この記事ではWAFの基本情報から必要性や種類、メリットなどを解説します。セキュリティ対策をより強固なものにしたいと考えている人は、参考にしてください。

ご質問・お問い合わせ

WAF（ワフ）とは、Web Application Firewallの略称です。アプリケーションの脆弱性を悪用する攻撃からの保護を専門的に実施する、セキュリティ対策です。Webサイトまたはアプリケーションに悪意ある通信が届いた場合に、即座に検知・遮断し、不正アクセスや改ざんから守ります。

主に、インターネットバンキングやECサイトなどでユーザーに個人情報や口座情報を入力してもらう場合や、問い合わせフォームがある場合、またオープンソースCMSを用いたWebサイトなどの保護に適しています。

ファイアウォールはネットワーク層で働き、IPアドレスやポート番号によって通信を制御・遮断するセキュリティ対策です。ただし、ファイアウォール自体がアクセスが正常か不正かを判断するわけではないため、正常な通信を装った攻撃からは守れません。また、Webアプリケーション上で起こる攻撃には対処できません。

IDSはネットワークトラフィックを監視し、アラートを発します。あくまでも監視が目的で、通信自体を遮断する機能は有していません。IPSは、OSやミドルウェアの脆弱性を悪用した攻撃から守ります。一方で、アプリケーション層への攻撃からは守れません。

WAFはWebアプリケーションを専門とするセキュリティ対策です。通信内容を把握し、本来外へ出ないデータが含まれていないかを調べます。

Webサービスは主にネットワーク層、OSミドルウェア層、アプリケーション層という3つの階層に分けられます。サイバー攻撃の手段は階層ごとに違いがあり、防ぐための方法も違います。Webサイトは誰もがアクセス可能なため、サイバー攻撃の標的にされがちです。WAFの導入によってアプリケーション層への攻撃に対処できるため、重要性が増しています。

WAFでは「シグネチャ」と呼ばれる通信パターンを活用して、サイバー攻撃を探知します。シグネチャを活用する検知方法には、2つの種類があります。それぞれの特徴について解説します。

ブラックリスト方式とは、経験済みの不正な値や攻撃をルールとして定義する方式です。通信内容がルールに一致した場合に防ぎます。そのため、これまでに経験のない攻撃に対しては対応できません。リストにない正規の通信を妨げない点はメリットですが、新規の攻撃方法が登場した場合は新たに追加しなければなりません。

ホワイトリスト方式は、あらかじめ正規のパターンを許可しておき、それ以外は全てブロックする方式です。リストの作成には時間とコストがかかるものの、高度なセキュリティが可能で、経験のない攻撃からも守れます。ただし、リストにない正規のリクエストまで遮断する可能性があります。

WAFは設置形態によって、主に3つの種類に分けられます。どのような特徴を持つのか解説します。

ホスト型WAFは、既存のWebサーバーにソフトウエアを直接インストールするタイプのWAFです。専用機器の購入が不要のため、ネットワーク機器を増やすことなく、導入コストも抑えられます。ただし、Webサーバーごとに個別でインストールしなければならず、サーバー数が増えるほどにコストが大きくなります。

ゲートウェイ型WAFは、ネットワーク機器として設置するタイプのWAFです。専用のハードウェア製品として設置するタイプと、サーバーにインストールするタイプの2種類があります。独立して設置するため機器の台数は増えますが、複数のサーバーを保護でき、台数が増えた場合は結果的に費用を抑えられます。

サービス型WAFとは、サービス事業者が提供するWAFをSaaSやクラウドなどの形で利用するタイプのWAFです。導入が容易で初期費用が安く、管理者の運用負荷も抑えられます。ただし月々の運用コストは割高になり、サービスの種類によって機能に違いがあるため、サービスの選定が重要といえます。

WAFを導入することで、具体的にどのようなメリットがあるのでしょうか。主な3つのメリットを解説します。

Webアプリケーションは常にオンライン上にあるため攻撃の対象になりやすく、セキュリティ上の脆弱性に注意しなければなりません。

ただし、Webアプリケーションを作るのは人間のため、開発者のセキュリティ対策が厳重であっても、脆弱性を全て排除することは困難です。新たな攻撃の増加に備え、WAFを導入することで脆弱性から保護できます。

WAFであれば、事前対策だけでなく事後対策も可能です。従来のセキュリティ対策は、さまざまな攻撃から守るための事前対策が主な機能です。ただし、わずかな脆弱性を突かれると、被害につながる可能性もあります。

WAFは攻撃を受ける前だけでなく、攻撃を受けた後もその時点から攻撃を遮断します。時間を確保できるため、被害が拡大しないための対策が可能です。

WAFであれば、他の製品で対応できない攻撃も防げます。たとえば、開発元が修正パッチを配布する前の攻撃である「ゼロデイ攻撃」への対策は難しいとされています。ゼロデイ攻撃は一般的に被害が大きくなりやすいとされるものの、サービス型WAFであれば対応可能です。また、WAFであれば後述するさまざまな攻撃手法から自社サイトを守れます。

WAFであればどのような攻撃から守れるのか、具体的な攻撃例を3つ解説します。

悪意あるSQLコードをWebサイトの検索窓や問い合わせフォームに挿入し、不正にデータベースへとアクセスする攻撃方法です。アクセスしたのち、顧客情報や機密データを入手したり、データベースにダメージを与えたりします。WAFでは害のある通信を即座に検知し、該当するリクエストから守ります。

クロスサイトスクリプティングとは、Webページに悪意あるJavaScriptコードを埋め込み、ユーザーへブラウザ上で実行させる攻撃方法です。クッキー情報を入手したり、偽サイトへ誘導したりします。WAFではユーザーが送信するデータを常時監視しており、悪意あるスクリプトがないか検知し、クロスサイトスクリプティングを防ぎます。

短時間にWebサーバーへ大量の接続要求やデータを送信し、サーバーダウンを狙う攻撃です。場合によっては、長時間サイトが停止するおそれもあります。WAFでは普段とは違う大量のアクセスを即座に検知・遮断することで守ります。ただし、全てのWAFが対応しているわけではないため、導入前に対応しているか確認しましょう。

WAFを導入したり運用したりする際には、課題や注意すべき点もあります。具体的な3つを解説します。

WAFの導入には、初期コストはもちろん運営コストもかかります。種類にもよりますが、専用機器が必要だと初期コストが高額になるだけでなく、運営時の費用もかかります。WAFを導入したいもののコストを抑えたい際は、サービス型のWAFがおススメです。

サービス型WAFは専用機器の設置が不要で初期費用を抑えられるだけでなく、トラフィック量によって運用費用を予測しやすい点がメリットです。

WAFは、Webアプリケーション層を専門とするサービスです。専門分野に対する攻撃は防げるものの、それ以外をターゲットにした攻撃は防げません。また、WAFは基本的に、既知の攻撃パターンや脆弱性をもとに攻撃から防ぎます。

ただし、その場合は新規の攻撃パターンやゼロデイ攻撃は防げません。より安全なセキュリティ環境を作るには、他のセキュリティ対策との組み合わせがオススメです。

自社サイトを守るために、WAFの導入は重要です。ただし、セキュリティレベルを上げすぎると、正常な通信までも不正と判断し遮断してしまう「誤検知」や「誤検出」が発生するおそれがあります。誤検知や誤検出が増えると利便性が損なわれます。

一方で、セキュリティレベルを下げると、本来ブロックすべき不正アクセスを見逃す可能性もあるため、WAFのセキュリティレベルの設定には専門的な知識や経験が必要です。

WAFはWebアプリケーションへの攻撃を専門とするセキュリティ対策です。近年は脆弱性を狙ったサイバー攻撃が増加しており、企業にとって顧客情報や機密情報を守ることは喫緊の課題となっています。自社に適した種類のWAFを導入し、情報の流出を防ぎましょう。

WAFをはじめ、システム構築について知りたい場合は、RICOHへの相談がおすすめです。RICOHが運営する「中小企業応援サイト」では、DXを通じた課題解決の実例を667件公開しています。多種多様な地域・業種にわたる事例を、自社の取り組みにお役立てください。まずはお気軽にご相談ください。

ご質問・お問い合わせ